Skip to content

Die technische Arbeit ist erledigt. Was gehört in einen Bericht, auf den der Kunde tatsächlich reagiert?

Kurzantwort

Ein guter Bericht bedient zwei Zielgruppen: eine Executive Summary, die das Geschäftsrisiko für die Führung einordnet, und detaillierte, reproduzierbare Funde mit Beweisen, präzisen Risikobewertungen und priorisierter Behebung für das technische Team. Der Bericht — nicht der Exploit — ist das Liefergut.

Kunden zahlen nicht für Shells; sie zahlen für ein Dokument, das ihnen sagt, was falsch ist, wie schlimm es ist und was zu tun ist. Eine brillante, aber schlecht geschriebene Kompromittierung ist vergeudete Arbeit — und ein klarer Bericht über bescheidene Funde kann enorm wertvoll sein. Deshalb wird Reporting als vollwertige Phase behandelt.

Zwei Zielgruppen, ein Dokument

  • Executive Summary: für die Führung. Kein Fachjargon. Sie benennt die allgemeine Risikolage, die wenigen wichtigsten Probleme, die geschäftlichen Auswirkungen (Datenoffenlegung, Ausfallzeit, Compliance) und ob die Ziele erreicht wurden. Ein CISO sollte die Lage in zwei Seiten erfassen.
  • Technische Funde: für die Ingenieure, die die Dinge beheben. Jeder Fund ist in sich abgeschlossen.

Was jeder Fund braucht

  • Einen klaren Titel und eine Beschreibung des Problems und seiner Grundursache.
  • Einen präzisen Schweregrad — risikobasiert, nicht ein kopierter CVSS-Basiswert. Der Kontext zählt: eine rein interne SQLi hinter MFA unterscheidet sich vom selben Bug auf dem öffentlichen Login.
  • Reproduktionsschritte und Beweise — genug Detail (Anfragen, Payloads, Screenshots), damit der Kunde sie reproduzieren und später die Behebung verifizieren kann. Sensible Daten werden geschwärzt.
  • Geschäftliche Auswirkung — was ein Angreifer tatsächlich erreicht, nicht „TLS 1.0 ist aktiviert".
  • Spezifische, priorisierte Behebung — konkrete Hinweise („parametrisieren Sie diese Abfrage", „rotieren Sie diese Zugangsdatum"), so geordnet, dass der Kunde weiß, was zuerst zu beheben ist.

Professionelle Feinheiten

  • Melden Sie kritische Funde sofort während des Einsatzes, nicht Wochen später in einem PDF vergraben.
  • Fügen Sie Scope, Methodik und Zeitleiste hinzu, damit die Ergebnisse richtig interpretiert werden.
  • Seien Sie ehrlich über Abdeckung und Grenzen — was Sie nicht getestet haben, ist Teil des Risikobildes.
  • Bieten Sie einen Retest an, um Behebungen zu bestätigen.

Worauf Interviewer achten

Dass Sie den Bericht als das Produkt sehen, sowohl für Führungskräfte als auch für Ingenieure schreiben können, Risiko im Kontext bewerten statt CVSS nachzuplappern, Funde reproduzierbar machen und alles mit umsetzbarer, priorisierter Behebung verbinden — plus die Reife, Kritisches in Echtzeit zu eskalieren.

Wahrscheinliche Anschlussfragen

  • Wie bewerten Sie den Schweregrad, sodass er das echte Risiko widerspiegelt und nicht nur die CVSS-Basiswerte?
  • Wie würden Sie einen schwerwiegenden Fund mitten im Einsatz melden, statt auf den Bericht zu warten?
  • Was macht einen Fund „reproduzierbar“, und warum ist das für den Kunden wichtig?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.