Sie schließen einen Einsatz ab, bei dem Sie Webshells hochgeladen und Testkonten angelegt haben. Was müssen Sie tun?
Kurzantwort
Professionelle Einsätze enden mit vollständiger Bereinigung und einem Artefakt-Inventar, damit keine neue Angriffsfläche zurückbleibt und die Umgebung des Kunden nicht getrübt wird. Shells oder Konten für den Kunden zum Finden liegenzulassen ist fahrlässig und gefährlich — ein echter Angreifer könnte sie wiederverwenden. Eine Hintertür „für nächstes Mal" zu behalten ist unethisch und wahrscheinlich illegal. Die eigenen Aktivitätslogs zu löschen zerstört die Audit-Spur, die der Kunde braucht, um den Test zu validieren und nachzuvollziehen, was Sie getan haben.
Alles, was Sie während eines Tests platzieren — Webshells, Konten, geplante Tasks, hochgeladene Tools, Konfigurationsänderungen — ist neue Angriffsfläche. Etwas davon zurückzulassen macht den Kunden unsicherer als vor Ihrer Ankunft — das Gegenteil des Zwecks des Einsatzes.
Warum vollständige Bereinigung plus Inventar richtig ist
Zwei Dinge müssen beim Abschluss geschehen. Erstens: jedes erstellte Artefakt entfernen — Shells, Testkonten, geplante Tasks, abgelegte Dateien und alle temporären Konfigurationsänderungen — und die Systeme in ihren vorherigen Zustand zurückversetzen. Zweitens: dem Kunden ein schriftliches Inventar übergeben von allem, was Sie erstellt, geändert oder berührt haben — idealerweise während des Tests laufend verfolgt, damit nichts vergessen wird. Das Inventar erlaubt dem Kunden, die Bereinigung unabhängig zu prüfen, die Änderungen mit seinen eigenen Logs abzugleichen und zu bestätigen, dass nichts übersehen wurde. Das ist der disziplinierte Abschluss, der einen Profi von jemandem unterscheidet, der nur hineingekommen ist.
Warum die anderen Optionen falsch sind
- Sie für den Kunden zum Finden liegenlassen. Das verlagert Ihr Durcheinander und Ihr Risiko auf den Kunden. Ein echter Angreifer, der die Umgebung scannt, könnte Ihre Shell oder Ihr Konto entdecken und wiederverwenden — Sie hätten einen aktiven Brückenkopf geschaffen.
- Eine Hintertür für nächstes Mal behalten. Verdeckten Zugriff nach Ende des Einsatzes aufrechtzuerhalten ist unethisch und in den meisten Rechtsordnungen unbefugter Zugriff — eine Straftat. Es zerstört zudem das Vertrauen, von dem die gesamte Beziehung abhängt.
- Ihre Aktivitätslogs löschen. Ihre Logs sind Teil des Lieferobjekts: Sie erlauben dem Kunden, Ihre Aktivität zu korrelieren, Findings zu validieren und Ihre Aktionen von denen eines etwaigen echten Angreifers zu trennen. Die Audit-Spur zu zerstören wirkt wie das Verwischen von Spuren und untergräbt die Glaubwürdigkeit des Tests.
Worauf ein Interviewer achtet
Er will operative Reife: das Verständnis, dass ein Test nicht abgeschlossen ist, wenn Sie Zugriff erlangen — sondern wenn die Umgebung sauber und nachvollziehbar ist. Bonussignal: Artefakte kontinuierlich zu verfolgen und ein Inventar zu liefern, das der Kunde gegen seine Telemetrie abgleichen kann.
Wahrscheinliche Anschlussfragen
- Wie verfolgen Sie Artefakte während des Einsatzes, damit die Bereinigung zuverlässig ist?
- Was gehört in das Änderungsinventar, das Sie dem Kunden übergeben?
- Warum müssen Sie Ihre eigenen Aktivitätslogs bewahren und nicht löschen?