Eine spannende Diskussion über Pentests und deren Nachbereitung wurde kürzlich auf LinkedIn geführt.
Ein Beitrag von Marlon Hübner, selbsternannter Cybersecurity Hero, beschrieb die Situation, in der eine Überwachungskamera im Serverraum auch Monate nach einem Pentest noch die E-Mail-Adresse des Pentesters für die Weiterleitung von Bildern gespeichert hatte. Diese Kameras wurden angeblich nach einem Angriff vom Netz genommen. Nun führte die Entdeckung zu Kritik an den Pentestern: Sie hätten hinter sich aufräumen und die E-Mail-Weiterleitung entfernen sollen.

Doch ist diese Erwartung gerechtfertigt?
Und welche Schlüsse lassen sich nach diversen Antworten meiner eigenen Umfrage auf Mastodon ziehen?

Der LinkedIn-Beitrag: Viele offene Fragen

Im Ursprungspost (LinkedIn) bleibt, rein aus Sicherheitssicht, vieles unklar:

  • E-Mail-Adresse noch erreichbar? Konnte die E-Mail-Adresse noch Bilder empfangen oder wurde, wie zumindest in unseren Pentests üblich, eine Funktionsadresse nur für diesen Pentest verwendet, die nach dem Projektabschluss automatisch deaktiviert wurde?
  • Wie konnte die Kamera überhaupt E-Mails verschicken? Warum konnte ein internes Gerät überhaupt E-Mails an externe E-Mail-Adressen versenden? Würde webcam01, die immer nur E-Mails an admin@firma.de verschickt hat und plötzlich an evilpentester@anderefirma.de sendet, nicht im SIEM auffallen?
  • Vertragsdetails Wurde mit den Pentestern vereinbart, die Artefakte nach dem Pentest zu löschen?
  • Wurde der Fund im Report erwähnt? Pentester, die Bilder aus dem Serverraum erhalten haben, nehmen das in der Regel als kritischen Punkt in den Pentestbericht auf. War hier dem Auftraggeber die Brisanz vielleicht unklar?

Diese und weitere Details sind entscheidend, um die Situation zu bewerten.
Sie werfen jedoch weniger Fragen über die Arbeit der Pentester auf als über die grundlegende Sicherheitsarchitektur und die Nachbearbeitung des Pentests durch den Auftraggeber.

Die Mastodon-Umfrage: Unterschiedliche Perspektiven

Ich habe diese Diskussion zum Anlass genommen, eine Umfrage auf Mastodon zu starten. Die Frage lautete:

„Sollten Pentester hinter sich aufräumen, also z. B. erstellte Accounts löschen oder E-Mail-Weiterleitungen entfernen?“

Die Antworten von 22 Teilnehmern verteilten sich wie folgt:

  • 64%: Ja, sie sollten absolut aufräumen.
  • 14%: Kommt darauf an…
  • 9%: Nein, sie sollten ihre Zeit darauf verwenden, Sicherheitslücken zu finden.
  • 14%: Wird im Einzelfall mit dem Kunden entschieden.

Die Kommentare zeigen, dass die Tendenz zwar in dieselbe Richtung wie bei LinkedIn geht, aber die Erwartungen an Pentester oft unklar oder individuell geprägt sind. Da ich als langjähriger Pentester anderer Meinung bin, schreibe ich diesen Beitrag.

Unabhängig davon wäre für eine bessere Bewertung sicherlich sinnvoll gewesen, zu erfahren, ob es sich bei den Antwortenden selbst um Pentester oder Kunden handelt. Zusätzlich wäre auch eine andere Formulierung der Frage geschickter gewesen: Was wäre eure Erwartung unabhängig vom Vertrag oder Vorgesprächen?

Was sagt die Community?

Die Diskussion unter der Umfrage brachte dann aber noch ein paar wichtige Eckpunkte ans Licht:

1. Klare vertragliche Vereinbarungen sind unverzichtbar.
Wie @bhhaskin und @fthy betonten, muss im Vorfeld eines Pentests eindeutig geregelt werden, ob Cleanup-Aufgaben Teil der Dienstleistung sind. Ohne eine solche Vereinbarung entstehen natürlich Missverständnisse. Diese Aussage kann ich generell, nicht nur bei Pentests, voll unterstützen.

2. Cleanup durch Pentester birgt Risiken.
In dieser ganzen Diskussion unterstütze ich die Meinung der Teilnehmer @stemeerkat und @FritzAdalis, dass Pentester nicht aufräumen sollten.

Aus meiner Sicht ist sogar das Gegenteil der Fall: Sie dürfen nicht aufräumen. Aus folgenden Gründen:

  • Nachvollziehbarkeit leidet: Angriffsartefakte wie Logs oder Testkonten sind wertvoll, um Schwachstellen und Angriffe besser zu verstehen. Der Report muss hierbei natürlich auch entsprechend gut formuliert sein. Aber nach meiner Erfahrung ist es für ein Blue Team einfacher, die Schwachstelle(n) mithilfe von Angriffsartefakten und Report nachzuvollziehen, statt nur über Texte oder Screenshots (bei denen dann vielleicht doch Uhrzeiten für Logs o. Ä. fehlen).
  • Systemkenntnis fehlt: Pentester kennen die Details der Infrastruktur nicht so gut wie interne Teams (gerade in Bezug auf Verfügbarkeit oder Automatismen, die im schlimmsten Fall zu einer unvollständigen Bereinigung führen könnten).

Und seien wir mal ehrlich: Wären die Systeme wieder absolut clean, würden sich noch viel weniger Kunden um die Behebung der Schwachstellen kümmern als bereits jetzt (das zeigt ja auch der Beitrag von LinkedIn).

Übrigens: Die Angriffsartefakte könnten auch eine gute Übung für das Blue Team sein. Auch das gehört manchmal zur Zielsetzung eines Pentests: Wie schnell identifiziert das Blue Team einen entsprechenden Angriff und wie schnell kann es alle Kompromittierungen nachvollziehen?

3. Unterschiedliche Arten von Pentests erfordern unterschiedliche Ansätze.
Wie @codeofamor anmerkte, hängt die Antwort oft auch von der Art des Pentests ab. Bei einer Webanwendung könnten Pentester auf temporären und danach zu löschenden Systemen arbeiten. Da muss dann nichts aufgeräumt werden.
Zwar bin ich hier wiederum anderer Meinung (es gibt durchaus oft Szenarien und gute Gründe, warum man einen Web-Pentest auch auf Produktivsysteme durchführen möchte), aber ganze Infrastrukturen für „interne Pentests“ aufzubauen, nur um diese später wieder zu löschen, ist schlicht nicht praktikabel.

Meine Sicht: Eigenverantwortung und Sicherheit gehen Hand in Hand

Pentests sind kein All-inclusive-Service. Sie sind ein Werkzeug, um Schwachstellen zu finden und zu dokumentieren – und, aus meiner Sicht, nicht, um Systeme „besenrein“ zu hinterlassen und es dem Kunden besonders leicht zu machen, „mit den offenen Schwachstellen zu leben“.
Cleanup gehört in die Hände von Personen, die mit der Infrastruktur vertraut sind und die Konsequenzen ihrer Handlungen (beim Fixen) im Hinblick auf z. B. Verfügbarkeit verstehen.

Ein weiterer wichtiger Aspekt ist, dass Pentester gar nicht alle Automatismen in einer Infrastruktur kennen können. Im Fall der Überwachungskamera ist das vielleicht unwahrscheinlicher, aber wenn ich im Active Directory ein neues Computerkonto anlege, gibt es durchaus teils kritische Automatismen – die ich als Externer nicht kenne und daher nicht „zurückräumen“ kann.

Kritik an Pentestern geht am Kern vorbei. Der Ursprungspost auf LinkedIn lenkt den Fokus in die falsche Richtung:

Aus meiner Sicht sollte sich der Auftraggeber eher fragen:

  • Wenn E-Mails von einer Überwachungskamera (nach extern) verschickt werden konnten, liegt dann nicht ein Problem in der Netzwerk-/Firewall-Konfiguration oder im Monitoring (SIEM etc.) vor?
  • Wenn Artefakte des Pentests Monate später noch vorhanden sind, deutet das nicht eher darauf hin, dass die Empfehlungen des Pentest-Berichts nicht oder nicht mit der richtigen Priorität umgesetzt wurden?

Sicherheitskultur ist entscheidend. Unternehmen müssen Pentests ernst nehmen, Berichte genau lesen und Maßnahmen priorisieren. Sicherheitslücken, vor allem kritische wie z. B. kompromittierte Geräte im Serverraum, sollten umgehend behoben werden – nicht erst Monate später.

Fazit: Pentests ernst nehmen – und Verantwortung übernehmen

Die Vorstellung, dass Pentester alles hinter sich aufräumen sollen, ist nicht nur unrealistisch, sondern gefährlich.
Ein Cleanup gehört in die Hände derjenigen, die die Systeme verstehen und sicherstellen können, dass keine Schwachstellen zurückbleiben.

Kunden sollten Pentests als Chance begreifen, ihre Sicherheit zu verbessern, und die Empfehlungen sorgfältig umsetzen.
Klare Kommunikation, vertragliche Regelungen und eine starke Sicherheitskultur helfen dabei, Missverständnisse und Schuldzuweisungen zu vermeiden.

Denn am Ende gilt: Sicherheit ist eine gemeinsame Verantwortung – und kein Alleingang (auch nicht von einem Pentester).

PS. Wenn ein Pentester diesen Beitrag liest, der an dem auf LinkedIn genannten Pentest beteiligt war, kann er sich gerne bei mir unter bloginput@security-manufaktur.de melden. Ich wüsste gerne, ob „Cleanup“ Teil des Vertrages war und ob die Sicherheitslücke entsprechend im Report aufgeführt wurde.

PPS. Natürlich weiß ich, dass der LinkedIn-Beitrag eigentlich eher ein beschämender Versuch war, Werbung für Pentestunternehmen zu machen – ich möchte dennoch mit solchen Vorurteilen aufräumen und die Aussagen entsprechend bewerten.

[UPDATE#1 2025-01-27: Rechtschreibung und Formulierungen überarbeitet, PS und PPS hinzugefügt]