Externer Pentest für eine Rechtsanwaltskanzlei

Sektor

Rechtsdienstleistungen · mittelgroße Kanzlei · 30-60 Professionals · Mandantenportfolio mit Firmenmandanten und sensiblen Verfahren.

Ausgangslage

Auf Anforderung eines Firmenmandanten musste die Kanzlei aktuelle Penetrationstests gegen ihre internetexponierten Assets nachweisen. Die Infrastruktur kombinierte ein maßgeschneidertes Mandantenportal, einen SaaS-Dokumentenmanager sowie geerbte E-Mail- und Videokonferenzdienste aus der ersten Digitalisierungswelle.

Vorgehen

Wir führten externen Pentest im Grey-Box-Format mit Scope auf Mandantenportal, Perimeter-Infrastruktur und identifizierte Subdomains durch. Auf der Web-Ebene wandten wir die OWASP-Top-10-Methodik an und überprüften TLS-Konfiguration, Exposition administrativer Dienste und Sitzungsmanagement-Policies. Jeder Befund wurde manuell validiert, nach CVSS klassifiziert und mit einer auf den Technologie-Stack des Mandanten zugeschnittenen Empfehlung versehen.

Ergebnis

Wir identifizierten 12 valide Schwachstellen (2 kritisch, 4 hoch, 6 mittel-niedrig) und lieferten einen priorisierten Remediation-Plan mit zugewiesenem Verantwortlichen und geschätzter Frist pro Befund. Die Kanzlei schloss beide kritischen Befunde innerhalb von 72 Stunden und den Rest innerhalb von sechs Wochen.

Lehre

Ein nützlicher Pentest ist nicht der, der die meisten Befunde findet, sondern der, der einen Remediation-Plan liefert, den die Organisation tatsächlich ausführen kann.

Zeit und Aufwand

3-4 Wochen · 60-80 Beratungsstunden · technischer Bericht + Remediation-Plan + Abschlussmeeting.

Schlagwörter

Pentest · OWASP · Websicherheit · CVSS · Remediation · Rechtssektor