Natürlich ist es wichtig, dass du gut in der Technik bist, exploiten kannst, etc. Das wissen wir alle. Es gibt jedoch viele weitere Faktoren:

1.     Lerne mit dem Management zu reden. Das Management möchte keinen ewig langen Vortrag, was du alles ausprobiert und welche Codezeilen du genau verwendet hast. Nimm dir dabei den Leitspruch: „Keep it simple and stupid“ zur Hand. Dabei gibt es ein paar Leitfragen, die dir helfen können:

o   Was ist der Business Impact?

o   Welcher Schaden entsteht der Firma, wenn man die Schwachstellen ausnutzt?

o   Was ist die Lösung für das Problem? (Bleibe nicht zu allgemein, sondern leite auf den richtigen Weg)

2.     Security Awareness. Erkläre was das Unternehmen machen muss, damit die Mitarbeiter nicht auf Tricks, wie Phishing, etc. hereinfallen. Außerdem kann man dem System Administrator helfen und ihm Tipps geben.

3.     Berichte. Werde dabei nicht zu kompliziert. Versuche auf einer Seite alle kritischen Probleme zu erklären und auf einer zweiten Seite alle Lösungen dazu hinzuschreiben. Am Ende des Reports kann man noch einen Anhang schreiben, wo man einen technischen Report mit Screenshots und Belegen hinzufügt.

4.     Abschlusspräsentation. Eine Abschlusspräsentation sollte nicht länger als 4 Slides sein. Dabei gibt es folgenden Richtwert:

Folie 1: Schaden schaffen, Impact zeigen (schlimmsten Fälle zeigen)

Folie 2: 5 kritischsten Schwachstellen

Folie 3: Lösungen

Folie 4: Zusammenfassung, Empfehlung der nächsten Schritte

Wichtig ist Probleme nicht schön zu reden, denn dann ist die Aufmerksamkeit deines Gegenübers weg. Gleichzeitig sollte man realistisch bleiben und nicht übertreiben.

5.     Erwartungen. Jeden Tag gibt es neue Technologien und andere neue Mittel. Man weiß nie genau, was einem erwartet, weswegen man stets weiterlernen soll und muss. 

smp-daniel

Senior Security Consultant/Penetration Tester | CEO