Erlaubter Zugriff auf das IT-System: Rechtlicher Hintergrund zum Penetrationstest

von Thomas Wingenfeld am , 15:15 Uhr

Um zu überprüfen, ob Hard- oder Software technisch noch auf dem neuesten Stand ist und ihre Aufgaben erfüllt, unterzieht man sie hin und wieder Technik-Tests. Auch unternehmenseigene IT-Infrastruktur ist hinsichtlich der Sicherheit regelmäßig durch einen Pentest zu prüfen.

Vor dem Penetrationstest sind für Unternehmen wichtige Fragen zur vertraglichen Gestaltung zu klären.

Penetrationstest – Erlaubter Hackerangriff auf Unternehmens-IT

Die Zahl der Angriffe auf die technische Infrastruktur durch kriminelle Hacker steigt rapide an. Um diese Attacken abzuwehren, müssen Unternehmen wissen, wo es in ihrer IT Schwachstellen gibt und brauchen effizient arbeitende Sicherheitsvorkehrungen, mit denen diese Schwachstellen geschlossen werden.

Eine sehr effiziente Methode besteht darin, Experten für IT-Sicherheit zu beauftragen, die vorhandene Infrastruktur zu testen und zwar auf Basis von Hackerwissen. Im Zuge eines Penetrationstests versuchen die Tester, die vorhandenen Sicherheitsmaßnahmen auf den gleichen Wegen und mit denselben Mitteln zu überwinden, wie es professionelle Hacker tun.

Weil es immer häufiger Hacker-Attacken gibt, beträgt die jährliche Wachstumsrate bei den Ausgaben der Unternehmen im Bereich der IT-Sicherheit zwischen 2017 und 2025 bei gleichbleibender Entwicklung etwa 10,2 Prozent. Unter anderem beauftragen sie deshalb Experten für IT-Sicherheitsüberprüfungen, die dann sogenannte Penetrationstests durchführen.

Rechtliche Grundlagen für einen Penetrationstest

Grundsätzlich gilt, dass ein Pentest nicht einfach von jedem durchgeführt werden darf. Wichtigste Voraussetzung für die Zulässigkeit ist das Einverständnis des Unternehmens bzw. der Institution oder Behörde, bei dem oder der ein Penetrationstest durchgeführt werden soll. Gibt das Unternehmen keine Erlaubnis zum Pentest, handelt es sich um eine Straftat, die gerichtlich geahndet wird. Ohne vorherige Klärung sämtlicher, auch rechtlicher Modalitäten, wäre ein solcher Test im Grunde nichts anderes als ein unautorisierter Hackerangriff.

Umfang, Methodik, Zeitrahmen

Darüber hinaus ist es zwingend notwendig, dass weitere Details ganz exakt vereinbart werden, z. B. der Umfang des Pentests. Soll das gesamte Unternehmensnetzwerk auf mögliche Sicherheitslücken getestet werden (was vergleichbar ist mit den umfangreichen Tests neuer Smartphones oder sonstiger technischer Geräte) oder dürfen nur bestimmte Bereiche, beispielsweise die Web-Application, die Cloud oder der Bereich des Social Engineering. Auch hinsichtlich der zu verwendenden Methoden und Werkzeuge müssen klare Absprachen getroffen werden, an die sich die ausführenden IT-Sicherheitsexperten halten müssen.

Verschwiegenheitserklärung als Bestandteil des Vertrages

Damit die Daten und Informationen, auf die die Pentester bei ihrer Arbeit eventuell stoßen, nicht an Dritte weitergegeben werden (auch nicht versehentlich), sollte eine Verschwiegenheitserklärung zu den Voraussetzungen für einen zulässigen Penetrationstest [1] gehören. Idealerweise wird schriftlich fixiert, wie mit bekanntgewordenen Daten umgegangen wird. Hier sind Themen zu klären wie Kopieren von Daten in der Infrastruktur des Pentesters oder Verlust von Daten beim Auftrag gebenden Unternehmen im Rahmen des Tests. Durch die frühzeitige Klärung dieser Themen wird vom Unternehmen und auch von den IT-Sicherheitsexperten sichergestellt, dass alle im Rahmen des Penetrationstests bekanntgewordenen Daten im Unternehmen bleiben und Hinweis- und Belehrungspflichten eingehalten werden.

Eigentumsverhältnisse zu testender Software und Dienste

Was im Vorfeld von Pentests unbedingt zu prüfen ist, sind die „Besitzverhältnisse“ von zu testenden Softwarediensten. Stehen diese nämlich nicht im Eigentum des beauftragenden Unternehmens, werden mit einem Penetrationstest vermutlich Eigentums- und/oder Urheberrechte von Dritten verletzt, was zu großen rechtlichen Problemen mit eventuellen Schadenersatzforderungen führen kann.

Grundlage BSI-Praxisleitfaden

Eine wichtige Basis für die Ausgestaltung eines Pentest-Vertragswerks kann der „BSI-Praxisleitfaden zum IT-Sicherheits-Penetrationstest“ sein. Im Idealfall verwendet man ihn nicht einfach als Anlage zum Vertrag, sondern tatsächlich als Basis für den Penetrationstest.

Er wurde von staatlicher Seite (Bundesamt für Sicherheit in der Informationstechnik) entwickelt, um Unternehmen eine Hilfestellung im Falle einer Beauftragung zu bieten. Darüber hinaus gibt er wichtige Hinweise zum Ablauf eines IS-Penetrationstests. Auch wichtige, potenziell gefährdete Stellen der IT-Infrastruktur werden genannt, z. B.:

• Router, Switches, Gateways (sogenannte Netzkoppelelemente)

• Firewalls, Virenscanner, Paketfilter, Loadbalancer (Sicherheits-Gateways)

• Datenbank-, Web- und Fileserver sowie Speichersysteme

• Anlagen für Telekommunikation

• Internetpräsenz, Webshop, Vorgangsbearbeitung (Webanwendungen)

• WLAN, Bluetooth (drahtlose Verbindungen)

• Steuersysteme für Gebäude, Zugangskontrollen (sog. Infrastruktureinrichtungen)

Der auf Basis des Leitfadens durchgeführte Pentest konzentriert sich auf die genannten Bereiche und muss sie daher hinsichtlich des auszuarbeitenden Vertrages zwischen Auftraggeber und Auftragnehmer auch aus rechtlicher Sicht betrachten.

Weitere, rechtliche Fragestellungen beim Pentest

Ebenso komplex, wie der Test neuer technischer Features von Computern oder Tablet-PCs ist, so komplex erweisen sich die rechtlichen Vorgaben beim Pentesting. Neben den bereits angeführten Fragestellungen ist im Rahmen eines Penetrationstests beispielsweise auch zu klären, wie beide Seiten verfahren, wenn das beauftragende Unternehmen einen bereits geschlossenen Vertrag vorzeitig kündigen möchte, weil es von einem Fehler erfahren hat, der dem Pentester bei seiner Arbeit unterlaufen ist. Darüber hinaus braucht es Regelungen, was beim versehentlichen Auslösen von Meldepflichten geschieht, die die Datenschutzgrundverordnung (DSGVO) vorschreibt. Eine solche Meldung an die jeweils zuständige Aufsichtsbehörde ist gemäß Artikel 55 DSGVO innerhalb von 72 Stunden nach dem Bekanntwerden einer Verletzung des Schutzes von personenbezogenen Daten notwendig.

Autorisierter, rechtssicherer Pentest kann helfen, die IT-Infrastruktur zu schützen

Wer sich als Unternehmen dazu entschließt, von IT-Experten mit Hackerwissen einen Pentest durchführen und sein gesamtes Unternehmensnetzwerk oder einzelne Teile seiner IT-Infrastruktur auf Schwachstellen testen zu lassen, der hat, wenn alle rechtlichen Fragen vertraglich geklärt sind, eine Grundlage für entsprechende Sicherheitsmaßnahmen, denn er weiß, welche Stellen ein besonders hohes Gefährdungspotenzial haben.

 

Bild: Pentest, Tima Miroshnichenko

 

Artikel von CNET.de: https://www.cnet.de

URL zum Artikel: https://www.cnet.de/88192613/erlaubter-zugriff-auf-das-it-system-rechtlicher-hintergrund-zum-penetrationstest/

URLs in this post:

[1] Penetrationstest: https://www.redlings.com/de/pentest