Suche
  • Dr. Heiko Löw

Pentest – Vertraue Niemanden!

Aktualisiert: 11. Aug. 2021

Cyberangriffe auf Unternehmen, Parteien und Celebrities rücken immer weiter in den Focus der Öffentlichkeit. Die Schäden sind enorm und einmal geleakte Bilder oder Dokumente wieder zu kontrollieren, ist fast unmöglich. Der einzige Weg um sich zu schützen, ist daher die Investition in eine gute Cyber Security. Ein IT-Security Tool hierfür sind Pentests.

Was ist ein Pentest?

Bei einem Pentest (Penetration-Test) wird eine externe Person mit einem Angriff auf das IT-System eines Unternehmens beauftragt. Der Pentester soll mit den Werkzeugen eines Hackers versuchen, in das System zu gelangen und dessen Schwachstellen offenlegen. Gute Pentests enthalten dabei Social Engeneering Komponenten, so dass auch menschliche Risikofaktoren wie z.B. eine mangelhafte Passwortverwaltung, schlechtes Update-Management oder ungeschulte Angestellte überprüft werden können.

Pentest-Vertrag

Die Durchführung von Pentests ist an sich legal. Jeder Pentester sollte jedoch bevor er aktiv wird, einen Vertrag mit dem Auftraggeber schließen, in dem die schriftlichen Einwilligung des Inhabers, der Umfang des Pentests, die Vergütung sowie bestenfalls eine Verschwiegenheitsverpflichtung und ein Haftungsschluss für etwaige Schäden aufgenommen werden. Ein entsprechender Vertrag kann viele Probleme bereits im Vorfeld klären und die strafrechtlichen Risiken minimieren.

Checkliste: Das sollte ein Pentest-Vertrag enthalten



1. Vertragsparteien


2. Scope Statement welchen Umfang hat der Pentest – IP-Adressen

- Domains – Servers, Datenbanken etc.


3. Rules of Engagement genaue Aufgaben-und Pflichtenbeschreibung beider

Vertragspartner, genaue Terminangaben, wer ist

verantwortlicher Ansprechpartner bei den

Vertragspartnern, Regelung zur Zulässigkeit

beziehungsweise Unzulässigkeit von Unteraufträgen,

Abschlussberichte/Schlussdokumentationen.


4. Vergütung


5. Verschwiegenheit und Datenschutz


6. Haftungsausschluss für etwaige Schäden


7. Unterschriften


Wo liegen die strafrechtlichen Risiken für Pentester?

Die strafrechtlichen Risiken für professionelle Pentester liegen nach meiner Erfahrung in erster Linie darin, dass die Legitimation des Auftraggebers nicht oder nicht hinreichend überprüft wird. In vielen Fällen wird auf Vertrauensbasis gearbeitet oder vom Auftraggeber erklärt, dass der Pentest zunächst heimlich durchgeführt werden soll, um realistische Ergebnisse zu liefern.

Stellt sich aber später heraus, dass der Auftraggeber in Wirklichkeit nicht zur Vereinbarung eines Pentests befugt war und die Schwachstellen Intelligenz zu eigenen Zwecken nutzen will, entstehen erhebliche strafrechtliche Risiken, da ein unbefugter Pentest die Straftatbestände des Ausspähens von Daten (§ 202a StGB), des Abfangens von Daten (§ 202b StGB) oder der Datenveränderung (§ 303a StGB) erfüllen kann. Es ist daher essentiell, dass vor dem Beginn des Pentests die Berechtigung des Auftraggebers bzw. Vertragspartners überprüft wird.

Wie kann ich erkennen, ob der Auftraggeber auch Berechtigter ist?

Die Prüfung der Berechtigung sollte auf zwei Ebenen erfolgen. Zunächst sollten Sie die Befugnisse zum Vertragsabschluss prüfen. So kann z.B. eine GmbH grundsätzlich nur durch den Geschäftsführer und eine AG durch den Vorstand vertreten werden. Hat eine weitere Unterbevollmächtigung bzw. Prokura stattgefunden, so ist diese vom Auftraggeber nachzuweisen.

Sofern hier alles richtig ist, empfehle ich in einem zweiten Schritt bei der im Impressum des Auftraggebers angegebenen Nummer anzurufen und sich zum Auftraggeber durchstellen zu lassen. Dieser Vorgang kann bei größeren Einheiten kompliziert sein, aber auf diese Weise lässt sich ausschließen, dass der Auftrag unter Nutzung einer Fake-Identity abgeschlossen wurde.

Fazit

Pentests sind ein super Tool um die Cybersicherheit von Einheiten überprüfen und Schwachstellen finden zu können. Aufgrund der Verantwortung, die mit der Durchführung eines Pentests verbunden ist, haben Pentester besondere Sorgfaltspflichten einzuhalten. Jeder Pentester braucht daher ein internes Compliancemanagement, um sein eigenes Haftungsrisko minimieren zu können. Wenn Sie hierbei kompetente Hilfe benötigen, stehe ich Ihnen gerne zur Verfügung.





302 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen