Rechtsratgeber Pentesting

Was Security Analysts dürfen und was nicht

22.07.2015
Von Daniel Hamburg
Unternehmensvorstände sind gesetzlich verpflichtet, mögliche Risiken fürs Business zu minimieren. Sicherheitsanalysen und Penetrationstest durch Dienstleister helfen ihnen dabei - solche Methoden bewegen sich aber oft im juristischen Graubereich. Was ist also vorher vertraglich zu regeln?

Der Schutz von Daten ist in Deutschland ein hohes Gut: Neben dem Schutz des Post- und Fernmeldegeheimnisses und dem Schutz so genannter fremder Geheimnisse vor Verwertung gibt es Gesetze zum Schutz vor Computerbetrug, Datenveränderung und Computersabotage. Von besonders hoher Relevanz ist der so genannte "Hackerparagraph" (§202c StGB): Dieser bestimmt, dass nicht nur die Vorbereitung des Ausspähens und Abfangens von Daten als Tatbestand genügen. Schon die Beschaffung und die Verbreitung von Zugangscodes zu geschützten Daten sowie die Herstellung und der Einsatz geeigneter Werkzeuge ("Hackertools") werden als Vorbereitung einer Straftat gewertet, die mit einer Freiheitsstrafe geahndet werden kann. Dabei ist es nicht einmal mehr erforderlich, sich die Daten anzueignen oder Einsicht zu nehmen.

Wer Pentester und Security Analysts im Auftrag beschäftigt, muss rechtssichere Dienstleisterverträge abschließen, um nicht in Teufels Küche zu kommen.
Wer Pentester und Security Analysts im Auftrag beschäftigt, muss rechtssichere Dienstleisterverträge abschließen, um nicht in Teufels Küche zu kommen.
Foto: Martin Fally - Fotolia.com

Auch wer unautorisiert in ein Firmennetzwerk eindringt und die Ergebnisse als "besonderes Mittel" für den Vertrieb seiner Dienstleistungen rund um IT-Sicherheit verwendet oder - um den Druck auf den potenziellen Auftraggeber zu erhöhen - die Ergebnisse veröffentlicht, macht sich strafbar.

Es hängt an der Zustimmung des Auftraggebers

Ist der Auftraggeber ausdrücklich damit einverstanden, dass in seiner Organisation eine Sicherheitsanalyse oder ein Penetrationstest vollzogen wird, ist für den Gesetzgeber alles in Ordnung. Deshalb werden seriöse Testanbieter zuvor immer die ausdrückliche Zustimmung für solche Analysen einholen, und zwar bei einem vertretungsberechtigten Mitglied der Organisation, beispielsweise dem Geschäftsführer, Prokuristen oder bei dem mit einer Sondervollmacht ausgestatteten IT-Leiter.

Wichtig: Der Auftraggeber kann seine Zustimmung nur für Bereiche erteilen, die sich unter seiner Hoheit befinden. Damit steht bei Sicherheitsanalysen und Penetrationstests stets auch die Frage nach dem Besitzstand von Computersystemen, Software und Daten im Raum. Vor dem Beginn des Tests muss also Klarheit über den Testgegenstand bestehen - gegebenenfalls lässt sich die Organisation zuvor rechtlich beraten. Dies ist dann ratsam, wenn der Test Dienstleistungen oder Produkte betrifft, die Dritte betreiben, also beispielsweise Teile der IT-Infrastruktur, Server oder Rechenzentren.

Was sollte im Vertrag geregelt sein?

Beste Grundlage für eine Sicherheitsanalyse oder einen Penetrationstests ist ein Dienstleistungsvertrag. Darin sollten sowohl die ausdrückliche Zustimmung zur Analyse als auch der Umfang der Durchführung sowie der Zeitraum des Tests schriftlich dokumentiert werden. So lässt sich der konkrete Rahmen, für den die Zustimmung erteilt wird, für beide Seiten genau bestimmen.

Vertraglich festgelegt werden sollten darüber hinaus folgende Aspekte:

  • die Grundlagen und Risikoklassifizierung, denen der Test unterliegt;

  • die Art des Tests (Ausgangspunkt außen oder innen) sowie Aggressivität und Umfang;

  • Technik (Netzwerkzugang, physischer Zugang, Social Engineering, etc.);

  • Einzusetzende und auszuschließende Techniken und Systeme (beispielsweise Produktionsssteuerungssysteme);

  • Geheimhaltungshaltungsklausel.

Damit die Sicherheitsanalyse oder der Penetrationstest sachgemäß vorgenommen werden kann, sollte vor allem eine umfassende Geheimhaltungsklausel Bestandteil des Dienstleistungsvertrags sein. Denn der Auftraggeber muss den zuvor benannten Security Analysts unter Umständen umfangreiche Informationen zukommen lassen. Darüber hinaus ist es möglich, dass die Tester selbst an sensible Daten gelangen. Die Vereinbarung sollte alle Projektbeteiligten auf Seiten des Auftragnehmers miteinschließen.

Sorgfaltspflicht gegenüber Mitarbeitern

Sind Mitarbeiter innerhalb der zu prüfenden Organisation vom Test betroffen, muss der Arbeitgeber dafür Sorge tragen, dass die Arbeitnehmerrechte in Bezug auf Datenschutz und Datensicherheit gewahrt sind. Basis sind die Bestimmungen des Bundesdatenschutzgesetzes BDSG sowie das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme", auch "IT-Grundrecht", "Computer-Grundrecht" oder "Grundrecht auf digitale Intimsphäre" genannt. Hier handelt es sich um einen im Allgemeinen Persönlichkeitsrecht verankerten Grundsatz, den das Bundesverfassungsgericht 2008 ausdrücklich formuliert hat. In diesem Zusammenhang kann im Einzelfall der Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung gemäß §11 BDSG erforderlich sein.

Einige wichtige §§ zum Mitarbeiterdatenschutz im Überblick. Das Strafmaß reicht von Geldbußen bis zu 300.000 € bis hin zu Freiheitsstrafen über drei Jahre.
Einige wichtige §§ zum Mitarbeiterdatenschutz im Überblick. Das Strafmaß reicht von Geldbußen bis zu 300.000 € bis hin zu Freiheitsstrafen über drei Jahre.
Foto: Stanislav Wittmann

Konsequenzen für den Betrieb

Den Verantwortlichen muss klar sein, dass sich Störungen innerhalb der IT-Infrastruktur ihrer Organisation im Rahmen einer Sicherheitsanalyse oder eines Penetrationstests nie völlig ausschließen lassen. Seriöse Anbieter klären Auftraggeber im Vorfeld über mögliche Risiken für den laufenden IT-Betrieb auf.

Bewährt hat sich eine Übereinkunft darüber, wie beide Seiten mit solchen Ereignissen umgehen sollten:

  • Welche Unterbrechungen können drohen?

  • Sollten bestimmte Angriffsmethoden deshalb ausgeschlossen werden?

  • Sollen die Tester alle hochkritischen Systeme außer Acht lassen und nimmt der Auftraggeber dann in Kauf, dass die Ergebnisse einer Sicherheitsanalyse oder eines Penetrationstests nur von beschränkter Aussagekraft sind?

  • Oder sollte der simulierte Angriff außerhalb der Nutzungszeiten eines Systems erfolgen?

  • Wer ist im Notfall zu informieren?

Alle diese Vereinbarungen sind sinnvolle Bestandteile des Vertrages.

Auf einen Blick

Die wichtigsten juristischen Punkte auf einen Blick, die Auftraggeber am besten mit der Rechtsabteilung besprechen:

  • Prüfen Sie, welche Bereiche vom Test betroffen sind und ob Sie die Befugnis haben, dafür Ihre Zustimmung zu erteilen.

  • Sorgen Sie dafür, dass die Arbeitnehmerrechte in Bezug auf Datenschutz und Datensicherheit gewahrt bleiben. Möglicherweise ist eine Vereinbarung zur Auftragsdaten-verarbeitung gemäß §11 BDSG erforderlich.

  • Lassen Sie sich nicht unter Druck setzen. Unautorisierte "Probe-Hackings" sind strafbar. Seriöse Anbieter werden nur auf Zustimmung des Auftraggebers tätig.

  • Regeln Sie alle wichtigen Kernpunkte der Zusammenarbeit in einem schriftlichen Dienstleistungsvertrag. Er sollte auf jeden Fall eine Geheimhaltungsklausel enthalten.

So vorbereitet, steht einer reibungslosen Sicherheitsanalyse oder eines Penetrationstests nicht mehr im Wege. Die Erkenntnisse in Bezug auf mögliche Schwachstellen in der IT sind erfahrungsgemäß ein wertvoller Beitrag, um die Sicherheit der Organisation nachhaltig zu steigern. (sh)

Mehr zum Thema?

Wenn Sie sich für das Thema Schwachstellen-/Security-Analyse und Penetrationstesting interessieren, empfehlen wir auch die anderen Teile dieser Reihe:

Zur Startseite