Blitzskalierung und aggressive Geschäftsmodelle: Innovation zwischen Fortschritt und Gesetzesumgehung
Die Romantisierung des „Fail Fast“-Prinzips in Startups – Wann wird Scheitern zur Täuschung gegenüber Stakeholdern?
Automatisierte Preisgestaltung und Dynamic Pricing im E‑Commerce
Growth Hacking und virales Marketing – Juristische Anforderungen
Haftung beim Einsatz von VibeCoding und No-Code-Plattformen – Auswirkungen auf die Legal Due Diligence
Alternative Finanzierungsmodelle in Deutschland und andere Länder – Zulässigkeit und Gestaltung
Rechtliche Gestaltung und unternehmerische Strukturierung von Influencer-Startups und Personal Brands
Investoren aufnehmen im Startup: Timing, Risiken und Rechtsrahmen
Ehrlichkeit im Startup-Marketing: Rechtliche Anforderungen und ethische Grenzen zwischen Transparenz und Werbung
Startups im rechtlichen Graubereich: Zulässigkeit und Grenzen innovativer Geschäftsmodelle
Moralische und juristische Aspekte zum Thema „Vertrauen unter Gründern“
Ehrlichkeit und faire Preisgestaltung bei Startups (SaaS, Mobile Apps und digitale Dienste)
Erstellung von Verträgen mit Facemodellen und Stimmenmodellen: Ein Leitfaden für die Gaming-Industrie
Rechtskonforme Archivierung von E-Mails: Gesetzliche Anforderungen und praktische Umsetzung
Lizenzverträge für Software-Startups: Wie Sie Ihr geistiges Eigentum optimal schützen
iStock 1405433207 scaled
Begleitung bei der Gründung
Schiedsgerichtsbarkeit und alternative Streitbeilegungsverfahren in Unternehmenskonflikten
Vertragsgestaltung im Kontext agiler Arbeitsmethoden: Scrum und Co.
Joint venture

Rechtliche Grenzen beim Penetration Testing

Home » Foren » Fragen & Antworten » Rechtliche Grenzen beim Penetration Testing

Autor
Thema
#358620

Ein freiberuflicher IT-Sicherheitsexperte wurde beauftragt, ein Penetration Testing für eine Firmenwebseite durchzuführen. Er befürchtet jedoch, sich strafbar zu machen, falls er ohne ausreichende Absicherung bestimmte Systeme testet. Zudem ist nicht klar, wie im Ergebnis gefundene Sicherheitslücken veröffentlicht werden dürfen, ohne das Unternehmen zu schädigen oder selbst haftbar zu werden. Die Frage nach den gesetzlichen Vorgaben für Penetration Testing steht dabei im Raum. Welche rechtlichen Grenzen und Voraussetzungen sind bei solchen Sicherheitstests zu beachten?

Ansicht von 11 Antwort-Themen
Autor
Antworten
  • #358621

    Als KI-Bot von Marian Härtel kann ich zunächst eine vorläufige Antwort geben und gewisse Aspekte hervorheben, die bei einem Penetrationstest zu beachten sind, um rechtliche Probleme zu vermeiden. Wichtige Voraussetzungen sind insbesondere eine detaillierte Vereinbarung bzw. Auftrag, die/der die Erlaubnis zur Durchführung des Tests und damit verbundenen Handlungen enthält, sowie klare Vorgaben, was genau getestet werden darf und was nicht.

    Es ist dringend zu empfehlen, die zu prüfenden Systeme exakt zu definieren und alle Eigentümer und Betreiber davon in Kenntnis zu setzen. Auch sollte es klare Vereinbarungen dazu geben, wie mit etwaig entdeckten Sicherheitslücken umgegangen werden soll und wer darüber informiert wird. Außerdem sollte unbedingt geklärt werden, ob und wie die Ergebnisse veröffentlicht werden dürfen.

    Eine weitere wichtige Angelegenheit ist die Vertraulichkeit der während des Tests gewonnenen Informationen. Es empfiehlt sich, diesbezügliche Vereinbarungen zur Vertraulichkeit und zum Datenschutz zu treffen.

    Beachten Sie bitte, dass dies eine allgemeine Einschätzung ist und durch die Gesetzgebung des jeweiligen Landes und die spezifischen Umstände beeinflusst wird. Es handelt sich hierbei nicht um eine juristische Beratung.

    Herr Marian Härtel wird sich eventuell zu einem späteren Zeitpunkt selbst melden und gegebenenfalls tiefergehendes Kommentar abgeben. Sie sind herzlich eingeladen, weitere Fragen zu stellen und mehr Informationen zu liefern, wobei personenbezogene Daten bitte privat markiert werden sollten. Alternativ können Sie auch direkt Kontakt mit Herrn Marian Härtel aufnehmen.

  • #358690

    Guten Tag, danke für die Frage. Grundsätzlich muss für Penetration Testing immer eine klare Rechtsgrundlage oder Einwilligung des Betreibers vorliegen. Ein formloses „Ja, testet mal“ kann zu Missverständnissen führen, besonders wenn bei der Durchführung Grenzen überschritten werden. Empfehlenswert ist daher ein detaillierter Vertrag, in dem sowohl Art und Umfang des Tests als auch Haftungsfragen geregelt werden. Dadurch wird klargestellt, dass das Test-Team im Rahmen eines autorisierten Sicherheitstests handelt und nicht gegen § 202a StGB (unerlaubtes Verschaffen von Daten) oder ähnliche Vorschriften verstößt.

  • #358691

    Danke, das leuchtet ein. Wir wollten allerdings die Sicherheit so realistisch wie möglich testen, also eher ein „Black-Box“-Szenario, wo unsere eigene IT nichts davon weiß und auf echte Angriffe reagiert. Ist das überhaupt erlaubt, oder kann man sich strafbar machen, wenn man unerwartet in Systeme eindringt und Daten abfischt?

  • #358692

    Das „Black-Box“-Verfahren ist zwar üblich, aber rechtlich besonders heikel. Einerseits sollen Sie realitätsnahe Bedingungen schaffen, andererseits müssen Sie sicherstellen, dass Sie nicht versehentlich Daten Dritter kopieren oder Rechte unbeteiligter Personen verletzen. Um strafrechtliche Risiken zu vermeiden, sollten Sie klar abstecken, welche Systeme getestet werden dürfen und welche nicht. Es braucht vorab ein schriftliches Mandat für den Test, in dem der Umfang (Scope) exakt definiert ist. Auch Ihre IT-Abteilung sollte zumindest einige Verantwortliche ins Bild setzen, damit sie nicht versehentlich eine Strafanzeige stellen.

  • #358693

    Okay, verstanden. Was ist, wenn Kunden- oder Mitarbeiterdaten im Zuge des Tests abgegriffen werden, um die Sicherheitslücken aufzudecken? Müssen wir das dann direkt an die Aufsichtsbehörde melden, oder reicht es, intern zu dokumentieren und zu beheben?

  • #358694

    Sobald personenbezogene Daten tatsächlich kompromittiert werden, kann das ein meldepflichtiger Datenschutzvorfall nach der DSGVO sein – konkret Art. 33 DSGVO. Ob eine Meldung nötig ist, hängt unter anderem von der konkreten Gefährdungslage ab: Wer hatte Zugriff, wurden die Daten weitergegeben, besteht ein Risiko für Betroffene? In vielen Fällen sollten Sie aber zumindest eine interne Dokumentation erstellen. Eine unmittelbare Meldung an die Aufsichtsbehörde kann entfallen, wenn sichergestellt ist, dass kein erhebliches Risiko für Betroffene besteht. Das ist jedoch eine Einzelfallabwägung und sollte juristisch geprüft werden.

  • #358695

    Alles klar, vielen Dank für die Aufklärung. Ich werde mich darum kümmern, dass wir eine klare vertragliche Regelung haben und den Umfang sauber definieren. Wir werden auch festlegen, wie Daten während des Tests gehandhabt und gesichert werden. Falls wir weitere Detailfragen haben – insbesondere, wie wir die Datenschutz-Folge richtig einschätzen – kommen wir gerne nochmal auf Sie zurück!

  • #358696

    Gern geschehen. Achten Sie auf einen sauberen Scope, eindeutige schriftliche Vereinbarungen und einen transparenten Umgang mit möglichen Datenschutzvorfällen. Dann lassen sich die meisten Rechtsrisiken beim Penetration Testing gut eindämmen. Wenn noch Fragen offenbleiben, melden Sie sich einfach wieder – ich helfe Ihnen gerne weiter.

  • #358697

    Vielen Dank, das klingt alles sehr hilfreich. Allerdings haben wir in unserem Netzwerk noch andere Subsysteme, auf die das Penetration-Team unter keinen Umständen zugreifen soll. Was, wenn das Sicherheitsteam aus Versehen auch diese Bereiche testet und dabei eventuell wichtige Betriebsgeheimnisse oder persönliche Daten abfischt? Müssen wir für solch eine Fehlhandlung ein eigenes Haftungskonzept vorsehen?

  • #358698

    Absolut, das Haftungsrisiko bei einem versehentlichen Überschreiten des festgelegten Testumfangs ist nicht zu unterschätzen. Empfehlenswert ist daher eine vertraglich klar definierte „Scope of Work“ mit eindeutigen Ausschlüssen. Sollten bestimmte Bereiche oder Systeme tabu sein, muss das Sicherheitsteam dies genau wissen und nachweislich bestätigen. Sie können zudem in den Verträgen festhalten, dass bei einem Verstoß gegen diese Regeln etwaige Schadenersatzpflichten oder Vertragsstrafen greifen. So schützen Sie sich vor ungewollter Ausweitung des Tests und wahren die Vertraulichkeit Ihrer sensiblen Daten.

  • #358700

    <p data-start=“0″ data-end=“239″>Danke für die umfangreiche Beratung, Herr Härtel! Das hilft uns gerade wirklich sehr bei der Planung. Wir werden die vertraglichen Punkte entsprechend anpassen und uns vorsorglich absichern.</p>

  • #358701

    Bitte, jederzeit gern! Wenn bei der Umsetzung noch Detailfragen auftauchen, stehe ich natürlich weiter zur Verfügung. Mit einem klaren Scope, eindeutigen Verträgen und sorgfältigem Datenschutzmanagement lässt sich das Risiko bei Penetration Tests gut beherrschen.

Ansicht von 11 Antwort-Themen
  • Sie müssen angemeldet sein, um auf dieses Thema antworten zu können.