Pentesting als Dienstleistung: Rechtliche Rahmenbedingungen und Vertragsgestaltung

Die Nachfrage nach professionellen Penetrationstests (kurz: Pentests) wächst stetig, da Unternehmen zunehmend Wert auf IT-Sicherheit legen. Immer mehr Firmen erkennen, dass der Schutz sensibler Daten und Systeme längst nicht mehr nur eine Option, sondern ein unverzichtbarer Bestandteil einer ganzheitlichen Unternehmensstrategie ist. Pentesting-Dienstleister spielen deshalb eine entscheidende Rolle dabei, potenzielle Schwachstellen zu identifizieren und konkrete Maßnahmen zu deren Beseitigung vorzuschlagen. Allerdings sollten White-Hat-Hacker oder IT-Sicherheitsberater ihre Tätigkeit nicht nur aus technischer Sicht betrachten, sondern auch eine solide rechtliche Grundlage schaffen, um alle Beteiligten vor möglichen Risiken zu schützen.

In Deutschland existiert eine ganze Reihe an Rechtsnormen, die bei der Durchführung von Pentests zu berücksichtigen sind. Schon geringfügige Verstöße können zu empfindlichen Konsequenzen führen – sowohl für den Tester als auch für den Auftraggeber. Aus diesem Grund ist ein wasserdichter Vertrag zwingend erforderlich, um Haftungsthemen zu regeln und Transparenz über den genauen Leistungsumfang zu schaffen. Neben Aspekten wie Haftungsbeschränkungen und Geheimhaltungspflichten spielen auch Themen wie Datenschutz und Compliance eine zentrale Rolle. Dadurch lässt sich sicherstellen, dass die Zusammenarbeit zwischen Dienstleister und Auftraggeber von Anfang an auf ein stabiles Fundament gestellt wird.

Darüber hinaus erfordert die zunehmende Komplexität moderner IT-Systeme eine sorgfältige Planung der Pentests. Häufig betreffen Tests nicht nur interne Netzwerke oder Webanwendungen, sondern auch hybride Infrastrukturen, Cloud-Dienste oder spezialisierte branchenspezifische Plattformen. Internationale Normen wie ISO 27001 oder das BSI IT-Grundschutz-Kompendium bieten hierbei Orientierungspunkte, deren Einhaltung vom Auftraggeber oft sogar vorausgesetzt wird. Eine sorgfältige Koordination mit dem Auftraggeber ist daher essenziell, damit sämtliche Prozesse im Einklang mit gesetzlichen Vorgaben und Unternehmensrichtlinien stehen.

Rechtliche Grundlagen von Pentests

Penetrationstests lassen sich im Kern als gezielte Überprüfung von IT-Systemen verstehen, deren oberstes Ziel darin liegt, Sicherheitslücken aufzudecken. Dabei schlüpfen Pentester in die Rolle potenzieller Angreifer, um sowohl technische als auch organisatorische Schwachstellen zu identifizieren. Unternehmen, die solche Tests in Auftrag geben, wollen damit das Risiko von Cyberangriffen minimieren und den Reifegrad ihrer Sicherheitsmaßnahmen erhöhen.

Trotz einer expliziten Beauftragung kann das Vorgehen der Pentester schnell in eine rechtliche Grauzone geraten. Das unautorisierte Eindringen in fremde Systeme ist in Deutschland in den §§ 202a ff. StGB sowie in § 303b StGB geregelt. Auch wenn die Zustimmung des Auftraggebers vorliegt, gehört diese unbedingt in schriftlicher Form in den Vertrag, um spätere Unklarheiten auszuschließen. Ein Verstoß gegen diese Strafnormen kann erhebliche Konsequenzen nach sich ziehen und unter Umständen auch zivilrechtliche Schadensersatzansprüche auslösen.

Ein weiterer wichtiger Punkt sind datenschutzrechtliche Anforderungen. Sobald bei den Testaktivitäten personenbezogene Daten verarbeitet werden, greift die DSGVO. Artikel 28 DSGVO legt fest, dass gegebenenfalls ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss, um die rechtliche Grundlage für die Datenverarbeitung zu schaffen. Dies gilt insbesondere dann, wenn Pentester auf Daten zugreifen, die Rückschlüsse auf natürliche Personen zulassen, beispielsweise Mitarbeiter- oder Kundendaten. Hier müssen geeignete technische und organisatorische Maßnahmen ergriffen werden, um sicherzustellen, dass nur die minimal notwendigen Daten verarbeitet und unberechtigt keine sensiblen Informationen erfasst werden.

Eine weitere rechtliche Hürde liegt in der möglichen Beeinträchtigung laufender Geschäftsprozesse. Führen die Angriffssimulationen zu Systemausfällen oder Datenverlusten, kann dies schnell zu Ausfällen führen, die erhebliche wirtschaftliche Schäden nach sich ziehen. Solche Szenarien münden oft in zivilrechtlichen Auseinandersetzungen oder Versicherungsfällen, wenn der Umfang der Haftung und die Frage möglicher Fahrlässigkeit nicht vertraglich abgeklärt wurde. Umso wichtiger ist es, den Umfang des Pentests präzise zu definieren und im Vorfeld klar zu regeln, welche Maßnahmen erlaubt sind und zu welchen Zeitpunkten sie durchgeführt werden dürfen.

Vertragsgestaltung für Pentests

Ein solider Vertrag stellt den Grundpfeiler für eine rechtssichere Pentest-Durchführung dar. Idealerweise beginnt die Zusammenarbeit mit einer ausführlichen Abstimmung, in der alle beteiligten Personen klären, welches Ziel der Pentest verfolgt und welche Ressourcen eingesetzt werden dürfen. So lässt sich verhindern, dass der Tester über das vereinbarte Maß hinaus agiert und unbeabsichtigt Schäden verursacht oder Daten einsehen kann, die für den Test gar nicht vorgesehen waren.

Verträge sollten deshalb genau definieren, welche Systeme, Netzwerke oder Anwendungen geprüft werden. Auch der Typus des Tests – etwa Black-Box-, White-Box- oder Grey-Box-Ansatz – sollte festgeschrieben werden. Dies hat nicht nur Auswirkungen auf das Vorgehen des Testers, sondern erlaubt auch eine präzisere Einschätzung des Zeitaufwands und der potenziellen Risiken. Gleichzeitig sollten Details zur Methodik oder zu bestimmten Angriffstechniken (z.B. SQL-Injection, Social-Engineering-Tests oder automatisierte Tools) geklärt werden, damit der Kunde genau weiß, welche Vorgehensweisen eingesetzt werden.

Darüber hinaus empfiehlt es sich, im Vertrag festzuhalten, ob externe Dienstleister oder Subunternehmer hinzugezogen werden. Gerade in größeren Projekten kann es vorkommen, dass der Pentester selbst Spezialisten für bestimmte Teilbereiche beauftragt. Auch hier sollten Verantwortlichkeiten klar geregelt sein, sodass keine Rechtslücken entstehen. Letztlich erleichtert eine stringente Planung und vertragliche Festlegung den Pentest und schafft Vertrauen bei allen Beteiligten.

Regelungen zur Dokumentation und Nachbesserung

Die meisten Auftraggeber wollen nach Abschluss eines Pentests eine ausführliche Dokumentation erhalten, um die gefundenen Schwachstellen und potenziellen Risiken zu verstehen. Ein klar strukturierter Bericht, der nicht nur die Schwachstellen aufzählt, sondern auch Prioritäten setzt und konkrete Handlungsempfehlungen ausspricht, ist daher unverzichtbar. Idealerweise wird dieser Bericht auch mit Management-Summaries ergänzt, damit Entscheidungsträger ohne tiefgreifende IT-Kenntnisse die Ergebnisse nachvollziehen können.

Eine Nachbesserungsphase oder ein sogenannter „Re-Test“ kann ebenfalls Teil des Vertrages sein. Hierbei prüfen die Pentester in einem separaten Durchlauf, ob die zuvor gefundenen Lücken geschlossen wurden oder ob neue Schwachstellen aufgetreten sind. Wichtig ist eine eindeutige Fristenregelung, damit klar ist, in welchem Zeitfenster die Nachbesserungen durchgeführt werden sollen. Mithilfe einer solchen strukturierten Dokumentation und Nachbesserung lässt sich nicht nur die Qualität des Pentests erhöhen, sondern auch ein nachhaltiger Sicherheitsgewinn für das Unternehmen erzielen.

Versicherungsschutz und Haftungsfragen

Pentesting kann weitreichende Konsequenzen für die Systemintegrität eines Unternehmens haben. Gerade wenn sensible Systeme getestet werden, kann ein Ausfall teure Produktionsstopps, Vertragsstrafen oder verärgerte Kunden nach sich ziehen. Für solche Fälle ist es ratsam, eine Berufshaftpflichtversicherung abzuschließen, die entsprechende Szenarien abdeckt. Ein sorgfältig ausgearbeiteter Versicherungsumfang schafft zusätzliche Sicherheit für beide Parteien und zeigt, dass der Pentester professionell und verantwortungsbewusst agiert.

Der Vertrag sollte darüber hinaus klar definieren, in welchen Fällen eine Haftung für Schäden ausgeschlossen oder eingeschränkt ist. Eine typische Formulierung ist die Begrenzung der Haftung auf vorsätzliche oder grob fahrlässige Handlungen. Auch die Frage, ob Folgeschäden oder entgangener Gewinn erstattungsfähig sind, sollte im Vorfeld geklärt werden. Solche Regelungen vermeiden Streitigkeiten und ermöglichen eine faire Risikoverteilung. Im Idealfall legt man zusätzlich interne Eskalationsstufen fest, über die Unstimmigkeiten geklärt werden können, bevor es zu einer gerichtlichen Auseinandersetzung kommt.

Weitere Aspekte: Social Engineering und Compliance

Ein Bereich, der in Pentest-Verträgen häufig an Bedeutung gewinnt, ist das Social Engineering. Hier versuchen die Tester, durch Phishing-E-Mails, Fake-Anrufe oder gefälschte Websites Informationen von Mitarbeitern zu erhalten, um in Unternehmensnetzwerke einzudringen. Solche Tests sind zwar oft sehr effektiv, um die menschliche Komponente in Sicherheitskonzepten zu überprüfen, aber sie können auch juristisch heikel sein, wenn die Einwilligung der betroffenen Mitarbeiter oder Betriebsräte nicht eingeholt wird. Auch bei Social-Engineering-Tests sollten daher klar definierte Vorgehensweisen und Grenzen im Vertrag niedergeschrieben werden.

Ebenso spielt das Thema Compliance in vielen Branchen eine große Rolle. Bestimmte Sektoren, etwa Banken, Versicherungen oder der Gesundheitsbereich, unterliegen strengen Vorgaben, was den Umgang mit Daten oder die Art der durchgeführten Sicherheitsüberprüfungen angeht. Hier sollte im Vorfeld ermittelt werden, welche Normen und Richtlinien gelten und wie der Pentest darauf abgestimmt werden kann. Eine enge Abstimmung mit dem Auftraggeber und seinen Fachabteilungen gewährleistet, dass der Pentest nicht gegen interne oder externe Regeln verstößt und das Ergebnis für künftige Audits oder Zertifizierungen genutzt werden kann.

Fazit

Die rechtssichere Durchführung von Pentests erfordert ein durchdachtes Konzept, eine sorgfältige Abstimmung mit dem Auftraggeber und eine lückenlose Vertragsgestaltung. Angefangen bei der Wahl geeigneter Testmethoden über die Definition der Haftungsgrenzen bis hin zu Fragen des Datenschutzes sollten sämtliche Punkte in klaren Vereinbarungen festgehalten werden. Eine präzise Vorbereitung beugt Missverständnissen vor und schafft die Grundlage für eine erfolgreiche Zusammenarbeit.

Besonders wichtig ist, dass beide Parteien vorab genau definieren, welche Ziele mit dem Test erreicht werden sollen und welche Risiken sie eingehen möchten. Eine gute Kommunikation und Transparenz sind dabei unerlässlich, damit weder das Unternehmen noch der Pentester unliebsame Überraschungen erleben. Gerade in einem hochdynamischen Umfeld wie der IT-Sicherheit ist es von Vorteil, sich auf die Expertise eines Rechtsanwalts zu stützen, der mit den technischen und rechtlichen Besonderheiten vertraut ist.

Als Spezialist im Bereich IT-Recht und gleichzeitig passionierter Technikenthusiast kann ich dabei helfen, Verträge so zu gestalten, dass sie sowohl die Anforderungen des Auftraggebers erfüllen als auch rechtlich wasserdicht sind. Auf diese Weise werden Cyberrisiken minimiert und das Vertrauen zwischen allen Beteiligten gestärkt. Mit meinem tiefgehenden Verständnis für Sicherheitsprozesse und meiner juristischen Beratung lassen sich Pentests nicht nur effektiv, sondern auch rechtssicher durchführen. Das Ergebnis sind optimierte IT-Strukturen, eine verbesserte Sicherheitskultur und die Gewissheit, im Ernstfall vor unvorhersehbaren Konsequenzen geschützt zu sein.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.