Ratgeber

Ist ein Pentest legal?

Pentest-Advisor Kommentare deaktiviert für Ist ein Pentest legal? 3 min Lesezeit
Ist ein Pentest legal?

Juristisch betrachtet ist das Ausspähen von Daten gemäß § 202a deutsches Strafgesetzbuch (StGB) ein Vergehen, das mit bis zu drei Jahren Freiheitsstrafe oder Geldstrafe bestraft wird. Ist ein Pentest legal? Was muss bei einem Pentest beachtet werden?

DISCLAIMER: Dies ist keine Rechtsberatung, sondern nur eine Hilfestellung, wichtige rechtliche Themen zu Pentests einzuordnen. Für verbindliche rechtliche Beratung und Handlungsanweisungen konsultieren Sie bitte einen Fachanwalt.

  1. Juristische Einordnung von Pentests
  2. Ist ein Pentest legal? Beispiele:
    1. Unerwünschter Sicherheitsscan
    2. Ausspähen von Daten
    3. Bug Bounty
  3. Welche rechtlichen Themen muss ich bei einem Pentest beachten?
  4. Fazit

Juristische Einordnung von Pentests

Neben § 202a StGB, also dem Ausspähen von Daten, kann ein Pentest auch unter den Begriff Computerbetrug, § 263a StGB, fallen. Bei einem Computerbetrug wird ein Unternehmen durch die Manipulation von Computern auf betrügerische Art finanziell geschädigt. Dies kann zum Beispiel bedeuten, dass durch einen Sicherheitsscan oder durch einen Pentest Fehler auf einer Webseite oder in einem IT-System hervorgerufen werden, die dieses zum Absturz bringen. Durch die Ausfallzeit kann einem Unternehmen ein finanzieller Schaden entstehen. Es lässt sich bereits jetzt festhalten, dass ein Pentest immer vertraglich zwischen allen beteiligten Parteien festgehalten werden sollte, um Missverständnissen vorzubeugen.

Ist ein Pentest legal? Beispiele:

Falls ein Sicherheitsexperte, Hacker oder eine beliebige andere Person z. B. einen Sicherheitsscan einer Webseite eines Unternehmens durchführt, ohne dass das Unternehmen dies beauftragt oder gewünscht hat, können verschiedene Szenarien eintreten.

Unerwünschter Sicherheitsscan

Ein unerwünschter Sicherheitsscan kann rechtlich betrachtet z. B. unter den Computerbetrug fallen. Während des Scans werden viele Anfragen an die Webseite geschickt, Formulare auf Fehler und die gesamte Architektur auf bekannte Sicherheitslücken geprüft. Durch die vielen Anfragen oder durch den Scan hervorgerufene Fehler können die Webseite langsamer machen oder diese zum Absturz bringen. Dadurch entsteht dem Unternehmen ein finanzieller Schaden. Dies muss natürlich nicht eintreten, aber trotzdem können schon einfache Scans eine Webseite für andere Nutzer langsamer machen. Somit sollten nur beauftragte Sicherheitsscans durchgeführt werden, um keine rechtlichen Probleme zu bekommen.

Ausspähen von Daten

Während des Sicherheitsscans stößt der Sicherheitsexperte nun auf fehlerhafte Datenbankabfragen. Dadurch kann er z. B. die Stammdaten aller Kunden und nicht nur seine eigenen anzeigen lassen. Dies fällt jedoch streng genommen unter das Ausspähen von Daten. Das Ausspähen von z. B. Kundendaten ist immer für alle Beteiligten eine heikle Angelegenheit, da der Datenschutz mit allen Regelungen betroffen ist. Spätestens hier sollte ein nicht beauftragter Sicherheitsscan oder Pentest umgehend beendet und das betroffene Unternehmen informiert werden.

Bug Bounty

Was kann ich als Unternehmen machen, wenn ich Sicherheitsscans und Pentests begrüße?

Dazu bietet sich ein Bug Bounty Programm an. Dabei werden Regeln für die sogenannte Responsible Disclosure, also eine verantwortungsvolle Information, festgelegt. Sicherheitsexperten kennen so die Kontaktdaten, gewünschten Regeln und Rahmenbedingungen des Unternehmens. Dabei wird zum Beispiel der Umfang der mitzuteilenden Informationen, die Reaktionszeit und die Zeitspanne bis zur Behebung festgelegt.

Ergänzt wird das Programm üblicherweise um verschiedene Belohnungen, die für eine Responsible Disclosure ausgesprochen werden. Dies kann von einer Dankesseite, über kleinere Geschenke bis hin zu festgelegten Geldbeträgen für bestimmte Sicherheitslücken reichen.

Grundsätzlich ist es immer eine sehr gute Praxis ein Bug Bounty Programm aufzusetzen.

Welche rechtlichen Themen muss ich bei einem Penetrationstest beachten?

Bisher wurde deutlich, dass ein Sicherheitsscan oder Pentest rechtliche Konsequenzen haben kann. Daher sollten Art und Umfang eines Pentests zwischen allen Pentest-Beteiligten vertraglich festgehalten werden. Insbesondere sind die Rahmenbedingungen festzuhalten, damit der Betrieb des zu testenden Unternehmens oder Systems nicht gestört wird. Ein seriöser Anbieter für Pentest wird immer einen Fragenkatalog bereitstellen, um Testszenarien, Testparameter und die Aggressivität des Pentests zu definieren.

Pentest Anbieter

Im obigen Text ist nicht ohne Grund von allen Parteien die Rede. Wird eine Anwendung in der Cloud gehostet, kann ein Pentest negative Auswirkungen auf den Hoster haben. Oft wird auch auf Sub-Dienstleister zurückgegriffen, die Teilausgaben übernehmen. Somit ist es in den meisten Fällen erforderlich auch diese Parteien mindestens in die Absprache eines Pentests mit einzubeziehen.

Fazit

Ist ein Pentest legal? Ein Sicherheitsscan oder Pentest kann unter das Ausspähen von Daten oder Computerbetrug fallen. Alle beteiligten Parteien sollten deshalb Art und Umfang derselben vertraglich festlegen. Damit sollten juristische Stolpersteine beseitigt sein.

Photo by Tingey Injury Law Firm on Unsplash

Weitere BeiträgeMehr ansehen

Was ist ein Penetrationstest?
Ratgeber

Was ist ein Penetrationstest?

Sicherheitsscan vs Pentest
Ratgeber

Sicherheitsscan vs Pentest