Kategorien
IT-Sicherheit IT-Vertragsrecht

Pentesting: Vertrag über Penetrationstest

Pentesting und IT-Sicherheit – in der IT-Sicherheit kommt man ohne einen professionellen Penetrationstest nicht aus: Bei einem Penetrationstest handelt es sich um einen umfassenden Sicherheitstest; hierbei geht es um die Prüfung der Sicherheit eines Netzwerks oder Softwaresystems mit den Mitteln und Methoden, die ein Angreifer voraussichtlich anwenden würde, um unautorisiert in das System einzudringen. Man „denkt“ sich also in einen Hacker als potenziellen Angreifer und versucht durch einen simulierten Angriff Schwachstellen des Systems aufzudecken. Man spricht hier auch vom Pentesting.

Spannend zum Thema „Pentesting“ sind primär Fragen zur vertraglichen Gestaltung und zu den rechtlichen Hintergründen; ich selber berate seit Jahren Unternehmen in dem Bereich, wobei zu Beginn vordergründig datenschutzrechtliche Fragen eine Rolle spielten. Wovor ich jedes Mal nur warnen kann ist, das Thema, sowohl als Betreiber von IT-Infrastruktur als auch als Pentesting-Anbieter, auf die leichte Schulter zu nehmen.

Vertrag über Penetrationstest

Wie eigentlich immer im IT-Vertragsrecht sollte man sich zu Beginn genügend Zeit nehmen, sauber zu analysieren, was eigentlich die geschuldete Leistung sein soll. Techniker denken hier selten „zu Ende“, sie wollen arbeiten und (stolz) ihr Ergebnis präsentieren – dabei ist es sinnvoll, sich zu fragen, was letztlich geleistet wird, um abzugrenzen, ob eine Dienstleistung oder ein Werk geschuldet wird. Die Frage stellt sich bei so ziemlicher jeder Tätigkeit im IT-Umfeld – auch beim Pentesting.

Die Frage der geschuldeten Leistung ist keineswegs einfach zu beantworten, da es sich beim Pentesting vorwiegend um eine Dokumentation des Ist-Zustandes einer Infrastruktur handelt. Es geht also gerade nicht darum, neue Sicherheit zu schaffen, sondern vielmehr darum, bestehende Unsicherheit festzustellen. Dies kann man in Form eines Gutachtens (Werkvertrag) ebenso erreichen, wie in Form einer auf Zeitbasis vergüteten Dienstleistung, über die am Ende eine Dokumentation zur Verfügung gestellt wird.

Vertragliche Regelungen zum Pentesting

Die vertraglichen Inhalte drängen sich vordergründig auf: Natürlich muss vereinbart sein, welche Teile der Infrastruktur zu testen sind oder ob es um die Gesamtheit geht; auch dass Umfang und Tiefe der Dokumentation geregelt sein müssten, ist naheliegend, nicht zuletzt, wenn man bedenkt, dass Grundlage jeder IT-forensischen Arbeit zwingend eine umfassende Dokumentation ist. Auch ob man einen Black-Box-Test oder White-Box-Test durchführt, wird sich vielen als zu regelnder Inhalt noch aufdrängen.

Die echten Probleme fangen an, wenn man den Test in technischer Hinsicht konturiert: Wenn klargestellt wird, ob man schlicht ein Sicherheits-Audit durchführt oder einen echten invasiven Schwachstellenscan, drängt sich den Beteiligten auf, dass im Erfolgsfall Zugriff auf die festeste Infrastruktur genommen wurde. Man wird also klar zu regeln haben, wie man mit einem Erfolgsfall umgeht und insbesondere, wie man damit umgeht, wenn Zugriff auf Daten des Auftraggebers erfolgten. Insbesondere wenn an echten Datenbeständen gearbeitet wird, muss das Risiko des Zugriffs auf reale Kundendaten gesehen werden.

Datenschutzrechtliche Implikation eines Penetrationstests

Mit der Problematik des Zugriffs geht dann die datenschutzrechtliche Komponente einher. Auch hier merkt man erst mit der Zeit, wo die wahren Fallstricke liegen: Schnell kommt man auf die Idee, eine Auftragsverarbeitung anzunehmen. Noch vor einigen Jahren war dies keineswegs selbstverständlich, als ich die ersten Verträge dazu aufsetzte, waren selbst Großkonzerne von der Thematik überrascht; inzwischen ist es nach meinem Eindruck Usus. Leider aber, wie so oft, glauben dafür nun viele, dass alleine der Abschluss einer Auftragsverarbeitung mit Standard-Formularen ausreicht. Weit gefehlt!

Allzu naiv wäre die Vorstellung, dass im Worst Case, beim Eindringen in ein Live-System, lediglich Kenntnis von Daten erlangt wird. Im Zweifelsfall werden Kopien in der Infratstruktur des Pentesters angefertigt und wenn es richtig „gut“ läuft gehen auch noch Daten beim Auftraggeber verloren. Das muss geregelt sein im Rahmen der Regelung dazu, was im Erfolgsfall insgesamt zu passieren hat. Alleine die Belehrungs- und Hinweispflichten sind spürbare Arbeit und sollten dringend nach ganz oben auf die Agenda, da schon der Verstoß im Vorfeld zu einer ausufernden Haftung des Pentesters führen kann.

Natürlich wird einem professionellen Pentester klar sein, dass Daten des Auftraggebers nur in isolierten und gesondert gesicherten Umgebungen gespeichert werden – doch auch hier steckt der Teufel im Detail: Im Rahmen der Auftragsverarbeitung hat der Auftraggeber sicherzustellen, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zur Sicherung dieser Daten ergreift. Mit Standard-Formularen wedelt da der Schwanz mit dem Hund, wenn plötzlich der Auftraggeber Kontrollmöglichkeiten in der Infrastruktur des Pentesters eingeräumt bekommt.

Regelungen zur Haftung

Pentester wollen – wie alle in der IT – am liebsten eine vollständige Haftungsfreistellung, was eher sportlich sein dürfte; wenn, dann wird die Begrenzung der Haftung realistisch sein, aber auch möglich sein. Die beginnt aber mit der Erfüllung sämtlicher Hinweis-Pflichten, woran bereits nach meiner Erfahrung viele scheitern. Letztlich ist dies eine Frage des Einzelfalls, wer in seinen Vertrag reinschreibt, dass „keine Haftung übernommen wird“ hat zumindest alles dafür getan, um möglichst umfassend zu haften.

Sonstige Probleme beim Pentesting

Weitere Probleme ergeben sich bei den üblichen Themen: Wie geht man mit Kündigungen um, gerade das Pentesting lebt vom Renommee des Pentesters, der Auftraggeber wird bei plötzlich bekannt gewordenen (Daten-)Pannen ein Interesse haben sich zu lösen – so wie der Pentester eine angemessene Vergütung bei vorzeitiger Vertragslösung geklärt haben möchte. Eine eventuelle Scheinselbstständigkeit, das klassische Problem bei stark intern bezogenen IT-Dienstleistungen, muss ebenso vermieden werden, wie versehentlich ausgelöste Meldepflichten nach der DSGVO, die alleine wegen der Auftragsnatur noch lange nicht vom Tisch sind.

Penetrationstest: Rechtsanwalt Ferner, Fachanwalt für IT-Recht, zu Penetrationstests und rechtlichen Fragen rund um das Pentesting

Vereinbarungen über einen Penetrationstest sind unheimlich anspruchsvoll – so wie die Tätigkeit selbst. Man sollte gerade die Probleme im (erhofften) Erfolgsfall frühzeitig regeln, ebenso datenschutzrechtliche Fragen.

Rechtliche Hintergründe zum Penetrationstest

Der erste Maßstab, der in jedem Fall eine Rolle spielt und bei dem man sich auf ganz dünnem Eis bewegt, wenn man vertraglich versucht etwas anderes zu vereinbaren, ist der BSI-Praxis-Leitfaden zum IT-Sicherheits-Penetrationstest. Er sollte dabei nicht schlicht als Anlage zum Vertrag genommen werden, sondern tatsächlich Basis der Arbeitsweise des Pentesters sein. Überdies wird es mit der Suche nach verbindlichen Standards leider schwierig.

Auf der anderen Seite muss jedem Anbieter klar sein, dass bereits das Verlassen der Vereinbarung über das Pentesting und erst Recht ein Pentesting ohne Auftrag, die Strafbarkeit wegen des Ausspähens von Daten eröffnet. Auch im Rahmen sogenannter Bug Bounty-Programme sind dabei Mindest-Standards, Sorgfalts- und Meldepflichten zu beachten (die idealerweise in den Bug-Bounty-Bedingungen klar geregelt sind).

Andererseits, dies wird oft übersehen, definiert das BSI in seinen „Mindeststandard zur Nutzung externer Cloud-Dienste“ (Version 2.0 vom 07.07.2021), dass die Durchführungen von Sicherheits-Audits oder echten Penetrationstests durch den Cloud-Anbieter zwingend sind und im Rahmen der Beschaffung durch den Auftraggeber abzufragen sind:

Die Einrichtung MUSS sich die Einhaltung vorgesehener und vereinbarter Prozesse sowie die Durchführung von Audits, Sicherheitsprüfungen, Penetrationstests und Schwachstellenanalysen durch den Cloud-Diensteanbieter vertraglich zusichern lassen.

Ziffer 2.2h; Seite 10

Insgesamt dürfte heute davon auszugehen sein, dass ein Pentesting zum „Stand der Technik“ gehört – und möglicherweise längst bei sämtlichen web-bezogenen Verarbeitungen personenbezogener Daten zwingend ist (so schon ausführlich Deusch/Eggendorfer in K&R 2018, S.223).

Zusammenfassung zu Penetrationstests

Die IT-Sicherheit wurde über mehr als ein Jahrzehnt praktisch ausgeblendet, es steht zu erwarten, dass in den nächsten Jahren hier massive Veränderungen stattfinden werden. Insbesondere wird die IT-Sicherheit ein zunehmender Kostenfaktor werden, der bisher stoisch im Zuge nationaler Digitalisierungsbemühungen nahezu vollständig ignoriert wurde.

Das Pentesting ist ein wesentlicher Baustein einer guten Sicherheitsstrategie und dürfte heute zum Stand der Technik gehören, zumindest bei sehr umfangreichen oder sensiblen Datenverarbeitungen wird es sicherlich bereits ein Fehler sein, kein (regelmäßiges) Pentesting zu beauftragen.

Andererseits müssen Pentester auf ein ordentliches Vertragswerk achten, auch um ungewollte eigene DSGVO-Verstöße und eigene Strafbarkeiten zu vermeiden. Platz für Stümper ist hier ohnehin nicht, wer keine kostenintensive eigene Infrastruktur vorhält und glaubt, ausschliesslich durch den Einsatz eines KALI-Linux oder proprietärer Lösungen wie Acunetix zu beeindrucken, ist fehl am Platz. Umfangreiche Belehrungspflichten sind dabei im Vorfeld der Beauftragung zu berücksichtigen, die in der Praxis nach meinem Eindruck bisher oft ignoriert werden – zur Freude der Auftraggeber, die damit massive Haftungs-Ansprüche gegen den Pentester in der Hand haben.

Avatar of Anwaltskanzlei Ferner Redaktion

Von Anwaltskanzlei Ferner Redaktion

Unsere Kanzlei existiert seit 25 Jahren und ist hochspezialisiert – wir bieten Ihnen Strafverteidiger & IT-Anwälte, die diskret und em­pa­thisch mit etabliertem Namen im Strafrecht & IT-Recht an Ihrer Seite stehen. Bei uns finden Sie einen Fachanwalt für Strafrecht und Fachanwalt für IT-Recht – ganz bewusst auf dem Land angesiedelt, um einen spezialisierten Kontrapunkt zu Großstadt und klassischer Großkanzlei zu setzen. Unsere Anwälte verteidigen kompromisslos und hochqualifiziert im gesamten Strafrecht, Ordnungswidrigkeitenrecht und IT-Recht – speziell bei Cybercrime, BTMG, Wirtschaftsstrafrecht, Verkehrsstrafrecht, Jugendstrafrecht, Revision + bei Cybersecurity, Softwarerecht und Geschäftsgeheimnis.

Strafverteidiger-Notruf:: 01579-2374900