Rechtsanwalt für Pentester – Rechtssicheres Pentesting in der Praxis: Pentester stehen oft vor komplexen rechtlichen Fragen: Dürfen bestimmte Tests durchgeführt werden? Welche Verträge und Einwilligungen schützen vor straf- oder zivilrechtlichen Risiken? Als spezialisierter Rechtsanwalt für Pentesting und IT-Sicherheitsdienstleistungen sorge ich für Rechtssicherheit – von der Vertragsgestaltung über Datenschutz und Haftung bis hin zur Abwehr von Vorwürfen wegen unbefugten Zugriffs. Mit uns handeln Sie bei Penetrationstests jederzeit professionell und compliant.
Die Vorschrift des § 42 Bundesdatenschutzgesetz (BDSG) ist eine zentrale Norm des Datenschutzstrafrechts in Deutschland. Sie unterstreicht den Schutz personenbezogener Daten durch Sanktionsmaßnahmen und schafft eine Grundlage für die Verfolgung schwerwiegender Verstöße gegen datenschutzrechtliche Pflichten. Insbesondere im Arbeitsverhältnis, wo der Umgang mit personenbezogenen Daten alltäglich ist, spielt die Norm eine erhebliche Rolle.
Der Bundesgerichtshof (BGH) hat in einer aktuellen Entscheidung seine bisherige Rechtsprechung zur Verantwortlichkeit des Gläubigers nach § 323 Abs. 6 Fall 1 BGB und § 326 Abs. 2 Satz 1 Fall 1 BGB bestätigt und weiter präzisiert. Es geht dabei um die Frage, unter welchen Bedingungen ein Gläubiger das Risiko eines Leistungshindernisses übernimmt, das dann zur Befreiung des Schuldners von seiner Leistungspflicht führt. Die aus dem Schuldrecht entstammende Entscheidung dürfte für IT-Projekte beachtliche Auswirkungen haben.
In dem Forschungsartikel „Generative AI for Pentesting: The Good, The Bad, The Ugly“ wird der Einsatz von Generativer Künstlicher Intelligenz (GenAI) und Großen Sprachmodellen (LLMs) im Kontext von Penetrationstests untersucht. Die Studie bietet eine umfassende Analyse der Vorteile, Herausforderungen und Risiken, die mit dem Einsatz von GenAI in der Cybersecurity verbunden sind.
Bereits Ende Februar 2022 hat das BSI einen „Maßnahmenkatalog Ransomware“ veröffentlicht, der Unternehmen die Prävention von Ransomware-Vorfällen erleichtern soll. Ein Blick in das kurzweilig lesbare Dokument empfiehlt sich – sowohl für IT wie auch für die Geschäftsführung.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar?In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile des Vortrags zur Haftung des Vorstands bei IT-Sicherheitslücken vor.
Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.
Pentesting und IT-Sicherheit – in der IT-Sicherheit kommt man ohne einen professionellen Penetrationstest nicht aus: Ein Penetrationstest ist ein umfassender Sicherheitstest; hierbei geht es um die Prüfung der Sicherheit eines Netzwerks oder Softwaresystems mit den Mitteln und Methoden, die ein Angreifer voraussichtlich anwenden würde, um unautorisiert in das System einzudringen. Man „denkt“ sich also in einen Hacker als potenziellen Angreifer und versucht durch einen simulierten Angriff Schwachstellen des Systems aufzudecken. Man spricht hier auch vom Pentesting.
Suche nach Sicherheitslücken, Strafbarkeit und Bug-Bounty-Programme: Hierbei handelt es sich um Aufrufe von Anbietern dahin, dass Außenstehende Sicherheitslücken in deren Angeboten aktiv suchen und melden sollen. Es ist also der öffentliche Aufruf, eigene Angebote (wie etwa Webseiten) zu „hacken“. Wer hier eine Sicherheitslücke findet und meldet, wird mit einer Zahlung von Geld „belohnt“.
Aber: Es ist durchaus Vorsicht geboten. Insbesondere bei einem „aufgedrängten“ Bug Bounty stehen erhebliche strafrechtliche Risiken im Raum – und auch die erwünschte Suche nach Sicherheitslücken geht mit eigenen Pflichten einher!
