Bei einem Penetrationstest prüft ein meist externer Dienstleister, ob ein Netzwerk Angriffsflächen für Cyberattacken bietet. Autraggeber und Autragnehmer müssen dabei ihre Ziele klar definieren und schriftlich festhalten. Beim Test selbst gilt es, rechtliche Vorschriften zu respektieren – auch die Rechte des Cloudanbieters.

Für die Durchführung eines Penetrationstests ist eine klare Zielvereinbarung unbedingt notwendig. Falls Ziele angestrebt werden, die sich nicht bzw. nicht effizient erreichen lassen, sollte der Tester vorab deutlich darauf hinweisen und alternative Vorgehensweisen empfehlen, z. B. eine IT-Revision oder eine IT-Sicherheitsberatung.

Die Ziele eines Penetrationstests lassen sich in vier Gruppen gliedern

  1. Erhöhung der Sicherheit der technischen Systeme
  2. Identifikation von Schwachstellen
  3. Bestätigung der IT-Sicherheit durch einen externen Dritten
  4. Erhöhung der Sicherheit der organisatorischen und personellen Infrastruktur

 

Ein Penetrationstest besteht aus vier Phasen

  1. Vorbereitung: Klare Definition der Ziele und des konkreten Test-Szenarios. Dazu zählen Notfallmaßnahmen, falls beim Testangriff außerplanmäßige Reaktionen oder Ereignisse auftreten. Ein Beispiel ist das beabsichtige oder unbeabsichtigte Abschalten der Firewall, welche die IT-Abteilung dann schnellstmöglich wieder aktivieren muss.
  2. Informationsbeschaffung: Hier sammelt der Penetration-Tester umfangreich Daten über die Behörde/Firma, auch mithilfe von Social Engineering. Dazu zählt etwa, ob sensible Informationen oder IP-Adressen, die sich für spätere Angriffe nutzen lassen, direkt auffindbar sind. Diese Phase nimmt etwa 50 bis 60 % der Testzeit in Anspruch.
  3. Praktischer Test: Der Penetration-Tester versucht, in die IT-Landschaft einzudringen. Dabei bedient er sich verschiedener Tools.
  4. Analyse und Ergebnisdarstellung: Der Tester analysiert die Ergebnisse und spricht Empfehlungen aus. Er erstellt in der Regel eine technische Zusammenfassung sowie eine Risikobewertung für die Verantwortlichen.

Bei der Planung und Durchführung von Penetrationstests sind technische, organisatorische und juristische Anforderungen zu beachten. Zentral vor jedem Test sind die Absprache und  die schriftliche Fixierung des konkreten Auftrags und Vorgehens. Der Vertrag zwischen Auftraggeber und Penetration-Tester beweist letztlich, dass dieser im Auftrag der Behörde/des Unternehmens handelt, und schützt ihn vor Strafverfolgung, solange er sich konkret an den Vertrag hält. Wesentlich ist daher die exakte Festlegung des Handlungsrahmens. Es ist zweckmäßig, die erforderliche Einwilligung nach Festlegung des konkreten Handlungsrahmens  in Form einer gesonderten Erklärung des Auftraggebers einzuholen.

Der Cloudanbieter muss einbezogen werden

Arbeitet die Behörde/Firma mit einem externen Cloudanbieter zusammen, so ist eine dritte Partei betroffen. Penetrationtests sind in den Cloud-Verträgen oft nicht abgedeckt. Daher sollte der Vertrag den Pentration-Tester dazu verpflichten, die rechtlichen Anforderungen mit dem Cloud-Provider abzuklären. Das bedeutet mindestens, dass der Tester seine Maßnahmen dem Cloudbetreiber vorab bekanntgibt und detailliert das geplante Vorgehen schildert. Einige Cloud-Provider bieten dafür mittlerweile vorgefertigte Muster an. Aus Nachweisgründen sollte sich auch der Auftraggeber die schriftliche Erlaubnis des Cloudanbieters vorlegen lassen. Dort muss genau festgehalten sein, welche Attacken der Penetration-Tester zu welchem Datum und in welchem eindeutig definierten Zeitfenster durchführen darf. Fehlende schriftliche Dokumentationen bergen haftungsrechtliche Risiken. Das gilt sowohl für Tests in der Cloud als auch auf On-Premise-Systemen.

Fazit

Mit den Systemlandschaften ändern sich auch die rechtlichen Anforderungen rasant. Die IT-Sicherheit muss dabei Schritt halten. Da sich die Techniken der potenziellen Angreifer schnell weiterentwickeln und beinahe täglich neue Schwachstellen in IT-Systemen gemeldet werden, kann aus einem einzelnen Penetrationstest keine Aussage über das Sicherheitsniveau der geprüften Systeme für die Zukunft abgeleitet werden. Im Extremfall kann sogar unmittelbar nach einem Penetrationstest eine neue Sicherheitslücke enstehen und ein erfolgreicher Cyberangriff erfolgen. Das bedeutet jedoch nicht, dass Penetrationstests sinnlos sind. Verantwortliche sollten ihre IT-Systeme  am besten in definierten Abständen, auf jeden Fall aber sofort nach Bekanntwerden von Sicherheitslücken überprüfen lassen. Der Penetratationstest ist auch ein Instrument zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs.2 und 24 Abs. 1 der Datenschutzgrundverordnung.

Weiterführende Quellen:
BSI-Studie Durchführungskonzept für Penetrationstests

Autor: Thomas Hofer, Leiter der Rechtsinformatik an der Juristischen Fakultät der Ludwig-Maximilians-Universität München