Penetrationstests für Auftraggeber (FAQ)

Vor einem Penetrationstest können datenschutzrechtliche und vertragliche Vereinbarungen notwendig sein, um sowohl die rechtlichen Anforderungen (z. B. DSGVO) zu erfüllen als auch die Verantwortlichkeiten und Pflichten zwischen Auftraggeber und Penetrationstester eindeutig zu regeln. Der Umfang der Verarbeitung personenbezogener Daten hängt bei einem Penetrationstest stark von der Zielstellung des eigentlichen Tests ab. Bei der Durchführung eines Penetrationstests können folgende personenbezogene Daten verarbeitet werden:

• Personenbezogene Daten eines oder mehrerer Ansprechpartner des Auftraggebers

  Das sind in der Regel der Vorname, der Nachname, die berufliche E-Mail-Adresse, die berufliche Telefonnummer sowie die Position innerhalb des Unternehmens. Diese personenbezogenen Daten werden üblicherweise im E-Mail-Programm, auf dem Mailserver, in der Telefonanlage, in Kalendereinträgen sowie im abschließenden Bericht zum Penetrationstest gespeichert bzw. verarbeitet. Klingt banal – ist es in diesem Fall auch – und ist einfach für die Kommunikation zwischen Auftraggeber und Auftragnehmer notwendig. Diese Daten werden immer verarbeitet, sind jedoch oftmals ohnehin öffentlich verfügbar.

• Personenbezogene Daten weiterer Mitarbeiter des Auftraggebers

  Ist das Ziel des Penetrationstests eher das Unternehmensnetzwerk, wird man den Kontakt zu personenbezogenen Daten von Mitarbeitern oft nicht vermeiden können. Bei externen Penetrationstests ist dies seltener der Fall, spätestens bei internen Tests mit einem Active Directory jedoch nahezu unvermeidlich. Dabei erhält man oftmals mindestens die Namen der Mitarbeiter. Häufig gehört es zum internen Test, dass versucht wird, Privilegien zu erweitern oder weitere Accounts bzw. Zugänge zu erhalten. Gelingt dies – was mit steigender Mitarbeiterzahl wahrscheinlicher wird –, erhält man Zugriff auf valide Passwörter oder zumindest Passwort-Hashes. Um den Pentest durchzuführen, müssen zumindest diese Daten lokal auf dem Endgerät des Penetrationstesters verarbeitet werden. Durch die Kompromittierung von Accounts oder Umgehung von Zugriffsbeschränkungen können noch mehr Informationen zugänglich werden. Im schlimmsten Fall, etwa bei vollständiger Übernahme des Active Directory, kann der Zugriff auf sehr viele personenbezogene Daten erfolgen. Allerdings ist es nicht notwendig, diese Daten auf IT-Systeme des Auftragnehmers zu kopieren – im Gegenteil, dies sollte unbedingt vermieden werden. Eine Notwendigkeit dazu besteht nicht.

• Personenbezogene Daten von Kunden des Auftraggebers

  Mit personenbezogenen Daten von Kunden des Auftraggebers kommt man oft in Berührung, wenn Produktionssysteme getestet werden. Ein einfaches Beispiel ist ein Online-Shop. Das Absichern der Kundendaten im Shop ist ein zentrales Ziel des Penetrationstests. Es soll geprüft werden, ob es möglich ist, unberechtigt auf andere Datensätze zuzugreifen. Falls dies gelingt, werden beim Test zumindest kurzfristig einzelne Datensätze lokal auf dem Arbeitsgerät angezeigt und damit verarbeitet.

In den letzten beiden Fällen kann es ratsam sein, eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen. Dabei sollte der Fokus auf dem Prinzip der Datenvermeidung liegen. Ein Penetrationstester ist – offensichtlich – kein böswilliger Angreifer, und es besteht keine Notwendigkeit, nennenswerte Datensätze des Unternehmens zu verarbeiten. Nur bei der Erstellung des Berichts muss ein sinnvoller Kompromiss zwischen Anonymisierung und Pseudonymisierung gefunden werden. Wurden beispielsweise beim Penetrationstest erfolgreich Zugangsdaten gefunden, müssen diese im Bericht dokumentiert werden, damit der Auftraggeber die nötigen Informationen erhält. Es ist jedoch nicht zwingend erforderlich, diese Zugangsdaten einzelnen Personen zuzuordnen.