Die meisten Unternehmen, die regelmäßig Penetrationstests durchführen, setzen auf einen jährlichen Rhythmus. Einerseits verlangen verschiedene Standards eine jährliche Durchführung, andererseits lässt sich ein jährlicher Penetrationstest gut in die Budgetplanung integrieren. Einen Pentest alle neun Monate durchzuführen, wäre beispielsweise schwer in die Finanzplanung zu intregieren. Ein halbjährlicher Rhythmus – also zwei Tests pro Jahr – ist oft aus finanzieller Sicht nicht möglich.
Es gibt jedoch Unternehmen, die zweimal jährlich einen Penetrationstest durchführen und dabei unterschiedliche Schwerpunkte setzen. Aus Sicherheits- und Risikoperspektive wäre es ideal, nach jeder signifikanten Änderung im System einen neuen Penetrationstest durchzuführen. In der Praxis scheitert dies jedoch häufig an begrenzten personellen und finanziellen Ressourcen.
Vor einem Penetrationstest können datenschutzrechtliche und vertragliche Vereinbarungen notwendig sein, um sowohl die rechtlichen Anforderungen (z. B. DSGVO) zu erfüllen als auch die Verantwortlichkeiten und Pflichten zwischen Auftraggeber und Penetrationstester eindeutig zu regeln. Der Umfang der Verarbeitung personenbezogener Daten hängt bei einem Penetrationstest stark von der Zielstellung des eigentlichen Tests ab. Bei der Durchführung eines Penetrationstests können folgende personenbezogene Daten verarbeitet werden:
Personenbezogene Daten eines oder mehrerer Ansprechpartner des Auftraggebers
Das sind in der Regel der Vorname, der Nachname, die berufliche E-Mail-Adresse, die berufliche Telefonnummer sowie die Position innerhalb des Unternehmens. Diese personenbezogenen Daten werden üblicherweise im E-Mail-Programm, auf dem Mailserver, in der Telefonanlage, in Kalendereinträgen sowie im abschließenden Bericht zum Penetrationstest gespeichert bzw. verarbeitet. Klingt banal – ist es in diesem Fall auch – und ist einfach für die Kommunikation zwischen Auftraggeber und Auftragnehmer notwendig. Diese Daten werden immer verarbeitet, sind jedoch oftmals ohnehin öffentlich verfügbar.
-
Personenbezogene Daten weiterer Mitarbeiter des Auftraggebers
Ist das Ziel des Penetrationstests eher das Unternehmensnetzwerk, wird man den Kontakt zu personenbezogenen Daten von Mitarbeitern oft nicht vermeiden können. Bei externen Penetrationstests ist dies seltener der Fall, spätestens bei internen Tests mit einem Active Directory jedoch nahezu unvermeidlich. Dabei erhält man oftmals mindestens die Namen der Mitarbeiter. Häufig gehört es zum internen Test, dass versucht wird, Privilegien zu erweitern oder weitere Accounts bzw. Zugänge zu erhalten. Gelingt dies – was mit steigender Mitarbeiterzahl wahrscheinlicher wird –, erhält man Zugriff auf valide Passwörter oder zumindest Passwort-Hashes. Um den Pentest durchzuführen, müssen zumindest diese Daten lokal auf dem Endgerät des Penetrationstesters verarbeitet werden. Durch die Kompromittierung von Accounts oder Umgehung von Zugriffsbeschränkungen können noch mehr Informationen zugänglich werden. Im schlimmsten Fall, etwa bei vollständiger Übernahme des Active Directory, kann der Zugriff auf sehr viele personenbezogene Daten erfolgen. Allerdings ist es nicht notwendig, diese Daten auf IT-Systeme des Auftragnehmers zu kopieren – im Gegenteil, dies sollte unbedingt vermieden werden. Eine Notwendigkeit dazu besteht nicht.
Personenbezogene Daten von Kunden des Auftraggebers
Mit personenbezogenen Daten von Kunden des Auftraggebers kommt man oft in Berührung, wenn Produktionssysteme getestet werden. Ein einfaches Beispiel ist ein Online-Shop. Das Absichern der Kundendaten im Shop ist ein zentrales Ziel des Penetrationstests. Es soll geprüft werden, ob es möglich ist, unberechtigt auf andere Datensätze zuzugreifen. Falls dies gelingt, werden beim Test zumindest kurzfristig einzelne Datensätze lokal auf dem Arbeitsgerät angezeigt und damit verarbeitet.
In den letzten beiden Fällen kann es ratsam sein, eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen. Dabei sollte der Fokus auf dem Prinzip der Datenvermeidung liegen. Ein Penetrationstester ist – offensichtlich – kein böswilliger Angreifer, und es besteht keine Notwendigkeit, nennenswerte Datensätze des Unternehmens zu verarbeiten. Nur bei der Erstellung des Berichts muss ein sinnvoller Kompromiss zwischen Anonymisierung und Pseudonymisierung gefunden werden. Wurden beispielsweise beim Penetrationstest erfolgreich Zugangsdaten gefunden, müssen diese im Bericht dokumentiert werden, damit der Auftraggeber die nötigen Informationen erhält. Es ist jedoch nicht zwingend erforderlich, diese Zugangsdaten einzelnen Personen zuzuordnen.
Penetrationstest
FAQ
Unsere FAQ liefert klare Antworten auf häufige Fragen – direkt von Pentesting-Experten und komplett werbefrei.
Einführung in Pentesting
Was ist ein Penetrationstest? Welche Arten von Penetrationstests gibt es? Was ist der Unterschied zwischen einem Schwachstellenscan und einem Penetrationstest? Mehr Informationen.
Penetrationstest für Auftraggeber
Wie oft sollte man einen Penetrationstest durchführen? Was ist beim Thema Datenschutz im Rahmen eines Penetrationstests zu berücksichtigen? Mehr Informationen.
Berufsziel: Penetration Tester
Sollte ich Kali Linux lernen, um Penetration Tester zu werden? Sollte ich Kali Linux lernen, um Penetration Tester zu werden? Mehr Informationen.
Penetrationstest
Seit 2013 führen wir professionelle Penetrationstests durch, basierend auf internationalen Industriestandards und jahrelanger Erfahrung in Penetrationstests, Red Teaming und Hacking.
Als professioneller Anbieter für Penetrationstest machen wir einiges anders als andere Firmen: Als Dienstleister für Penetration Testing verkaufen wir automatisierte Schwachstellenscans nicht als Pentest. Wir betrachten auch geschäftliche Sicherheitsrisiken. Sie suchen ein Unternehmen für einen professionell durchgeführten Penetrationstest? Nehmen Sie das Team der binsec für Ihren Pentest. Erfahren Sie mehr über unsere Pentest Dienstleistung.
Kontaktieren Sie uns
+49 692475607-0