Penetrationstest

Unter einem Penetrationstest versteht man den gewollten und gezielten Angriff auf die IT-Infrastruktur oder einzelne Anwendungen eines Betroffenen. Sie dienen der Ermittlung des grundlegenden Sicherheitsniveaus sowie der Ausforschung potentieller Sicherheitslücken.

Der Tester versetzt sich dabei in die Lage eines potentiellen Angreifers und führt in der Regel z.B. mit den Mitteln eines Hackers umfangreiche Attacken auf das System aus.

Penetrationstests werden meist im Auftrag und mit dem Einverständnis solcher Unternehmen ausgeführt, welche sich möglichst umfassend vorsorglich gegen Angriffe auf ihre IT-Infrastruktur oder Anwendungen schützen wollen. Sicherheitsdefizite können dabei ebenso von innen (z.B. fehlende Sensibilisierung oder Kenntnisse der Mitarbeiter; Kompromittierung des Systems) wie von außen (z.B. Hackerangriffe über das Internet) zu Tage treten.

Bei der Durchführung von Penetrationstests sind aus rechtlicher Sicht einige Aspekte zu beachten.

I. Privatrechtliche Erwägungen

Zum einen wird die Durchführung eines solchen Tests in der Regel als privatrechtlicher entgeltlicher Geschäftsbesorgungsvertrag i.S.v. § 675 BGB, als Dienstvertrag gem. § 611 BGB oder unter Umständen auch als Werkvertrag gemäß § 631 BGB mit einem externen Dienstleister geschlossen.

Welche Vertragsart vorliegt, richtet sich dabei nach der Art der geschuldeten Leistung. Schuldet der Vertragspartner einen bestimmten Erfolg, so spricht dies für einen Werkvertrag, schuldet er hingegen die bloße Dienstleistung, liegt meist ein Dienstvertrag vor.

Für die Einordnung eines Penetrationstests als Dienstvertrag spricht überwiegend die Tatsache, dass der IT-Dienstleister als Leistung häufig lediglich die Durchführung des Tests anbietet. Da zu Beginn des Tests das Sicherheitsniveau des Systems und damit der Testverlauf meist ungeklärt ist, wird sich der Dienstleister nicht dazu verpflichten wollen, einen speziellen Erfolg zu erbringen.

Im Rahmen des Tests ist zu berücksichtigen, dass die Kenntniserlangung der Sicherheitslücken durch den Tester selbst ein Mißbrauchsrisiko in sich birgt. Bei jedem Aufdecken einer Lücke besteht generell die Möglichkeit, dass Dritte hierüber Kenntnis erlangen.

Ebenso besteht die Gefahr, dass eine Ausforschung noch unbekannter Sicherheitsdefizite die Stabilität des Systems beeinträchtigt und zu unvorhergesehenen Problemen führt.

Aufgrund der hohen Brisanz und der Sicherheitsrelevanz stellen sich daher im Vertragsverhältnis zwischen Tester und Getestetem diverse Haftungsfragen. Hier gilt es vor allem die Interessen beider Parteien angemessen zu regeln.

Liegt es auf der einen Seite im Interesse des Penetrationstesters möglichst frei von jeder Haftung agieren zu können, ist andererseits dem getesteten Unternehmen daran gelegen, bei fehlerhaftem Verhalten des Testers, nicht vollkommen schutzlos dazustehen.

Die Schwierigkeit eines solchen Interessenausgleiches liegt vor allem darin begründet, dass es gerade dem Wesen eines solchen Tests entspricht, möglichst über die Grenzen der Sicherheit hinauszugehen. Im Zweifel wird der Tester im Falle eigener Haftung hier jedoch entgegen dem Zweck des Testes wohl Vorsicht walten lassen, sofern er möglicherweise für empfindliche Umsatzeinbußen haftbar gemacht werden kann.

In der Praxis ist daher darauf zu achten, dass die Herbeiführung von Fehlern mit Einwilligung des Systembetreibers möglichst differenziert in das Vertragswerk als Teil der durch den Tester geschuldeten Leistung aufgenommen wird. Auf diesem Wege sollte klargestellt werden, welche Fehler erwünscht und daher keine Pflichtverletzung des Testers sind.

Weiterhin ist zu beachten, dass an die Vereinbarung von Haftungsausschlüssen insbesondere im Rahmen von Standardverträgen und AGB hohe Anforderungen gestellt werden.

Da ein unwirksamer Haftungsausschluss aufgrund der dann daraus folgenden Haftung für den Tester empfindliche Folgen nach sich ziehen kann, sollten diese besonders sorgfältig gestaltet werden.
Auf Seiten des Testers kann zur Deckung möglicher Schäden der Abschluss einer Haftpflichtversicherung i.R.e. IT-Police in Betracht gezogen werden.

II. Strafrechtliche Erwägungen

Zur legalen Durchführung eines Penetrationstests ist die Erlaubnis des Systembetreibers notwendig.

Da der Angriff auf die IT-Struktur regelmäßig mit dem Erlangen von Daten dieses Systems einhergeht, fällt auch die nur testweise Durchführung i.d.R. unter den Straftatbestand des Ausspähens von Daten gem. § 202a StGB bzw. § 202b sofern dies „unbefugt“, also vor allem ohne Einwilligung des Betreibers erfolgt.

Ebenso kann der Einsatz von sog. Hackersoftware bei der Durchführung des Tests zu einer Strafbarkeit aus § 202c wegen des Vorbereitens des Ausspähens und Abfangens von Daten führen.

Speziell zur Problematik des Einsatzes von sog. „Hackertools“ im Rahmen von Penetrationstests hat das BVerfG in seinem Beschluss vom 18.09.2009 (Beschluss vom 18. Mai 2009 – 2 BvR 1151/08) ausgeführt, eine Strafbarkeit durch die Durchführung von Penetrationstests sei in der Regel nicht zu befürchten, wenn der Test und der Einsatz der Software nur im Rahmen des vereinbarten Testes und nicht zu kriminellen Zwecken erfolge und die Beteiligten dies auch nicht billigend in Kauf nehmen.

Weiterhin ist zu beachten, dass die „Hackersoftware“ nicht über den Test hinaus verbreitet und auch eine Verbreitung nicht billigend in Kauf genommen wird.

III. Sonstige Erwägungen

Darüber hinaus ist für den Test sicherzustellen, dass Rechte Dritter, insbesondere im Hinblick auf den Datenschutz, gewahrt bleiben. Insbesondere kann eine Information des Betriebsrates notwendig sein.

Weiterhin sind die speziellen Regelungen des TKG sowie des Zugangskontrolldiensteschutzgesetz (ZKDSG) zu beachten.


Sie haben Fragen zu rechtlichen Rahmenbedingungen von Penetrationstests oder möchten wissen, was wir sonst für Sie tun können? Wir helfen Ihnen gerne!

Das Expertenteam um Rechtsanwalt Christian Solmecke steht Ihnen gerne Rede und Antwort für Ihre Fragen. Rufen Sie uns unter der Rufnummer 0221 / 951 563 0 (Beratung bundesweit) an!


Hier gelangen Sie zurück zur Übersichtseite IT-Recht

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Noch keine Bewertungen)

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×