Monitoring: Interview mit Dr. Daniel Hamburg, Tüv

Sicherheits- und Penetrationstests

Im Interview erläutert Dr. Daniel Hamburg, Head of Security Engineering beim Tüv Rheinland, was bei Verträgen mit Dienstleistern zu beachten ist und was vorab mit der Rechtsabteilung besprochen werden sollte, damit der reibungslosen Durchführung einer Sicherheitsanalyse oder eines Penetrationstests nichts im Wege steht.

Dr. Daniel Hamburg, Tüv

„Ist der Auftraggeber mit einer Sicherheitsanalyse oder einem Penetrationstest einverstanden, ist rechtlich alles in Ordnung“, sagt Dr. Daniel Hamburg, Head of Security Engineering beim Tüv Rheinland.

IT-DIRECTOR: Herr Dr. Hamburg, Security Analysts kommen an hochsensible Daten heran. Was sagen Sie Kunden, denen das Sorge bereitet?
D. Hamburg:
Grundsätzlich sind Geschäftsführer und Vorstände von Unternehmen gesetzlich verpflichtet, geeignete Maßnahmen zu treffen, um Risiken rechtzeitig zu erkennen und ihnen vorzubeugen. Monitorings wie Sicherheitsanalysen und Penetrationstests gehören auf jeden Fall dazu. Seriöse Anbieter werden ihren Kunden immer einen Vertrag mit einer umfassenden Geheimhaltungsklausel unterbreiten, da der Auftraggeber den Security Analysts meist umfangreiche Informationen zukommen lassen muss und die Tester auch selbst an sensible Daten gelangen. Außerdem hat der Gesetzgeber den Spielraum für seriöse Anbieter recht eng gefasst und das ist auch gut so. Da haben wir einerseits den Schutz des Post- und Fernmeldegeheimnisses und auch den so genannten „Hackerparagraphen“ (§ 202c StGB). Dieser besagt: Die Vorbereitung des Ausspähens und Abfangens von Daten, ja schon die Beschaffung und die Verbreitung von Zugangscodes zu geschützten Daten sowie die Herstellung und der Einsatz geeigneter Werkzeuge („Hackertools“) gelten als Vorbereitung einer Straftat. Dafür droht eine Freiheitsstrafe, ob man sich Daten aneignet oder nicht. Auch wer unautorisiert in ein Netzwerk eindringt, um die Ergebnisse als „besonderes Mittel“ für den Vertrieb seiner Dienstleistungen zu verwenden, macht sich strafbar. Das bedeutet im Umkehrschluss: Seriöse Anbieter werden nie zuvor ein „Probehacking“ durchführen, sondern sich immer zuerst das Einverständnis zu einer Sicherheitsanalyse oder einem Penetrationstest beim Auftraggeber holen. Alles andere ist strafrechtlich relevant.

IT-DIRECTOR: Ohne einen rechtsgültig unterschriebenen Auftrag geht also nichts?
D. Hamburg:
Ist der Auftraggeber mit einer Sicherheitsanalyse oder einem Penetrationstest einverstanden, ist rechtlich alles in Ordnung. Ernstzunehmende Anbieter werden immer auf der Unterschrift eines vertretungsberechtigten Mitglieds der Organisation, beispielsweise des Geschäftsführers, Prokuristen oder des mit Sondervollmacht ausgestatteten IT-Leiters, bestehen. Wichtig: Der Auftraggeber kann seine Zustimmung nur für Bereiche erteilen, die sich unter seiner Hoheit befinden. So steht bei Sicherheitsanalysen und Penetrationstests stets auch die Frage nach dem Besitzstand von Computersystemen, Software und Daten im Raum. Vor Beginn des Tests muss Klarheit über den Testgegenstand bestehen. Sind Dienstleistungen oder Produkte betroffen, die von Dritten betrieben werden, also z.B. Teile der IT-Infrastruktur, Server oder Rechenzentren, sollte das Unternehmen rechtliche Beratung in Anspruch nehmen.

IT-DIRECTOR: Was muss im Vertrag geregelt sein?
D. Hamburg:
Im Dienstleistungsvertrag sollten neben der Zustimmung und der Geheimhaltung auch Umfang und Zeitraum des Tests dokumentiert sein. So ist der Rahmen für beide Seiten klar bestimmt. Festgelegt werden sollten die Grundlagen und Risikoklassifizierung, denen der Test unterliegt, die Art des Tests (Ausgangspunkt außen oder innen), Aggressivität und Umfang, die Technik (Netzwerkzugang, physischer Zugang, Social Engineering, etc.) sowie die einzusetzenden und auszuschließenden Techniken und Systeme (z.B. Produktionssteuerungssysteme).

IT-DIRECTOR: Was ist mit den zu schützenden Daten der Mitarbeiter?
D. Hamburg:
Sind Mitarbeiter betroffen, muss der Arbeitgeber für die Wahrung der Arbeitnehmerrechte in Bezug auf Datenschutz und Datensicherheit sorgen. Basis sind das Bundesdatenschutzgesetz sowie das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“, auch „IT-Grundrecht“ oder „Grundrecht auf digitale Intimsphäre“ genannt. Das ist ein im allgemeinen Persönlichkeitsrecht verankerter Grundsatz, den das Bundesverfassungsgericht 2008 ausdrücklich formuliert hat. Im Einzelfall kann eine Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG erforderlich sein. Ob der Betriebsrat im Vorfeld zu informieren ist, muss im Einzelfall vorab geklärt werden.

IT-DIRECTOR: Wie kann man sich gegen Störungen des Produktivbetriebes absichern?
D. Hamburg:
Störungen in der IT-Infrastruktur der Organisation sind bei einer Sicherheitsanalyse oder einem Penetrationstests nie völlig auszuschließen. Seriöse Anbieter klären ihre Kunden vorab über Risiken für den laufenden Betrieb auf. Sinnvoll ist eine Übereinkunft, wie mit solchen Ereignissen umzugehen ist: Welche Unterbrechungen können drohen? Sollten bestimmte Angriffsmethoden ausgeschlossen werden? Sollen die Tester hochkritische Systeme ausklammern und nimmt der Auftraggeber in Kauf, dass die Aussagekraft dann beschränkt ist? Sollte der simulierte Angriff außerhalb der Nutzungszeiten eines Systems erfolgen? Wer sollte im Notfall informiert werden?

IT-DIRECTOR: Welche Punkte sollte die Unternehmensleitung mit der Rechtsabteilung besprechen?
D. Hamburg:
Grundsätzlich möchte ich an dieser Stelle betonen, dass wir natürlich keine juristischen Auskünfte geben können, sondern lediglich praxisorientierte Hinweise, die es im Einzelfall durch eine explizite juristische Beratung auf ihre Relevanz zu prüfen gilt. Dazu gehören Fragen wie: Welche Bereiche sind vom Test betroffen und haben wir die Befugnis, dafür eine Zustimmung zu erteilen? Wie lassen sich die Arbeitnehmerrechte in Bezug auf Datenschutz und Datensicherheit wahren? Ist eine Vereinbarung zur Auftragsdatenverarbeitung nach § 11 BDSG erforderlich? Und natürlich würde ich den Vertrag mit dem Dienstleister vor der Unterschrift checken lassen. So vorbereitet, steht der reibungslosen Durchführung einer Sicherheitsanalyse oder eines Penetrationstests nicht mehr im Wege.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok