SFIO CRACHO - stock.adobe.com
Die aktuelle Rechtslage bei Penetrationstests
Die Durchführung von Penetrationstests sorgt immer wieder für Fragen, wie die rechtliche Situation zu bewerten ist. Neue EU-Gesetzgebungen zeigen: Pentests müssen erlaubt werden.
Penetrationstests sind ein geeignetes Verfahren, um die aktuelle Sicherheit eines IT-Netzes, eines einzelnen IT-Systems oder einer (Web-)Anwendung festzustellen, so das BSI (Bundesamt für Sicherheit in der Informationstechnik). Die Pentests dienen dazu, die Erfolgsaussichten eines vorsätzlichen Angriffs einzuschätzen und dadurch die Wirksamkeit der vorhandenen Sicherheitsmaßnahmen zu überprüfen sowie weitere notwendige Sicherheitsmaßnahmen abzuleiten.
Doch so sinnvoll solche aktiven Überprüfungen der IT-Sicherheit auch sind, ist es immer wieder in der Diskussion und scheint nie so ganz eindeutig, wie die Rechtslage ist (Stichwort Computersabotage, Hackerparagraf), ob sich Testende also in eine unsichere Rechtssituation begeben.
Eine erste Antwort könnte hier sein, dass das BSI selbst Penetrationstests anbietet, vornehmlich für Bundesbehörden, aber auf Antrag und Rechnung auch für andere Organisationen, die ihr bestehendes Schutzniveau gegen Cyberattacken kontrollieren lassen wollen.
Doch wie sieht die Rechtslage aus?
Vielfältige Rechtsvorgaben können bei Pentests eine Rolle spielen
In den letzten Jahren hat das BSI eine Untersuchung zu Penetrationstests (PDF) veröffentlicht, die auch analysiert hat, welche rechtlichen Vorgaben zum einen mögliche Pentests vorschreiben oder aber verbieten könnten.
In der Studie kam das BSI damals unter anderem zu dem Schluss, dass zwar keine Gesetze existierten, die eine Firma oder Behörde unmittelbar dazu verpflichten, Penetrationstests durchführen zu lassen, doch existierten bereits verbindliche Vorschriften bezüglich der Handhabung der Sicherheit und der Verfügbarkeit von steuerrechtlich und handelsrechtlich relevanten Daten, des Umgangs mit personenbezogenen Daten und der Einrichtung und Ausgestaltung eines internen Kontrollsystems.
Zudem sagte das BSI: „Im Zuge eines Penetrationstests werden durch den Tester unter anderem Handlungen ausgeführt die, wenn sie nicht mit der Einwilligung des Auftraggebers geschehen, gegen geltende Gesetze verstoßen können.“
Offensichtlich kommt es auf eine exakte Festlegung des beauftragten Handlungsrahmens an. Dann kann man aus Sicht des BSI sagen: „Wenngleich der Penetrationstester zumeist schon nicht tatbestandsmäßig handeln wird, da ihm besondere Absichten – wie zum Beispiel die rechtswidrige Bereicherungsabsicht – fehlen. Außerdem sind diese Eingriffe, deren Inhalt und Umfang mit dem Auftraggeber abgestimmt sind, durch Einwilligung gerechtfertigt“.
Das BSI nennt in der Studie eine Reihe von rechtlichen Vorgaben, die im Rahmen der Beauftragung von Pentests berücksichtigt werden müssen, sowie die Pflichten des Auftragnehmers und Auftraggebers.
Inzwischen zeigen jedoch neuere Gesetzgebungen zur Cyberresilienz, dass es kaum noch ohne Penetrationstests gehen kann, in der Finanzbranche besteht sogar die Pflicht dazu.
Was DORA zu Penetrationstests aussagt
Angesichts der ständig zunehmenden Gefahr von Cyberangriffen hat die EU neue Vorgaben zur IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungsunternehmen und Wertpapierfirmen gemacht, insbesondere den Rechtsakt über digitale Betriebsstabilität (DORA, Digital Operational Resilience Act), mit dem sichergestellt werden soll, dass der europäische Finanzsektor in der Lage ist, die Betriebsstabilität im Falle einer schwerwiegenden Störung aufrechtzuerhalten.
In der DORA-Verordnung (PDF) werden einheitliche Anforderungen für die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie kritischen Dritten, die ihnen Dienstleistungen im Bereich IKT (Informations- und Kommunikationstechnologien) wie Cloud-Plattformen oder Datenanalysedienste bereitstellen, festgelegt. Die neuen Vorschriften gelten also für alle Unternehmen, die Finanzdienstleistungen erbringen, wie Banken, Zahlungsdienstleister, E-Geld-Anbieter, Wertpapierfirmen, Anbieter von Krypto-Vermögenswerten sowie für kritische IKT-Drittanbieter.
Bei diesen stellt sich die Frage nicht mehr, ob man Penetrationstests machen sollte: DORA enthält Vorgaben zu „Tests der digitalen operationalen Resilienz“ (PDF). Zu den fortgeschrittenen Tests zählen hier die Threat Led Penetration Tests (TLPT) (PDF).
Offensichtlich kann man hier sagen: Penetrationtests sind für die unter DORA fallende Finanzindustrie und ihre kritischen ITK-Dienstleister nicht verboten, sondern sie werden gefordert. Es ist also im Sinne der Cyberresilienz eher so, dass nicht die Durchführung von Penetrationstests zu rechtlichen Problemen führen wird, sondern ein Verzicht darauf. Wichtig ist es aber, dass es eine konkrete und detaillierte Beauftragung zum Penetrationstest gibt.
Mit der Bedeutung von Cyberresilienz für letztlich alle Branchen, die an der digitalen Transformation teilnehmen, sollten Pentests grundsätzlich nicht mehr fehlen, die hoch regulierte Finanzbranche macht dies vor.