Penetrationtests als weiterhin aktueller Bestandteil der IT-Sicherheitsmaßnahmen

Cyber-Angriffe auf Unternehmen stellen eine alltägliche Bedrohung dar und sollen während der Corona-Pandemie sogar weiter zugenommen haben. Prominente Beispiele für derartige Attacken sind die Emotet-Angriffe der vergangenen zwei Jahre oder die Hafnium-Attacke auf den Microsoft Exchange Server durch Ausnutzung von vorhandenen Sicherheitslücken. Aus Sicht von Unternehmen stellt sich die Frage, wie man sich möglichst wirksam gegen Cyber-Angriffen schützen kann. Nicht jeder Cyber-Angriff kann mit denselben präventiven Maßnahmen begegnet werden.

Um implementierte IT-Sicherheitsmaßnahmen zu überprüfen und einen Überblick über mögliche Schwachstellen zu erhalten, kann es sich anbieten, sogenannte Penetrationtests durchzuführen. Bei einem Penetrationtests wird ein potentieller Angriff simuliert, indem man versucht, bestehende Schwachstellen im IT-Netzwerk, einzelnen IT-Systemen oder einer (Web-)Anwendung zu finden und auszunutzen.

So verlangt die Datenschutzgrundverordnung, dass der Verantwortliche die implementierten technischen und organisatorischen Maßnahmen regelmäßig auf ihre Wirksamkeit hin überprüft und bewertet, vgl. Art. 32 Abs. 1 lit. d) DS-GVO. Eine solche Überprüfung kann mit Hilfe von Penetrationtests erfolgen. Das Bayerische Landesamt für Datenschutzaufsicht sieht Penetrationtests als Teil der erforderlichen Maßnahmen zur Umsetzung von Datenschutz und Sicherheit bei der Entwicklung von eigenen Softwaresystemen bzw. bei der Auswahl von Softwareprodukten im eigenen Betrieb an. Hersteller digitaler Gesundheitsanwendungen mit sehr hohem Schutzbedarf, die in das Verzeichnis nach § 139e SGB V aufgenommen werden sollen, müssen nach Anlage 1 der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) sogar explizit einem Penetrationstest unterzogen werden, ohne dass dem Hersteller eine Wahlmöglichkeit verbleibt. Die Durchführung von Penetrationtests wird somit auch vom Gesetzgeber verlangt.

Da eine Selbstkontrolle nur bedingt funktioniert, wird mit der Durchführung eines solchen Penetrationtests in der Regel ein IT-Sicherheitsdienstleister beauftragt. Dieser soll in die Rolle des Angreifers schlüpfen. Bei einer solchen Beauftragung sollten jedoch einige Besonderheiten berücksichtigt werden.

Zunächst muss der IT-Sicherheitsdienstleister sorgfältig ausgewählt werden. Neben Zuverlässigkeit und Unabhängigkeit muss er vor allem Fachkompetenz und Qualität gewährleisten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert Penetrationstester, um so bei der Suche nach vertrauenswürdigen und kompetenten IT-Sicherheitsdienstleistern zu unterstützen.

Vor der Beauftragung müssen mit dem Dienstleister der konkrete Inhalt und der Umfang des Penetrationtests festgelegt werden, die deutlich variieren können. In der Praxis wird häufig zwischen sogenannten „Blackbox-Tests“ und sogenannten „Whitebox-Tests“ unterschieden. Bei einem Blackbox-Test erhält der IT-Sicherheitsdienstleister keine Informationen zu den zu testenden Systemen zur Verfügung gestellt, um so einen typischen Cyber-Angriff zu imitieren. Bei einem Whitebox-Test stellt der Auftraggeber hingegen weitere Informationen über die IT-Infrastruktur, eingesetzte Hard- oder Software, die zu testenden Systeme etc. zur Verfügung. Die Entscheidung zwischen diesen beiden Herangehensweisen hängt oftmals auch mit dem Prüfumfang, sprich welche IT-Systeme etc. sollen getestet werden und wie tief darf in die Systeme eingedrungen werden (Prüftiefe) zusammen. Schließlich sollte auch vereinbart werden, wie sich der Dienstleister verhalten soll, sollte er Sicherheitsmechanismen erfolgreich umgehen und in das System eindringen können. Neben dem Bemühen, Schwachstellen aufzudecken, kann der Dienstleister schließlich auch beauftragt werden, die aufgefundenen Schwachstellen zu beseitigen.

Das Eindringen in fremde IT-Netzwerke und IT-Systeme und die Verarbeitung von dort vorgefundenen Daten kann eine Strafbarkeit nach § 202a StGB (Ausspähen von Daten), § 202b StGB (Abfangen von Daten), § 202c StGB (Vorbereiten des Ausspähens oder Abfangens von Daten) sowie § 303a StGB (Datenveränderung) und § 303b StGB (Computersabotage) darstellen. Aus diesem Grund lassen sich IT-Sicherheitsdienstleister oftmals – zumindest vorsorglich – die ausdrückliche Zustimmung des Auftraggebers zu im Rahmen des Vertrages vereinbarten Zugriffshandlungen geben. In diesem Fall handelt der Dienstleister nicht unbefugt bzw. nicht rechtswidrig und eine Strafbarkeit scheidet aus. Wichtig ist bei Konzernstrukturen darauf zu achten, dass der Auftraggeber auch tatsächlich dispositionsbefugt ist und es sich nicht um Systeme oder Daten von weiteren Konzerngesellschaften handelt, über die der Auftraggeber nicht verfügen kann.

Weiter sollte aus Sicht des Auftraggebers dem Schutz vertraulicher Informationen ein besonderes Augenmerk geschenkt werden. Spätestens wenn der IT-Dienstleister in die IT-Systeme erfolgreich eindringt und Schwachstellen identifizieren konnte, hat der Auftraggeber ein gesteigertes Interesse, dass sowohl die Schwachstellen, aber auch etwaige in den IT-Systemen gespeicherte Geschäftsgeheimnisse vertraulich behandelt werden. In diesem Kontext ist auch das Geschäftsgeheimnisgesetz zu beachten.

Aus datenschutzrechtlicher Sicht muss überlegt werden, auf welche Daten der Dienstleister im Rahmen des Penetrationtests zugreift. Dabei wird man zwischen personenbezogenen Daten, die dem Dienstleister zum Zwecke der Leistungserbringung im Vorfeld zur Verfügung gestellt werden und solchen, auf die der Dienstleister im Falle eines erfolgreichen Eindringens ggf. zugreift, unterscheiden können. Datenschutzrechtlich kann die Verarbeitung durch den Dienstleister durch eine Vereinbarung zur Auftragsdatenverarbeitung legitimiert werden. Gleichzeitig muss der Auftraggeber eruieren, aufgrund welcher Rechtsgrundlage er etwaige personenbezogene Daten verarbeiten darf. Es wird sich oftmals um Mitarbeiter- oder Kunden-/Lieferantendaten handeln. Diese wurden aber regelmäßig nicht für Zwecke eines Penetrationstests erhoben.

Schließlich wird der IT-Dienstleister auf eine weitgehende Haftungsfreistellung bestehen, weil nicht vollständige ausgeschlossen werden kann, dass auch bei sorgfältiger und vorsichtiger Vorgehensweise Funktionen der IT-Landschaft beeinträchtigt oder ausfallen können oder sogar Daten verloren gehen. Es sollte daher auch Backups und Vorkehrungen getroffen werden, um für einen solchen Fall gewappnet zu sein.

Penetrationtests bleiben ein sinnvoller Baustein zur Gewährleistung einer funktionierenden IT-Landschaft. Bei der Gestaltung des Vertrages zwischen Auftraggeber und IT-Sicherheitsdienstleister sind jedoch einigen wesentliche Aspekte zu beachten.