penetrationtest-vereinbarungen · steuerung der kommunikation über pentest geheimhaltung...

08,00 cm 18,50

Fußzeilenfeld pro Folie oder für alle/mehrere anpassen über Menü: Einfügen // Text // Kopf- und Fußzeile

cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65

cm 28,50 Hilfslinien anzeigen über Menu:

Ansicht // Anzeigen // Haken bei Führungslinien setzen

Wechsel der Textebene im Menü über:

Start // Absatz // Listenebene

erhöhen/verringern

Listenebene verringern

Listenebene erhöhen

Folie in Ursprungsform bringen über Menu:

Start // Folien // Zurücksetzen

Wechsel des Folienlayouts im Menü über:

Start // Folien // Layout

02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm

09,80 cm 00,70 Bildbearbeitung

im Menü über: Bildtools // Format //

Größe // Zuschneiden

Penetrationtest-Vereinbarungen

Dr. Lutz Martin Keppeler

28.10.2016

Fachausschuss-Sitzung Vertragsrecht der DGRI in Köln

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Interessenlage der Parteien

28.10.2016 Penetrationtest-Vereinbarungen - DGRI Fachausschuss Vertragsrecht

Motive zur Durchführung eines Penetration-Test

Aufdecken von möglichst vielen Sicherheitslücken nebst Anleitung zum Schließen

Abnahme einer entwickelten Software / eines -Systems

Report über Pentest wird für Zertifizierung benötigt

Pentest im Rahmen einer DD im Rahmen von M&A/Börsengang/Venture Capital

Investment

Internet oder externe Compliance-Vorgabe / eigenes Interesse an Enthaftung

Incident -Sicherheitsberatung

Abgrenzung zu Gutachtenerstellung für Gerichtsprozess

Pentest

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm






Interessen des IT-Forensikers

Fest definierte Aufgabenstellung (oder Klarheit über den notwendigen

Beratungsaufwand im Vorfeld)

Interessenskonflikt: IT-Forensike ist an einem "genauen Scope" interessiert,

der Auftraggeber will aber "absolute Sicherheit"

Können Findings in BugBounty Programm verwendet werden?

Benennung des Kunden als Referenzkunden

Regelung der Vergütung (Vorschuss?)

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm






Interessen des Unternehmens

Fest definierte Aufgabenstellung (oder Klarheit über den notwendigen)

Beratungsaufwand im Vorfeld

Steuerung der Kommunikation über Pentest

Geheimhaltung

Detaillierter Report mit Anleitung zur Behebung der Fehler

Vertrauen in IT-Forensiker / Auswahl des richtigen Fachmanns (Keine

Subunternehmer)

Verpflichtung, das eingesetzte Fachkräfte bestimmte Qualifikationen aufweisen

Löschung sämtlicher Informationen nach Beendigung des Auftrags durch den IT-

Forensiker

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Definition der Durchzuführenden Prüfung


Penetrationtests

Möglichst genaue Definition der zu prüfenden System in Anlage

Idealfall: Beschreibung des Systems mit Inventarisierung der Hardware und

präziser Beschreibung sämtlicher virtueller Server inkl. IP. Adresse, sämtlicher

installierter Software usw.

Abgrenzung von Systemteilen, die der IT-Forensiker nicht antasten darf (Gründe,

z.B.: Geheimschutzverfahren; Hosting bei Dritter Partei, die Pentest nur unter

bestimmten Kriterien (oder gar nicht) zulässt)

Beschreibung der durchzuführenden Prüfung

Welche Werkzeuge werden verwendet

Welche Angriffe werden durchgeführt?

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Beispielsklauseln


Vertragsgegenstand:

Ein Penetration-Test stellt einen kontrollierten Versuch dar, von außen in ein Computer-

oder Netzwerksystem einzudringen, um Schwachstellen der Systeme aufzuspüren

(Sicherheitsüberprüfung). Dazu werden ähnliche, bzw. gleiche Techniken angewendet,

die auch bei einem realen Angriff auf das System Verwendung finden würden. Die

Identifikation der Schwachstellen ermöglicht eine Korrektur der Schwachstellen, bevor

diese durch einen realen Eingriff ausgenutzt werden und sich Dritte unerlaubt Zugang

zum System und zu sensiblen Daten verschaffen können. Das IT-System ist in dem in

Anlage B beschrieben Umfang Gegenstand eines Penetration-Test.

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Beispielsklauseln


Vertragsgegenstand:

Mögliche Dritte, die möglicherweise von der Ausführung des Penetrationstests betroffen

sein könnten, werden vor Nutzung der Dienstleistung der IT-Forensiker durch den

Kunden informiert. Es können auch Systeme Dritter, wie etwa der Router des Providers

oder der Webserver eines Hosters bei einem Penetrationstest geprüft werden, deswegen

kann eine Störung des ordnungsgemäßen Betriebes dieser Systeme nicht

ausgeschlossen werden.

Grundsatz: Wenn nichts geregelt ist, dann gilt das Marktübliche?

Gundsätze des BSI?

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Definition der Durchzuführenden Prüfung


Bezieht sich Prüfung auch auf IT-Compliance?

Gibt es bestehende Prozessbeschreibungen?

Werden Richtlinien eingehalten und umgesetzt?

Werden bestehende Normen in prozessualer Hinsicht erfüllt? (BSI-Grundschutz;

ISO, VDE usw.)

Social Enginering

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Definition der Prüftiefe


Grundsätzliches Problem:

Je ernster und tiefer ein Angriff simuliert wird, um so höher ist das Risiko eines

Schadens / Je oberflächlicher ein simulierter Angriff ist, um so sicherer ist dies für

den Auftraggeber, um so geringer sind jedoch auch die Erkenntnisse.

Anlage C

wird lediglich ein nicht invasiver Schwachstellenscann durchgeführt. Die

Ergebnisse werden in Form eines Zwischenberichtes mitgeteilt. Beide Parteien

einigen sich sodann auf dieser Basis über eine Weitergehende invasive Prüfung

auf Basis des Zwischenreports. In diesem Rahmen halten die Parteien die sich

aus der invasiven Prüfung ergebenden Risiken in Anlage C bzw. einem Nachtrag

zu Anlage C fest

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Vertragstyp? AGB Recht?


Keine Rechtsprechung vorhanden?

Dienst oder Werkvertragsrecht?

Wenn der Schwerpunkt in der Erstellung eines Gutachtens liegt?

Insgesamt eher Dienstvertragsrecht

AGB beschränkt vor allem Haftungsregelungen

Aus Sicht des IT-Forensikers müssen deshalb umfangreiche Backup Verpflichtungen,

und eventuell die Möglichkeit eines schnellen Restores eines Systems vereinbart

werden, um die Haftung zu minimieren.

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Beispielsklausel


Vor der Nutzung der Dienstleistungen der IT-Forensiker durch den Kunden verpflichtet sich

dieser, sämtliche durch IT-Forensiker zu prüfenden Systeme und die damit in Verbindung

stehenden Daten vollumfänglich durch ein Backup zu sichern. Darüber hinaus hat der Kunde

sämtliche notwendigen Sicherheitsmaßnahmen, auch diejenigen, die über ein Backup

hinausgehen, vor Nutzung der Dienstleistung zu treffen, um die Systeme und Daten notfalls

nach dem Penetration-Test wieder in den ursprünglichen Zustand zurück versetzen zu

können.

Der Kunde wird ausdrücklich darauf hingewiesen, dass durch den Penetration-Test Schäden

am bestehenden System auftreten können. Insbesondere können durch den Penetration-Test

Beeinträchtigungen und nur durch

Wiederherstellungs-Backups, oder durch teilweise umfangreiche Nachbearbeitung durch den

Kunden behoben werden können.

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Beispielsklausel


Problem: Keine Einschränkung der Haftung für vertragswesentliche Pflichten

Kardinalpflicht ist (sorgfältiges) Testen von Schwachstellen und damit ein Eingehen von

Risiken

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Auftragsdatenverarbeitungsvertrag


Weisungsgebundenheit?

Aufgrund des individuellen Vorgehens des IT-Forensikers in Einzelfällen fraglich?

Für

Vertraglich sollte geregelt sein:

die Löschung sämtlicher personenbezogener Daten nach Abschluss des

Auftrages

Verschwiegenheit

Unterbrechung bei Fund von eindeutig privaten Daten

Erwägungsgrund 49 DS-GVO

Problem bei legitimen Interesse: Besondere Kategorien von personenbezogenen

Daten

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Auftragsdatenverarbeitungsvertrag


Verschärfung des Themas durch DS-GVO aufgrund von Bußgeldandrohung (bis zu 20 Mio.

oder 4% des weltweiten Jahresumsatzes).

Aus Sicht des IT-Forensikers: Notwendigkeit der Absicherung, dass

Keine/geringe Berührung mit besonderen personenbezogenen Daten (ohne

Einwilligungserklärungen existieren)

Vermeidung der Wahrnehmung großer Anzahl privater Daten (sei es von Kunden oder

Mitarbeitern)

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Strafrechtliche Aspekte

Bestehen Strafbarkeitsrisiken?

§ löscht, unterdrückt, unbrauchbar macht

oder verändert

202a Ausspähen von Daten unbefugt sich oder einem anderen Zugang zu Daten, die

nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter

Überwindung der Zugangssicherung

§ 202b Abfangen von Wer unbefugt sich oder einem anderen unter Anwendung von

technischen Mitteln nicht für ihn bestimmte Daten aus einer nichtöffentlichen

Datenübermittlung


Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Klauselbeispiel

Mit der Beauftragung versichert der Auftraggeber, dass er im Vorfeld der Erbringung der

Leistungen sämtliche erforderlichen Zustimmungen Dritter (insbesondere etwaiger IT-

Dienstleister, Lizenzgeber, Mitarbeiter, Arbeitnehmervertretungen) nachweisbar eingeholt

hat/rechtzeitig einholen wird oder solche nicht erforderlich sind. Der Auftraggeber erteilt seine

ausdrückliche Einwilligung in die zur Erbringung unserer Leistungen erforderlichen Maßnahmen,

insbesondere zu einem etwa damit einhergehenden Zugriff auf und das Verschaffen von Daten,

ggf. unter Überwindung einer etwaigen Zugangssicherung der vom Kunden spezifizierten

Systeme und/oder aus einer nichtöffentlichen Datenübermittlung und/oder aus der

elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage (§§ 202 ff StGB).

Hinweis: Wenn private Nutzung von Internet/E-Mail/mobiler Endgeräte im Unternehmen gestattet

ist, sollte Klausel diese Fälle ausdrücklich erfassen.


Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Strafrechtliche Aspekte

§ 202c Vorbereiten des Ausspähens und Abfangens von Daten

Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem ,

deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen

verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird

mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

-Use-

Absicht zur Begehung einer Straftat müsse sich objektiv manifestiert haben.


Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Bundesverfassungsgericht Beschl. v. 18.05.2009, Az.: 2 BvR 2233/07

Rn. 67: Schon die Entstehungsgeschichte der Vorschrift spricht hingegen deutlich dafür, die

Absichten des Entwicklers des jeweiligen Programms als maßgeblich für dessen

Zweckbestimmung zu erachten.

Rn. 69: Eine sich an den objektiv manifestierten Absichten des Programmentwicklers

orientierende Auslegung des § 202c Abs. 1 Nr. 2 StGB dürfte in der Sache mit Ansätzen im

Schrifttum übereinstimmen, nach denen Programme den Tatbestand erfüllen sollen, wenn sie

gerade im Hinblick auf eine spezielle Tatvariante einer Tat nach § 202a, § 202b geschrieben sind

(Fischer, StGB, 55. Aufl. 2008, § 202c Rn. 5), wenn ihnen die Möglichkeit der Begehung

entsprechender Straftaten als Kernbestandteil innewohnt (Böhlke/Yilmaz, CR 2008, S. 261

<263>) oder wenn sie bereits nach Art und Weise ihres Aufbaus darauf angelegt sind, illegalen

Zwecken zu dienen (Ernst, NJW 2007, S. 2661 <2663>).


Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Ansprechpartner

BILD (7,5 x 5,2 cm)

Dr. Lutz M. Keppeler Kompetenzen

IT-Recht mit Spezialisierung auf IT-Sicherheitsrecht und Open Source Lizenzen Datenschutzrecht Telekommunikationsrecht

Mitgliedschaften

Fellow der European Free Software Foundation (FSFE) International Bar Association (IBA)

Veröffentlichungen (Auszug)

Wann erstreckt sich die GPLv2 auf eine komplexe Software "as a whole"?, Eine aktuelle Bestandsaufnahme der Diskussion um die Reichweite des Copyleft- Effektes in: CR 2015, S. 9-15

Was bleibt vom TMG-Datenschutz nach der DS-GVO? Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz durch die Verdrängung von sektorspezifischen Datenschutzregeln, MMR - 2015, S. 779-783

Personenbezug und Transparenz im Smart Meter-Datenschutz zwischen europäischem und nationalem Recht, EnWZ 2016, S. 99-106

Untergang der Rechtssicherheit?, CR 2016, 360-367

Dr. Lutz M. Keppeler

Magnusstraße 13

50672 Köln

T +49 221 2052-426

F +49 221 2052-1

[email protected]

Heuking

08,00 cm 18,50


cm 28,50 13,65

05,00 cm 05,50

08,00 18,50 cm

13,70 01,15 cm

13,65





erhöhen/verringern







02,50

cm 17,35 03,00 17,85 cm

07,00

cm 21,85 07,50 22,35 cm




Berlin Unter den Linden 10 10117 Berlin T +49 30 88 00 97-0 F +49 30 88 00 97-99

Chemnitz Weststraße 16 09112 Chemnitz T +49 371 38 203-0 F +49 371 38 203-100

Düsseldorf Georg-Glock-Straße 4 40474 Düsseldorf T +49 211 600 55-00 F +49 211 600 55-050

Frankfurt Goetheplatz 5-7 60313 Frankfurt am Main T +49 69 975 61-0 F +49 69 975 61-200

Hamburg Neuer Wall 63 20354 Hamburg T +49 40 35 52 80-0 F +49 40 35 52 80-80

Köln Magnusstraße 13 50672 Köln T +49 221 20 52-0 F +49 221 20 52-1

München Prinzregentenstraße 48 80538 München T +49 89 540 31-0 F +49 89 540 31-540

Stuttgart Augustenstraße 1 70178 Stuttgart T +49 711 22 04 579-0 F +49 711 22 04 579-44

Brüssel Rue Froissart 95 1040 Brüssel/Belgien T +32 2 646 20-00 F +32 2 646 20-40

Zürich Bahnhofstrasse 3 8001 Zürich/Schweiz T +41 44 200 71-00 F +41 44 200 71-01

www.heuking.de

Vielen Dank für Ihre Aufmerksamkeit


http://www.heuking.de/

penetrationtest-vereinbarungen · steuerung der kommunikation über pentest geheimhaltung...

Documents