Für Unternehmensvorstände und Geschäftsleitungen besteht – neben der Erfüllung des Geschäftszwecks – ebenso die gesetzliche Pflicht der Risikominimierung innerhalb der betrieblichen Tätigkeit, wozu auch die Beachtung datenschutzrechtlicher Belange gehört. Dies gilt sowohl für Unternehmen und Konzerne, aber auch für Behörden, Vereine und allen sonstigen verantwortlichen Stellen im Sinne des Datenschutzes. Hilfe zur Erfüllung dieser Aufgabe bieten unter anderem Penetrationstest (kurz Pentest), welche durch entsprechende Dienstleister angeboten werden.
Was ist ein Penetrationstest?
Penetrationstest ist der Fachbegriff für einen umfassenden Sicherheitstest eines Computers oder Netzwerkes unabhängig von dessen Größe. Dabei werden unterschiedlichste Methoden, beispielsweise simulierte Hackerangriffe, angewandt, um die Sicherheit bestimmter Systemteile zu testen. Mithilfe dieses Tests kann eine Schwachstellenanalyse im System erfolgen. Im Ergebnis können mit der Hilfe des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten vorbeugende Maßnahmen implementiert werden.
Vorbearbeitung des Penetrationstests
Nach dem deutschen Gesetz stellt der Datenschutz neben dem Post- und Fernmeldegeheimnis ein Gebiet dar, das ein besonders schützenswertes Gut (personenbezogene Daten) vor dem Zugriff durch Dritte, z. B. durch die Verwertung fremder Geheimnisse, Computerbetrug, Datensabotage oder -veränderung bewahren soll. Dabei ist der § 202c StGB (auch Hackerparagraph genannt) — insbesondere für Pentest-Dienstleiser – relevant. Nach diesem werden Personen, die Verfahren anwenden, die zum Beispiel zur Umgehung von Passwörtern oder für den Zugang zu fremden Computerprogrammen genutzt werden (z. B. sogenannte Hackertools), mit einer Geldstrafe oder auch einer Freiheitstrafe von bis zu 2 Jahren bestraft. Dies betrifft auch Dienstleister, die unautorisiert zum Zweck der Erhöhung der IT-Sicherheit — wie es beim Pentesting üblich ist — in Unternehmensnetzwerke eindringen. Die Ergebnisse, die dabei erzielt werden, unterliegen ebenso dem Straftatbestand, sofern keine Einwilligung durch das betroffene Unternehmen vorliegt. Folglich ist keine Strafhandlung gegeben, wenn der Auftragsgeber (betroffenes Unternehmen) die Zustimmung zur Durchführung einer Sicherheitsanalyse oder Pentesting gibt. Wichtig ist die Ermittlung der Zuständigkeit des Auftragsgebers, da dieser einem Pentest nur rechtskonform anordnen kann, wenn er für den betreffenden Bereich zuständig ist.
Vor der Durchführung eines solchen Tests stellt sich häufig die Frage nach dem Besitzstand und Eigentumsverhältnissen von Software, Computersystemen und Daten. Relevant sind besonders die korrekte Zuweisung der Besitz- und Eigentumsrechte, wenn der Test Dienstleistungen und Produkte betrifft, die durch externe Dritte betrieben werden, z.B. Server, Rechenzentrum oder Teile von IT-Systemen.
Ablauf und Dauer eines Penetrationstests
Der Ablauf und die Dauer eines Pentests ist abhängig von der Größe sowie Komplexität einer Anwendung oder der IT-Infrastruktur. Eine pauschale Festsetzung ist daher nicht möglich und immer einzelfallabhängig.
Trotz der Individualität eines Pentests ist es dennoch möglich das Verfahren grob in vier Phasen zu untergliedern. Diese sind:
- Reconnaissance (deutsch „Aufklärung“)
Reconnaissance bezeichnet die Informationsbeschaffung vor einem (Hacker-)Angriff. Dabei sammelt der Pentester (hier legitimierter Hacker) eine Vielzahl von Informationen über das Unternehmen, um sich einen Überblick über dieses zu verschaffen.
- Enumeration
In dieser Phase werden die gesammelten Informationen, welche innerhalb der Reconnaissance zusammengetragen wurden, ausgewertet. Der Pentester geht dabei aktiv vor, steuert gezielt Systeme an und sucht nach und nach das zu testende System nach Schwachstellen ab.
- Exploitation
Hier nutzt der Penstester gefundene Schwachstellen des Systems aus. Dafür werden Exploits entwickelt, mit deren Hilfe sensible Informationen ausgelesen werden. Diese werden dann vom Penstester genutzt, um noch tiefer in das System zu gelangen.
- Documentation
Die einzelnen Schritte, die zu einem erfolgreichen (Hacker-)Angriffes führen, werden durch den Pentester dokumentiert, was ein essentieller Bestandteil jedes Penetrationstests ist. Am Ende des Tests wird ein individueller Abschlussbericht aus den vorhandenen Dokumentationen erstellt, welcher die Ergebnisse aus dem Pentest nachvollziehbar machen soll.
Beachtung der Sorgfaltspflicht gegenüber Arbeitnehmern und sonstigen Betroffenen (Menschen)
Sind Mitarbeiterdaten (bzw. auch sonstige Betroffenendaten) zumindest potenziell von einem Pentest betroffen, so hat der Arbeitgeber als verantwortliche Stelle dafür zu sorgen, dass die Arbeitnehmerrechte (bzw. Betroffenenrechte) in Bezug auf den Datenschutz und die Datensicherheit beachtet werden. Derzeitige Grundlagen dafür sind in Deutschland das Bundesdatenschutzgesetz (ab Mai 2018 die Europäische Datenschutz-Grundverordnung, sog. DS-GVO und das Bundesdatenschutzgesetz neu, kurz BDSGneu) sowie das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das umgangssprachlich auch als IT-Grundrecht, Computergrundrecht oder auch Grundrecht auf digitale Intimsphäre bezeichnet wird und sich aus dem Urteil des Bundesverfassungsgerichts (1 BvR 370/07) vom 27. Februar 2008 aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG (Grundgesetz) ergibt.
Sind personenbezogene Daten von den Penetrationstests betroffen, so sollten Mitarbeiter direkt und ggf. der Betriebsrat / Personalrat bzw. die Mitarbeitervertretung über die geplanten Tests informiert werden, wobei konkrete Maßnahmen im Einzelfall entschieden werden sollten.
Bei Verletzung der Mitarbeiterrechte können hohe Sanktionen (Bußgelder von bis zu 300.000 € bis hin zu einer Freiheitsstrafe von bis zu drei Jahren) die Folge sein. Ab Mai 2018, mit Geltung der Datenschutz-Grundverordnung, sind Sanktionen im Datenschutz von 20 Millionen Euro und mehr denkbar.
Kosten des Penetrationstests
Ebenso wie der Ablauf kann auch der Preis eines Pentest nicht genau ermittelt werden, da dieser auch von bestimmten Faktoren, wie beispielsweise von der Unternehmensgröße, Unternehmensstandort, Erfahrung und Qualifikation des Pentesters etc. abhängt.
Primär wird der Preis durch den Aufwand und Tagessatz ermittelt.
Nachbearbeitung des Pentests
Der Pentest an sich ist nichts wert, sofern keine geeigneten Maßnahmen unternommen werden, um die – durch den Test – ermittelten Sicherheitslücken zu beheben. Es ist daher sinnvoll, eine Nachbesprechung – beispielsweise in Form eines Workshops – durchzuführen. Diese könnten für Fragen bezüglich der Schwachstellen und der Bewertung der identifizierten Abweichungen genutzt werden. Mithilfe des beauftragen Dienstleisters und anderer dafür beauftragter und zuständiger Stellen können dann geeignete Gegenmaßnahmen getroffen werden, welche nicht nur die Schwachstellen beheben, sondern auch datenschutzrechtlich vertretbar sind.
Fazit
Die Durchführung eines Pentests ist eine sinnvolle, aber kostenintensive Kontrollmaßnahme für Unternehmen. Die Pentests bieten zwar keine vollumfängliche, jedoch eine qualifizierte Sicherheit gegen das Eindringen Dritter (ungewollter Hacker) in das Unternehmenssystem. Es sollte allerdings beachtet werden, dass der Pentest nur eine Risikoanalyse bzw. ein Check ist, die einer Auswertung und Umsetzung bedürfen. Für die Integration der Maßnahmen zur Behebung der Sicherheitslücken ist es daher erforderlich einen Experten einzubinden, damit eine datenschutzrechtliche und technisch adäquate Lösung gefunden werden kann.