#30DaysOfSecurityTesting – 7

Aufgabe 7: Learn one or more things about penetration testing

Penetrationtests und die deutsche Gesetzgebung

Mit Penetrationstests befindet man sich auf sehr dünnem Eis, das sollte der Pen-Test von Erfolge gekrönt sein, augenblicklich bricht. Laut deutscher Rechtsprechung sind Penetrationstests nur erlaubt, wenn der Testdurchführende eine eindeutige Befugnis durch den Eigentümer des Testobjekts besitzt (Quelle: Wikipedia).

Der „gute“ Vorsatz – ich will nur helfen und aufzeigen wo Sicherheitslücken sind – schützt in diesem Fall vor Strafe nicht. Den sobald man unberechtigt an Daten gelangt oder durch den Penetrationstest selbst technische Probleme auftreten (z.B. Serverausfall) ist es ein Fall für deutsche Gerichte. Wie ein Penetrationstest durchgeführt werden sollte, darüber hat das Bundesamt für Sicherheit in der Informationstechnik eine Studie erarbeitet, welches sich an Auftraggeber und Beauftragten gleichermaßen richtet – hier zur Studie.