41: Pentesting aus Strafrechts- und Vertragssicht

Frank und Nina Wagner (MindBytes) sprechen am 30.11.2023 über die Rechtshürden von Pentesting (und Red Teaming): was aus Strafrechts- und Vertragssicht problematisch sein kann, welche Hürden man nehmen muss und wie das praxisnah funktioniert.

00:55 Vorstellung Thema und Nina

Nina und Frank beleuchten Pentesting und Red Teaming als Maßnahme zur Steigerung von IT-Sicherheit durch das Aufdecken von Schwachstellen in Systemen. Je nach Gegenstand des jeweiligen Tests (z. B. einzelne Portale wie Online-Banking oder ganze Firmenumgebungen) werden unterschiedlich offene oder verdeckte Maßnahmen in Abstimmung mit dem gepentesteten Unternehmen ergriffen.

Das Ergebnis eines Pentests ist ein Bericht über die gefundenen Schwachstellen mit Empfehlungen zur Behebung bzw. Abschwächung von Schwachstellen.

Zur Verdeutlichung des Unterschiedes zwischen Pentesting und Red Teaming schildert Nina Beispiele, bei denen die unterschiedlichen Methoden zu unterschiedlichen Ergebnissen geführt haben.

Kernthemen des Podcasts

• Ablauf von Pentest-Projekten
• Strafrechtshürden beim Pentesting
• Kritische Punkte bei der Vertragsbeziehung zwischen Pentestern und ihren Kunden
• Tipps für Pentester und ihre Kunden, um die rechtlichen Hürden souverän zu nehmen.

15:35 Ablauf von Pentesting-Projekten

Vorbereitung

• Abstimmung zu Testgegenstand und Ziel, dabei Fokus setzen und absehbare Worst-Case-Szenarien definieren
• Organisatorische und technische Vorbereitung, z. B. Bereitstellen von Benutzerkonten oder Zugriff und ggf. Anlegen von Backups von Daten/Systemen

Durchführung des Pentests

• Schwachstellensuche aus der Perspektive von Angreifern
• Unverzügliche Meldung kritischer Schwachstellen (ansonsten Dokumentation, s. Nachbereitung)

Nachbereitung

• Dokumentation der Ergebnisse des Pentests
• Beleuchtung der Schwachstellen mit Einschätzung der Risiken und Szenarien, in denen die Schwachstellen ausnutzbar sind
• Empfehlungen zur priorisierten Behebung der Schwachstellen
• Abschlussgespräch

22:38 Rechtsprobleme beim Pentesting

Fokus der Folge sind potenzielle Strafbarkeit und Hürden bei der Vertragsgestaltung rund um Pentesting.

25:25 Strafbarkeit

Vorsatzdelikte: Das heißt, der Vorsatz muss sich auf die objektiven Tatbestandsmerkmale beziehen, also sozusagen "das, was da in der Vorschrift steht".

Zu Beginn wird (bedingter) Vorsatz von (bewusster) Fahrlässigkeit abgegrenzt.

29:45 § 202a StGB -- Ausspähen von Daten

“(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.”

Kernaussagen:

• Reine Portscans sind strafrechtlich unbedenklich, weil dabei keine Zugangssicherung überwunden wird.
• Dasselbe gilt aber auch für aktive Suchen nach Schwachstellen, solange keine Zugangssicherungen überwunden werden.
• Um sich nicht bei der Überwindung von Zugangssicherung nicht strafbar zu machen, muss die Handlung "befugt", also mit Erlaubnis des Kunden stattfinden. Deshalb ist die eindeutige Dokumentation der Systeme/Dienste wichtig, die vom Pentest umfasst sein sollen.

36:03 § 202b StGB -- Abfangen von Daten

Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.

Kernaussagen:

• Diese Vorschrift ist sozusagen die TK-Variante von § 202a StGB. Hier ist data in transit statt wie vorher data at rest umfasst.
• Problematisch wohl vor allem: Einsatz von network sniffer-Software.
• Das Einholen des Einverständnisses ist hier schwierig, weil man vorher oft nicht weiß, wessen Daten "abgefangen" werden. Denn Strafbarkeit entfällt nicht wegen im Nachhinein eingeholter Einverständniserklärungen.

40:50 § 202c StGB -- Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
   herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
   (2) § 149 Abs. 2 und 3 gilt entsprechend.

Kernaussagen:

• Vorbereitungsdelikt für die bisher schon besprochenen § 202a und § 202b StGB
• Das Einverständnis des Rechteinhabers/Kunden ist auch hier kritisch.

42:33 § 303a StGB -- Datenveränderung

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

Kernaussagen:

• Pentesting umfasst regelmäßig nicht das planmäßige Löschen von Daten.
• Datenveränderung ist möglich, wird aber normalerweise zur Sicherheit mit Dummy-Daten zur Demonstration des Risikos der jeweiligen Schwachstelle gemacht.

§ 303b StGB -- Computersabotage

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er

1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,
   wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Kernaussagen:

• DoS-/DDoS-Attacken sind strafbar, aber bei Pentests fast nie gewünscht oder relevant, weil darüber keine Erkenntnis gewonnen werden kann.

---

47:20 Hürden bei der Vertragsgestaltung

Die Vertragsbeziehung zwischen Pentestern und deren Kunden ist komplizierter als oft angenommen.

Frank und Nina besprechen, wie in der Praxis empfohlenerweise dokumentiert wird, sprechen über Schriftform und Textform, über Urkunden, PDF-Scans und Unterschriften auf Papier, wie ein Angebot angenommen werden sollte und wie man souverän AGB eingebunden bekommt.

53:24 Definition der geschuldeten Leistung und des Testgegenstandes

• Empfohlener Maßstab: "Empfängerhorizont" (Verständnis des Kunden)
• Im Zweifel klären, dass Pentesting mehr ist als ein Schwachstellen-Scan, dass es aber weder eine Garantie bietet, dass der Bericht alle vorhandenen Schwachstellen aufdeckt, noch dass Pentesting selbst Schwachstellen behebt.
• Möglichst klare Definition der zu testenden IT-Infrastruktur und der verwendeten Begriffe (wo nicht legaldefiniert)
• Definition der Maßnahmen in Bezug auf die getesteten IT-Infrastruktur
• Dokumentation auch und besonders wichtig bei Change Requests

61:48 Definition der Pflichten des Kunden

• Absicherung (durch den Kunden) der IT-Infrastruktur, die (halbwegs) realistisch bei planwidrig eintretenden Phänomenen
• Planung der Ressourcen (inkl. Mitarbeitenden) des Kunden bei der Pentest-Durchführung, um im worst case schnell reagieren zu können
• Hinweispflicht des Kunden beim Eintritt unerwarteter Ereignisse
• Out-of-Jail-Karten (beim Red Teaming vor Ort)

64:35 Haftung für Schäden beim Pentesting

• Haftung kann nicht für Vorsatz und grobe Fahrlässigkeit ausgeschlossen werden. Das liegt vor allem an deutschen AGB-rechtlichen Rahmenbedingungen, nach denen weder mehrdeutige noch überraschende noch (den Vertragspartner) unzumutbar benachteiligenden Klauseln wirksam in AGB vereinbart werden können.
• Pentesting kann den Ausschluss von Haftung bei planwidrig eintretenden Schäden wegen Nähe zu Kardinalpflichten schwierig machen. Auch deshalb ist transparente Definition der Maßnahmen und Risiken wichtig, um die Kern-/Kardinalpflicht erkennbar zu machen und von nicht absehbaren Ereignissen abzugrenzen.
• Vermögensschadenhaftpflichtversicherungen sind eine oft geforderte und realistische Option.

71:05 Pentesting ist regelmäßig Auftragsverarbeitung nach Art. 28 DSGVO

• Abschluss von Auftragsvereinbarungen sind Pflicht des getesteten Unternehmens.

73:22 Fazit

Für Pentester

• Rechtich (noch) schwierigerer Bereich.
• Das Einverständnis des getesteten Unternehmens lässt fast alle Strafbarkeit entfallen, aber die klare Dokumentation des Testgegenstandes und der Leistungen ist entscheidend.
• Die Dokumentation ist bei Change Requests besonders wichtig.

Für getestete Unternehmen

• Vorbereitung in organisatorischer und technischer Hinsicht ist kritisch: besser kontrolliert testen und im Extremfall reparieren als unvorbereitet gekapert zu werden
• Pentests sind kein Heilmittel, sondern nur eine (wichtige) Maßnahme auf dem Weg zur Heilung.
• Pentests sind in manchen Szenarien ein "Punkt zum Abhaken" auf Checklisten. Das verschleiert oft den Blick auf die tatsächlich nötigen Maßnahmen.

Feedback und Wünsche gern per E-Mail an podcast@stiegler.legal und [Ninas/MindBytes-E-Mail-Adresse], außerdem über Mastodon an @legal_bits oder https://legal.social/@legalwiestiegler!