Unternehmensvorstände sind gesetzlich verpflichtet, mögliche Risiken fürs Business zu minimieren. Sicherheitsanalysen und Penetrationstest durch Dienstleister helfen ihnen dabei - solche Methoden bewegen sich aber oft im juristischen Graubereich. Was ist also vorher vertraglich zu regeln?
Der Schutz von Daten ist in Deutschland ein hohes Gut: Neben dem Schutz des Post- und Fernmeldegeheimnisses und dem Schutz so genannter fremder Geheimnisse vor Verwertung gibt es Gesetze zum Schutz vor Computerbetrug, Datenveränderung und Computersabotage. Von besonders hoher Relevanz ist der so genannte "Hackerparagraph" (§202c StGB): Dieser bestimmt, dass nicht nur die Vorbereitung des Ausspähens und Abfangens von Daten als Tatbestand genügen. Schon die Beschaffung und die Verbreitung von Zugangscodes zu geschützten Daten sowie die Herstellung und der Einsatz geeigneter Werkzeuge ("Hackertools") werden als Vorbereitung einer Straftat gewertet, die mit einer Freiheitsstrafe geahndet werden kann. Dabei ist es nicht einmal mehr erforderlich, sich die Daten anzueignen oder Einsicht zu nehmen.
Wer Pentester und Security Analysts im Auftrag beschäftigt, muss rechtssichere Dienstleisterverträge abschließen, um nicht in Teufels Küche zu kommen. Foto: Martin Fally - Fotolia.com
Auch wer unautorisiert in ein Firmennetzwerk eindringt und die Ergebnisse als "besonderes Mittel" für den Vertrieb seiner Dienstleistungen rund um IT-Sicherheit verwendet oder - um den Druck auf den potenziellen Auftraggeber zu erhöhen - die Ergebnisse veröffentlicht, macht sich strafbar.
Es hängt an der Zustimmung des Auftraggebers
Ist der Auftraggeber ausdrücklich damit einverstanden, dass in seiner Organisation eine Sicherheitsanalyse oder ein Penetrationstest vollzogen wird, ist für den Gesetzgeber alles in Ordnung. Deshalb werden seriöse Testanbieter zuvor immer die ausdrückliche Zustimmung für solche Analysen einholen, und zwar bei einem vertretungsberechtigten Mitglied der Organisation, beispielsweise dem Geschäftsführer, Prokuristen oder bei dem mit einer Sondervollmacht ausgestatteten IT-Leiter.
Gartner: Wie Security einen Unternehmenswert erzeugt
Formalisieren Sie Risiko-Management und IT-Security Gießen Sie Ihr Risiko- und IT-Sicherheits-Management in eine wiederhol- und messbare Form. Diese umfasst in der Regel vier Phasen: Governance, Planung, Aufbau und Betrieb.
Messen Sie den Reifegrad Nutzen Sie eine Reifegradskala, um Planungslücken und ungenutzte Chancen des IT-Security-Programms zu finden. Solch eine Skala ist überdies ein gutes Mittel, um solchen Entscheidungsträgern das Thema zu veranschaulichen, die mit Technologie nicht immer etwas anfangen können.
Fahren sie risikobasierte Ansätze Risiko-Management heißt auch, dass es den perfekten Schutz nicht gibt. Unternehmen sollten bewusste Entscheidungen über ihr Handeln und Nichthandeln fällen, was das Eingehen von Risiken betrifft. Das betrifft nicht nur die IT-Abteilungen, sondern vor allem auch die Nicht-IT-Bereiche. Über allem steht, das Risiko-Manager vorbeugende Ansätze befolgen, die Risiken von Anfang an minimieren. Schließlich sollen sie die Risiken steuern, und sich nicht von diesen steuern lassen.
Nutzen Sie Kennzahlen Wer im Risiko-Management tätig ist, muss Kennzahlen definieren, an denen er seine Geschäftsprozesse ausrichten kann. Das sind zum einen KPIs (Key Performance Indicators), zum anderen KRIs (Key Risk Indicators). Letztere sollten sich aber nicht nur auf IT-zentrierte Kennzahlen konzentrieren - sonst besteht die Gefahr, zu meinen, dass die Risiken ausschließlich von der IT ausgehen.
Passen Sie Ihre KRIs den KPIs an Die meisten Unternehmen arbeiten mit einer Fülle von Risiko- und Security-Kennzahlen. Auch wenn diese für interne Prozesse extrem wertvoll sind, haben sie doch meist nur einen geringen Wert für die Unternehmensentscheider. Gute KRIs sind deshalb einfach, messbar und haben einen direkten Einfluss auf viele der KPIs.
Entkoppeln Sie operative Messgrößen von der Vorstandskommunikation Verwenden Sie keine operativen Messgrößen auf Vorstandsebene. Entscheidern fehlt das Hintergrundwissen und das Training, mit diesen in einem Business-Kontext umzugehen.
Kommunizieren Sie klar, was geht und was nicht In einer risikobasierten Welt will eine Business-orientierte Zuhörerschaft genau wissen, welche Risiken drohen, welche Haltung ein Unternehmen dazu hat und was dagegen unternommen wird. Beantworten Sie diese Fragen für jeden verständlich, haben Sie den "Kampf" schon halb gewonnen.
Wichtig: Der Auftraggeber kann seine Zustimmung nur für Bereiche erteilen, die sich unter seiner Hoheit befinden. Damit steht bei Sicherheitsanalysen und Penetrationstests stets auch die Frage nach dem Besitzstand von Computersystemen, Software und Daten im Raum. Vor dem Beginn des Tests muss also Klarheit über den Testgegenstand bestehen - gegebenenfalls lässt sich die Organisation zuvor rechtlich beraten. Dies ist dann ratsam, wenn der Test Dienstleistungen oder Produkte betrifft, die Dritte betreiben, also beispielsweise Teile der IT-Infrastruktur, Server oder Rechenzentren.
Was sollte im Vertrag geregelt sein?
Beste Grundlage für eine Sicherheitsanalyse oder einen Penetrationstests ist ein Dienstleistungsvertrag. Darin sollten sowohl die ausdrückliche Zustimmung zur Analyse als auch der Umfang der Durchführung sowie der Zeitraum des Tests schriftlich dokumentiert werden. So lässt sich der konkrete Rahmen, für den die Zustimmung erteilt wird, für beide Seiten genau bestimmen.
Vertraglich festgelegt werden sollten darüber hinaus folgende Aspekte:
die Grundlagen und Risikoklassifizierung, denen der Test unterliegt;
die Art des Tests (Ausgangspunkt außen oder innen) sowie Aggressivität und Umfang;
Technik (Netzwerkzugang, physischer Zugang, Social Engineering, etc.);
Einzusetzende und auszuschließende Techniken und Systeme (beispielsweise Produktionsssteuerungssysteme);
Geheimhaltungshaltungsklausel.
Damit die Sicherheitsanalyse oder der Penetrationstest sachgemäß vorgenommen werden kann, sollte vor allem eine umfassende Geheimhaltungsklausel Bestandteil des Dienstleistungsvertrags sein. Denn der Auftraggeber muss den zuvor benannten Security Analysts unter Umständen umfangreiche Informationen zukommen lassen. Darüber hinaus ist es möglich, dass die Tester selbst an sensible Daten gelangen. Die Vereinbarung sollte alle Projektbeteiligten auf Seiten des Auftragnehmers miteinschließen.
So erkennen Sie Hacker auf Servern
Hacker I Der Process Explorer zeigt Prozesse auf Rechnern an und erlaubt eine umfassende Analyse.
Hacker II Bot-Schädlinge entfernen Sie mit kostenlosen Tools wie Norton Power Eraser.
Hacker III Auch zum Entfernen von Rootkits gibt es eigene Programme.
Hacker IV Überprüfen Sie, ob die Sicherheitseinstellungen Ihrer Empfangs-Connectoren manipuliert wurden.
Hacker V SmartSniff bietet einfachen Mitschnitt des aktuellen Netzwerkverkehrs auf einem Computer.
Hacker VI
Hacker VII Mit TCPView lassen Sie sich Netzwerkverbindungen von Servern anzeigen.
Hacker VIII Auch CurrPorts zeigt Ihnen übersichtlich die geöffneten Ports auf Ihren Servern an.
Hacker IX Mit netstat zeigen Sie ebenfalls Netzwerkverbindungen von Rechnern an.
Hacker X Die erweiterte Sicherheitsüberwachung in Windows Server 2012 R2 bietet einen wichtigen Überblick, zur Sicherheit der Benutzerkonten.
Sorgfaltspflicht gegenüber Mitarbeitern
Sind Mitarbeiter innerhalb der zu prüfenden Organisation vom Test betroffen, muss der Arbeitgeber dafür Sorge tragen, dass die Arbeitnehmerrechte in Bezug auf Datenschutz und Datensicherheit gewahrt sind. Basis sind die Bestimmungen des Bundesdatenschutzgesetzes BDSG sowie das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme", auch "IT-Grundrecht", "Computer-Grundrecht" oder "Grundrecht auf digitale Intimsphäre" genannt. Hier handelt es sich um einen im Allgemeinen Persönlichkeitsrecht verankerten Grundsatz, den das Bundesverfassungsgericht 2008 ausdrücklich formuliert hat. In diesem Zusammenhang kann im Einzelfall der Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung gemäß §11 BDSG erforderlich sein.
Einige wichtige §§ zum Mitarbeiterdatenschutz im Überblick. Das Strafmaß reicht von Geldbußen bis zu 300.000 € bis hin zu Freiheitsstrafen über drei Jahre. Foto: Stanislav Wittmann
Konsequenzen für den Betrieb
Den Verantwortlichen muss klar sein, dass sich Störungen innerhalb der IT-Infrastruktur ihrer Organisation im Rahmen einer Sicherheitsanalyse oder eines Penetrationstests nie völlig ausschließen lassen. Seriöse Anbieter klären Auftraggeber im Vorfeld über mögliche Risiken für den laufenden IT-Betrieb auf.
Bewährt hat sich eine Übereinkunft darüber, wie beide Seiten mit solchen Ereignissen umgehen sollten:
Sollen die Tester alle hochkritischen Systeme außer Acht lassen und nimmt der Auftraggeber dann in Kauf, dass die Ergebnisse einer Sicherheitsanalyse oder eines Penetrationstests nur von beschränkter Aussagekraft sind?
Oder sollte der simulierte Angriff außerhalb der Nutzungszeiten eines Systems erfolgen?
Wer ist im Notfall zu informieren?
Alle diese Vereinbarungen sind sinnvolle Bestandteile des Vertrages.
Auf einen Blick
Die wichtigsten juristischen Punkte auf einen Blick, die Auftraggeber am besten mit der Rechtsabteilung besprechen:
Prüfen Sie, welche Bereiche vom Test betroffen sind und ob Sie die Befugnis haben, dafür Ihre Zustimmung zu erteilen.
Sorgen Sie dafür, dass die Arbeitnehmerrechte in Bezug auf Datenschutz und Datensicherheit gewahrt bleiben. Möglicherweise ist eine Vereinbarung zur Auftragsdaten-verarbeitung gemäß §11 BDSG erforderlich.
Lassen Sie sich nicht unter Druck setzen. Unautorisierte "Probe-Hackings" sind strafbar. Seriöse Anbieter werden nur auf Zustimmung des Auftraggebers tätig.
Regeln Sie alle wichtigen Kernpunkte der Zusammenarbeit in einem schriftlichen Dienstleistungsvertrag. Er sollte auf jeden Fall eine Geheimhaltungsklausel enthalten.
So vorbereitet, steht einer reibungslosen Sicherheitsanalyse oder eines Penetrationstests nicht mehr im Wege. Die Erkenntnisse in Bezug auf mögliche Schwachstellen in der IT sind erfahrungsgemäß ein wertvoller Beitrag, um die Sicherheit der Organisation nachhaltig zu steigern. (sh)
Mehr zum Thema?
Wenn Sie sich für das Thema Schwachstellen-/Security-Analyse und Penetrationstesting interessieren, empfehlen wir auch die anderen Teile dieser Reihe:
Deutsche Security-Anbieter und ihre Marktaussichten
T-Systems Security Services für Unternehmenskunden gehören zu den Fokusthemen von T-Systems. Dabei werden auch die Risiken durch aktuelle Entwicklungen wie Mobile Enterprise und Big Data adressiert.
T-Systems Der Sicherheitstacho bietet ein Bild der aktuellen Bedrohungslage, wie sie die "Sicherheitssensoren" der Telekom wahrgenommen haben. Solche Bedrohungsanalysen helfen auch bei der Abwehr von Cyber-Attacken durch die Managed Security Services der Telekom.
G Data G Data bietet Lösungspakete für Internet- und Datensicherheit vom Basisschutz bis hin zur umfassenden Security Suite.
G Data Auch sicherheitsrelevante Aufgaben wie das Mobile Device Management (MDM) lassen sich mit Lösungen von G Data unterstützen.
antispameurope Auch bei einem Managed Security Service ist die hohe Verfügbarkeit des Supports entscheidend, zum Beispiel bei dem E-Mail- und Spam-Schutz von antispameurope.
antispameurope antispameurope bietet verschiedene Filterlösungen, mit denen sich der Internetverkehr der betrieblichen Nutzer steuern und damit sicherer machen lässt.
Avira Avira sichert speziell Endgeräte, Server und die Internetnutzung ab.
Avira Für Unternehmen gibt es auch eine zentrale Management-Konsole, um die Einstellungen für alle geschützten Endpunkte zu verwalten.
gateprotect gateprotect richtet sich an kleine und mittlere Unternehmen ebenso wie an Großunternehmen. Zusätzlich stehen spezielle Branchenlösungen zur Verfügung.
gateprotect Hervorzuheben ist das Angebot von gateprotect, Netzwerk- und Endpunktsicherheit aus einer Hand zu bekommen.
genua genua bietet unter anderem spezielle Firewall-Lösungen wie die vs-diode. Diese ermöglicht Einbahn-Datenverkehr mit bis zu 1 Gbit/s Durchsatz, in der Gegenrichtung wird der Abfluss von Informationen dagegen blockiert.
genua Die VPN-Appliance genucrypt 300s von genua dient der sicheren Vernetzung von Unternehmensstandorten. Damit adressiert genua das Risiko von Lauschangriffen auf Datenverbindungen.
NCP Die NCP Secure VPN GovNet Box ist eine hochsichere VPN-Lösung für die Geheimhaltungsstufe VS-NfD (Verschlusssache – Nur für den Dienstgebrauch) speziell für Ministerien, Behörden, die Bundeswehr und Firmen im Geheimschutzbereich.
NCP NCP bietet universelle VPN Clients für Windows, Android, OS X und Windows Mobile mit Kompatibilität zu allen gängigen VPN-Gateways.
secunet secunet bietet unter anderem Lösungen im Bereich der öffentlichen Sicherheit wie eGate als Zutritts- und Dokumentenkontrolle.
secunet SINA (Sichere Inter-Netzwerk Architektur) dient der sicheren Bearbeitung, Speicherung und Übertragung von Verschlusssachen (VS) sowie anderen sensiblen Daten und wird insbesondere bei Behörden, Streitkräften und Geheimschutz-betreuten Unternehmen eingesetzt.
Steganos Steganos Online Shield VPN ermöglicht eine verschlüsselte Datenverbindung und unterstützt die Anonymität im Internet, indem Tracking-Versuche blockiert und IP-Adressen verschleiert werden.
Steganos Die Steganos Privacy Suite vereint mehrere Datenschutz-Funktionen in sich wie Verschlüsselung, Passwort-Management und die Löschung von Nutzungsspuren auf dem gesicherten Endgerät.
Zertificon Z1 SecureMail Gateway ermöglicht die Kombination aus sicherer Verschlüsselung mittels PKI oder Passwort zusammen mit der De-Mail-Zustellung. So kann jede vertrauliche E-Mail auch als De-Mail versendet werden.
Zertificon Z1 SecureHub wurde für Situationen entwickelt, in denen große, sicherheitskritische Dateien an unterschiedliche Empfänger übertragen werden müssen, um den Beschränkungen bei E-Mail-Anhängen zu begegnen.
Secomba Boxcryptor von Secomba verschlüsselt Daten, bevor diese in die Cloud übertragen werden, auch auf mobilen Endgeräten.
Secomba Die Verschlüsselungslösung Boxcryptor unterstützt zahlreiche Cloud-Speicherdienste und ist somit flexibel einsetzbar.