PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage zum IT-Sicherheitsgesetz


c000005
03.08.2015, 15:09
Hi,
das IT-Sicherheitsgesetzt regelt ja das bei einem Sicherheitsvorfall bzw. dem Abfluss von Daten eine entsprechende Meldung gemacht werden muss.
Schön und gut, aber wie geht man damit um, wenn man als Penetrationstester plötzlich unabsichtlich an Daten kommt die einen "nichts angehen".

Beispiel:
Der Pentester testet ein System und ein Crawler schlägt an und findet ein MYSQL-Datenbankbackup mit 100k Kundendaten.

Ist das ein "Sicherheitsvorfall" im Rahmen des Gesetzes?
Der Penetrationstester handelt ja im Auftrag des Unternehmens und sichert Vertraulichkeit vertraglich zu.

Ich schätze das so ein "Vorfall" nicht von dem Gesetz abgedeckt ist und keine Meldepflicht dafür besteht. Es handelt sich ja um einen gewollten / simmulierten Angriff.

Beste Grüße
Jut4h.tm
04.08.2015, 09:47
Als richtiger Pentester solltest du diese Daten nicht auslesen, es reicht wenn du diese Lücke aufdeckst.
Außerdem musst du als Pentester ein NDA unterschreiben, was das ganze auch wieder Gesetzlich abdeckt. Egal was du dabei gelesen hast, du darfst davon nichts weitergeben oder drüber reden.
c000005
04.08.2015, 23:52
Es geht um das IT-Sicherheitsgesetz an sich, nicht um wie sich ein Pentester generell zu verhalten hat.
H4wk
06.08.2015, 23:03
Das Problem bei dem Thema ist, das es noch keine angepassten IT Gesetze in Deutschland hinsichtlich Pentesting gibt. Das IT-Sicherheitsgesetz ist in der Hinsicht eher "gegen" die Pentester und ermöglicht kein einfaches pentesting.

Beispiel:

Pentester A findet eine große Lücke bei einer Firma und schreibt diese an. Große Firma sagt: "Halt die Klappe, wir fixxen das und wenn du es public machst verklagen wir dich". Pentester A erzählt es seinen ganzen Freunden und die Firma verliert viele Kunden. Verklagt daraufhin Pentester A. Wahrscheinlichkeit einer Verurteilung ist recht hoch, schätze so 95 %. Ende.

Pentester B findet eine große Lücke bei einer Firma die ihn beauftragt hat. Er hat die notwendingen Unterlagen wie z.B. ein NDA unterschrieben. Große Firma bedankt sich und gibt ihm Geld. Ende.

Pentester C findet eine große Lücke bei einer Firma und meldet diese dem Unternehmen. Dieses bedankt sich und sagt dem Pentester das er nichts an die Öffentlichkeit weitergeben soll. Dieser hält sich daran und bekommt manchmal eine kleine Geldsumme (falls die ein Bug Bounty Programm haben). Ende.

Hoffe das gibt auch denen die nicht so tief im Thema drinnen sind einen Überblick der momentanen Rechtslage.

Viele Grüße,

H4wk