Hi,
das IT-Sicherheitsgesetzt regelt ja das bei einem Sicherheitsvorfall bzw. dem Abfluss von Daten eine entsprechende Meldung gemacht werden muss.
Schön und gut, aber wie geht man damit um, wenn man als Penetrationstester plötzlich unabsichtlich an Daten kommt die einen "nichts angehen".

Beispiel:
Der Pentester testet ein System und ein Crawler schlägt an und findet ein MYSQL-Datenbankbackup mit 100k Kundendaten.

Ist das ein "Sicherheitsvorfall" im Rahmen des Gesetzes?
Der Penetrationstester handelt ja im Auftrag des Unternehmens und sichert Vertraulichkeit vertraglich zu.

Ich schätze das so ein "Vorfall" nicht von dem Gesetz abgedeckt ist und keine Meldepflicht dafür besteht. Es handelt sich ja um einen gewollten / simmulierten Angriff.

Beste Grüße