Ergebnis 1 bis 4 von 4
  1. #1
    Anfänger
    Registriert seit
    07.05.2015
    Beiträge
    26

    Standard Frage zum IT-Sicherheitsgesetz

    Hi,
    das IT-Sicherheitsgesetzt regelt ja das bei einem Sicherheitsvorfall bzw. dem Abfluss von Daten eine entsprechende Meldung gemacht werden muss.
    Schön und gut, aber wie geht man damit um, wenn man als Penetrationstester plötzlich unabsichtlich an Daten kommt die einen "nichts angehen".

    Beispiel:
    Der Pentester testet ein System und ein Crawler schlägt an und findet ein MYSQL-Datenbankbackup mit 100k Kundendaten.

    Ist das ein "Sicherheitsvorfall" im Rahmen des Gesetzes?
    Der Penetrationstester handelt ja im Auftrag des Unternehmens und sichert Vertraulichkeit vertraglich zu.

    Ich schätze das so ein "Vorfall" nicht von dem Gesetz abgedeckt ist und keine Meldepflicht dafür besteht. Es handelt sich ja um einen gewollten / simmulierten Angriff.

    Beste Grüße

  2. #2
    Moderator Avatar von Jut4h.tm
    Registriert seit
    25.06.2006
    Beiträge
    792

    Standard AW: Frage zum IT-Sicherheitsgesetz

    Als richtiger Pentester solltest du diese Daten nicht auslesen, es reicht wenn du diese Lücke aufdeckst.
    Außerdem musst du als Pentester ein NDA unterschreiben, was das ganze auch wieder Gesetzlich abdeckt. Egal was du dabei gelesen hast, du darfst davon nichts weitergeben oder drüber reden.

  3. #3
    Anfänger
    Registriert seit
    07.05.2015
    Beiträge
    26

    Standard AW: Frage zum IT-Sicherheitsgesetz

    Es geht um das IT-Sicherheitsgesetz an sich, nicht um wie sich ein Pentester generell zu verhalten hat.

  4. #4
    Trojaner Avatar von H4wk
    Registriert seit
    01.05.2015
    Beiträge
    56

    Standard AW: Frage zum IT-Sicherheitsgesetz

    Das Problem bei dem Thema ist, das es noch keine angepassten IT Gesetze in Deutschland hinsichtlich Pentesting gibt. Das IT-Sicherheitsgesetz ist in der Hinsicht eher "gegen" die Pentester und ermöglicht kein einfaches pentesting.

    Beispiel:

    Pentester A findet eine große Lücke bei einer Firma und schreibt diese an. Große Firma sagt: "Halt die Klappe, wir fixxen das und wenn du es public machst verklagen wir dich". Pentester A erzählt es seinen ganzen Freunden und die Firma verliert viele Kunden. Verklagt daraufhin Pentester A. Wahrscheinlichkeit einer Verurteilung ist recht hoch, schätze so 95 %. Ende.

    Pentester B findet eine große Lücke bei einer Firma die ihn beauftragt hat. Er hat die notwendingen Unterlagen wie z.B. ein NDA unterschrieben. Große Firma bedankt sich und gibt ihm Geld. Ende.

    Pentester C findet eine große Lücke bei einer Firma und meldet diese dem Unternehmen. Dieses bedankt sich und sagt dem Pentester das er nichts an die Öffentlichkeit weitergeben soll. Dieser hält sich daran und bekommt manchmal eine kleine Geldsumme (falls die ein Bug Bounty Programm haben). Ende.

    Hoffe das gibt auch denen die nicht so tief im Thema drinnen sind einen Überblick der momentanen Rechtslage.

    Viele Grüße,

    H4wk

Ähnliche Themen

  1. [Global] Bundestag verabschiedet IT-Sicherheitsgesetz
    Von N4dja im Forum Globale News / Szene News
    Antworten: 0
    Letzter Beitrag: 19.06.2015, 16:04
  2. [FRAGE]Hoch-Sicherheits-Passwort??[FRAGE]
    Von Mﮇx ǿηe im Forum Sicherheit
    Antworten: 24
    Letzter Beitrag: 12.11.2008, 23:06
  3. Frage O_o?^^
    Von Alpha01 im Forum Sonstiges
    Antworten: 0
    Letzter Beitrag: 22.08.2007, 15:52

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •