Datenschutzkonforme Penetrationstests

Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Hierzu werden die Erfolgsaussichten eines vorsätzlichen Angriffs auf einen Informationsverbund oder ein einzelnes IT-System eingeschätzt und daraus notwendige ergänzende Sicherheitsmaßnahmen abgeleitet beziehungsweise die Wirksamkeit von bereits umgesetzten Sicherheitsmaßnahmen überprüft. Im Detail werden dabei die installierten IT-Anwendungen (Webanwendung, Mailserver, etc.) beziehungsweise die zugrunde liegenden Trägersysteme (Betriebssystem, Datenbank, etc.) überprüft (vgl. “ BSI: Ein Praxis-Leitfaden für IS-Penetrationstests“ ).

Übliche Prüfobjekte sind u.a.

• Netzkoppelelemente (Router, Switches, Gateways)
• Sicherheitsgateways (Firewalls, Paketfilter, Intrusion Detection System, Virenscanner etc.)
• Server (Datenbankserver, Webserver, Fileserver, Speichersysteme etc.)
• Telekommunikationsanlagen
• Webanwendungen (Internetauftritt, Vorgangsbearbeitung, Webshop)
• Clients
• Drahtlose Netze (WLAN, Bluetooth)
• Infrastruktureinrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung)

Sollen innerhalb einer Organisation Penetrationstests durchgeführt werden, ist in aller Regel die Fachabteilung Informationssicherheit federführend. Jedoch bedingt die interdisziplinäre Thematik naturgemäß die Einbindung weiterer Fachabteilungen, wie bspw. IT, Recht, Sicherheit und auch Datenschutz. Müssen bspw. Vereinbarungen zur Auftragsverarbeitung abgeschlossen werden oder sind NDA mit dem Dienstleister zu schließen? Sind Speicherzeiten bzw. Löschfristen für die im Rahmen des Pentests verwerndet Daten verein bart worden? Ist an die Transparenzanforderungen bzw. an die Benachrichtigung von betroffenen Personen (Mitarbeitrern, Geschäftspartners gedacht worden?

Beauftragt der Verantwortliche eine andere Stelle mit der Durchführung von Penetrationstests, müssen regelmäßig die Voraussetzungen der Auftragsverarbeitung gemäß Art. 4 Nr. 8, Art. 28 DS-GVO eingehalten werden. Insbesondere muss grundsätzlich ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden, der den Anforderungen von Art. 28 Abs. 3 DS-GVO genügt.

Der Datenschutz muss zu jeder Zeit gewährleistet bleiben. Wenn personenbezogene Daten von einem IS-Penetrationstest betroffen sind, so muss der Datenschutzbeauftragte und gegebenenfalls auch die Personalvertretung der beauftragenden Institution vor den Tests einbezogen werden.

Insbesondere diesen datenschutzrechtlichen Part betrachtet der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in seinem 32. Tätigkeitsbericht unter der Ziffer 12.1. „Datenschutzrechtliche Anforderungen für Penetrationstests“.
Dabei geht der der BayLfD insbesondere auf folgende datenschutzrechtlichen Aspekte von Penetrationstests ein:

• Klassifizierung eines Penetrationstests
• Zweckfestlegung
• Durchführende Stellen und Personen
• Speicherbegrenzung
• Rechenschaftspflicht

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

(Foto: leowolfert – stock.adobe.com)