1. Home
  2. Datenschutzkonforme ...
DataAgenda

Datenschutzkonforme Penetrationstests

Pentest und Datenschutz

Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Hierzu werden die Erfolgsaussichten eines vorsätzlichen Angriffs auf einen Informationsverbund oder ein einzelnes IT-System eingeschätzt und daraus notwendige ergänzende Sicherheitsmaßnahmen abgeleitet beziehungsweise die Wirksamkeit von bereits umgesetzten Sicherheitsmaßnahmen überprüft. Im Detail werden dabei die installierten IT-Anwendungen (Webanwendung, Mailserver, etc.) beziehungsweise die zugrunde liegenden Trägersysteme (Betriebssystem, Datenbank, etc.) überprüft (vgl. “ BSI: Ein Praxis-Leitfaden für IS-Penetrationstests“ ).

Übliche Prüfobjekte sind u.a.

• Netzkoppelelemente (Router, Switches, Gateways)
• Sicherheitsgateways (Firewalls, Paketfilter, Intrusion Detection System, Virenscanner etc.)
• Server (Datenbankserver, Webserver, Fileserver, Speichersysteme etc.)
• Telekommunikationsanlagen
• Webanwendungen (Internetauftritt, Vorgangsbearbeitung, Webshop)
• Clients
• Drahtlose Netze (WLAN, Bluetooth)
• Infrastruktureinrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung)

Sollen innerhalb einer Organisation Penetrationstests durchgeführt werden, ist in aller Regel die Fachabteilung Informationssicherheit federführend. Jedoch bedingt die interdisziplinäre Thematik naturgemäß die Einbindung weiterer Fachabteilungen, wie bspw. IT, Recht, Sicherheit und auch Datenschutz. Müssen bspw. Vereinbarungen zur Auftragsverarbeitung abgeschlossen werden oder sind NDA mit dem Dienstleister zu schließen? Sind Speicherzeiten bzw. Löschfristen für die im Rahmen des Pentests verwerndet Daten verein bart worden? Ist an die Transparenzanforderungen bzw. an die Benachrichtigung von betroffenen Personen (Mitarbeitrern, Geschäftspartners gedacht worden?

Beauftragt der Verantwortliche eine andere Stelle mit der Durchführung von Penetrationstests, müssen regelmäßig die Voraussetzungen der Auftragsverarbeitung gemäß Art. 4 Nr. 8, Art. 28 DS-GVO eingehalten werden. Insbesondere muss grundsätzlich ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden, der den Anforderungen von Art. 28 Abs. 3 DS-GVO genügt.

Der Datenschutz muss zu jeder Zeit gewährleistet bleiben. Wenn personenbezogene Daten von einem IS-Penetrationstest betroffen sind, so muss der Datenschutzbeauftragte und gegebenenfalls auch die Personalvertretung der beauftragenden Institution vor den Tests einbezogen werden.

Insbesondere diesen datenschutzrechtlichen Part betrachtet der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in seinem 32. Tätigkeitsbericht unter der Ziffer 12.1. „Datenschutzrechtliche Anforderungen für Penetrationstests“.
Dabei geht der der BayLfD insbesondere auf folgende datenschutzrechtlichen Aspekte von Penetrationstests ein:

  • Klassifizierung eines Penetrationstests
  • Zweckfestlegung
  • Durchführende Stellen und Personen
  • Speicherbegrenzung
  • Rechenschaftspflicht

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

(Foto: leowolfert – stock.adobe.com)

Letztes Update:30.06.23

Verwandte Produkte

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner