1. Home
  2. Datenschutzkonforme ...
DataAgenda

Datenschutzkonforme Penetrationstests

Pentest und Datenschutz

Ein IS-Penetrationstest ist ein erprobtes und geeignetes Vorgehen, um das Angriffspotenzial auf ein IT-Netz, ein einzelnes IT-System oder eine (Web-)Anwendung festzustellen. Hierzu werden die Erfolgsaussichten eines vorsätzlichen Angriffs auf einen Informationsverbund oder ein einzelnes IT-System eingeschätzt und daraus notwendige ergänzende Sicherheitsmaßnahmen abgeleitet beziehungsweise die Wirksamkeit von bereits umgesetzten Sicherheitsmaßnahmen überprüft. Im Detail werden dabei die installierten IT-Anwendungen (Webanwendung, Mailserver, etc.) beziehungsweise die zugrunde liegenden Trägersysteme (Betriebssystem, Datenbank, etc.) überprüft (vgl. “ BSI: Ein Praxis-Leitfaden für IS-Penetrationstests“ ).

Übliche Prüfobjekte sind u.a.

• Netzkoppelelemente (Router, Switches, Gateways)
• Sicherheitsgateways (Firewalls, Paketfilter, Intrusion Detection System, Virenscanner etc.)
• Server (Datenbankserver, Webserver, Fileserver, Speichersysteme etc.)
• Telekommunikationsanlagen
• Webanwendungen (Internetauftritt, Vorgangsbearbeitung, Webshop)
• Clients
• Drahtlose Netze (WLAN, Bluetooth)
• Infrastruktureinrichtungen (Zutrittskontrollmechanismen, Gebäudesteuerung)

Sollen innerhalb einer Organisation Penetrationstests durchgeführt werden, ist in aller Regel die Fachabteilung Informationssicherheit federführend. Jedoch bedingt die interdisziplinäre Thematik naturgemäß die Einbindung weiterer Fachabteilungen, wie bspw. IT, Recht, Sicherheit und auch Datenschutz. Müssen bspw. Vereinbarungen zur Auftragsverarbeitung abgeschlossen werden oder sind NDA mit dem Dienstleister zu schließen? Sind Speicherzeiten bzw. Löschfristen für die im Rahmen des Pentests verwerndet Daten verein bart worden? Ist an die Transparenzanforderungen bzw. an die Benachrichtigung von betroffenen Personen (Mitarbeitrern, Geschäftspartners gedacht worden?

Beauftragt der Verantwortliche eine andere Stelle mit der Durchführung von Penetrationstests, müssen regelmäßig die Voraussetzungen der Auftragsverarbeitung gemäß Art. 4 Nr. 8, Art. 28 DS-GVO eingehalten werden. Insbesondere muss grundsätzlich ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden, der den Anforderungen von Art. 28 Abs. 3 DS-GVO genügt.

Der Datenschutz muss zu jeder Zeit gewährleistet bleiben. Wenn personenbezogene Daten von einem IS-Penetrationstest betroffen sind, so muss der Datenschutzbeauftragte und gegebenenfalls auch die Personalvertretung der beauftragenden Institution vor den Tests einbezogen werden.

Insbesondere diesen datenschutzrechtlichen Part betrachtet der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in seinem 32. Tätigkeitsbericht unter der Ziffer 12.1. „Datenschutzrechtliche Anforderungen für Penetrationstests“.
Dabei geht der der BayLfD insbesondere auf folgende datenschutzrechtlichen Aspekte von Penetrationstests ein:

  • Klassifizierung eines Penetrationstests
  • Zweckfestlegung
  • Durchführende Stellen und Personen
  • Speicherbegrenzung
  • Rechenschaftspflicht

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

(Foto: leowolfert – stock.adobe.com)

Letztes Update:30.06.23

Verwandte Produkte

Das könnte Sie auch interessieren

  • BSI IT-Grundschutz++

    BSI veröffentlicht Methodikleitfaden für Grundschutz++

    Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.

    Mehr erfahren
  • Podcast-Folge 91 der Data Agenda mit Prof. Dr. Schwartmann und Céleste Spahić im Experten-Talk über Daten und Digitalisierung.

    Folge 91: KI-Kompetenz und KI-Kompetenzen

    KI ist ein Werkzeug, welches vielfältig eingesetzt wird. Das erfordert Verständnis für die neue Technik und Kompetenz für den Einsatz. Allerdings kann KI auch Kompetenzen in Menschen entfalten und gezielt eingesetzt werden, um sich seiner selbst bewusster zu werden. Wie das gehen kann, erklärt die Buchautorin Céleste Spahić im DataAgenda Datenschutz Podcast. Weitere ThemenFolge 82:

    Mehr erfahren
  • Arbeitszeiterfassung datenschutzkonform

    Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem

    Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner