Legaler Rahmen — wichtiger als die Tools
Deutschland:
- § 202a StGB: Ausspähen von Daten — strafbar ohne Einwilligung.
- § 202c StGB („Hacker‑Paragraph"): Vorbereiten von Hacker‑Tools, dual‑use heikel.
- § 303a, 303b StGB: Datenveränderung, Computer‑Sabotage.
- BDSG / DSGVO: personenbezogene Daten dürfen nicht weiterverarbeitet werden.
Was vor jedem Test stehen MUSS:
- Authorization Letter mit Unterschrift des Geschäftsführers.
- Scope: welche IPs, Domains, Dienste.
- Out‑of‑Scope: was NICHT angefasst werden darf.
- Zeitfenster mit Start/Ende.
- Eskalationskontakt bei kritischem Fund.
- Datenschutz‑Klauseln + Geheimhaltung.
Standards:
- OSSTMM — methodisch.
- PTES — Pentesting Execution Standard.
- OWASP Testing Guide — Web.
- NIST SP 800‑115 — US‑Standard.
Zurück zu Technik