Technik 2.3 — Penetration-Testing

Legaler Rahmen — wichtiger als die Tools

Deutschland:
  • § 202a StGB: Ausspähen von Daten — strafbar ohne Einwilligung.
  • § 202c StGB („Hacker‑Paragraph"): Vorbereiten von Hacker‑Tools, dual‑use heikel.
  • § 303a, 303b StGB: Datenveränderung, Computer‑Sabotage.
  • BDSG / DSGVO: personenbezogene Daten dürfen nicht weiterverarbeitet werden.
Was vor jedem Test stehen MUSS:
  • Authorization Letter mit Unterschrift des Geschäftsführers.
  • Scope: welche IPs, Domains, Dienste.
  • Out‑of‑Scope: was NICHT angefasst werden darf.
  • Zeitfenster mit Start/Ende.
  • Eskalationskontakt bei kritischem Fund.
  • Datenschutz‑Klauseln + Geheimhaltung.
Standards:
  • OSSTMM — methodisch.
  • PTES — Pentesting Execution Standard.
  • OWASP Testing Guide — Web.
  • NIST SP 800‑115 — US‑Standard.
Zurück zu Technik