Jump to content

Rechtliche Grundlage für Penetration Tests?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir wollen einen Penetration Test für eine Webserver durchführen und uns absichern, dass wir nicht als Hacker einbrechen sondern dazu beauftragt wurden.

 

Wie ist in Deutschland die Rechtslage dazu? Wir haben das bisher nur in UK gemacht, das gibt es ein spezielles Formular, welches unterzeichnet wird und beide Seiten sind zufrieden. Der Provider OVH in Deutschland kennt das aber nicht und will auch nichts unterzeichnen. Was aber wenn unser Angriff auswirkung auf benachbarte Server hat? :suspect:

 

Wer kann mir einen Tipp geben oder sagen wo es evtl. Informationen dazu gibt? Einen Anwalt haben wir schon befragt aber er hatte dazu auch keine verbindliche Antwort.

 

Danke!

 

Frank

Link zu diesem Kommentar

Einer von dessen Kunden.

 

 

Entweder den Provider fragen oder am besten bleiben lassen.

=> AGB des Providers lesen was aber ohne Rechtsberatung auch keine Absicherung (und mit auch nicht s. o.).

 

Wenn der Kunde keine Ausschlußklausel unterzeichnen möchte, dann riecht das schon ein bischen faul.

 

Auch wenn ihr im Falle des Falles, nur einen Angriff auf den gemietet Teil des Kunden macht, ist er nur Besitzer und der Eigentümer (Provider) hat immer noch das "Hoheitsrecht"

 

Aber wie dir schon geraten wurde, suche dir einen Anwalt der Ahnung von I-Net Recht hat :)

Link zu diesem Kommentar

.....Wenn der Kunde keine Ausschlußklausel unterzeichnen möchte, dann riecht das schon ein bischen faul.

 

Wohl nicht der Kunde, Auftraggeber für den Test will ein Einverständnis nicht unterzeichnen, der Provider oder Hoster des Kunden will es wohl nicht, so habe ich den Thread verstanden.

bearbeitet von lefg
Link zu diesem Kommentar
  • 2 Wochen später...

Hallo zusammen,

 

wir wollen einen Penetration Test für eine Webserver durchführen und uns absichern, dass wir nicht als Hacker einbrechen sondern dazu beauftragt wurden.

 

Der Provider OVH in Deutschland kennt das aber nicht und will auch nichts unterzeichnen. Was aber wenn unser Angriff auswirkung auf benachbarte Server hat? :suspect:

 

Wer kann mir einen Tipp geben oder sagen wo es evtl. Informationen dazu gibt? Einen Anwalt haben wir schon befragt aber er hatte dazu auch keine verbindliche Antwort.

Also, für mich als normalen EDVler gibt es zwei Fingerzeige die Finger weg zu lassen:

 

Der Provider will nicht und ob viel oder wenig behindert wird spielt m.E. keine Rolle.

 

Wenn sich schon ein RA nicht festlegen will, von wem willst du sonst eine halbwegs sichere Antwort?

 

Laß es bleiben oder sage deinem Kunden er solle mit seinem Provider reden.

 

mfg Klaus

bearbeitet von friesk
Link zu diesem Kommentar

Für die Zukunft: juristische Fragen stellt man konkret ("ich/wir") an den Anwalt, oder abstrakt ("man") in ein Forum. Die Rechtslage ist vollkommen klar - wie fast immer im Strafrecht!

 

§ 202a StGB Ausspähen von Daten:

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

 

Was unbefugt bedeutet, kannst du dir denken, einen RA fragen, in einem Gesetzeskommentar nachschlagen (zB in der öffentlich zugänglichen juristische Bibliothek der nächsten Uni), oder es abstrakt formuliert in ein Forum posten. § 16 Abs. 1 StGB wäre in diesem Fall ebenfalls des Lesens wert.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
×
×
  • Neu erstellen...