Ethik und Recht

Pentesting arbeitet absichtlich an sensiblen Grenzen. Genau deshalb sind Ethik, Erlaubnis und Dokumentation kein Beiwerk, sondern Grundlage der Arbeit.

White-Hat-Grundsatz

Pentesting dient der Verbesserung von Sicherheit.

Das bedeutet:

• nur mit ausdrücklicher Erlaubnis testen
• keine fremden Systeme ohne Auftrag untersuchen
• keine Daten unnötig einsehen oder kopieren
• keine Schäden verursachen
• Ergebnisse vertraulich behandeln
• Risiken verständlich melden

Ethische Grundsätze

Rechtliche Aspekte in Österreich

Die Unterlagen nennen mehrere relevante Strafrechtsbereiche.

Wichtig sind unter anderem:

• widerrechtlicher Zugriff auf Computersysteme
• missbräuchliches Abfangen von Daten
• Missbrauch von Computerprogrammen oder Zugangsdaten

Der Kern ist einfach:

Ohne Erlaubnis kann dieselbe technische Handlung strafbar sein, die im Pentest erlaubt wäre.

Erlaubnis schriftlich festhalten

Vor einem Pentest sollte schriftlich geklärt sein:

• wer beauftragt
• wer testet
• welche Systeme im Scope sind
• welche Tests erlaubt sind
• welche Tests ausgeschlossen sind
• wann getestet wird
• wie Vorfälle gemeldet werden
• wie mit Daten umgegangen wird

Responsible Disclosure

Responsible Disclosure bedeutet, eine gefundene Sicherheitslücke verantwortungsvoll an Hersteller oder Betreiber zu melden.

Ziel:

• Betroffene können die Schwachstelle beheben.
• Nutzer werden geschützt.
• Veröffentlichung passiert nicht unnötig riskant.

Gute Meldungen enthalten:

• klare Beschreibung
• betroffene Komponente
• Reproduktionsbedingungen
• Risiko
• mögliche Auswirkungen
• Empfehlung zur Behebung

Verhaltensrichtlinien

Die Unterlagen nennen etablierte Rahmenwerke:

• OSSTMM
• ISSAF
• OWASP Web Security Testing Guide

Solche Leitfäden helfen, Tests strukturiert, reproduzierbar und professionell durchzuführen.

Merksatz

Technisches Können macht noch keinen guten Pentester. Erst Erlaubnis, Verantwortung und saubere Kommunikation machen daraus Sicherheitsarbeit.