Die wichtigsten Dokumente beim PenTesting
Erteilung der Erlaubnis zum Angriff
Ein Penetrationstest (PenTest) simuliert den Ansatz eines unautorisierten Hackers, um die Sicherheit einer Organisation zu bewerten. Bevor ein professionelles PenTest-Team mit dem Test beginnt, muss es formell die Erlaubnis erhalten, Angriffe durchzuführen.
Es ist wichtig, den Kunden darauf hinzuweisen, dass trotz aller Vorsichtsmaßnahmen bestimmte Tests Schäden verursachen können. Beispielsweise kann das Eindringen in ein Active Directory die Serverkommunikation beeinträchtigen und zu weitreichenden Störungen führen.
Um Haftungsrisiken zu minimieren, sollten alle Beteiligten eine schriftliche Vereinbarung unterzeichnen, die die Einhaltung der festgelegten Anforderungen gewährleistet und das Unternehmen bei Gesetzesverstößen schützt.
Wichtige Informationen in der Autorisierung:
- Namen der autorisierten Personen oder Teams
- Genaue Angabe der Netzwerke, Hosts und Anwendungen, die getestet werden sollen
- Gültigkeitszeitraum der Autorisierung
- Richtlinien zur Datenhandhabung
- Berichtswege und Kommunikationsketten
- Kriterien für den Abbruch des Tests
Master Service Agreement (MSA)
Ein Master Service Agreement (MSA) ist ein Vertrag, der vorrangige Richtlinien für alle Geschäftsvereinbarungen zwischen zwei Parteien festlegt. Er deckt wiederkehrende Kosten und unvorhergesehene zusätzliche Gebühren ab, ohne dass ein zusätzlicher Vertrag erforderlich ist.
Bestandteile des MSA:
- Projektumfang und Definition der auszuführenden Arbeiten
- Vergütungsdetails, einschließlich Rechnungsstellung und Berichtspflichten
- Anforderungen an Genehmigungen, Lizenzen oder Zertifizierungen
- Sicherheitsrichtlinien und Umweltaspekte
- Versicherungen, z. B. Haftpflichtversicherung
Vor der Unterzeichnung sollten alle Parteien das MSA sorgfältig prüfen, um Konflikte mit anderen Verträgen oder Versicherungen zu vermeiden. Änderungen sollten möglich sein, um zukünftigen Anpassungen Rechnung zu tragen.
Ein professionell verfasstes MSA hilft, Streitigkeiten zu vermeiden und definiert ein klares Ende des PenTest-Auftrags.
Statement of Work (SOW)
Das Statement of Work (SOW) definiert die Erwartungen für eine spezifische Geschäftsvereinbarung. Es enthält eine Liste von Liefergegenständen, Verantwortlichkeiten beider Parteien, Zahlungsmeilensteine, Zeitpläne und weitere Bedingungen.
Funktionen des SOW:
- Detaillierte Beschreibung der zu erbringenden Leistungen
- Vereinbarte Zahlungsbedingungen und Milestones
- Zeitrahmen und Meilensteine für die Projektdurchführung
- Verantwortlichkeiten und Pflichten beider Parteien
Das SOW hat direkten Einfluss auf die Aktivitäten des PenTest-Teams und ermöglicht die Abrechnung von Zusatzleistungen bei Änderungswünschen des Kunden.
Service-Level Agreement (SLA)
Ein Service-Level Agreement (SLA) ist ein Vertrag, der die detaillierten Bedingungen festlegt, unter denen ein Service erbracht wird, einschließlich der Gründe für eine Vertragskündigung. Es definiert das von einem Kunden erwartete Servicelevel und legt die Messgrößen sowie eventuelle Sanktionen bei Nichterfüllung fest.
Inhalte des SLA:
- Festlegung der Servicelevels und Leistungskennzahlen
- Zugriffs- und Sicherheitskontrollen
- Risikobewertungen und -management
- Verarbeitung von vertraulichen und privaten Daten
- Bedingungen für die Einbeziehung von Drittanbietern
Es ist wichtig, sicherzustellen, dass alle Anforderungen und Leistungsstandards eingehalten werden können. Zudem sollten Haftungsausschlüsse im Zusammenhang mit dem PenTest im Dokument festgehalten werden.
Rechtliche Autorisierung und Abschluss
Die Identifikation der zuständigen Unterzeichnungsberechtigten ist entscheidend. Das Dokument sollte bestätigen, dass der Unterzeichner die Befugnis hat, den PenTest zu genehmigen. Eine rechtliche Prüfung aller Autorisierungsdokumente wird dringend empfohlen.
Nach Unterzeichnung aller Verträge kann das PenTest-Team mit der Planung und Durchführung des Tests beginnen.
Tags #PenTestingMSASOWSLAITSecurityDokumentation