Was muss ich bei der Beauftragung eines Penetrationstests beachten?
Neben den Vertragverhältnissen zwischen Auftraggeber und Dienstleiter und etwaigen Dritten (Rechenzentrumsbetreiber, Cloud Anbieter, ...) müssen unter Umständen auch Datenschutzrechtliche Aspekte Berücksichtigt werden. Inbesondere dort wo sensible Daten natürlicher Personen verarbeitet werden. Dabei gibt es teilweise sehr unterschiedliche Ansichten von Datenschützer, ob ein Penetrationstest selbst eine Form der Auftragsdatenverarbeitung darstellt oder nicht. In jedem Fall sollte man bei oder besser vor der Auftragsvergabe die jeweiligen Datenschutbeauftragten einbinden.
Insbesondere bei Tests mit Social Engineering Anteilen sollte man auch im Vorfeld das Gespräch mit dem Betriebsrat suchen. In der Regel lassen sich im Vorfeld etwaige Bedenken in Bezug auf Mitarbeiter- und Leistungsbwertung ausräumen. Etwaige im Rahmen der Tests erhobene Personenbezogene oder Personenbeziehbare Daten sollten von den Tester soweit wie möglich nicht erfasst oder umgehend anonymisiert werden. Im Bericht haben solche Informationen nichts verloren.
Hinterlasse eine Antwort
Letzter Beitrag: Wie wirken sich SBOMs auf die Cybersicherheit von Cloud-Services aus? Unser neuestes Mitglied: Oliver Dehning Neueste Beiträge Ungelesene Beiträge Schlagwörter
Forum Icons: Das Forum enthält keine ungelesenen Beiträge Das Forum enthält ungelesene Beiträge Alles als gelesen markieren
Themen-Icons: Unbeantwortet Beantwortet Aktiv Heiß Oben angepinnt Nicht genehmigt Gelöst Privat Geschlossen