Whitepaper

Rechtskonforme Durchführung von Penetrationstests im Konzern

IT-Sicherheitsvorfälle zählen im Jahr 2024 mit zu den größten Bedrohungen für den unternehmerischen Erfolg. Unterbrochene Produktionszweige, Reputations- und Vertrauensverlust, das Bekanntwerden von Geschäftsgeheimnissen, Bußgeld-, Schadensersatz und Lösegeldzahlungen sind nur einige der möglichen Konsequenzen. Die Gewährleistung der IT-Sicherheit fällt damit in die Leitungsverantwortung.

PenTests als Bestandteil der IT-Security-Compliance

Ein wichtiger Baustein der IT-Security-Compliance ist die regelmäßige Durchführung von Penetrationstests („PenTest“). Ein PenTest simuliert einen Angriff auf die IT-Infrastruktur unter Realbedingungen. Bestehende Schwachstellen können identifiziert und behoben werden - bevor sie von außenstehenden Dritten ausgenutzt werden können. Die IT-Resilienz des Unternehmens wird damit (fortlaufend) gestärkt.

Verschärfung der regulatorischen Vorgaben

Die Thematik gewinnt mit der für Oktober 2024 geplanten Umsetzung der „NIS-2-Richtlinie“ an Relevanz. Für den Finanzsektor hält der ab dem 17. Januar 2025 geltende Digital Operational Resilience Act („DORA“) sogar die ausdrückliche Verpflichtung zu „bedrohungsorientierte Penetrationstests“ (TLPT - Threat-Led Penetration Testing)“ bereit.

Identifizierung und Vermeiden strafrechtlicher Risiken

Nach mehreren strafgerichtlichen Entscheidungen zum Straftatbestand § 202a StGB („Ausspähen von Daten“) herrscht jedoch größere Unsicherheit im Markt, in welchen Situationen und auf welche Art und Weise PenTests rechtskonform durchgeführt werden können.

Whitepaper

Das hier frei zum Abruf bereitstehende Whitepaper von Krause & Kollegen sowie der Fresenius SE & Co. KgaA gibt Unternehmen eine verlässliche Hilfestellung bei der Durchführung rechtskonformer PenTests.

Was erwartet Sie

  • Darstellung der straf- und datenschutzrechtlichen Rahmenbedingungen
  • Berücksichtigung der Besonderheiten im Konzern
  • Gestalterische Maßnahmen um Rechtsverstöße proaktiv und präventiv zu verhindern
  • Checkliste: Prüfung der Zulässigkeit einzelner Angriffsvarianten
  • Praxisbeispiel: konkrete Angriffssimulation aus der Perspektive einer PenTesterIn
  • Step-by-Step-Guide: Konzeptionierung/Umsetzung eines PenTests im eigenen Unternehmen

Für wen

  • Vorstände und Geschäftsführer von Unternehmen und Konzernen zur Vorbereitung unternehmerischer Entscheidungen
  • Unternehmens- bzw. konzerninternen IT-(Sicherheits-)Abteilungen, die mit der tatsächlichen Durchführung von PenTests befasst sind.
  • Externe IT-Sicherheitsunternehmen, die von Unternehmen und Konzernen mit der Überprüfung der eigenen IT-Sicherheit beauftragt werden.

Von wem

Dr. Arne Klaas

ist Rechtsanwalt bei Krause & Kollegen und regelmäßig mit Fragestellungen im IT- und Datenschutzstrafrecht befasst.

Dr. Arne Klaas

Marius Fetzberger

leitet das Group Cybersecurity Office der Fresenius Gruppe. "Offensive Security" wird als strategisches Element eingesetzt, um die Resilienz des digitalen Öko-Systems kontinuierlich zu stärken.

Marius Fetzberger

Fabian Zenner

ist Teil des Computer Emergency Response Team im Group Cybersecurity Office der Fresenius Gruppe. Er hat dort die PenTesting-Kompetenzen aufgebaut und ist auf die rechtlichen Problemstellungen gestoßen, welche die Grundlage des Whitepapers bilden.

Fabian Zenner

Malcolm Kögler

ist Teil des Computer Emergency Response Team im Group Cybersecurity Office der Fresenius Gruppe. Er ist seit 2017 als Spezialist im Bereich Cyber Security im Gesundheitswesen tätig und insbesondere für Penetrationstests zuständig.

Malcolm Kögler

Download

WHITEPAPER

Kontakt

Krause & Kollegen
Rechtsanwälte

Kurfürstendamm 190-192
10707 Berlin
Tel. +49 (0)30 9210259-0
sozietaet@kralaw.de