Worauf sollten Sie bei Pentests achten?
Unternehmen sehen sich zunehmend mit einer wachsenden Bedrohung durch Cyberangriffe konfrontiert. Die Frage nach einem möglichst wirksamen Schutz ist daher von höchster Dringlichkeit. Die steigende Verunsicherung nutzen einige dubiose „Anbieter“ schamlos aus und versuchen, Unternehmen um ihr Geld zu bringen.
Spam-E-Mails mit dem Betreff „Fristsache: Pflichtprüfung nach DSGVO Art. 32“
Zurzeit werden vermehrt „Spam“-E-Mails versendet, in denen behauptet wird, Anbieter von Websites seien verpflichtet, einen Penetrationstest (Pentest) durchzuführen.
Inhalt der E-Mail:
Fristsache: Pflichtprüfung nach DSGVO Art. 32
Sehr geehrte Damen und Herren,
nach Datenschutzgrundverordnung (DSGVO Art. 32 Abs.1) sind Unternehmen, die eine Webseite mit Datenverarbeitung betreiben gesetzlich verpflichtet, eine regelmäßige dokumentierte Sicherheitsüberprüfung durchzuführen.
Ein Verstoß gegen die DSGVO Art.32 Abs.1 wird mit Geldstrafen in Höhe von bis zu 2% des erzielten Jahresumsatz des Vorjahres geahndet.
Gesetz zur DSGVO Art. 32 Abs.1
Verordnung Geldstrafen DSGVO Art. 83
Sollten Sie noch keinen regelmäßigen Sicherheitstest für Ihre Webseite beauftragt haben, können Sie einen DSGVO-konformen Sicherheitstest inkl. zertifiziertem Prüfbericht einfach beauftragen unter:
www.dsgvo-pentest.de
Mit freundlichen Grüßen
DSGVO-Pentest Prüfservice
Leitung Beratung & Anmeldung
i.A. …
Auf www.dsgvo-pentest.de gibt es unter dem Titel „DSGVO-Sicherheitsprüfung nach Art. 32” ein Angebot für eine „automatisierte Prüfung der Website inklusive Prüfbericht nach Art. 32 DSGVO“ zum Preis von 89 € pro Jahr. Als Kooperationspartner wird ein Unternehmen aus London genannt, das im Impressum allerdings als Verantwortlicher aufgeführt ist. Es wird außerdem ausdrücklich darauf hingewiesen, dass weder telefonische Auskünfte noch Rechtsberatungen erteilt werden. Fragen sollten ausschließlich an „sachbearbeitung (at) dsgvo-pentest.de“ gerichtet werden.
Mit der genannten E-Mail, die auf den ersten Blick echt wirkt, soll dem Empfänger dringender Handlungsbedarf vorgespielt werden, um ihn anschließend dazu zu bewegen, die angebotene Leistung in Anspruch zu nehmen. Auffällig sind auch die für Spam-E-Mails typischen Merkmale, wie Grammatik- und Rechtschreibefehler, wie beispielsweise „des erzielten Jahresumsatz“ (richtig „Jahresumsatzes“) oder DSGVO Art. 32 (richtig ist Art. 32 DSGVO). Hinzu kommt außerdem das Fehlen eines ordnungsgemäßen Impressums und einer Datenschutzerklärung gemäß Art. 13 DSGVO auf www.dsgvo-pentest.de. Fälschlicherweise wird auch dargestellt, dass Anbieter von Webseiten gemäß Art. 32 DSGVO verpflichtet wären, Pentests durchzuführen. Eine solche Pflicht besteht jedoch nicht. Näheres dazu finden Sie im nächsten Abschnitt dieses Newsletters.
Sollten Sie eine solche E-Mail erhalten, empfehlen wir, die angebotene Leistung nicht in Anspruch zu nehmen und die E-Mail zu löschen. Ihnen steht es natürlich zu, einen Unterlassungsanspruch gegenüber dem Versender geltend zu machen. Schließlich wurde die E-Mail ohne bestehende Geschäftsbeziehung und ohne Ihre Einwilligung (Verstoß gegen § 7 Abs. 2 Nr. 2 UWG/Gesetz gegen den unlauteren Wettbewerb) versendet. Da das Unternehmen seinen Sitz in London haben soll, wäre die Durchsetzung jedoch schwierig und zudem mit einem Kostenrisiko (Anwaltskosten) verbunden.
Was verbirgt sich hinter dem Begriff „Website-Pentest“ und worauf ist dabei zu achten?
Bei einem Website-Pentest simulieren Sicherheitsspezialist*innen einen potenziellen Angriff auf die Webanwendung, um Schwachstellen zu identifizieren und die Sicherheit zu erhöhen. Die dabei entdeckten Lücken werden anschließend geschlossen. Das Ziel eines jeden Pentests besteht darin, Unternehmen vor Angriffen zu schützen. Dafür werden Techniken eingesetzt, die auch von Angreifern verwendet werden. Art. 32 Abs. 1 lit. d DSGVO verpflichtet Unternehmen dazu, die eingesetzten technischen und organisatorischen Maßnahmen in regelmäßigen Abständen auf ihre Effektivität hin zu überprüfen und zu evaluieren. Pentests sind eine geeignete Methode für eine solche Überprüfung, insbesondere wenn Daten mit einem hohen Schutzbedarf verarbeitet werden. In einigen Fällen verlangt der Gesetzgeber die Durchführung von Pentests explizit, wie etwa in Art. 25 Abs. 1 und Art. 26 Abs. 2 DORA im Banksektor.
In der Regel wird ein IT-Sicherheitsdienstleister mit der Durchführung eines solchen Pentests beauftragt. Bei der Auswahl eines solchen Dienstleisters ist es wichtig, dass dieser vertrauenswürdig ist.
Autorin: Rosemarie Popa (Senior Consultant)
