Diese Vorlage regelt die Rahmenbedingungen einer kontrollierten Sicherheitsüberprüfung („Penetration test"). Der konkrete Prüfumfang wird in der Annex „Scope" verbindlich festgelegt. Ohne unterzeichnete Vereinbarung und definierten Scope findet kein Test statt.
Der Contractor führt eine kontrollierte Sicherheitsüberprüfung der in der Annex „Scope" benannten Systeme durch. Ziel ist das Auffinden, Verifizieren und Bewerten von Schwachstellen sowie die Ableitung konkreter Maßnahmen. Es handelt sich ausdrücklich nicht um eine Garantie der Sicherheit, sondern um eine Momentaufnahme im definierten Rahmen.
| Im Scope (geprüft wird) | Ausdrücklich ausgeschlossen |
|---|---|
Geprüft werden ausschließlich Systeme, IP-Bereiche, Domains und Anwendungen, die in dieser Annex benannt sind. Alles, was nicht ausdrücklich benannt ist, gilt als nicht freigegeben.
Der Client versichert, dass er Eigentümer der zu prüfenden Systeme ist oder über alle erforderlichen Rechte und Einwilligungen Dritter (z. B. Hosting-Provider, Cloud-Anbieter) verfügt, um die Assessment zu beauftragen. Erforderliche Genehmigungen Dritter holt der Client vor Testbeginn ein und weist sie auf Verlangen nach.
Beide Parteien behandeln alle im Rahmen der Assessment erlangten Informationen streng vertraulich. Personenbezogene Daten werden nur im erforderlichen Umfang verarbeitet und nach Abschluss bzw. nach Ablauf gesetzlicher Fristen gelöscht. Ergebnisse und Berichte werden ausschließlich dem Client übergeben.
Der Contractor arbeitet mit der gebotenen Sorgfalt. Trotz kontrollierten Vorgehens lassen sich Auswirkungen auf geprüfte Systeme nicht vollständig ausschließen. Die Haftung richtet sich nach den separat vereinbarten Bedingungen; eine Haftung für mittelbare Schäden, Datenverlust bei fehlender Sicherung durch den Client oder entgangenen Gewinn ist im gesetzlich zulässigen Rahmen ausgeschlossen. Der Client stellt vor Testbeginn eine aktuelle, geprüfte Datensicherung sicher.
Der Client erhält einen Bericht mit Management Summary, technischen Befunden, Risikobewertung und priorisierten Empfehlungen. Auf Wunsch prüft der Contractor nach Umsetzung der Maßnahmen erneut, ob die Befunde behoben wurden (Re-Test).