Diese Vorlage regelt die Rahmenbedingungen einer kontrollierten Sicherheitsüberprüfung („Penetrationstest"). Der konkrete Prüfumfang wird in der Anlage „Scope" verbindlich festgelegt. Ohne unterzeichnete Vereinbarung und definierten Scope findet kein Test statt.
Der Auftragnehmer führt eine kontrollierte Sicherheitsüberprüfung der in der Anlage „Scope" benannten Systeme durch. Ziel ist das Auffinden, Verifizieren und Bewerten von Schwachstellen sowie die Ableitung konkreter Maßnahmen. Es handelt sich ausdrücklich nicht um eine Garantie der Sicherheit, sondern um eine Momentaufnahme im definierten Rahmen.
| Im Scope (geprüft wird) | Ausdrücklich ausgeschlossen |
|---|---|
Geprüft werden ausschließlich Systeme, IP-Bereiche, Domains und Anwendungen, die in dieser Anlage benannt sind. Alles, was nicht ausdrücklich benannt ist, gilt als nicht freigegeben.
Der Auftraggeber versichert, dass er Eigentümer der zu prüfenden Systeme ist oder über alle erforderlichen Rechte und Einwilligungen Dritter (z. B. Hosting-Provider, Cloud-Anbieter) verfügt, um die Prüfung zu beauftragen. Erforderliche Genehmigungen Dritter holt der Auftraggeber vor Testbeginn ein und weist sie auf Verlangen nach.
Beide Parteien behandeln alle im Rahmen der Prüfung erlangten Informationen streng vertraulich. Personenbezogene Daten werden nur im erforderlichen Umfang verarbeitet und nach Abschluss bzw. nach Ablauf gesetzlicher Fristen gelöscht. Ergebnisse und Berichte werden ausschließlich dem Auftraggeber übergeben.
Der Auftragnehmer arbeitet mit der gebotenen Sorgfalt. Trotz kontrollierten Vorgehens lassen sich Auswirkungen auf geprüfte Systeme nicht vollständig ausschließen. Die Haftung richtet sich nach den separat vereinbarten Bedingungen; eine Haftung für mittelbare Schäden, Datenverlust bei fehlender Sicherung durch den Auftraggeber oder entgangenen Gewinn ist im gesetzlich zulässigen Rahmen ausgeschlossen. Der Auftraggeber stellt vor Testbeginn eine aktuelle, geprüfte Datensicherung sicher.
Der Auftraggeber erhält einen Bericht mit Management Summary, technischen Befunden, Risikobewertung und priorisierten Empfehlungen. Auf Wunsch prüft der Auftragnehmer nach Umsetzung der Maßnahmen erneut, ob die Befunde behoben wurden (Re-Test).