Datenschutz – InfoSec Blog | Patrick Sauer & Dominik Sauer

Datenschutz beim Pentest: Was an personenbezogenen Daten wirklich anfällt

15. Mai 2025 by Patrick Sauer Leave a Comment

Was genau an personenbezogenen Daten bei einem Penetrationstest verarbeitet wird, hängt stark vom Testgegenstand ab. Grundsätzlich kann man aber die folgenden Kategorien unterscheiden.

1. Ansprechpartner beim Kunden

Ohne geht’s nicht: Der Pentester braucht Ansprechpersonen. Typischerweise werden hier Name, Position, dienstliche Mailadresse und Telefonnummer verarbeitet – in Mails, im Kalender, im Bericht. Diese Informationen sind meist ohnehin öffentlich (z. B. im Impressum oder auf LinkedIn) und dienen nur der Kommunikation. Sie werden immer verarbeitet, sind aber unkritisch.

2. Weitere Mitarbeitende des Unternehmens

Sobald das Zielsystem ein internes Netzwerk ist – vor allem mit Active Directory –, kommt man an weiteren personenbezogenen Daten kaum vorbei. Namen, Benutzernamen, oft auch Passwort-Hashes oder sogar Klartextpasswörter landen temporär auf dem Pentest-System. Das ist kein Zufall, sondern Teil der Aufgabe: Rechteausweitung, horizontale Bewegungen, Domäne-Übernahmen.

Was dabei wichtig ist: Es besteht keinerlei Grund, personenbezogene Daten dauerhaft zu speichern oder auf weitere Systeme des Dienstleisters zu übertragen. Alles, was lokal verarbeitet wird, bleibt lokal. Nur der Bericht enthält Auszüge – und auch da gilt: So wenig wie nötig. Identitäten lassen sich anonym oder pseudonymisiert darstellen.

3. Kundendaten des Auftraggebers

Wenn produktive Systeme getestet werden – zum Beispiel ein Onlineshop – kann es passieren, dass echte Kundendaten kurz sichtbar werden. Ziel ist es nicht, diese Daten zu speichern, sondern Schwachstellen zu identifizieren: Kann man z. B. fremde Bestellungen einsehen? Wenn ja, werden einzelne Datensätze für den Moment verarbeitet. Das lässt sich nicht vermeiden, ist aber so minimalinvasiv wie möglich.

Empfehlung: AV-Vertrag bei produktiven Daten

Sobald interne Systeme oder produktive Umgebungen getestet werden, sollte ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Entscheidend ist: Datenminimierung. Der Pentest soll nicht Daten sammeln, sondern Schwachstellen aufzeigen. Und das geht auch, ohne ganze Datenbanken zu kopieren.

EU-Datenschutz-Grundverordnung zeigt Wirkung

1. Juni 2017 by Patrick Sauer 1 Comment

Das deutsche BDSG bzw. die alte EU-Datenschutzrichtlinie 95/46/EG war mehr ein Papiertiger. Die Bußgeldvorschriften nach §43 BSDG relativ harmlos. Eine sehr große Zahl von kleinen und mittelständischen Unternehmen schafft es heute noch, das BDSG relativ gut ignorieren zu können. Selbst große Unternehmen „leben“ ganz gut mit dem BDSG – sofern sie keinen hochmotivierten Datenschutzbeauftragten bestellt haben.

Die Datenschutz-Grundverordnung (DSGVO) der EU trat am 24. Mai 2016 in Kraft, wobei sie erst am 25. Mai 2018 angewendet wird. Es bleibt also noch knapp ein Jahr. Ich hätte ehrlich gesagt erwartet, dass sich die meisten Unternehmen nicht sonderlich mit dem Thema befassen. Das Gegenteil ist der Fall.

Es herrscht Unsicherheit. Teilweise sogar Nervosität.

Man kann die DSGVO kritisieren. Alleine die Tatsache, dass sie eigentlich mehr ein Zwitter zwischen EU-Verordnung und EU-Richtlinie als eine richtige EU-Verordnung ist, kann man als großen Fehlgriff von politischer und juristischer Schwachsinnigkeit bezeichnen. Manche meinen, dass die DSGVO die schlechteste Gesetzgebung der EU überhaupt ist. Auch inhaltlich gibt es Kritikpunkte. Ich stimme den meisten zu. Aber: Der Zweck heiligt die Mittel und es scheint zu funktionieren.

Warum?

Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist [..]

Artikel 83, DSGVO Absatz 4

Aber da geht noch mehr oder? Ja da geht noch mehr..

Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist [..]

Artikel 83, DSGVO Absatz 5

Je nach Sachverhalt 2% oder 4% des weltweiten Konzernumsatzes ist schmerzhaft. Wirklich schmerzhaft. Da können auch hartgesottene Geschäftsführer und Vorstände nervös werden, zumal sie bei bewusster Missachtung der DSGVO bzw. bei grober Vernachlässigung ihrer Pflichten für entstehende finanziellen Schäden selbst haftbar gemacht werden können.

Man wird in den nächsten Jahren oder besser Jahrzehnten sehen müssen, wie hoch die Bußgelder in der Praxis ausfallen und wie Gerichte dazu entscheiden werden. Unabhängig davon, zeigt die Datenschutz-Grundverordnung allein durch die theoretischen, sehr hohen Bußgelder bereits Wirkung.

Beratung im gesetzlichen Datenschutz? Der Markt ist kaputt!

3. September 2016 by Patrick Sauer Leave a Comment

Den Markt für Datenschutzberatung bzw. für die Leistung des externen Datenschutzbeauftragten ist kaputt. Dabei ist das Angebot und die Nachfrage gleichzeitig gestört.

Die angebotenen Zertifizierungen und Prüfungen zum „externen Datenschutzbeauftragten (DSB)“ sind oftmals nur ein schlechter Witz, sodass Unmengen zertifizierter Datenschutzbeauftragter den Markt überfluten. Ihr Qualifizierung? Oftmals durchwachsen. Einzelne Perlen stehen einer Masse an schlecht qualifizierten Beratern entgegen. Die fachgerechte Beurteilung ob vorhandene Datenschutzrisiken durch die im Einzelfall getroffenen technischen oder organisatorischen Maßnahmen ausreichend und angemessen adressiert sind, findet zu oft nicht statt. Dafür unterbietet man sich gegenseitig in den Stundensätzen, sodass im Markt externe DSBs zu Schleuderpreisen auftreten, die noch relativ wenig arbeiten. Jahrespauschale für die Ernennung zum DSB, ein bisschen Papierkram erstellen und einmal im Jahr die Mitarbeiter schulen. Fertig – einfach und kostengünstig. Rent your 08/15-DSB.

Und die Kunden?

Die nehmen das Angebot gerne an. Freuen sich, dass sie kostengünstig ihre gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten nachkommen. Und sind beruhigt, dass ihr DSB ihre betrieblichen Prozesse und IT-Abläufe nicht stört, sodass man in Ruhe schlafen kann – während der Vertrieb die eigenen Kundendaten per Exceldatei in die Cloud sichert.

Schöne heile Datenschutzwelt…

Der Datenschutz im Altpapiercontainer

24. Januar 2014 by Patrick Sauer Leave a Comment

Der Inhalt eines Altpapiercontainers ist eine nützliche Informationsquelle um den Umgang eines Unternehmens bzw. der Mitarbeiter mit dem Datenschutz und auch allgemein das Sicherheitsbewusstsein zu bewerten.

Was meistens im Privaten gang und gäbe ist, nämlich die eigenen Rechnungen, Kontoauszüge oder Unterlagen der Krankenkasse in die Hauspapiertonne zu entsorgen, ist in Unternehmen ein Problem. Privat darf jeder mit seinen eigenen personenbezogenen Daten umgehen wie er möchte. Unternehmen unterliegen hingegen dem gesetzlichen Datenschutz, sodass personenbezogene Daten (z.B. Gehaltsinformationen, Mitarbeiterbewertungen) auf gar keinen Fall über die Papiertonne entsorgt werden dürfen. Entweder man nutzt Papierschredder oder mietet besser gleich eine gesicherte Entsorgungstonne für Altpapier.

Aus Unternehmersicht hört das Problem mit der Papierentsorgung aber nicht bei den personenbezogenen Daten auf: Geschäftsgeheimnisse und andere strategisch wichtige Informationen sollten aus eigenem unternehmerischen Interesse nicht als gewöhnliches Altpapier entsorgt werden.

Oftmals trifft man auf die Meinung, dass schon niemand einen Blick in die Altpapiertonne wirft. Das stimmt leider nicht und die Hemmschwelle dazu ist auch nicht sonderlich hoch. Bei der nächsten Entsorgung vom eigenen Altpapier einfach mal die Augen offen halten… es lohnt sich!

Dynamische IP-Adressen sind nach dem Landgericht Berlin keine personenbezogenen Daten

27. Oktober 2013 by Patrick Sauer Leave a Comment

Das Landgericht Berlin hat entschieden (LG Berlin, 31.01.2013 – 57 S 87/08)[1], dass dynamische IP-Adressen keine personenbezogenen Daten sind. Die Richter bemühten sich, die Augen nicht vor der technischen Realität zu verschließen und nicht wie viele Datenschutzbeauftragte unrealistische Annahmen zu treffen, wie einfach doch ein Personenzug herstellbar sei. Ich muss anerkennen, dass das meiner Ansicht nach eine gute Bewertung der Realität und auch ein gutes Urteil ist.

Wirklich viel ist damit aber für niemanden gewonnen. Das Urteil ist keine finale Entscheidung, sodass die Rechtslage weiterhin undurchsichtig bleibt. Ein kleines aber sehr wichtiges Detail wird kaum erläutert: Das Urteil bezieht sich nur auf dynamische IP-Adressen, bei statischen IP-Adressen muss weiterhin von personenbezogenen Daten ausgegangen werden. In der Praxis ändert sich dadurch nichts, das Thema IP-Adresse als personenbezogenes Datum ist weiterhin unklar und man müsste als Unternehmen annehmen, dass IP-Adressen grundsätzlich personenbezogen sind.

Wie kann man sich als Unternehmen rechtssicher und realistisch die Einwilligung eines Nutzers einholen, dass seine IP-Adresse gespeichert werden darf? Ich meine gar nicht. Das eine Unternehmen wird gar keine IP-Adressen mehr speichern und ein anderes weiterhin möglichen rechtlichen Risiken ausgesetzt sein. Beide Alternativen sind schlecht.

Ich finde der gesetzliche Datenschutz muss an die Realität angepasst und reformiert werden.

[1] http://dejure.org/dienste/vernetzung/rechtsprechung?Text=57%20S%2087/08

Datenschutz betrifft auch Kleinstunternehmen

26. Oktober 2013 by Patrick Sauer Leave a Comment

Das ist jetzt eine kleine Verallgemeinerung, aber in der Regel müssen Unternehmen größer als 9 Personen einen internen oder externen Datenschutzbeauftragten bestellen. Diese Personen müssen zwar mit einer automatisierten Bearbeitung personenbezogener Daten beschäftigt sein, aber bereits durch ein E-Mail-Programm wird diese Voraussetzung erfüllt.

Wie sieht es nun mit kleineren Unternehmen aus: Einzelunternehmen, Personengesellschaften oder kleine GmbHs, die aus 9 Personen oder weniger bestehen? Nun, diese müssen keinen Datenschutzbeauftragten bestellen. Glück gehabt?

Nein, denn die Vorschriften des BDSG gelten dennoch. Verantwortlich für die Einhaltung und Kontrolle des Datenschutzes bleibt die verantwortliche Stelle, das heißt die Person, die die Geschäfte führt. Alle Pflichten aus dem Bundesdatenschutzgesetz sind zu erfüllen und nur die Bestellung eines Datenschutzbeauftragten entfällt. Welche kleine Personengesellschaft oder Kapitalgesellschaft führt nun in der Realität ein Verfahrensverzeichnis? Welches kleine Unternehmen ist auf eine datenschutzrechtliche Auskunftsanfrage von einem Kunden oder auch nur von einem Besucher der Unternehmenswebseite vorbereitet? Ich vermute kaum eins.

Sucht man im Netz nach Vorschriften zum Datenschutz und liest man sich nicht die spannende Bettlektüre des Bundesdatenschutzgesetzes durch, wird einem oftmals der Eindruck vermittelt der gesetzliche Datenschutz gelte nur für Unternehmen mit mehr als 9 Personen. Das stimmt nicht.

In der Praxis hat ein kleines Unternehmen gar keine andere Wahl als auf einen externen Datenschutzbeauftragten zurückzugreifen. Er muss zwar nicht bestellt werden, aber er hat das notwendige Know-how, welches intern meistens nicht zu finden ist. Meistens wird das Thema vom Geschäftsführer jedoch einfach ignoriert und zwar genau so lange, bis das Kind bereits in den Brunnen gefallen ist.