Was genau an personenbezogenen Daten bei einem Penetrationstest verarbeitet wird, hängt stark vom Testgegenstand ab. Grundsätzlich kann man aber die folgenden Kategorien unterscheiden.
1. Ansprechpartner beim Kunden
Ohne geht’s nicht: Der Pentester braucht Ansprechpersonen. Typischerweise werden hier Name, Position, dienstliche Mailadresse und Telefonnummer verarbeitet – in Mails, im Kalender, im Bericht. Diese Informationen sind meist ohnehin öffentlich (z. B. im Impressum oder auf LinkedIn) und dienen nur der Kommunikation. Sie werden immer verarbeitet, sind aber unkritisch.
2. Weitere Mitarbeitende des Unternehmens
Sobald das Zielsystem ein internes Netzwerk ist – vor allem mit Active Directory –, kommt man an weiteren personenbezogenen Daten kaum vorbei. Namen, Benutzernamen, oft auch Passwort-Hashes oder sogar Klartextpasswörter landen temporär auf dem Pentest-System. Das ist kein Zufall, sondern Teil der Aufgabe: Rechteausweitung, horizontale Bewegungen, Domäne-Übernahmen.
Was dabei wichtig ist: Es besteht keinerlei Grund, personenbezogene Daten dauerhaft zu speichern oder auf weitere Systeme des Dienstleisters zu übertragen. Alles, was lokal verarbeitet wird, bleibt lokal. Nur der Bericht enthält Auszüge – und auch da gilt: So wenig wie nötig. Identitäten lassen sich anonym oder pseudonymisiert darstellen.
3. Kundendaten des Auftraggebers
Wenn produktive Systeme getestet werden – zum Beispiel ein Onlineshop – kann es passieren, dass echte Kundendaten kurz sichtbar werden. Ziel ist es nicht, diese Daten zu speichern, sondern Schwachstellen zu identifizieren: Kann man z. B. fremde Bestellungen einsehen? Wenn ja, werden einzelne Datensätze für den Moment verarbeitet. Das lässt sich nicht vermeiden, ist aber so minimalinvasiv wie möglich.
Empfehlung: AV-Vertrag bei produktiven Daten
Sobald interne Systeme oder produktive Umgebungen getestet werden, sollte ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Entscheidend ist: Datenminimierung. Der Pentest soll nicht Daten sammeln, sondern Schwachstellen aufzeigen. Und das geht auch, ohne ganze Datenbanken zu kopieren.
