{"id":3854,"date":"2025-05-15T14:50:44","date_gmt":"2025-05-15T12:50:44","guid":{"rendered":"https:\/\/security.sauer.ninja\/?p=3854"},"modified":"2025-05-15T14:56:10","modified_gmt":"2025-05-15T12:56:10","slug":"datenschutz-beim-pentest-was-an-personenbezogenen-daten-wirklich-anfaellt","status":"publish","type":"post","link":"https:\/\/security.sauer.ninja\/de\/datenschutz\/datenschutz-beim-pentest-was-an-personenbezogenen-daten-wirklich-anfaellt\/","title":{"rendered":"Datenschutz beim Pentest: Was an personenbezogenen Daten wirklich anf\u00e4llt"},"content":{"rendered":"\n<h4 class=\"wp-block-heading\"><\/h4>\n\n\n\n<p>Was genau an personenbezogenen Daten bei einem Penetrationstest verarbeitet wird, h\u00e4ngt stark vom Testgegenstand ab. Grunds\u00e4tzlich kann man aber die folgenden Kategorien unterscheiden.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">1. Ansprechpartner beim Kunden<\/h4>\n\n\n\n<p>Ohne geht\u2019s nicht: Der Pentester braucht Ansprechpersonen. Typischerweise werden hier Name, Position, dienstliche Mailadresse und Telefonnummer verarbeitet \u2013 in Mails, im Kalender, im Bericht. Diese Informationen sind meist ohnehin \u00f6ffentlich (z.\u202fB. im Impressum oder auf LinkedIn) und dienen nur der Kommunikation. Sie werden immer verarbeitet, sind aber unkritisch.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">2. Weitere Mitarbeitende des Unternehmens<\/h4>\n\n\n\n<p>Sobald das Zielsystem ein internes Netzwerk ist \u2013 vor allem mit Active Directory \u2013, kommt man an weiteren personenbezogenen Daten kaum vorbei. Namen, Benutzernamen, oft auch Passwort-Hashes oder sogar Klartextpassw\u00f6rter landen tempor\u00e4r auf dem Pentest-System. Das ist kein Zufall, sondern Teil der Aufgabe: Rechteausweitung, horizontale Bewegungen, Dom\u00e4ne-\u00dcbernahmen.<\/p>\n\n\n\n<p>Was dabei wichtig ist: Es besteht keinerlei Grund, personenbezogene Daten dauerhaft zu speichern oder auf weitere Systeme des Dienstleisters zu \u00fcbertragen. Alles, was lokal verarbeitet wird, bleibt lokal. Nur der Bericht enth\u00e4lt Ausz\u00fcge \u2013 und auch da gilt: So wenig wie n\u00f6tig. Identit\u00e4ten lassen sich anonym oder pseudonymisiert darstellen.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">3. Kundendaten des Auftraggebers<\/h4>\n\n\n\n<p>Wenn produktive Systeme getestet werden \u2013 zum Beispiel ein Onlineshop \u2013 kann es passieren, dass echte Kundendaten kurz sichtbar werden. Ziel ist es nicht, diese Daten zu speichern, sondern Schwachstellen zu identifizieren: Kann man z.\u202fB. fremde Bestellungen einsehen? Wenn ja, werden einzelne Datens\u00e4tze f\u00fcr den Moment verarbeitet. Das l\u00e4sst sich nicht vermeiden, ist aber so minimalinvasiv wie m\u00f6glich.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Empfehlung: AV-Vertrag bei produktiven Daten<\/h4>\n\n\n\n<p>Sobald interne Systeme oder produktive Umgebungen getestet werden, sollte ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Entscheidend ist: Datenminimierung. Der Pentest soll nicht Daten sammeln, sondern Schwachstellen aufzeigen. Und das geht auch, ohne ganze Datenbanken zu kopieren.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Was genau an personenbezogenen Daten bei einem Penetrationstest verarbeitet wird, h\u00e4ngt stark vom Testgegenstand ab. Grunds\u00e4tzlich kann man aber die folgenden Kategorien unterscheiden. 1. Ansprechpartner beim Kunden Ohne geht\u2019s nicht: Der Pentester braucht Ansprechpersonen. Typischerweise werden hier Name, Position, dienstliche Mailadresse und Telefonnummer verarbeitet \u2013 in Mails, im Kalender, im Bericht. Diese Informationen sind meist &#8230; <span class=\"more\"><a class=\"more-link\" href=\"https:\/\/security.sauer.ninja\/de\/datenschutz\/datenschutz-beim-pentest-was-an-personenbezogenen-daten-wirklich-anfaellt\/\">[Read more&#8230;]<\/a><\/span><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":{"0":"entry","1":"post","2":"publish","3":"author-psauer","4":"post-3854","6":"format-standard","7":"category-datenschutz"},"_links":{"self":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3854","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/comments?post=3854"}],"version-history":[{"count":5,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3854\/revisions"}],"predecessor-version":[{"id":3860,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/posts\/3854\/revisions\/3860"}],"wp:attachment":[{"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/media?parent=3854"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/categories?post=3854"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/security.sauer.ninja\/de\/wp-json\/wp\/v2\/tags?post=3854"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}