Wir verstehen, dass Penetrationstest im Interesse des Auftraggebers sind, um die Sicherheit seiner Daten bei einer Verarbeitung durch Dienstleister abzuschätzen. Ohne Ankündigung und vorherige Koordination mit uns sind Pentests jedoch mit Angriffen auf unsere Services gleichzustellen (uns fehlt der Kontext). Wir gehen entsprechend aktiv gegen sie vor, was einerseits den technischen aber andererseits auch den rechtlichen Aspekt betreffen kann.
Um jegliche Missverständnisse ausschließen zu können, ist es daher notwendig, vorab folgende Punkte zu klären:
- Datum des Pentests?
- Scope des Pentests?
- Was für Tests möchte der Kunde durchführen?
- Ist womöglich mit einem Impact auf unsere Produktivsysteme zu rechnen ("destruktive Tests", DoS, DDoS)?
- Wie viele Tests führt der Kunde durch?
- Von wo (IP oder IP Range) wird der Test durchgeführt?
Wir erwarten, dass uns das Testergebnis zur Verfügung gestellt wird.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.