Legal, illegal, egal. Leider ist es nicht ganz so einfach.
Ein kleines Update für unsere Security Experten, die sich auf Pentests, Fuzzing oder dergleichen spezialisiert haben. Projektausschreibungen bzw. -aufträge für Auftragseinbrüche in Hardware, Software oder ganze Infrastrukturen sind immer sorgfältig auszuwählen. Das ist unser ernst gemeinter Rat an Sie.
Sehr oft oder fast nie stellen diese Art der Aufträge ein Problem dar, wenn Hersteller einer Software jemanden oder eine Firma beauftragen, diverse Angriffe und Hacks zu erledigen, um die Sicherheitsschwachstellen im Produkt zu finden, um diese in einem Nachgang der Entwicklung, zwar teuer, aber dennoch zu schließen. Selbst hier sagt der StGB 202c, dass es illegal ist. Allerdings bringt man die Pentesting- oder Fuzzingsoftware bzw. die Schwachstellen nicht in Umlauf, jedenfalls machen das die Pentester nicht, die ein „Ethical Hacking“ betreiben. Viele renommierte Firmen und Freiberufler gibt es dafür in Deutschland.
Nun gibt es aber auch dubiose Ausschreibungen von Behörden, die es besser wissen müßten. Diese vergeben in einer Ausschreibung einen Auftrag, eine ganze Reihe von Einbrüchen in Systeme Dritter zu tätigen. Die Behörde ist allerdings nicht der Hersteller des zu pentrierenden Produktes, und beauftragt einen dritten Freiberufler bzw. eine Firma, alle Schwachstellen des Produktes herauszufinden. Dann kommt hinzu, dass es Produkte gibt, die recht komplex gebaut sind. So sind z.B. in Smartphones die Produkte vieler Hersteller eingebaut, auf die viele Schwachstellenanalysen aus der Ausschreibung beauftragt werden.
Das kann unter Umständen ins Auge gehen, und viele potentielle Klagen auf den Pentester, Fuzzer oder das entsprechende Unternehmen, das die Ausschreibung gewonnen hat, hageln. Klagen im Falle des Smartphones kann z.B. der Platinenhersteller, der CPU-Hersteller, der digitale Signalprozessorhersteller, etc. Behörden sollten das besser wissen.
Aber es kommt noch schlimmer. Die Behörde wiegelt das Risiko meist völlig auf den Auftragnehmer ab. Dazu ein Auszug aus einem Vertrag einer Behörde, die einen Penetrationstest ausgeschrieben hat. Lesen Sie bitte aufmerksam!
Macht ein Dritter gegenüber dem Auftraggeber Ansprüche wegen der Verletzung von Schutzrechten durch die Nutzung des gelieferten Vertragsgegenstandes geltend und wird deren Nutzung hierdurch beeinträchtigt oder untersagt, haftet der Auftragnehmer wie folgt: Der Auftragnehmer wird nach seiner Wahl und auf seine Kosten entweder die gelieferten Vertragsgegenstände so ändern oder ersetzen, dass sie das Schutzrecht nicht verletzen, aber im Wesentlichen den vereinbarten Leistungs- und Funktionsmerkmalen in für den Auftraggeber zumutbarer Weise entsprechen oder den Auftraggeber von Lizenzentgelten gegenüber dem Schutzrechtsinhaber oder Dritten freistellen. Gelingt dies dem Auftragnehmer zu angemessenen Bedingungen nicht, hat er die Vertragsgegenstände gegen Erstattung der entrichteten Vergütung abzüglich eines die Zeit der Nutzung berücksichtigenden Betrages zurückzunehmen. In diesem Fall ist der Auftraggeber verpflichtet, die Vertragsgegenstände zurückzugeben.
Voraussetzungen für die Haftung des Auftragnehmers nach Ziffer xx sind, dass der Auftraggeber den Auftragnehmer von Ansprüchen Dritter unverzüglich verständigt, die behauptete Schutzrechtsverletzung nicht anerkennt und jegliche Auseinandersetzung einschließlich etwaiger außergerichtlicher Regelungen entweder dem Auftragnehmer überlässt oder nur im Einvernehmen mit dem Auftragnehmer führt. Dem Auftraggeber durch die Rechtsverteidigung entstandene notwendige Gerichts- und Anwaltskosten gehen zu Lasten des Auftragnehmers.
Stellt der Auftraggeber die Nutzung aus Schadensminderungs- oder sonstigen wichtigen Gründen ein, ist er verpflichtet, den Dritten darauf hinzuweisen, dass mit der Nutzungseinstellung ein Anerkenntnis der behaupteten Schutzrechtsverletzung nicht verbunden ist. Soweit der Auftraggeber die Schutzrechtsverletzung selbst zu vertreten hat, sind Ansprüche gegen den Auftragnehmer ausgeschlossen. Weitergehende Ansprüche des Auftraggebers wegen einer Verletzung von Schutzrechten Dritter sind ausgeschlossen. Dieser Ausschluss gilt nicht bei Vorsatz, grober Fahrlässigkeit und bei der Verletzung des Lebens, des Körpers oder der Gesundheit.
Nachdem man das gelesen hat, sollte man Vertragsangebote oder Verträge zum Thema „Auftragseinbrüche“ besser, speziell die manch‘ einer Behörde genauer unter die Lupe nehmen, im Zweifel jedoch sein lassen! By the way ging der Auszug aus dem Vertrag noch weiter. Es war eine Haftungsgrenze pro Fall von 1 Mio. Euro eingebaut, die Rechtsanwalts- und Gerichtskosten des Auftraggebers muss der Auftragnehmer auch übernehmen.
Bei einem Auftragsvolumen der Ausschreibung von 80-90 Manntagen, sprich ca. 90 -100.000 Euro, kein guter Deal! Finger weg.
