Im amerikanischen Bundesstaats Iowa wurde zwei Männer auf frischer Tat beim Einbrechen in das Dallas County Bezirksgericht ertappt. Die Männer beteuerten, unschuldig zu sein – sie seien Teil eines offiziellen Penetrationstester-Teams. Deren Ziel sei die Funktionsfähigkeit des Alarmsystems zu testen und die Reaktionszeit der Polizei zu messen. Die Polizeibeamten überzeugte das alles nicht und die beiden wurden zunächst hinter Gitter gesteckt. Am Ende klärte sich alles auf: Sowohl das Dallas County und die Pen-Tester waren nicht ganz unschuldig in dieser Sache.

Die State Court Administration arbeitet seit Jahren mit dem IT-Sicherheitsberater Coalfire zusammen, doch dieses Mal ging etwas schief. Offiziell lautete der Auftrag „den unbefugten Zugriff auf Gerichtsakten mit verschiedenen Mitteln zu versuchen, um mögliche Schwachstellen zu ermitteln.“ Die staatliche Gerichtsverwaltung dachte dabei jedoch nicht an einen physischen Einbruchsversuch in ein Gerichtsgebäude. Das hatten sie allerdings vertraglich mit dem Coalfire im Vorfeld vereinbart. Jedoch war die Wortwahl „mit verschiedenen Mitteln“ wohl nicht ganz eindeutig genug gewählt. Dazu kam auch noch, dass die Beamten des Bundesstaates Iowa, die den Test angeordnet hatten, den Bezirksbeamten kein Wort davon mitgeteilt hatten. Sie entschuldigten sich im Nachhinein dafür, eine solche Verwirrung angerichtet zu haben.

Dieser Vorfall zeigt beispielhaft die rechtlichen Risiken der Penetrationstests auf. Schwammig formulierte vertragliche Vereinbarung zum Umfang der grundlegendsten Bausteine derartiger Tests, können die Pen Tester in große rechtliche Schwierigkeiten bringen. Josh Rosenblatt, ein Anwalt und Dozent im Bundestaat Maryland erläuterte die rechtlichen Problematiken bei Penetrationstests.

„Wenn ein vollständiger Black-Box-Test stattfindet, also eine Sicherheitsbewertung ohne festgelegten Umfang, und dabei nur eine vage Definition der Sicherheitsüberprüfung vorliegt, könnten es Probleme geben.“

Dies gelte insbesondere dann, wenn der Auftraggeber nicht der Eigentümer der zu prüfenden Infrastruktur ist, so Rosenfeld.

„Der festgelegte Arbeitsumfang ist alles“, erklärte er, „wenn dieser nur vage definiert ist, entstehen gesetzliche Haftungsrisiken“.

Dass Coalfire so etwas passiert ist, ist nach über 10.000 durchgeführten Penetrationstests durchaus seltsam. Aber hier kommen tatsächlich einige unglückliche Umstände beider beteiligten Vertragsparteien zusammen. Zum einen sollte die Zahl der Eingeweihten tatsächlich sehr klein gehalten werden. Aber wenigstens einer sollte vor Ort Bescheid wissen. In diesem Fall hat der staatliche Auftraggeber es hier vermasselt, den Bezirk nicht zu informieren. Coalfire als Auftragnehmer hatten andererseits einen unklar formulierten Dienstleistungskatalog aufgesetzt, den die staatliche Gerichtsverwaltung zudem nicht hinterfragt hat. Letztere entschuldigte sich anschließend bei den Beamten von Dallas County.

Wer Pen-Tests durchführt, muss immer einen sehr klar definierten Dienstleistungskatalog vorlegen. Darin werden alle Einbruchsmethoden erläutert, Kontaktpersonen benannt und auch Gegenreaktionen aufgeführt. Vor allem bei physischen Testmethoden sollten die Tester diese Legitimation immer dabei haben. Sie legt den legalen Rahmen für Penetrationstests fest. Abweichungen davon sind kriminelle Handlungen.

In einem Kommentar sagte IT-Sicherheitsexperte Dr. Johannes Ullrich, dass es tatsächlich eher wie eine allgemeine Verwechslung aussieht. Die zwei Penetrationstester vor Ort hätten die geringste Schuld. Sein Rat sieht ebenfalls so aus, dass vor einem Test sichergestellt werden sollte, dass die wichtigsten Beteiligten Bescheid wissen und eine Erlaubnis zum Vorgehen erteilt haben.

Echte Cybergauner spielen jedoch nie schön, ihnen sind alle Methoden recht. Nichts spricht also gegen realitätsnahe Tests. Dies vertraglich ordentlich festzuhalten, ist offenbar sehr wichtig, um Freund von Feind zu unterscheiden.

Artikel von desmoinesregister.com, 13.09.2019: Men arrested for breaking into Dallas County Courthouse after judicial branch hires them to test ‚vulnerability‘ of court records
Artikel von zdnet.com, 16.09.2019: Pen test goes pear-shaped: cybersecurity firm staff arrested over courthouse burglary
Artikel von theregister.co.uk, 19.09.2019: Remember that security probe that ended with a sheriff cuffing the pen testers? The contract is now public so you can decide who screwed up
Artikel von arstechnica.com, 19.09.2019: Iowa officials claim confusion over scope led to arrest of pen-testers

Urheberrechte Beitragsbild und Bilder im Text: Public Domain, Creative Commons CC0