Geteilte Verantwortung – geteilte Kosten? : Gedanken zur Kostenverteilung von Penetrationstests
Neben Problemen der konkreten Implementierung erfassen Penetrationstests auch Sicherheitslücken, die auf Fehler der Anbieter/Hersteller zurückzuführen sind. Kann man die hierfür anfallenden Kosten anteilig auf die letztlichen Verursacher umlegen?
Von Ralf Klomfaß, Mainz
Weil sowohl Implementierung als auch Konfiguration von Software und Services fehleranfällig sind, gehören Penetrationstests heute zum Standardrepertoire von Informations-Sicherheit und IT-Revision. Selbst wer auf unabhängige Zertifizierungen setzt und bei der Inbetriebnahme eine umfassende Prüfung vollzieht, bleibt nicht automatisch dauerhaft sicher, weil im Laufe des Echtbetriebs die ursprünglich ordnungsgemäß abgenommene und getestete Software, ihre Netzwerkumgebung oder verknüpfte Technik erweitert oder verändert werden (z. B. mit neuen Bibliotheksversionen, Browsern oder Protokollstandards).
Angesichts von erheblichem internen Aufwand und/oder Kosten für externe Fachfirmen zu spezifischen Penetrationstests stellt sich – gerade bei Behörden, deren IT durch öffentliche Mittel finanziert wird – die Frage, ob man Aufwendungen nicht (verursachergerecht) anteilig auch auf Hersteller und Anbieter umlegen könnte. Letztlich beruhen gefundene Probleme teilweise auf deren Versäumnissen oder zumindest könnten sie gegebenenfalls von gefundenen Fehlern profitieren, die zur Härtung von Produkten beitragen.
Über die Kostenfrage hinaus wäre das auch deshalb interessant, weil ein solches Vorgehen mittelfristig zu höherer Produktqualität beitragen könnte, wenn Anbieter daraus eine erhöhte Motivation zur dauerhaften und umfassenden Kontrolle ihrer Produkte und Dienstleistungen zögen.
Mögliche Rechtspflichten
Je nach konkreter Ausgestaltung des Vertragsverhältnisses zu einem Anbieter wären prinzipiell Verpflichtungen aufgrund verschiedener Regelungen des Bürgerlichen Gesetzbuchs (BGB) denkbar – so etwa bezüglich einer Werkabnahme (§ 640 BGB), eines Dienstvertrages (§ 611 Abs. 1 i. V. m. § 241 Abs. 2 BGB) oder des Leistungsstörungsrechts (§ 280 Abs. 1 BGB).
Hinsichtlich von Überlegungen zu Gewährleistungs- oder Schadensersatzansprüchen ist zu bedenken:
- Stellt ein Penetrationstest im Ergebnis keine Schwachstellen fest oder zumindest keine solchen, die dem Verantwortungsbereich des Herstellers/Anbieters unterfallen, können die Kosten diesem verständigerweise nicht als gesetzliche Schadensersatzposition aufgebürdet werden.
- Wurden (womöglich wesentliche) Schwachstellen festgestellt, die dem Verantwortungsbereich des Herstellers/Anbieters unterfallen, könnte unter strengen Voraussetzungen ausnahmsweise eine Erstattungspflicht nach §§ 280 Abs. 1, 249 ff. BGB über die Fallkonstellation der Erstattung von Aufwendungen zur Schadensbeseitigung oder -verhinderung in Betracht kommen.
Auch wenn dies nach der Theorie nicht gänzlich ausgeschlossen ist, gelangt der Autor nach reiflicher Erwägung leider zu dem Ergebnis, dass in typischen Fällen Hersteller/Anbieter auch bei einer festgestellten Pflichtverletzung für die tatsächlichen Kosten eines Penetrationstests auf der Grundlage allgemeiner Gesetze nicht (auch nicht anteilig) in Anspruch genommen werden können.
Vertraglicher Lösungsansatz</h2
Will man ein anderes Ergebnis erzielen, muss der Weg daher über vertragliche Regelungen führen. Dabei zeigt sich als Begleiterscheinung der Digitalisierung eine erhöhte Bedeutung der Abnahme nach § 640 BGB, bei der die Informationssicherheit stark zu berücksichtigen ist.
Kann eine Fachstelle die Auswirkungen von Programmänderungen, -erweiterungen oder -neubeschaffungen auf die Informationssicherheit nicht eigenständig belastbar beurteilen, sind bereits dann Penetrationstests im erforderlichen Umfang zu veranlassen.
Dies gilt es bereits im Beschaffungsprozess zu berücksichtigen! Bei einem sinnvollen Vorgehen lässt sich dann der standardmäßige Penetrationstest gegebenenfalls als Tätigkeit der Mangelerkundung zur vorgeschriebenen Programmabnahme in den Vertrag regulär so einbinden, dass dessen Kosten – letztlich verursachensgerecht – dem Hersteller oder Anbieter über das Mängel- oder Gewährleistungsrecht angelastet werden (vgl. insb. § 634 Nr. 4 BGB).
Interessant ist zudem der Vergleich mit Fangprämien bei Ladendiebstählen: Diese sind in begrenztem betraglichem Umfang sowohl in der Rechtsprechung als auch der juristischen Fachliteratur als Schadensersatzposition anerkannt, obwohl dort (wie bei Penetrationstests) die Ursache zur Zahlungspflicht vor einem tatsächlichen Schadenseintritt liegt. So wird beispielsweise mit Kaufhausdetektiven vertraglich vereinbart, dass diese für jeden konkret zur Anzeige gebrachten Diebstahlsversuch eine Prämie erhalten – hier kommt es in der Regel ja zu keinem tatsächlichen Schaden, weil der Dieb noch bei der Ausführung ertappt wird und insofern die betreffende Ware meist herausgibt.
Diese etablierte Praxis ließe sich in ähnlicher Form auch bei Penetrationstests durch externe Fachfirmen umsetzen. Denkbar wäre etwa ein geringer ausfallendes Grundhonorar zu vereinbaren, das zunächst überwiegend automatisierte Tests abdeckt. Ergeben sich danach Indizien für etwaige Schwachstellen, wäre vertraglich vorzusehen, bei der nachfolgenden Herausarbeitung tatsächlich bestehender Sicherheitslücken eine Prämie (ggf. gestaffelt nach Schweregraden) zu zahlen.
Insofern würde zwar auch hier die Ursache zur Zahlungspflicht einer Prämie vor dem tatsächlichen Erkennen einer Pflichtverletzung des Anbieters liegen. Diese wäre aber genau spezifiziert und erfasst nur den zur jeweiligen Sicherheitslücke passend berechneten Aufwand, der – entsprechend der im Vergleich herangezogenen Fangprämienkonstellation zu Ladendiebstählen – auf den Anbieter umlagefähig würde, sofern im Rahmen der nachträglichen Analyse die konkret dokumentierte Sicherheitslücke dessen Verantwortungsbereich unterfällt. Dabei muss es sich allerdings um ein neues Sicherheitsproblem handeln – es darf also kein nachträglich erkannter Gewährleistungsfall vorliegen.
Umlagefähig könnten so beispielsweise Kosten zu konkret erkannten Sicherheitslücken werden, die auf Softwareeinstellungen zurückzuführen sind, die nicht dem Stand der Technik entsprechen. Beispielsweise wäre dies für nicht-aktualisierte TLS-Versionen oder Headerschwachstellen in einer Website mit nachfolgend möglichem Clickjacking denkbar. Abgesehen von der Grundhonorierung an die Pentester, die auch ohne festgestellte Schwachstellen seitens der Revision zu tragen bliebe, könnten damit jedenfalls anteilige Kostenpositionen zu tatsächlich festgestellten Schwachstellen auf Basis moderner Gefahrenlagen auf Hersteller/Anbieter abzuwälzen sein.
Dieser Ansatz könnte zudem auch den jeweils eingeschalteten Pentester zusätzlich motivieren. Ansonsten könnte es durchaus vorkommen, dass zunächst mehr oder weniger standardisierte Tests durchgeführt werden – sind danach die vereinbarten Personentage bereits erreicht, würden Indizien für weitergehende (manuelle) Rechercheansätze möglicherweise nicht mehr (vollumfänglich) verfolgt. Dies wäre bei einer vorgesehenen Prämierung anders, weil hier pro festgestellter tatsächlicher Sicherheitslücke und eventuell auch gestaffelt nach Schweregrad die klare Aussicht auf weiteres Honorar bestünde – die Qualität von Penetrationstests mag somit steigen.
Macht man die vorgesehene Durchführung von Penetrationstests zudem dem Anbieter/Hersteller transparent, kann dieser seinerseits entsprechende Posten gegebenenfalls bereits kalkulatorisch berücksichtigen. Sollte es sich um ein modulares Programm handeln, bei dem Teile von unterbeauftragten Dritten stammen, hätte er im Falle tatsächlich festgestellter Sicherheitslücken zudem die Option, spezifisch ausgewiesene Aufwände an seine Zulieferer durchzureichen.
Softwarepflege-/-wartungsverträge könnten dazu wie folgt ergänzt werden: „Der Nutzer behält sich vor, unangekündigt Penetrationstests zur Software durchzuführen, sowohl hinsichtlich der Verifizierung des umgesetzten Stands der Technik als auch zum Ausschluss etwaiger Sicherheitslücken. Sofern entsprechende Schwachstellen festgestellt werden, trägt der Anbieter die zugehörig im erforderlichen Maße entstandenen Kosten.“
Fazit
An vielen Stellen offenbaren spätere Penetrationstests schwere Sicherheitslücken, die eigentlich schon zum Zeitpunkt der jeweiligen Programmabnahme hätten erkannt und geltend gemacht werden müssen. Daher sollte man bereits im Beschaffungsprozess die Durchführung von Penetrationstests standardmäßig vorsehen. So können gegebenenfalls durch Verweigerung der Programmabnahme (nach § 640 BGB) sowie der Geltendmachung entsprechender Mängel- oder Gewährleistungsrechte Kosten wesentlich besser verursachensgerecht auf den Hersteller/Anbieter umgelegt werden, weil zu jener Zeit etwaige Minderungs- oder spezifischere Schadensersatzansprüche offen stehen mögen (z. B. konkreter über §§ 634 Nr. 4, 280 BGB). Noch einfacher wird das, wenn man ein entsprechendes Vorgehen bereits vertraglich in den Ausschreibungsunterlagen vorsieht.
Gleichwohl bleiben selbst bei besserer Kontrolle im Stadium der Programmabnahme auch im Nachgang Einsatzfelder für Penetrationstests, die stärker auf Sicherheitslücken zielen, die sich im Laufe der Zeit durch weiterentwickelte Umgebungen einschleichen können – besonders wenn der jeweilige Anbieter nicht seinerseits regelmäßig Programmupdates gemäß dem Stand der Technik liefert. Aufgrund einer schwierigen bis unmöglichen Umlagefähigkeit derart entstehender Kosten wurde eine Idee vorgestellt, die den Gedanken von Fangprämien für versuchte Kaufhausdiebstähle nachbildet und letztlich Management und Wissen Penetrationstests durch eine zusätzliche monetäre Motiviation für Penetrationstester eine gesteigerte Qualität sowohl der Tests als auch der eingesetzten Software anvisiert.
Ein verbreitetes derartiges Vorgehen würde dauerhaft dazu beitragen, das Niveau der Informationssicherheit möglichst hoch zu halten. In der Folge wären die zugehörigen Aufgaben insgesamt in höherem Grade erfüllt, wovon letztlich alle Beteiligten profitieren: vom Nutzer und seinen Kunden bis hin zum Softwareanbieter selbst.
Ralf Klomfaß ist Dipl.-Verwaltungsbetriebswirt (FH), DiplomJurist sowie Master des Wirtschaftsrechts (LL. M.) und arbeitet als Leiter der Abteilung für Verwaltungsprüfungen der Landeshauptstadt Mainz – eine seiner Schwerpunkttätigkeiten bildet die Revision der Informationssicherheit.