Penetration Test Bedingungen

Da ein Penetration Test unter Umständen nicht von einer tatsächlichen Attacke zu unterscheiden ist, müssen diese Tests mit einer genauen Beschreibung des Test Umfangs und mit einer Vorlaufzeit von mindestens 7 Tagen angefragt und durch IDNT freigegeben werden. Der Ablauf ist wie folgt:

• Anfrage für die Freigabe eines Penetration Tests mit Terminwunsch und einer exakten Beschreibung des Testumfangs. Die Anfrage muss über das Penetration Test Approval Formular erfolgen.
• IDNT wird auf die Anfrage innerhalb von drei (3) Geschäftstagen reagieren. Im Fall das weitere Informationen erforderlich sind, wird IDNT über die im Penetration Test Approval Form angegebene E-Mail Adresse kontaktieren.
• Nach Erhalt der Freigabe durch IDNT können Sie die in der Freigabe aufgeführten Tests in dem vereinbarten Zeitraum durchführen. Sofern Sie mehr Zeit benötigen oder einen erneuten Test zu einem anderen Zeitpunkt durchführen möchten, ist eine erneute Freigabe erforderlich.

Die Durchführung eines Penetration Tests muss nach folgenden Bestimmungen erfolgen:

• Sie müssen der Eigentümer der Dienste sein, welche im Rahmen eines Penetration Tests geprüft werden sollen oder Sie müssen das Einverständnis des Eigentümers haben.
• Kein anderer Kunde oder von IDNT angebotener Dienst darf Bestandteil bzw. Ziel des Tests sein.
• Sie führen keine der untersagten Tests durch (siehe unten).
• Sie führen keinen Test durch, welcher zu einer Überschreitung der zulässigen Bandbreite für das von Ihnen genutzten Online Angebot führt.
• Sie führen ausschließlich die von IDNT freigegebenen Tests zu den mit IDNT vereinbarten Zeiten aus und beachten die im Rahmen der Freigabe ggf. durch IDNT festgelegten Zusatzbedingungen zu den einzelnen Tests.
• Sollten Sie ein Sicherheitsproblem bei IDNT Diensten vermuten, werden Sie dies IDNT binnen 24 Stunden wie unter "Sicherheitsproblem Mitteilen" beschrieben mitteilen und Sie werden diese Information für einen Zeitraum von mindestens 90 Tagen weder veröffentlichen noch einem anderen Dritten mitteilen.
• Sie sind für alle Schäden verantwortlich, welche auf die Nichteinhaltung dieser Bestimmungen zurückzuführen sind.

Die folgenden Tests werden von uns grundsätzlich beschleunigt freigegeben:

• Port-Scans auf Ihre IP-Endpunkt Adressen
• Fuzz Testing Ihrer Anwendungen. Unter Fuzz Testing versteht sich die manuelle oder automatisierte Eingabe von fehlerhaften, ungültigen oder unerwarteten Informationen in Ihre Anwendung.
• Alle Tests welche zum Aufdecken der OWASP Top 10 Web Sicherheitslücken dienen.

Untersagt sind alle Formen eines Denial of Service Tests oder andere Tests, welche das Vorhandensein eines Denial of Service demonstrieren oder simulieren.

Alle Informationen welche Sie mit uns im Rahmen einer Penetration Test Anfrage austauschen sind vertraulich. IDNT wird diese Informationen ausschließlich im Rahmen der Anfrage nutzen um Sie bei der Durchführung der Tests zu unterstützen. Weitere Informationen zum Datenschutz entnehmen Sie bitte unserer Datenschutzerklärung.