Penetration Test Bedingungen

Wir führen regelmäßig eigene und beauftragte Tests zur Überprüfung der Sicherheit unserer Online Dienste durch. Dies ist auch für unsere Kunden ein wichtiger Bestandteil der Anwendungs- Entwicklung und Bereitstellung. Um dies zu ermöglichen haben wir diese Bedingungen gemeinsam mit unseren Kunden erarbeitet, die es Ihnen ermöglichen eigene Tests durchzuführen.

Anfrage und Freigabe

Da ein Penetration Test unter Umständen nicht von einer tatsächlichen Attacke zu unterscheiden ist, müssen diese Tests mit einer genauen Beschreibung des Test Umfangs und mit einer Vorlaufzeit von mindestens 7 Tage angefragt und durch IDNT freigegeben werden. Der Ablauf ist wie folgt:

  • Anfrage für die Freigabe eines Penetration Tests mit Terminwunsch und einer exakten Beschreibung des Testumfangs. Die Anfrage muss über das Penetration Test Approval Formular erfolgen.
  • IDNT wird auf die Anfrage innerhalb von drei (3) Geschäftstagen reagieren. Im Fall das weitere Informationen erforderlich sind, wird IDNT über die im Penetration Test Approval Form angegebene E-Mail Adresse kontaktieren.
  • Nach Erhalt der Freigabe durch IDNT können Sie die in der Freigabe aufgeführten Tests in dem vereinbarten Zeitraum durchführen. Sofern Sie mehr Zeit benötigen oder einen erneuten Test zu einem anderen Zeitpunkt durchführen möchten, ist eine erneute Freigabe erforderlich.

Bitte teilen Sie uns umgehend mit wenn Sie der Meinung sind ein Sicherheitproblem in den von IDNT angebotenen Online Diensten gefunden zu haben.

Bestimmungen für die Durchführung eines Penetration Tests

Die Durchführung eines Penentration Tests muss nach folgenden Bestimmungen erfolgen:

  • Sie müssen der Eigentümer der Dienste sein, welche im Rahmen eines Penetration Tests geprüft werden sollen oder Sie müssen das Einverständnis des Eigentümers haben.
  • Kein anderer Kunde oder von IDNT angebotener Dienst darf Bestandteil bzw. Ziel des Tests sein.
  • Sie führen keine der untersagten Tests durch (siehe unten)
  • Sie führen keinen Test durch, welcher zu einer Überschreitung der zulässigen Bandbreite für das von Ihnen genutzten Online Angebot führt.
  • Sie führen ausschließlich die von IDNT freigegebenen Tests zu den mit IDNT vereinbarten Zeiten aus und beachten die im Rahmen der Freigabe ggf. durch IDNT festgelegten Zusatzbedingungen zu den einzelnen Tests.
  • Sollten Sie ein Sicherheitsproblem bei IDNT Diensten vermuten, werden Sie dies IDNT binnen 24 Stunden wie unter "Sicherheitsproblem Mitteilen" beschrieben mitteilen und sie werden diese Information für einen Zeitraum von mindestens 90 Tagen weder veröffentlichen noch einem anderen Dritten mitteilen.
  • Sie sind für alle Schäden verantworlich, welche auf die Nichteinhaltung dieser Bestimmungen zurückzuführen sind.

Standardtests

Die folgenden Tests werden von uns grundsätzlich beschleunigt freigegeben:

  • Port-Scans auf Ihre IP-Endpunkt Adressen
  • Fuzz Testing Ihrer Anwendungen. Unter Fuzz Testing versteht sich die manuelle oder automatisierte Eingabe von fehlerhaften, ungültigen oder unerwarteten Informationen in Ihre Anwendung.
  • Alle Tests welche zum Aufdecken der OWASP Top 10 Web Sicherheitlücken dienen.

Untersagte Tests

Untersagt sind alle Fromen eines Denial of Service Tests oder andere Tests, welche das Vorhandensein eines Denial of Service demonstrieren oder simulieren.

Datenschutz

Alle Informationen welche Sie mit uns im Rahmen einer Penetration Test Anfrage austauschen sind vertraulich. IDNT wird diese Informationen ausschließlich im Rahmen der Anfrage nutzen um Sie bei der Druchführung der Tests zu unterstützen. Weitere Informationen zum Datenschutz entnehmen Sie bitte unserer Datenschutzerklärung.

Penetration Test Genehmigung Anfordern »