Letter of Authorization / Einwilligungserklärung für Penetrationstests
Dieses Dokument berechtigt Thomas Nickel (im Folgenden "Auftragnehmer" genannt), Sicherheitsüberprüfungen (Penetrationstests) an den unten genannten IT-Systemen durchzuführen. Ohne dieses unterschriebene Dokument ist ein Test gemäß § 202a-c StGB unzulässig.
1. Angaben zum Auftraggeber (Systeminhaber)
2. Zielsysteme (Scope)
Die Sicherheitsüberprüfung ist strikt auf die folgenden Systeme beschränkt. Systeme von Drittanbietern (z.B. externe Zahlungsdienstleister, Shared-Hosting-Nachbarn) sind explizit vom Test ausgeschlossen.
3. Technischer Eigentumsnachweis (Verifizierung)
Um sicherzustellen, dass Sie der rechtmäßige Inhaber des Servers sind, müssen Sie eine Datei in das Hauptverzeichnis (Root) Ihres Webservers hochladen.
Schritt 3: Datei hochladen
Laden Sie die soeben heruntergeladene Datei unverändert per FTP in das Hauptverzeichnis (Root) Ihres Webservers hoch (oft public_html oder htdocs).
Die Datei muss exakt unter dieser URL abrufbar sein (diese URL wird mit dem Formular gedruckt/gespeichert):
4. Erklärungen des Auftraggebers
Berechtigung: Der Auftraggeber bestätigt rechtsverbindlich, dass er der Eigentümer der unter Punkt 2 genannten Systeme ist oder vom Eigentümer ausdrücklich bevollmächtigt wurde, diese Tests in Auftrag zu geben. Er bestätigt ferner, dass eventuelle Hosting-Anbieter (falls zutreffend) Penetrationstests gemäß ihren AGBs nicht untersagen.
Befreiung von Strafbarkeit: Der Auftraggeber beauftragt den Auftragnehmer ausdrücklich mit dem Test und entbindet ihn hiermit von der potenziellen Strafbarkeit nach §§ 202a, 202b, 202c und 303b StGB.
Datensicherung (Backup): Der Auftraggeber bestätigt, dass unmittelbar vor Beginn der Tests eine vollständige und funktionsfähige Datensicherung (Backup) aller Zielsysteme angefertigt wurde.
5. Haftungsausschluss
Obwohl die Tests mit größter Sorgfalt durchgeführt werden, kann es zu Systemausfällen, Leistungseinbußen oder im schlimmsten Fall zu Datenverlust kommen. Der Auftragnehmer haftet nur für Schäden, die auf vorsätzlichem oder grob fahrlässigem Verhalten beruhen. Eine Haftung für leichte Fahrlässigkeit, Betriebsunterbrechungen oder entgangenen Gewinn wird vollständig ausgeschlossen.
6. Verschwiegenheit (NDA)
Der Auftragnehmer verpflichtet sich, alle während des Tests erlangten Informationen, Zugangsdaten und Schwachstellen streng vertraulich zu behandeln und nicht an Dritte weiterzugeben, es sei denn, es besteht eine gesetzliche Verpflichtung dazu.