Vereinbarung/Vertrag Penetration Test

[floyd]

Hallo zusammen

Ich habe in der letzten Zeit private für einige KMU's meiner Freunde Penetration Tests durchgeführt (bei grösseren Unternehmen gibts sowieso NDAs). Da ich keine Firma besitze, hafte ich natürlich prinzipiell privat, wenn etwas schiefgeht. Damit ich trotzdem extrem minimal abgesichert bin, habe ich mit ein paar anderen Leuten zusammen eine Vereinbarung aufgesetzt. Jetzt kommt aber der wichtige Teil:

- Diese Vereinbarung wurde kaum juristisch überprüft. Sie kann also grobe Fehler enthalten. Sie wurde lediglich 10 Minuten mit einer Schweizer Rechtsanwältin durchgeschaut.
- Ich als Autor dieser Vereinbarung übernehme sowieso keinerlei Verantwortung für irgendetwas.
- Macht keine Penetration Tests wenn ihr nicht immer 100% wisst, was ihr gerade tut
- Die Vereinbarung ist für die Schweiz gemacht, ich denke sie ist jedoch auch für Deutschland i.O.
- Eine solche Vereinbarung ist (hoffentlich) besser als kein Vertrag

Vereinbarung zum Penetration Test

Dieses Dokument stellt eine Vereinbarung zwischen

dem Auftraggeber, <Name-und-Adresse-einfüllen>

dem Hostinganbieter, <Name-und-Adresse-einfüllen>

und dem Anbieter der Dienstleistung, <Dein-Name-und-deine-Adresse-einfüllen>

dar, betreffend dem bis zum <Datum-einfüllen> durchzuführenden Penetration Test auf der Domäne <Domäne-einfüllen> und deren Unterdomänen.

Eine fachgerechte Datensicherung (Backup) ist Sache des Auftraggebers und/oder des Hostinganbieters. Der Anbieter versucht die Webapplikation des Auftraggebers sowie die Serverinfrastruktur des Hostinganbieters auf Schwachstellen zu prüfen. Der Auftrag wird unentgeltlich durchgeführt. Der Anbieter schuldet weder dem Auftraggeber noch dem Hostinganbieter Erfolg. Die Motivation des Anbieters liegt in schulischen Zwecken, wobei dies der <Anzahl-Penetration-Test-die-du-schon-gemacht-hast-einfüllen> Auftrag im Penetration Testing Bereich für den Anbieter darstellt. Der Anbieter setzt nicht vorsätzlich sogenannte Denial of Service (DoS) Attacken ein, welche die Benutzung des Webdienstes für andere Benutzer verunmöglicht.

Der Anbieter übernimmt keine Gewähr für die Vollständigkeit und Richtigkeit der Angaben in der resultierenden Dokumentation. Im Weiteren haftet der Anbieter unter keinen Umständen für mittelbare oder unmittelbare Folgeschäden oder besondere Schadensfolgen, die sich aus oder in Verbindung mit den durchgeführten Tests oder der resultierenden Dokumentation ergeben, gleichgültig, ob diese aufgrund unerlaubter Handlungen, eines Vertrages oder sonstigen Gründen in Verbindung mit den durchgeführten Tests oder der resultierenden Dokumentation entstehen.

Soweit gesetzlich zulässig, schliesst der Anbieter jede Haftung für Schäden aus der Nichterfüllung von vertraglichen Verpflichtungen des Auftraggebers und/oder des Hostinganbieters sowie für indirekte oder Folgeschäden, wie entgangener Gewinn, Ansprüche Dritter oder Datenverlust, gleich aus welchem Rechtsgrund, aus.

Ort und Datum:

<Hier-kommen-drei-unterschriften-hin>

Das ist jetzt mal für den Fall das ihr das gratis/zu schulischen Zwecken macht. Ansonsten ist etwas anzuraten im Bereich von

Der Anbieter haftet nicht für leichte Fahrlässigkeit. Bei grober Fahrlässigkeit haftet der Anbieter bis zu einem maximalen Betrag von <Währung-Einsetzen> <Hier-den-Lohn-Einsetzten-den-du-bekommst>

Die Frage ist dann einfach noch ob eure Kunden auch bereit sind das zu unterschreiben. Ich zu meinem Teil fass sonst nicht mal meine Tastatur an.

Was sind so eure Erfahrungen?

PS: Wenn es jemand gerne als latex Vorlage hätte, bitte PM

[KMDave]

Ich habe noch ein paar Punkte, die ich aufnehmen wuerde oder anders formulieren wuerde.

Wenn du magst, kannst du mir die Vorlage mal schicken bitte.

[*YAPP*]

würde mich freuen wen du die postest

[S3M73X]

Jo, mich würde auch mal sehr interessieren wie so ne Vorlage aussieht Dave.

[floyd]

Keine Angst, ich nerve Dave schon länger damit

Wenn der Backtrack Day dann mal mehr oder weniger organisiert ist, habe er dann wieder Zeit dafür. Wir müssen uns also noch ein bischen gedulden.

Wie gesagt, meine Vorlage seht ihr ja im letzten Post!