Mitten im Einsatz entdecken Sie einen ausnutzbaren Host, der eindeutig NICHT im vereinbarten Scope liegt. Was tun Sie?
Kurzantwort
Die Autorisierung definiert den Auftrag: Tests außerhalb des vereinbarten Scopes sind potenziell illegal und verletzen die Rules of Engagement, egal wie verlockend das Ziel ist. Dokumentieren Sie, was Sie gesehen haben, stoppen Sie und holen Sie die schriftliche Freigabe des Kunden ein, bevor Sie weitermachen. Ausnutzen für „mehr Findings" rechtfertigt niemals unbefugten Zugriff. Heimliches Ausnutzen in der Annahme, nicht erwischt zu werden, ist sowohl unethisch als auch eine Straftat, und den Scope selbst zu erweitern entzieht dem Kunden seine informierte Einwilligung.
Ein Penetrationstest ist nur deshalb legal, weil der Kunde ihn schriftlich autorisiert hat, und diese Autorisierung wird durch einen definierten Scope begrenzt. In dem Moment, in dem Sie einen Host außerhalb dieser Grenze anrühren, führen Sie keinen genehmigten Test mehr durch, sondern begehen unbefugten Zugriff — in den meisten Rechtsordnungen eine Straftat, unabhängig von Ihrer Absicht.
Warum Stoppen und schriftliches Bestätigen richtig ist
Das professionelle Vorgehen besteht darin, zu stoppen, den Host unberührt zu lassen und an den Kunden zu eskalieren, damit er über eine Scope-Erweiterung entscheidet. Stimmt er zu, holen Sie die Änderung schriftlich ein — einen angepassten Scope oder eine unterschriebene Freigabe —, bevor Sie fortfahren. Das schützt Sie rechtlich und wahrt die informierte Einwilligung des Kunden. Sie dürfen festhalten, dass der Host erreichbar und potenziell ausnutzbar erscheint: Ihn aus dem autorisierten Scope heraus zu beobachten ist in Ordnung, ihn aktiv auszunutzen nicht.
Warum die anderen Optionen falsch sind
- Ausnutzen für „mehr Findings". Ein umfangreicherer Bericht ist wertlos, wenn er durch illegale Aktivität entstand. Das setzt Sie und Ihr Unternehmen einem Risiko aus und zerstört das Vertrauen des Kunden.
- Heimlich ausnutzen, wenn man nicht erwischt wird. Das verwandelt den Test in genau die Straftat, die zu verhindern Sie engagiert wurden. „Nicht erwischt werden" ist kein Autorisierungsmodell, sondern die Denkweise eines Angreifers.
- Selbst dem Scope hinzufügen. Netzwerkzugriff zu haben ist nicht dasselbe wie eine Erlaubnis zu haben. Den Scope eigenmächtig zu erweitern entzieht dem Kunden seine Einwilligungsfähigkeit und kann Produktivsysteme oder Drittanbieter-Assets gefährden.
Worauf ein Interviewer achtet
Er will sehen, dass Sie die Autorisierung und nicht die Fähigkeit als begrenzenden Faktor behandeln. Ein starker Kandidat greift instinktiv zu den Rules of Engagement und dem Kundenkontakt statt zum Exploit. Ethik und Disziplin unter Versuchung unterscheiden einen vertrauenswürdigen Tester präzise von einem Risiko, und dieses Szenario soll zeigen, welcher von beiden Sie sind.
Wahrscheinliche Anschlussfragen
- Was in den Rules of Engagement regelt, wie Scope-Änderungen autorisiert werden?
- Wie würden Sie den Host außerhalb des Scopes dokumentieren, ohne ihn zu testen?
- Welches rechtliche Risiko erzeugt ein unbefugter Test für Sie und Ihr Unternehmen?