Penetrationstest- / IT-Security-Audit-Vereinbarung Schweiz (Rules of Engagement)

Die Penetrationstest- / IT-Security-Audit-Vereinbarung (Rules of Engagement) ist ein in der Schweiz nach Obligationenrecht (OR) Art. 394-406 (SR 220) geregeltes rechtsverbindliches schriftliches Dokument. Rechtliche Einordnung als Auftragsverhältnis: Die Penetrationstest-Vereinbarung Schweiz qualifiziert sich rechtlich als einfaches Auftragsverhältnis im Sinne von Obligationenrecht (OR) Art. 394-406. Der Auftragnehmer schuldet eine sorgfältige Auftragsausführung nach den anerkannten Standards der internationalen Cyber-Security-Branche - OWASP Testing Guide v4 für Web-Applikationen, NIST SP 800-115 für technische Prüfverfahren, Penetration Testing Execution Standard (PTES), Open Source Security Testing Methodology Manual (OSSTMM) sowie die Anforderungen aus ISO/IEC 27001 Annex A.18 zur Compliance. Der Auftragnehmer schuldet keinen Erfolg im Sinne der Aufdeckung sämtlicher vorhandener Schwachstellen, sondern eine sorgfältige Prüfung lege artis. Beide Parteien können den Auftrag nach OR Art. 404 jederzeit widerrufen, wobei der Widerruf zur Unzeit Schadenersatz nach sich zieht. Die Honorarverpflichtung des Auftraggebers besteht gemäss OR Art. 394 Abs. 3 nur, soweit Verabredung oder Übung dies vorsieht - im Cyber-Security-Markt ist die entgeltliche Beauftragung jedoch der Standard.

Schutz vor strafrechtlicher Verfolgung: Ohne eine Penetrationstest-Vereinbarung Schweiz mit ausdrücklicher Ermächtigung des Berechtigten bewegt sich der Pentester in der Strafbarkeit nach StGB Art. 143 (Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bei unbefugtem Beschaffen von Daten in Bereicherungsabsicht) und StGB Art. 143bis (Freiheitsstrafe bis zu drei Jahren oder Geldstrafe beim unbefugten Eindringen in ein fremdes Datenverarbeitungssystem über Sicherheitsmassnahmen hinweg). Bei vorsätzlicher Datenbeschädigung oder Beeinträchtigung der Datenverarbeitung droht zusätzlich Freiheitsstrafe bis zu drei Jahren nach StGB Art. 144bis. Die Penetrationstest-Vereinbarung Schweiz dokumentiert die Einwilligung des Berechtigten beweissicher und schützt den Pentester sowie sein Team auch im Fall einer späteren Strafanzeige durch Dritte (etwa nach einem Datenleck, für das fälschlich der Pentester verantwortlich gemacht wird). Wichtig ist, dass die Einwilligung des Berechtigten vor Testbeginn vorliegt - eine retrospektive Genehmigung heilt den verwirklichten Tatbestand nicht.

Branchenspezifische Anforderungen FINMA, NCSC, GwG: Für FINMA-beaufsichtigte Institute (Banken nach Bundesgesetz über Banken und Sparkassen BankG, Versicherer, Effektenhäuser nach Finanzinstitutsgesetz FINIG) gelten zusätzliche Anforderungen aus dem FINMA-Rundschreiben 2008/21 zu operationellen Risiken und dem FINMA-RS 2018/3 zum Outsourcing. Penetrationstests sind hier Pflichtbestandteil des Internal Control System (ICS); der Final-Report wird im Rahmen der aufsichtsrechtlichen Prüfungen der Eidgenössischen Finanzmarktaufsicht FINMA und gegebenenfalls der Schweizerischen Nationalbank (SNB) zur Einsicht vorgelegt. Bei Banken nach Geldwäschereigesetz (GwG, SR 955.0) gelten zusätzliche Anforderungen an die Sicherheit von KYC- und Transaktions-Monitoring-Systemen, weil eine Kompromittierung dieser Systeme direkt die GwG-Compliance gefährdet. Das National Cyber Security Centre (NCSC, Eidgenossenschaft, Nachfolgeorganisation von MELANI) empfiehlt für kritische Infrastrukturen jährliche Pentests und stellt eine Reporting-Plattform für schwerwiegende Vorfälle bereit. Für Spitäler unter Krankenversicherungsgesetz (KVG) und Telekommunikationsanbieter unter Fernmeldegesetz (FMG) bestehen sektorspezifische Sicherheitsanforderungen.

Rules of Engagement als Kerndokument: Die Penetrationstest-Vereinbarung Schweiz wird in der Cyber-Security-Branche oft als Rules of Engagement (RoE) bezeichnet. Der Vertrag bildet das verbindliche Regelwerk für das gesamte Mandat: Wer darf welche Systeme wann mit welchen Methoden testen? Welche Aktivitäten sind ausdrücklich verboten? Wie erfolgt die Sofort-Meldung kritischer Findings? Welche Reportformate werden geliefert? Wie wird mit personenbezogenen Daten umgegangen, die im Test sichtbar werden? Eine sorgfältig ausgearbeitete Penetrationstest-Vereinbarung Schweiz schützt beide Vertragsparteien vor Missverständnissen, rechtlichen Risiken und reputationsschaedigenden Eskalationen. Die Vereinbarung ist vor Beginn jeder aktiven Testaktivitaet rechtsverbindlich zu unterzeichnen - retrospektive Genehmigungen heilen Tatbestände nach StGB Art. 143-144 nicht.

Abgrenzung zu anderen Vertragsarten: Die Penetrationstest-Vereinbarung Schweiz unterscheidet sich klar von einer Geheimhaltungsvereinbarung (NDA), die nur die Vertraulichkeit regelt, und von einem allgemeinen IT-Dienstleistungsvertrag, der typischerweise nur Wartungs- oder Beratungsleistungen abdeckt. Pentest-spezifische Klauseln umfassen die explizite Genehmigung der StGB-relevanten Handlungen, eine präzise Scope-Definition mit IP-Bereichen und Domains, Zeitfensterregelungen, Out-of-Band-Notfallkommunikation, Critical-Finding-Sofort-Meldepflichten innerhalb weniger Stunden, Reporting-Standards mit CVSS-Scores nach Common Vulnerability Scoring System Version 3.1 sowie eine Berufshaftpflicht-Versicherungspflicht des Pentesters. In der Praxis kombinieren erfahrene Auftraggeber die Penetrationstest-Vereinbarung Schweiz mit einer separaten Auftragsbearbeitungsvereinbarung nach DSG Art. 9 (DPA), wenn personenbezogene Daten verarbeitet werden, sowie mit einer Master Service Agreement (MSA) bei wiederkehrenden Mandaten. Schweizer Spezialdienstleister wie Compass Security, Oneconsult oder Scip arbeiten standardmässig mit solchen RoE-Vorlagen.

Pentest-Typologie und Methodenwahl: Die Penetrationstest-Vereinbarung Schweiz definiert auch den gewählten Test-Typ. Black-Box-Pentests simulieren einen externen Angreifer ohne Vorwissen und sind besonders für Internet-Perimeter geeignet. Grey-Box-Tests gewähren dem Pentester teilweise Information (etwa Test-Konten oder Architektur-Diagramme) und liefern oft ein besseres Kosten-Nutzen-Verhältnis. White-Box-Tests umfassen vollständigen Zugriff inklusive Quellcode-Review und sind für kritische Eigenentwicklungen empfohlen. Red-Team-Engagements gehen noch weiter und kombinieren technische Penetration mit Social Engineering und teils physischen Eindringversuchen - solche Mandate setzen besonders detaillierte Rules of Engagement voraus, weil die Risiken für Mitarbeitende und Geschaeftsbetrieb höher sind. Compliance-orientierte Audits nach ISO/IEC 27001 oder Payment Card Industry Data Security Standard (PCI-DSS) folgen festgelegten Prüfkatalogen und liefern eine standardisierte Compliance-Bestätigung.

Wirtschaftliche Bedeutung im DACH-Raum: In der Schweizer Wirtschaft hat sich der Pentest-Markt in den letzten Jahren stark professionalisiert. Banken im Crypto Valley Zug sowie etablierte Institute wie UBS, Credit Suisse (heute Teil von UBS), Raiffeisen und die Kantonalbanken führen regelmässig externe Pentests durch. Spezialisierte Schweizer Anbieter (Compass Security in Jona und Zürich, Oneconsult in Zürich, Scip AG in Zürich, modzero in Bern, Hacknowledge in Lausanne) decken die meisten Branchensegmente ab. Stundensätze bewegen sich zwischen Fr. 200.- und Fr. 400.- je nach Spezialisierung und Erfahrung; ein typisches Mandat für einen mittelständischen Auftraggeber liegt im Bereich Fr. 30'000.- bis Fr. 80'000.-. Eine sauber dokumentierte Penetrationstest-Vereinbarung Schweiz reduziert nicht nur rechtliche Risiken, sondern verbessert auch die Effizienz des Mandats, weil Scope-Diskussionen während der Testphase vermieden werden.

Penetrationstest-Vereinbarung Schweiz wird in folgenden typischen Geschäftssituationen benötigt, in denen kontrollierte Sicherheitstests rechtlich abgesichert werden müssen.

Erste Situation - Regulatorisches Pflicht-Pentest für FINMA-Institute: Banken nach BankG, Versicherer und Effektenhäuser nach FINIG sind durch FINMA-Rundschreiben 2008/21 (Operationelle Risiken Banken) und FINMA-RS 2018/3 (Outsourcing) verpflichtet, regelmässig externe Penetrationstests durchzuführen. Die Eidgenössische Finanzmarktaufsicht FINMA in Bern erwartet jährliche Tests für kritische Anwendungen (E-Banking-Plattformen, Mobile-Banking-Apps, KYC-Systeme, Transaktions-Monitoring nach GwG). Die Penetrationstest-Vereinbarung Schweiz ist hier zwingender Bestandteil der Auftragsdokumentation und wird im Rahmen der aufsichtsrechtlichen Prüfung durch die FINMA und externe Prüfgesellschaften (KPMG, PwC, EY, Deloitte, BDO) eingesehen. Die Berichte werden in der Regel auch der Internal Audit Function des Instituts zur Verfügung gestellt.

Zweite Situation - Pre-Production-Test einer neuen Web-Applikation oder Mobile-App: Vor dem Go-Live einer neuen kundenseitigen Anwendung (E-Commerce-Shop, Online-Banking, Versicherungs-Portal, Patienten-Portal eines Spitals) ist ein Penetrationstest dringend empfohlen, um Sicherheitslücken zu identifizieren, bevor reale Daten und Geld im Spiel sind. Die Penetrationstest-Vereinbarung Schweiz definiert in dieser Situation einen White-Box- oder Grey-Box-Ansatz mit vollem oder teilweisem Zugriff auf Source-Code, Architektur-Diagramme und Test-Konten. Typische Prüfbereiche sind OWASP Top 10 (Injection, Broken Authentication, Sensitive Data Exposure), Geschaeftslogik-Schwachstellen, sichere Konfiguration und API-Sicherheit. Die Aufdeckung kritischer Bugs vor Production spart spätere Incident-Response-Kosten und reputationsschaedigende Datenlecks.

Dritte Situation - Post-Incident-Pentest nach einem Sicherheitsvorfall: Nach einem erfolgten Sicherheitsvorfall (Datenleck, Ransomware-Angriff, Insider-Bedrohung) wird ein vollständiger Pentest oft im Rahmen der Aufarbeitung beauftragt. Die Penetrationstest-Vereinbarung Schweiz hat hier besondere Bedeutung, weil das Vertrauen in die eigene IT bereits geschädigt ist und der Pentester als unabhängige dritte Partei eine objektive Lagebeurteilung liefert. Bei meldepflichtigen Vorfällen nach DSG Art. 24 (Datenschutzverletzung) wird der Pentest-Bericht als Teil der Compliance-Dokumentation gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDOEB) verwendet. Bei Cyber-Vorfällen mit Bezug zu kritischer Infrastruktur erfolgt parallel eine Meldung an das National Cyber Security Centre (NCSC) der Eidgenossenschaft.

Vierte Situation - M&A-Due-Diligence (Cyber-Security-Audit eines Akquisitionsziels): Vor der Akquisition eines Technologieunternehmens führt der Erwerber typischerweise eine Cyber-Security-Due-Diligence durch, um versteckte Sicherheitsschulden im Zielunternehmen aufzudecken. Die Penetrationstest-Vereinbarung Schweiz definiert hier den Scope sehr eng (nur die Production-Systeme, kein Source-Code-Zugriff vor Closing), den Zeitplan (typischerweise ein bis zwei Wochen unter NDA) und die Reporting-Struktur (oft direkt an die juristische Beratungsfirma des Erwerbers, nicht an das Management des Zielunternehmens). Findings können den Kaufpreis (Reps-and-Warranties-Anpassungen, Escrow-Hinterlegungen) oder die Transaktionsstruktur (Carve-Out bestimmter Systeme) beeinflussen.

Fünfte Situation - PCI-DSS-Compliance für Kartenzahlungssysteme: Händler und Payment-Service-Provider, die Kartenzahlungen (Visa, Mastercard, American Express) verarbeiten, unterliegen dem Payment Card Industry Data Security Standard (PCI-DSS). Quartalsweise externe ASV-Scans (Approved Scanning Vendor) und jährliche Pentests sind verpflichtend. Die Penetrationstest-Vereinbarung Schweiz für PCI-DSS-Audits folgt dem PCI-DSS Penetration Testing Guidance und umfasst sowohl die Cardholder Data Environment (CDE) als auch die angrenzenden Netzwerksegmente. Schweizer Acquirer wie SIX Payment Services (heute Worldline) und Concardis (Nets Group) verlangen die PCI-DSS-Compliance ihrer Händler.

Sechste Situation - Bug-Bounty-Programme und Vulnerability Disclosure Programs: Auch wenn Bug-Bounty-Programme typischerweise mit dezentralen, unbekannten Sicherheitsforschern arbeiten, braucht es eine grundsätzliche rechtliche Absicherung. Die Penetrationstest-Vereinbarung Schweiz wird hier durch ein Safe-Harbor-Statement in den Programmrichtlinien ergänzt, das Forschern unter definierten Bedingungen Schutz vor StGB Art. 143-144 Strafverfolgung gewährt. Kombiniert wird dies oft mit privaten Pentest-Mandaten an etablierte Anbieter, die als zusätzliche Validierung dienen. Plattformen wie Bug Bounty Switzerland, HackerOne und Intigriti betreiben solche Programme für Schweizer Auftraggeber - insbesondere für SwissPost, SBB und kantonale Verwaltungen wie den Kanton Zürich oder den Kanton Waadt.

Siebte Situation - Cloud-Migration und SaaS-Onboarding: Beim Wechsel zu Cloud-Providern (Microsoft Azure, Amazon Web Services, Google Cloud, Swisscom Sovereign Cloud) oder bei der Einführung neuer SaaS-Lösungen wird oft ein Konfigurationsaudit der Cloud-Umgebung durchgeführt. Die Penetrationstest-Vereinbarung Schweiz muss hier die Drittanbieter-Cloud-Provider explizit berücksichtigen. AWS, Azure und Google Cloud verlangen separate Penetration Testing Notices oder Acknowledgements - der Auftragnehmer muss diese vor Testbeginn einholen. Bei sensitiven Branchen (Bank, Spital, öffentliche Verwaltung) ist die Wahl eines Schweizer Cloud-Providers oft regulatorisch oder politisch präferiert; entsprechende Pentest-Vereinbarungen referenzieren oft den Bundesgesetz über den Datenschutz DSG Art. 16 zur Datenübermittlung ins Ausland.

Achte Situation - Lieferanten-Pentests in Outsourcing-Vereinbarungen: Bei Outsourcing kritischer IT-Funktionen (Rechenzentrumsbetrieb, Application Management, Cloud-Dienste) verlangen FINMA-RS 2018/3 Audit-Rechte und periodische Sicherheitsprüfungen beim Outsourcing-Provider. Die Penetrationstest-Vereinbarung Schweiz wird hier zur dreiseitigen Vereinbarung zwischen Auftraggeber, Outsourcing-Provider und Pentest-Dienstleister erweitert. Konkret für Schweizer Rechenzentren (etwa Swisscolocation, Equinix, Green Datacenter, ITERIO) müssen die Pentest-Aktivitäten die Service Level Agreements (SLA) und die Zugriffsregeln des Provider berücksichtigen.

Eine wirksame Penetrationstest-Vereinbarung Schweiz enthält folgende rechtlich und operativ unverzichtbaren Kernelemente.

Ausdrückliche Genehmigung der Sicherheitstests: Im Zentrum jeder Penetrationstest-Vereinbarung Schweiz steht eine ausdrückliche schriftliche Ermächtigung des Auftraggebers, kontrollierte Sicherheitstests durchführen zu dürfen. Ohne diese Genehmigung verwirklichen die typischen Pentest-Techniken die Tatbestände StGB Art. 143 (unbefugtes Beschaffen von Daten), StGB Art. 143bis (unbefugtes Eindringen in ein Datenverarbeitungssystem) und StGB Art. 144bis (Datenbeschädigung). Die Genehmigung muss vor Testbeginn vorliegen, vom zeichnungsberechtigten Organ des Auftraggebers (CISO, CEO, Geschäftsleitung) unterzeichnet sein und den Test-Scope sowie den Test-Zeitraum präzise umschreiben. Eine retrospektive Genehmigung heilt verwirklichte Strafrechtstatbestände nicht.

Präzise Scope-Definition mit White- und Blacklist: Die Penetrationstest-Vereinbarung Schweiz definiert exakt, welche Systeme im Scope sind (IP-Bereiche, Domains, URLs, Mobile-App-Bundles, API-Endpunkte) und welche ausdrücklich ausgeschlossen werden (out-of-scope). Out-of-scope-Systeme umfassen typischerweise Drittanbieter-SaaS-Lösungen (Salesforce, Microsoft 365, ServiceNow), Produktiv-Datenbanken mit Live-Kundendaten, kritische Backup-Systeme und Systeme von Konzerngesellschaften ausserhalb des Test-Mandats. Die Whitelist erfolgt nach Common Vulnerabilities and Exposures (CVE)-konformer Identifikation, sodass keine Mehrdeutigkeiten entstehen. Bei Cloud-Workloads (AWS, Azure, Google Cloud) wird zusätzlich der Cloud-Tenant und die Region präzisiert.

Methodik und Pentest-Standards: Die Penetrationstest-Vereinbarung Schweiz spezifiziert die zu verwendende Testmethodik. Anerkannte Standards sind OWASP Testing Guide v4 für Web-Applikationen, NIST Special Publication 800-115 für Network-Pentests, Penetration Testing Execution Standard (PTES) als Branchenstandard und Open Source Security Testing Methodology Manual (OSSTMM v3). Für Compliance-orientierte Audits gelten die Prüfkataloge von ISO/IEC 27001 Annex A.18, BSI IT-Grundschutz oder PCI-DSS Penetration Testing Guidance. Der Auftragnehmer verpflichtet sich, ausschliesslich nach diesen anerkannten Methoden zu arbeiten und keine experimentellen oder potenziell systemschaedlichen Techniken einzusetzen. Tools wie Burp Suite Professional, Metasploit Pro, Nessus, Acunetix und Cobalt Strike werden lizenz- und vertragskonform verwendet.

Reporting-Pflichten und Critical-Finding-Sofort-Meldung: Die Penetrationstest-Vereinbarung Schweiz regelt den Reporting-Workflow. Final-Report mit Executive Summary, technischen Details, CVSS v3.1-Scores nach Common Vulnerability Scoring System und Remediation-Empfehlungen wird in einer fixen Frist (typischerweise 10-15 Werktage nach Test-Ende) abgeliefert. Sofort-Meldepflichten gelten bei Critical-Findings (Pre-Authentication Remote Code Execution, Datenbankzugriff ohne Authentication, hardcoded Production-Credentials, aktive Indikatoren für eine bestehende Kompromittierung). Solche Findings sind innerhalb weniger Stunden über gesicherte Out-of-Band-Kommunikation (PGP-verschluesselte E-Mail, dedizierte Telefonnummer des CISO) zu melden, damit der Auftraggeber sofort Schutzmassnahmen ergreifen kann. Bei meldepflichtigen Vorfällen nach DSG Art. 24 erfolgt parallel die Meldung an den EDOEB. forms-legal.com stellt die vollständige Penetrationstest-Vereinbarung Schweiz kostenlos als Mustervorlage bereit.

Vertraulichkeit und Datenschutz: Die Penetrationstest-Vereinbarung Schweiz enthält eine umfassende Vertraulichkeitsklausel, die sämtliche im Pentest erlangten Erkenntnisse, Findings, Reports, Quellcodes, Architekturdiagramme und Geschäftsgeheimnisse abdeckt. Geltungsdauer der Geheimhaltung typischerweise 10 Jahre nach Mandatsende, für als Geschäftsgeheimnis klassifizierte Informationen unbefristet. Konventionalstrafe von Fr. 100'000.- bis Fr. 1'000'000.- pro Verstoss gemäss OR Art. 160 ff. Werden im Test personenbezogene Daten verarbeitet (auch nur kurzzeitige Sichtbarkeit in Logs oder Datenbanken), gilt der Auftragnehmer als Auftragsbearbeiter im Sinne von DSG Art. 9. Eine separate Auftragsbearbeitungsvereinbarung (DPA) wird in solchen Fällen abgeschlossen. Standard-Vertragsklauseln nach DSG Art. 16 sichern Datenübermittlungen ins Ausland ab, sofern der Pentest-Anbieter ausserhalb der Schweiz oder des EWR sitzt.

Berufshaftpflicht und Haftungsregelung: Die Penetrationstest-Vereinbarung Schweiz verlangt vom Auftragnehmer den Nachweis einer Berufshaftpflicht-Versicherung mit Mindestsumme typischerweise zwischen Fr. 2'000'000.- und Fr. 10'000'000.- je nach Branche und Mandatsumfang. Die Haftungsregelung folgt OR Art. 97 ff. - der Auftragnehmer haftet für Schäden aus pflichtwidriger Auftragsausführung, wobei die Haftung für leichte Fahrlässigkeit auf das Auftragshonorar beschränkt werden kann (OR Art. 100 Abs. 1). Für Vorsatz und grobe Fahrlässigkeit ist eine Haftungsbeschränkung nichtig. Bei Verlassen des definierten Scopes (etwa unbeabsichtigte Auswirkungen auf out-of-scope-Systeme) haftet der Auftragnehmer ohne Beschränkung. Folgeschaeden (entgangener Gewinn, Reputationsschaden) werden in der Regel ausgeschlossen, soweit nach OR Art. 100 zulässig.

Gerichtsstand und anwendbares Recht: Die Penetrationstest-Vereinbarung Schweiz unterstellt sich schweizerischem Recht und vereinbart einen Gerichtsstand am Sitz des Auftraggebers. Bei FINMA-beaufsichtigten Auftraggebern wird zusätzlich die Pflicht zur Vorlage des Reports an die FINMA und ggf. an externe Prüfgesellschaften (KPMG, PwC, EY, Deloitte, BDO) festgehalten. Schiedsklauseln nach Schweizerischer Schiedsordnung der Swiss Chambers werden bei internationalen Mandaten oder besonders sensiblen Vorgängen vereinbart, weil das Schiedsverfahren vertraulich und schneller als ordentliche Gerichtsverfahren ist.

Verbotene Aktivitäten und Schutz der Produktionssysteme: Die Penetrationstest-Vereinbarung Schweiz listet ausdrücklich verbotene Aktivitäten auf, um Risiken für die Produktion zu minimieren. Klassisch verboten sind Denial-of-Service-Angriffe (DoS, DDoS, Flood-Angriffe), die die Verfügbarkeit beeinträchtigen, sowie destruktive Operationen wie Löschen, Verschlüsseln oder dauerhaftes Veraendern von Produktionsdaten. Auch das Anlegen permanenter Backdoors oder das Hochladen von Persistenz-Mechanismen (Webshells, Cron-Jobs) über das für den Test notwendige Mass hinaus ist verboten. Social Engineering und physische Eindringversuche sind nur in einem explizit vereinbarten Red-Team-Engagement zulässig, wobei die Mitarbeitenden des Auftraggebers durch ein klar definiertes Phishing-Test-Mandat oder einen Physical-Penetration-Auftrag abgedeckt sind. Zugriffe auf personenbezogene Daten erfolgen nach dem Grundsatz der Verhältnismässigkeit gemäss DSG Art. 6 - nur soweit für den Test unabdingbar.

Test-Zeitraum und Zeitfenster: Die Penetrationstest-Vereinbarung Schweiz definiert exakt das aktive Test-Zeitfenster (Start- und Enddatum) sowie die täglichen Test-Stunden. Tests ausserhalb des vereinbarten Fensters sind unzulässig und stellen eine Vertragsverletzung dar. Bei kritischen Produktionssystemen werden Tests oft auf Wartungsfenster (Wochenende, Nachtstunden) beschränkt, um den Geschaeftsbetrieb nicht zu stoeren. Der Auftraggeber stellt sicher, dass das Incident-Response-Team während des Test-Fensters erreichbar ist und die Pentest-Aktivitäten nicht versehentlich als realer Angriff gemeldet werden. Pre-Test-Notification an Security Operations Center (SOC) und ggf. an externe Managed Security Service Provider (MSSP) ist Teil der Standardvorbereitung.

Honorar, Zahlungsmodalitäten und Änderungsmanagement: Die Penetrationstest-Vereinbarung Schweiz fixiert das Honorar als Pauschalbetrag oder nach Aufwand. Pauschalverträge schaffen Budgetsicherheit, Aufwandsvertraege sind flexibler bei sich aendernden Anforderungen. Zahlungsmodalität typischerweise 30 Prozent bei Vertragsunterzeichnung, 70 Prozent nach Abnahme des Final-Reports. Mehraufwand über den vereinbarten Scope hinaus (Change Request, Re-Test nach Remediation) wird zu einem definierten Stundensatz von Fr. 250.- bis Fr. 400.- exkl. Mehrwertsteuer (8.1 Prozent ab 2024) vergütet. Spesen für Reise und Unterkunft werden nur bei vorheriger schriftlicher Genehmigung separat vergütet. Der Auftragnehmer dokumentiert täglich die geleisteten Stunden in einem Time-Sheet, das auf Anforderung dem Auftraggeber zur Verfügung gestellt wird.

Penetrationstest-Vereinbarung Schweiz korrekt ausfüllen erfordert sorgfältige Vorbereitung und genaue Abstimmung zwischen Auftraggeber und Pentester.

Schritt 1 - Auftraggeber und Auftragnehmer vollständig identifizieren: Tragen Sie die vollständige Firma des Auftraggebers gemäss Handelsregister ein, mit Geschäftssitz, UID-Nummer und Branche. Benennen Sie eine zeichnungsberechtigte Person mit Funktion (CISO, IT-Leiter, COO, CEO) und direkte Kontaktdaten für Eskalationen. Beim Auftragnehmer sind Firma, Sitz und der namentlich benannte Lead-Auditor mit Zertifizierungen (OSCP, OSCE, CISSP, CEH, OSWE, GWAPT) zu erfassen. Prüfen Sie den Berufshaftpflicht-Versicherungsnachweis - Mindestsumme Fr. 2'000'000.- bis Fr. 10'000'000.- je nach Mandatsumfang und Branche. Bei FINMA-beaufsichtigten Auftraggebern: Prüfen Sie zusätzlich, ob der Pentest-Anbieter die FINMA-RS 2018/3 Outsourcing-Anforderungen erfüllt.

Schritt 2 - Pentest-Typ und Methodik festlegen: Klären Sie gemeinsam mit dem Pentester den passenden Test-Typ. Black-Box (extern, ohne Vorinformation) eignet sich für Internet-Perimeter-Tests. Grey-Box (mit teilweiser Information) bietet meistens das beste Kosten-Nutzen-Verhältnis für Web- und Mobile-Apps. White-Box (vollständiger Zugriff inkl. Source-Code) ist für kritische Eigenentwicklungen empfohlen. Red-Team-Engagements (Multi-Vektor mit Social Engineering) bedingen besonders detaillierte Rules of Engagement. Compliance-Audits nach ISO 27001, PCI-DSS oder FINMA-RS folgen festgelegten Prüfkatalogen. Halten Sie die gewählte Methodik (OWASP Testing Guide v4, NIST SP 800-115, PTES, OSSTMM) explizit fest.

Schritt 3 - Scope präzise definieren mit IP-Adressen, Domains und Ausschluessen: Listen Sie ALLE in-scope-Assets explizit auf: IP-Bereiche im CIDR-Format (etwa 192.168.10.0/24), vollständige Domain-Namen (etwa app.example.ch), Mobile-App-Bundle-Identifier (etwa com.example.banking-ios), API-Endpunkte (etwa https://api.example.ch/v1) und ggf. Quellcode-Repositories. Listen Sie genauso explizit alle out-of-scope-Systeme auf: Drittanbieter-SaaS (Salesforce, Microsoft 365), Produktiv-Datenbanken mit Live-Kundendaten, Konzerngesellschaften ausserhalb des Mandats. Bei Cloud-Workloads bei Microsoft Azure, Amazon Web Services oder Google Cloud: Holen Sie die separate Pentest-Genehmigung des Cloud-Providers ein, bevor der Test beginnt.

Schritt 4 - Test-Zeitraum und Test-Fenster vereinbaren: Setzen Sie das Start- und Enddatum des aktiven Test-Zeitraums (typischerweise 1-4 Wochen). Definieren Sie die täglichen Test-Stunden: 24/7 für Internet-Perimeter, Bueroarbeitszeit Mo-Fr 09:00-18:00 für interne Tests mit Beobachtung, ausserhalb Bueroarbeitszeit (18:00-08:00 und Wochenende) für Tests an Produktiv-Systemen mit minimalem Stoerungsrisiko, Wartungsfenster nach Absprache für kritische Backend-Systeme. Stellen Sie sicher, dass das Incident-Response-Team und das Security Operations Center während des Test-Fensters erreichbar sind und Pentest-Aktivitäten nicht als realer Angriff fehlinterpretiert werden.

Schritt 5 - Reporting-Standards und Sofort-Meldepflichten festlegen: Bestimmen Sie das Reportformat (PGP-verschlüsselter PDF, Secure Customer Portal mit MFA-Zugriff, physische Übergabe) und den Empfängerkreis (CISO, IT-Leiter, externes Audit). Frist für Final-Report typischerweise 10-15 Werktage nach Test-Ende. Sofort-Meldepflicht für Critical-Findings: 4-8 Stunden nach Auffinden bei Pre-Authentication Remote Code Execution, ungeschuetzten Datenbanken, hardcoded Production-Credentials oder Indikatoren einer aktiven Kompromittierung. Out-of-Band-Kommunikationskanal definieren (PGP-Public-Key-Adresse, dedizierte Telefonnummer des CISO). Bei FINMA-beaufsichtigten Auftraggebern zusätzlich Reporting-Wege an FINMA und ggf. SNB festlegen.

Schritt 6 - Honorar, Änderungsmanagement und Schlussbestimmungen: Bestimmen Sie das Pauschalhonorar in CHF exkl. Mehrwertsteuer (8.1 Prozent ab 2024) und die Zahlungsmodalität (typischerweise 30/70-Splitting). Vereinbaren Sie den Stundensatz für Mehraufwand (Change Request, Re-Test nach Remediation) - typischerweise Fr. 250.- bis Fr. 400.- je nach Spezialisierung. Prüfen Sie die Vertraulichkeitsklausel (Geltungsdauer, Konventionalstrafe nach OR Art. 160) und die Haftungsregelung (Haftungsbeschränkung für leichte Fahrlässigkeit nach OR Art. 100 zulässig, für Vorsatz und grobe Fahrlässigkeit nichtig). Tragen Sie Unterzeichnungsort und Datum ein und unterzeichnen Sie das Dokument durch beide zeichnungsberechtigten Parteien VOR Beginn jeglicher Testaktivitaet.

Schritt 7 - Pre-Engagement-Checkliste vor Testbeginn: Vor dem ersten Testpaket prüfen beide Parteien gemeinsam eine Pre-Engagement-Checkliste. Bestaetigt der Auftraggeber, dass alle in-scope-Systeme tatsächlich seinem Eigentum oder seiner Kontrolle unterstehen? Hat der Auftragnehmer alle Cloud-Provider-Genehmigungen (AWS Penetration Testing Acknowledgement, Azure Penetration Testing Notice, Google Cloud Vulnerability Assessment Notice) erhalten? Ist der Eskalationspfad für Critical-Findings dokumentiert und sind die Out-of-Band-Kommunikationsmittel (PGP-Schlüssel, dedizierte Telefonnummern) auf beiden Seiten getestet? Ist das Backup der zu testenden Systeme aktuell und im Notfall wiederherstellbar? Erst nach Bestätigung aller Punkte beginnt die aktive Testphase. Bei Pentests für Spitäler oder kritische Infrastruktur stellt das National Cyber Security Centre (NCSC) zusätzliche Empfehlungen zur Vorbereitung bereit, die in die Pre-Engagement-Checkliste einfliessen sollten.

Penetrationstest-Vereinbarung Schweiz unterliegt mehreren miteinander verzahnten gesetzlichen Anforderungen aus Strafrecht, Vertragsrecht, Datenschutzrecht und Branchenregulierung.

StGB Art. 143-144bis - Strafrechtliche Schutzgrundlage: Das Schweizerische Strafgesetzbuch (StGB) räumt Computerdaten und Datenverarbeitungssystemen umfassenden Schutz ein. StGB Art. 143 stellt das unbefugte Beschaffen von Daten unter Strafe (Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bei Bereicherungsabsicht). StGB Art. 143bis pönalisiert das unbefugte Eindringen in ein fremdes Datenverarbeitungssystem über Sicherheitsmassnahmen hinweg (Freiheitsstrafe bis zu drei Jahren oder Geldstrafe). StGB Art. 144bis erfasst die vorsätzliche Datenbeschädigung sowie das Stoeren der Datenverarbeitung. Eine Penetrationstest-Vereinbarung Schweiz konstituiert die ausdrückliche Einwilligung des Berechtigten, womit der Tatbestand entfällt - der Pentester handelt rechtmässig im Rahmen der erteilten Befugnis. Die Genehmigung muss schriftlich, eindeutig identifizierbar und vor Testbeginn vorliegen.

OR Art. 394-406 - Auftragsverhältnis und Pflichten: Das Obligationenrecht (OR) regelt die vertraglichen Pflichten zwischen Auftraggeber und Pentester. OR Art. 394 definiert den einfachen Auftrag - Sorgfältigkeit nach den anerkannten Standards der Branche, kein Erfolgsversprechen. OR Art. 397 verpflichtet den Auftragnehmer zur persönlichen Auftragsausführung; Subdelegation ist nur mit Genehmigung des Auftraggebers oder bei branchenüblicher Praxis zulässig. OR Art. 398 fordert sorgfältige Berichterstattung. OR Art. 400 verpflichtet den Auftragnehmer, dem Auftraggeber alle Informationen abzuliefern, die er aus der Auftragsausführung erhalten hat (Findings, Reports, Quellcodes). OR Art. 404 erlaubt beiden Parteien den jederzeitigen Widerruf des Auftrags, wobei der Widerruf zur Unzeit Schadenersatz nach sich zieht.

DSG (revidiert) - Datenschutzanforderungen: Das revidierte Datenschutzgesetz (DSG, SR 235.1, in Kraft seit 1.9.2023) ist anwendbar, sobald der Pentest personenbezogene Daten beruehrt. DSG Art. 6 verlangt Verhältnismässigkeit und Zweckbindung der Datenbearbeitung - der Pentester darf nur soweit auf Personendaten zugreifen, wie es für den Test unabdingbar ist. DSG Art. 8 fordert technische und organisatorische Massnahmen zur Datensicherheit (Verschlüsselung, Zugriffskontrollen). DSG Art. 9 regelt das Auftragsbearbeiterverhältnis - der Pentester gilt als Auftragsbearbeiter und braucht eine Datenbearbeitungsvereinbarung (DPA). DSG Art. 16 schränkt Datenübermittlungen ins Ausland ein. DSG Art. 24 verlangt Meldung von Datenschutzverletzungen an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDOEB) innert 72 Stunden bei hohem Risiko für die betroffenen Personen.

FINMA-Rundschreiben - Bankenaufsicht und Outsourcing: Für FINMA-beaufsichtigte Institute (Banken nach BankG, Versicherer, Effektenhäuser nach FINIG) gelten zusätzliche Anforderungen. FINMA-RS 2008/21 (Operationelle Risiken Banken) verlangt regelmässige externe Penetrationstests für kritische Anwendungen. FINMA-RS 2018/3 (Outsourcing) regelt die Beauftragung externer Dienstleister - Audit-Recht der FINMA, Datenschutz, Geschäftsgeheimnis, Subunternehmer-Genehmigung. FINMA-RS 2023/01 (Operationelle Risiken und Resilienz) erweitert die Anforderungen um Cyber-Resilienz-Massnahmen. Die Eidgenössische Finanzmarktaufsicht FINMA in Bern hat das Recht, Pentest-Berichte im Rahmen ihrer Aufsicht einzusehen.

GwG, BankG, FINIG - Banken- und Anti-Geldwaeschereirecht: Das Geldwäschereigesetz (GwG, SR 955.0) verlangt von Finanzintermediären angemessene Massnahmen zur Identifikation und Verhinderung von Geldwäscherei. Bei Pentests an KYC- oder Transaktions-Monitoring-Systemen muss der Auftragnehmer die GwG-relevanten Vorgänge besonders vertraulich behandeln und Findings priorisiert an die Compliance-Abteilung melden. Das Bankengesetz (BankG, SR 952.0) schützt das Bankgeheimnis nach Art. 47 BankG - eine Verletzung kann strafrechtlich verfolgt werden. Die Penetrationstest-Vereinbarung Schweiz muss klare Regeln zur Vertraulichkeit von Bankgeheimnissen enthalten. Das Finanzinstitutsgesetz (FINIG, SR 954.1) regelt Effektenhäuser, Wertpapierhäuser und Vermögensverwalter mit ähnlichen Anforderungen.

Penetrationstest-Vereinbarung Schweiz wird in der Praxis oft fehlerhaft oder unvollständig erstellt - die folgenden Fehler kosten Vertragsparteien Rechtssicherheit, Versicherungsschutz und Reputation.

Fehler 1 - Testbeginn vor Vertragsunterzeichnung: Aus Zeitdruck oder Vertrauen beginnt der Pentester gelegentlich vor der formellen Unterzeichnung mit Tests, etwa weil das Mandat bereits mündlich besprochen wurde. Diese Praxis ist hochrisikoreich: Ohne unterzeichnete Penetrationstest-Vereinbarung Schweiz fehlt die ausdrückliche Genehmigung im Sinne von StGB Art. 143-144bis, womit der Pentester strafrechtliche Verfolgung riskiert. Auch bei späterer Unterzeichnung wirkt die Vereinbarung nicht rückwirkend - bereits durchgeführte Tests bleiben unbefugt. Lösung: Strikte Politik, dass keine aktive Testaktivitaet vor unterzeichnetem Vertrag erfolgt. Auch bei vermeintlich risikoarmen Aktivitäten wie passivem Reconnaissance gilt diese Regel.

Fehler 2 - Unklarer oder zu weiter Scope: Eine vage Scope-Definition führt zu Eskalationen während des Tests. Klassische Probleme: Auftragnehmer testet Systeme, die nicht im Scope sind, weil die IP-Range zu weit gefasst war oder weil Sub-Domains übersehen wurden. Pivoting auf Drittanbieter-SaaS-Lösungen ohne deren Genehmigung. Tests an Konzerngesellschaften ausserhalb des Mandats. Lösung: Detaillierte Whitelist-Liste mit IP-Adressen im CIDR-Format, vollständigen Domain-Namen und expliziter Out-of-Scope-Liste. Bei Cloud-Workloads zusätzlich die separate Cloud-Provider-Genehmigung einholen (AWS, Azure, GCP).

Fehler 3 - Fehlende Sofort-Meldepflicht für Critical-Findings: Manche Verträge regeln nur den Final-Report, nicht aber Sofort-Meldungen bei kritischen Funden. Findet der Pentester eine aktive Backdoor, ungeschützte Datenbank mit Personendaten oder Pre-Authentication Remote Code Execution, sollte der Auftraggeber sofort - nicht erst nach 10 Werktagen mit dem Final-Report - informiert werden. Lösung: Critical-Finding-Meldepflicht innerhalb von 4-8 Stunden, Out-of-Band-Kommunikationsmittel (PGP-verschluesselte E-Mail, dedizierte Telefonnummer des CISO).

Fehler 4 - Unzureichende Berufshaftpflicht des Pentesters: Auftraggeber prüfen den Versicherungsnachweis oft nur oberflaechlich. Bei Schäden durch fehlerhafte Tests (System-Crash, Datenverlust durch versehentliches Reset) zeigt sich dann, dass die Versicherungssumme zu niedrig oder der Versicherungsfall nicht abgedeckt ist. Lösung: Explizit den Versicherungsschein verlangen, Mindestsumme abhängig von Mandatsumfang und Branche festlegen (Fr. 2-10 Millionen). Prüfen, ob Cyber-Risiken explizit eingeschlossen sind.

Fehler 5 - Keine Regelung für Datenschutz-relevante Funde: Der Pentest bringt oft personenbezogene Daten zum Vorschein - etwa Tester sehen unverschlüsselte Kundendaten in einer Test-Datenbank. Ohne klare DSG-Regelung im Vertrag drohen Verstösse gegen Datenschutzgesetz DSG Art. 6 (Verhältnismässigkeit) und DSG Art. 9 (Auftragsbearbeiterverhältnis). Lösung: Datenbearbeitungsvereinbarung (DPA) als Anhang, klare Regeln zur Behandlung sichtbarer Personendaten (anonymisieren, nicht kopieren, sofort beenden), Meldepflicht bei Datenschutzverletzungen an EDOEB innert 24 Stunden.

Fehler 6 - Vergessene Cloud-Provider-Genehmigungen: Bei Tests an Workloads in Microsoft Azure, Amazon Web Services oder Google Cloud benötigt der Auftragnehmer separate Penetration Testing Notices oder Acknowledgements der Cloud-Provider. Ohne diese Genehmigungen verletzen die Tests die Acceptable Use Policies der Cloud-Anbieter und können zur sofortigen Account-Sperrung und zivilrechtlicher Verfolgung führen. Lösung: Pre-Engagement-Checkliste enthält explizit die Bestätigung aller relevanten Cloud-Provider-Genehmigungen, dokumentiert mit Referenznummern und Test-Zeitfenstern.