Open Telekom Cloud für Geschäftskunden

Richtlinien für Sicherheitstests (Penetrationstests) auf der Open Telekom Cloud

Kunden der Open Telekom Cloud haben die Möglichkeit, die Sicherheit ihrer Leistungen zu testen und in diesem Rahmen von Sicherheitstests gegen die Instanzen/Ressourcen des Kunden auf der Open Telekom Cloud unter Beachtung dieser Richtlinie durchzuführen.

Verbotene Sicherheitstests sind alle nicht ausdrücklich in dieser Richtlinie gestatten Sicherheitstest. Genehmigungspflichtige Sicherheitstests sind gestattet, sofern diese vor Durchführung des Sicherheitstests durch die Telekom genehmigt wurden. Diese Richtlinie ist abschließend.

Sicherheitstests können auch bei ordnungsgemäßer Durchführung zu Schäden und/oder Datenverlusten führen. Die Durchführung von Sicherheitstests erfolgt insoweit eigenverantwortlich durch den Kunden.


Allgemeine Pflichten des Kunden

Mit der Durchführung eines Sicherheitstests akzeptiert der Kunde die nachfolgenden Bestimmungen:

  1. Der Kunde ist dafür verantwortlich, dass die Bestimmungen dieser Richtlinie durch ihn oder ihm zuzurechnende Dritte (z.B. Mitarbeiter, Dienstleister) eingehalten werden.
  2. Der Kunde ist verpflichtet Sicherheitstests ausschließlich von berechtigtem, sowie zertifiziertem und fachlich qualifiziertem Personal des Kunden oder eines externen Dienstleisters durchführen zu lassen, die keinem direkten Konkurrenzverhältnis zur Telekom in Bezug auf die zu testenden Leistungen stehen. Der Kunde wird ggf. bestehende Interessenkonflikte anzeigen.
  3. Der Kunde stellt die Einhaltung aller anwendbaren gesetzlichen und branchenspezifischen Bestimmungen sicher, hierzu zählen insbesondere
     
    1. §202c und §203 StGB, sowie sonstige Vorschriften des StGB
    2. Vorschriften des BDSG und der EU-DSGVO
    3. Arbeitnehmerrechte und BetrVG
    4. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
    5. Beachtung nationaler und internationaler Urheber-, Marken-, Patent-, Namens- und Kennzeichenrechte sowie sonstigen gewerblichen Schutzrechte und Persönlichkeitsrechte Dritter.
       
  4. Der Kunde haftet nach den gesetzlichen Bestimmungen für alle unmittelbaren und mittelbaren Schäden aus oder im Zusammenhang mit von ihm oder in seinen Auftrag durchgeführten Sicherheitstests. Mögliche Schäden sind insbesondere Datenverlust, Ressourcenverbrauch, Aufwände für eine Systemwiederherstellung, Schäden an der Open Telekom Cloud Plattform/Infrastruktur oder Schäden Dritter, die aus der Beeinträchtigung von deren Leistungen resultieren. Der Kunde ist im Schadensfall verpflichtet nachzuweisen, dass etwaige Schäden nicht auf von Ihm durchgeführte Sicherheitstests zurückzuführen sind. Der Kunde stellt die Telekom von sämtlichen Ansprüchen Dritter frei, die auf der Durchführung des Sicherheitstests beruhen. Erkennt der Kunde oder muss er erkennen, dass ein solcher Verstoß gegen die mit der Telekom geschlossenen Vereinbarung droht, wird er die Telekom hierüber unverzüglich unterrichten.
  5. Dem Kunden ist es untersagt, Sicherheitstests gegen andere, öffentlich angebotene Infrastrukturen bzw. Plattformen von der Open Telekom Cloud aus durchzuführen.
  6. Der Kunde stellt sicher, dass ein Sicherheitstest auf Weisung der Telekom jederzeit abgebrochen werden kann.
  7. Der Kunde stellt sicher, dass er die zur Durchführung des Sicherheitstests verwendeten Tools kennt und getestet hat.
  8. Die Telekom ist bestrebt Ihre Leistungen stetig zu verbessern. Erkennt oder glaubt der Kunde im Rahmen eines Sicherheitstests
     
    1. allgemeine Sicherheitsprobleme der Infrastruktur, bzw. Plattform der Open Telekom Cloud zu erkennen, oder
    2. treten unvorhergesehen Folgen, insbesondere Störungen der Infrastruktur der Telekom auf,

      ist er verpflichtet die Telekom hiervon unverzüglich zu informieren:

      Deutschland:                   0800 330 44 77
      alle anderen Länder:      +800 330 44 770
      E-Mail:                             service@open-telekom-cloud.com

      Der Kunde stellt der Telekom hierzu einen Bericht mit folgenden Informationen zur Verfügung:
       
      1. Schwachstelle und Angabe der Reproduzierbarkeit
      2. UTC Zeitstempel zu den Testaktivitäten

        Der Kunde räumt der Telekom, sowie der Deutschen Telekom AG und ihren verbundenen Unternehmen ein Nutzungsrecht an dem Bericht ein.
        ​​​​​​​
  9. ​​​​​​​​​​​​​​Ergebnisse zu allgemeinen Sicherheitsproblemen der Infrastruktur, bzw. Plattform der Open Telekom Cloud, sind vertraulich zu behandeln. Soweit gesetzlich zulässig dürfen diese Informationen durch den Kunden und/oder ihm zuzurechnende Dritte weitergegeben werden.
  10. Sofern ein Sicherheitstest des Kunden die Sicherheitsmechanismen der Open Telekom Cloud auslöst, wird die Telekom den Kunden hierüber informieren. Der Kunde ist in diesem Fall verpflichtet die Telekom über die konkreten Maßnahmen des Sicherheitstests und dessen Beendigung zu informieren. Vergleichbare Sicherheitstests des Kunden sind künftig durch diesen als genehmigungspflichtige Sicherheitstests zu beantragen.
  11. Der Kunde ist für die korrekte Bewertung und Einordnung seines Sicherheitstests verantwortlich. In Zweifelsfällen wird der Kunde die Durchführung des Sicherheitstests als genehmigungspflichtigen Sicherheitstest beantragen.
  12. Der Kunde versichert zur Durchführung der Sicherheitstests berechtigt zu sein und über die erforderliche Erlaubnis zu verfügen. Darüber hinaus stellt der Kunde sicher, dass alle Betroffenen ausreichend informiert wurden.

Erlaubte Sicherheitstests

Sicherheitstests mit folgenden Maßnahmen gegen folgende Instanzen und Ressourcen und Services des Kunden sind grundsätzlich ohne Genehmigung zulässig:

Sicherheitstests

  • Sicherheitstests gegen Elastic Cloud Server (ECS), Dedicated Host (DEH), Bare Metal Server (BMS), Cloud Container Engine (CCE, ausgenommen Image Repository)
  • Sicherheitstests gegen Object Storage (OBS)
  • Sicherheitstests gegen Elastic IP (EIP), Elastic Load Balancer (ELB), Security Groups, Network Address Translation Gateway (NATGW)
  • Sicherheitstests gegen Web Application Firewall (WAF)
  • Sicherheitstests gegen Relational Database Service (RDS), Distributed Cache Service (DCS), Document Database Service (DDS)
  • Sicherheitstests gegen Map Reduce Service (MRS), Data Warehouse Service (DWS), Cloud Search Service (CSS)

Maßnahmen

  • Port und Vulnerability Scanning
  • Perimeter Testing
  • Configuration und Deployment Management Testing
  • Identity Management, Authorization, Authentication und Session Management Testing
  • Input Validation Testing
  • Error Handling Testing
  • Weak Cryptography Testing
  • Business Logic Testing

Verbotene Sicherheitstests

Soweit Sicherheitstests nach dieser Richtlinie nicht ausdrücklich erlaubt sind oder im Einzelfall schriftlich durch die Telekom genehmigt wurden, sind diese untersagt. Dies betrifft folgende Maßnahmen und Sicherheitstests:

Sicherheitstests

  • Sicherheitstests gegen den Hypervisor, das Open Telekom Cloud Web-Frontend, die Open Telekom Cloud Application Programming Interface (API) und Endpunkte, Network Time Protocol (NTP), Domain Name Service (DNS)
  • Sicherheitstests gegen die geteilten Services Data Ingestion Service (DIS) und Cloud Container Engine (CCE) Docker registry
  • Instanzen/Ressourcen, die nicht zur Umgebung des Kunden gehören

Maßnahmen

  • Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS oder Simulated DDoS (u.U. genehmigungsfähig.)
  • Port-Flooding
  • Brute Force Angriffe (gegen die Plattform/Infrastruktur der Open Telekom Cloud)
  • Protocol-Flooding
  • Request-Flooding (Anmeldungs-Flooding, API-Anforderungs-Flooding)
  • Social-Engineering
  • Sonstige destruktiven Maßnahmen
  • Sicherheitstests ausgehend von der Open Telekom Cloud gegen andere Infrastrukturen des Kunden oder Dritter, (u.U. genehmigungsfähig.)
  • Übertragung und/oder Softwarekomponenten auf dem Zielsystem

Genehmigungspflichtige Sicherheitstests


 

Die Durchführung aller übrigen, vorstehend nicht aufgeführten Sicherheitstests ist durch den Kunden zu beantragen und vor Durchführung durch die Telekom nach folgendem Verfahren zu genehmigen:

  1. Der Kunde beantragt das Antragsformular unter Nennung seiner Open Telekom Cloud Tenant-ID beim ServiceDesk.
  2. Der Kunde füllt das Antragsformular vollständig und zutreffend aus und sendet dieses spätestens 7 (sieben) Tage vor der geplanten Durchführung an die im Antragsformular genannte E-Mail Adresse.
  3. Die Entscheidung über den Antrag erfolgt regelmäßig innerhalb von 3 (drei) Tagen nach Antragsstellung, sofern keine Nachfragen erforderlich sind. Die Telekom übernimmt keine Haftung für eine nicht oder nicht fristgerecht erteilte Genehmigung.
  • Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

    0800 33 04477 (aus Deutschland)

    +800 33 04 47 70 (aus dem Ausland)

    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben