ALPS GmbH

IT Sicherheitsvorfälle und Outsourcing

Januar 2020 ISO 27001, IT-Sicherheit, Outsourcing Adrian Lambeck

Zusammenarbeit zwischen Auftraggeber und Dienstleistern

Durch die stetig ansteigenden Anforderungen an die Informationssicherheit in Unternehmen, steigt die Nachfrage nach externen IT-Dienstleistern, die diese Aufgaben übernehmen können. Die Gründe dafür sind meist die nicht vorhandene Kapazität an qualifizierten Mitarbeitern im eigenen Unternehmen und kalkulierbare Kosten. Was Sie dabei beachten sollten, lesen Sie hier.

Für wen lohnt sich das Outsourcing von IT-Dienstleistungen?

Unternehmen müssen sich auf ihr Kerngeschäft konzentrieren oder wollen keine eigene IT Abteilung aufbauen. Dabei ist es nicht ausschlaggebend, ob es sich um einen Konzern, Mittelstand oder ein Start-Up Unternehmen handelt.

Welche Regelungen müssen beim Outsourcing von IT-Dienstleistern beachtet werden?

Um eine vertrauenswürdige Zusammenarbeit zwischen Auftraggeber und (IT-)Dienstleister zu gewährleisten, ist es wichtig gemeinsam die Maßnahmen zur IT Sicherheit zu planen und umzusetzen. Nur dann kann Informationssicherheit im Unternehmen gelebt werden. Nicht nur bei der Vorauswahl des Dienstleisters gibt es viele Aspekte, die beachtet werden müssen – damit ist es noch nicht getan. Auch während der Umsetzung sollte es einen regelmäßigen Austausch geben, um Missverständnisse oder Versäumnisse zu vermeiden. Wichtige Punkte aus unserer Erfahrung sind:

  • AVV (Auftragsverarbeitungsvereinbarung / ehemals ADV) anfordern – dort sind die Inhalte und Pflichten des Auftragnehmers geregelt, wenn personenbezogene Daten verarbeitet werden.
  • Vorab prüfbare Kompetenzen einsehen – z.B. Zertifikate für die technische Kompetenz des Auftragnehmers (siehe ISO 27001 Abschnitt 7.2).
  • Genaue Anforderungen und Erwartungen an den Dienstleister formulieren, damit die Dienstleistung auf Augenhöhe und im Dialog erfolgen kann (siehe ISO 27001 Abschnitt A.15).
  • Gemeinsame Planung für organisatorische und technische Sicherheitsmaßnahmen.
  • Agreements (SLAs) eingehalten, sind die Mitarbeiter mit der Dienstleistung zufrieden, welche Änderungen sind in den kommenden Monaten zu erwarten?
  • Überprüfung der Einhaltung von Vorgaben des Auftraggebers: auch wenn der Dienstleister für das Tagesgeschäft zuständig ist, bleibt der Auftraggeber in der Verantwortung (siehe ISO 27001 A.18.2).

Was ist zu tun, wenn ein Sicherheitsvorfall auftritt?

Tritt beim Dienstleister ein Sicherheitsvorfall auf, muss dies umgehend an den Auftraggeber gemeldet werden. In der Praxis zeigt sich jedoch, dass dies nie oder nur in Extremsituationen passiert. Für den Auftraggeber entstehen so mehrere Risiken:

  • Die Sicherheitssituation auf Seiten des Dienstleisters kann nicht eingeschätzt werden.
  • Es wird die Möglichkeit genommen proaktiv Zusatzmaßnahmen zu fordern.
  • Je nach Branche und Daten verletzt der Auftraggeber rechtliche Anforderungen.

Wenn ein Sicherheitsvorfall aufgetreten ist, gibt es die verschiedenen Stufen von Handlungsschritten (siehe ISO 27001 Abschnitt 10 und A.16):

  1. Sofortmaßnahme: Das Problem muss gestoppt werden, damit es keinen weiteren Schaden anrichten kann.
  2. Mittelfristige Maßnahme: Das Problem muss genau analysiert werden, damit es beseitigt werden kann und nicht an anderer Stelle wieder auftritt.
  3. Langfristige Maßnahme: Verhindern, dass dieses Problem wieder auftreten kann.

Ein Beispiel: Ein System wird von einem Virus befallen

  1. Sofortmaßnahme: Das System technisch vom Netzwerk trennen.
  2. Mittelfristige Maßnahme: Analysieren wie das System befallen werden konnte. Wurde es über eine E-Mail, einen USB-Stick oder anderweitig befallen?
  3. Langfristige Maßnahmen: Die Filterung von E-Mails verbessern oder Regeln zum Einsatz von USB Sticks erlassen.

Welche Möglichkeiten hat der Auftraggeber über Vorfälle informiert zu werden?

Lassen Sie sich als Auftraggeber regelmäßig von Ihrem IT-Dienstleister Bericht zur Lage der Informationssicherheit erstatten. Grundsätzlich sollte dies jeder Kunde tun – und demnach für den Dienstleister ein eingepreister Aufwand sein.

Gleichzeitig legen Sie gemeinsam mit Ihrem Dienstleister fest wie über Vorfälle informiert werden muss. Sollten Sie gar keine Informationen erhalten, lohnt es sich aktiv nachzufragen. Jeder Dienstleister hat hin und wieder Vorfälle, gibt diese aber nicht weiter.

Im Zweifel führen Sie ein Lieferantenaudit durch, um die Wirksamkeit bezüglich Sicherheitsvorfällen zu überprüfen. Im Rahmen des Audits erhalten Sie interne Abläufe des Dienstleisters aus denen Sie ableiten können, ob der Dienstleister Vorfälle überhaupt identifizieren kann, diese dokumentiert und auch an Kunden weiterleitet.

Vor- und Nachteile des Outsourcings:

+ Kostensenkung (Kosten fallen nur dann an, wenn an dem Projekt gearbeitet wird)

+ Konzentration auf das Kerngeschäft der angestellten Mitarbeiter

+ bessere Qualität, da Spezialisierung des Dienstleisters

+ viel Erfahrung des Dienstleisters und sich daraus ergebende Lösungen

–  Zeitintensiv, da viele Absprachen nötig sind

–  Anteilige Abgabe der Kontrolle

–  Abhängigkeit vom Dienstleister und seinen Versprechungen

Welche Outsourcing-Leistungen bieten wir Ihnen an?

  • Einführung eines Prozesses zum Umgang mit Sicherheitsvorfällen
  • Abstimmung von Sicherheitsanforderungen mit Dienstleistern
  • Durchführung von Lieferantenaudits

Senden Sie uns Ihre Anfrage – wir freuen uns auf die Zusammenarbeit mit Ihnen!

Ihr ALPS-Experten-Team