Webcontent-Anzeige Webcontent-Anzeige

Mit Sicherheit die richtige Wahl

Wir haben einen Kriterienkatalog zusammengestellt*, der Anbieter von IT-Dienstleistungen dabei unterstützt, sich mit ihrem Angebot zu präsentieren und IT-Sicherheit als Qualitätsmerkmal herauszustellen.

*Zur Information: Auf gesetzlich vorgeschriebene Maßnahmen zur Einhaltung des Datenschutzes wird hier nicht explizit eingegangen.

Kriterienkatalog

Prüfen Sie die folgenden Kriterien:

 

 
Organisation

Organisation

  • Der Dienstleister bietet an, eine Schutzbedarfsanalyse für die Systeme des auftraggebenden Unternehmens durchzuführen, sowie daraus gemeinsam mit dem Auftraggeber ein Sicherheitskonzept abzuleiten.

    Es geht dabei darum, die Kronjuwelen des Anwenders zu identifizieren, und mit ihm gemeinsam passende Maßnahmen auszusuchen.

  • Die Auswahl der technischen Sicherungsverfahren und die Organisation der IT-Sicherheit werden in Abstimmung mit dem auftraggebenden Unternehmen auf der Basis der Best Practices der ISO 27002 (oder vergleichbar) abgestimmt.

    Oder vergleichbar: z.B. VDS 3473, IT-Grundschutz, Basis-Absicherung nach 200-2.

  • Der Dienstleister berichtet dem auftraggebenden Unternehmen monatlich über den sicherheitsrelevanten Status der Kundensysteme und gibt Handlungsempfehlungen.

    Es kann, muss kein physischer Termin sein. Ist man eingespielt, reichen oft ein kleiner Bericht und bei Bedarf ein Telefonat.

  • Der Dienstleister ist bei Vertragsabschluss bereit, für alle Subunternehmer die hier aufgeführten Anforderungen ausgefüllt dem Auftraggeber vorzulegen.

    Geben Sie den Stab weiter - auch Ihre Subunternehmer können riskant handeln.

  • Der Dienstleister erklärt sich bereit, Security Audits durch geeignete Dritte mit einer angemessenen Vorlaufzeit zu akzeptieren.

    Geeignete Dritte sind etwa Wirtschaftsprüfer, Steuerberater, Gutachter, beauftragte Vertreter der Kammern, oder andere, geeignet qualifizierte und zur Verschwiegenheit verpflichtete Personen.

 
Prävention

Prävention

  • Der Dienstleister gewährleistet eine definierte Mindestverfügbarkeit pro Monat für alle für das auftraggebende Unternehmen relevanten Systeme (Service Level Agreement - „SLA“).

    Die Mindestverfügbarkeit muss zu Ihrem Kunden passen. Richten Sie ihre internen Dienste sowie Ihre Service-Zeiten darauf aus.

  • Der Dienstleister bietet an, für alle für das auftraggebende Unternehmen relevanten Systeme Backups nach Stand der Technik durchzuführen und auf Anforderung des Auftraggebers testweise rückzusichern.

    Sehen Sie geeignete Prozesse für das Rückspielen vor.

  • Der Dienstleister ist in der Lage, eine Inventarisierung aller für den Auftraggeber relevanten Anwendungen und Systeme zu dokumentieren.

    Eine kundenspezifische „Configuration Management DataBase“ (CMDB) sollte Pflcht sein, wenn Sie IT-Sicherheitsaufgaben für Kunden übernehmen.

  • Es gibt einen dokumentierten Prozess, um Änderungen an Systemen zu erfassen und die Sicherheitsauswirkungen bewerten zu können, bevor die Änderungen durchgeführt werden.

    Der Prozess sollte durch Sie definiert, dokumentiert und gesteuert werden.

  • Eine Fernwartung geschieht ausschließlich über nach dem Stand der Technik verschlüsselte Leitungen mit angemessen starker Authentifizierung.

    Verwenden Sie für verschiedene Kunden niemals identische Passwörter!

 
Reaktion

Reaktion

  • Der Dienstleister bietet an, Vorkehrungen zu treffen, um Hacker-Angriffe auf alle für das auftraggebende Unternehmen relevanten Systeme zu erkennen.

    Dies kann manuell geschehen (z.B. Logfile-Analyse) oder automatisch (z.B. Einsatz von SIEM-Lösungen).

  • Sicherheitswarnungen/-meldungen zu allen mit dem Auftraggeber vereinbarten Betriebssystemen, IT-Systemen und Software-Anwendungen werden beobachtet.

    Dafür gibt es standardisierte Informationsangebote. Voraussetzung ist in der Regel eine aktuelle CMDB.

  • Sicherheitsvorfälle und -warnungen mit hoher Kritikalität werden sofort an den Auftraggeber kommuniziert und es wird unverzüglich (entsprechend der vereinbarten SLAs), in Abstimmung mit dem Auftraggeber, ein sicherer Zustand wiederhergestellt.

    Etablieren Sie einen Notfall-Prozess zur Information der Kunden bei kritischen Vorfällen und Warnungen!

  • Sicherheitsvorfälle und –warnungen mit normaler Kritikalität werden am gleichen Tag an den Auftraggeber kommuniziert und in Abstimmung mit ihm ein sicherer Zustand wiederhergestellt.

    Seien Sie transparent bei der Festlegung der Kriterien für Kritikalität.

  • Der Dienstleister bietet IT-Notfall-Dienstleistungen an.

    Dies sollte auch für alle Systeme angeboten werden, die nicht im Service-Level-Agreement benannt sind.

 
Lieferant

Lieferant

  • Der Dienstleister führt bezüglich seines eigenen Geschäftes und seiner Infrastruktur regelmäßig eine Risikoanalyse durch und hat geeignete Notfallpläne und risikosenkende Maßnahmen im Einsatz.

    Ihre internen Prozesse müssen sich an den Schutzbedarfen Ihrer Kunden ausrichten.

  • Die Mitarbeiter des Dienstleisters sind nachweislich angemessen zu Sicherheitsthemen qualifiziert. Auch bei Sicherheitsvorfällen ist eine ausreichende personelle Ausstattung mit nachgewiesener Kompetenz (z.B. Herstellerzertifikat) für alle für das auftraggebende Unternehmen relevante Systeme gegeben.

    Bei Sicherheitsvorfällen sind meist mehrere oder alle Kunden betroffen. Gerade dann ist eine hohe Verfügbarkeit von kompetentem Personal wichtig.

  • Der Dienstleister dokumentiert seine regelmäßigen Sicherheits-Sensibilisierungen und -Schulungen bei seinen Mitarbeitern und gewährt dem auftraggebenden Unternehmen Einblick in die Dokumentation.

    Die Sensibilisierung Ihrer Mitarbeiter sollte den Schutzbedarf der Kunden mit berücksichtigen.

  • Auf Ausscheiden eines Mitarbeiters des Dienstleisters wird das Benutzerkonto deaktiviert, Passwörter geändert und alle Unterlagen, die den Auftraggeber betreffen, eingezogen.

    Es empfiehlt sich für IT-Dienstleister, aus Selbstschutz ein Privileged Access Management einzusetzen.

  • Personenbezogene Daten von Mitarbeitern des auftraggebenden Unternehmens werden in die Schadenspotenzanalyse im Rahmen des Datenschutzmanagements des Dienstleisters mit einbezogen.

    Dies ist im Rahmen der Auftragsdatenverarbeitung sowieso gefordert.

Laden Sie sich den Kriterienkatalog
direkt als PDF herunter