Der Dienstleister soll damit nachweisen, dass er die Kompetenz hat, die richtigen Dinge zu tun, um den Anwender optimal zu schützen.
Oder vergleichbar: z.B. VDS 3473, IT-Grundschutz, Basis-Absicherung nach 200-2.
Es kann, muss kein physischer Termin sein. Ist man eingespielt, reichen oft ein kleiner Bericht und bei Bedarf ein Telefonat.
Die gleichen Anforderungen müssen auch für Subunternehmen gelten.
Geeignete Dritte sind etwa Wirtschaftsprüfer, Steuerberater, Gutachter, beauftragte Vertreter der Kammern, oder andere, geeignet qualifizierte und zur Verschwiegenheit verpflichtete Personen.
Die Mindestverfügbarkeit muss zu Ihrem Bedarf passen. Bei Just-In-Time-Produktion oder einem Online-Shop mit integrierter Warenwirtschaft kann 99% erforderlich sein, für E-Mail sind 90% der Arbeitszeit ausreichend.
Für die testweise Rücksicherung müssen Sie mitarbeiten; ein eingespielter Prozess kann große Schäden vermeiden.
Nur wenn alle Systeme bekannt sind, können auftretende Schwachstellen auch bezüglich ihres Risikos bewertet werden.
Lassen Sie sich den Prozess zeigen, damit Ihre Risikoaffinität dadurch abgebildet ist.
Je nach Schutzbedarf reichen gute Passwörter - evtl. sind auch stärkere Lösungen, z.B. Zertifikate geboten. Auf jeden Fall ist ein VPN erforderlich.
Fragen Sie explizit nach, welche Angriffe der Dienstleister erkennt, und wann er Sie darüber informiert.
Wichtig ist, dass der Dienstleister relevante Information für Ihre Systeme zeitnah bekommt - und natürlich verarbeitet.
Bei kritischen Vorfällen und Warnungen sollten Sie sich die Zeit nehmen, das für Sie entstehende Risiko (mit) zu bewerten.
Bei nicht-kritischen Vorfällen und Warnungen sollten Sie hin und wieder prüfen, ob Sie die Einschätzung der Kritikalität mittragen.
Computer Emergency Response Team (CERT)-Dienstleistungen (CERT-Dienstleistungen) behandeln eingetretene Sicherheitsprobleme und helfen bei der Behebung - auch auf Anwender-Seite.
Schwächen in diesem Bereich können Rückwirkungen auf Ihre Systeme und Daten haben.
Bei Sicherheitsvorfällen sind meist mehrere oder alle Kunden betroffen. Gerade dann ist eine hohe Verfügbarkeit von kompetentem Personal wichtig.
Sie sollten in der Lage sein zu prüfen, ob die Sensibilisierung auch für Ihren Schutzbedarf angemessen erscheint.
Beispielsweise kann ein Privileged Access Management den Zugang zu Systemen durch Administratoren kontrollieren - es werden Personen-spezifische Passwörter vergeben, so müssen die eigentlichen Admin-Passwörter nicht geändert werden.
Dies ist im Rahmen der Auftragsdatenverarbeitung sowieso gefordert.
