Webcontent-Anzeige Webcontent-Anzeige

Mit Sicherheit die richtige Wahl

Wir haben einen Kriterienkatalog zusammengestellt*, der kleineren Unternehmen ohne eigene Sicherheitsexpertise bei der Auswahl eines vertrauenswürdigen IT-Dienstleisters hilft. Er gibt dem auftraggebenden Unternehmen zudem erste Anregungen für die Aufnahme sicherheitsrelevanter Fragestellungen in Dienstleistungsvereinbarungen und erleichtert die Beurteilung, ob die internen Prozesse und Lösungen des IT-Dienstleisters unter dem Aspekt der IT-Sicherheit als vertrauenswürdig und verlässlich gelten können.

*Zur Information: Auf gesetzlich vorgeschriebene Maßnahmen zur Einhaltung des Datenschutzes wird hier nicht explizit eingegangen.

Kriterienkatalog

Prüfen Sie die folgenden Kriterien:

 
Organisation

Organisation

  • Der Dienstleister bietet an, eine Schutzbedarfsanalyse für die Systeme des auftraggebenden Unternehmens durchzuführen, sowie daraus gemeinsam mit dem Auftraggeber ein Sicherheitskonzept abzuleiten.

    Der Dienstleister soll damit nachweisen, dass er die Kompetenz hat, die richtigen Dinge zu tun, um den Anwender optimal zu schützen.

  • Die Auswahl der technischen Sicherungsverfahren und die Organisation der IT-Sicherheit werden in Abstimmung mit dem auftraggebenden Unternehmen auf der Basis der Best Practices der ISO 27002 (oder vergleichbar) abgestimmt.

    Oder vergleichbar: z.B. VDS 3473, IT-Grundschutz, Basis-Absicherung nach 200-2.

  • Der Dienstleister berichtet dem auftraggebenden Unternehmen monatlich über den sicherheitsrelevanten Status der Kundensysteme und gibt Handlungsempfehlungen.

    Es kann, muss kein physischer Termin sein. Ist man eingespielt, reichen oft ein kleiner Bericht und bei Bedarf ein Telefonat.

  • Der Dienstleister ist bei Vertragsabschluss bereit, für alle Subunternehmer die hier aufgeführten Anforderungen ausgefüllt dem Auftraggeber vorzulegen.

    Die gleichen Anforderungen müssen auch für Subunternehmen gelten.

  • Der Dienstleister erklärt sich bereit, Security Audits durch geeignete Dritte mit einer angemessenen Vorlaufzeit zu akzeptieren.

    Geeignete Dritte sind etwa Wirtschaftsprüfer, Steuerberater, Gutachter, beauftragte Vertreter der Kammern, oder andere, geeignet qualifizierte und zur Verschwiegenheit verpflichtete Personen.

 
Prävention

Prävention

  • Der Dienstleister gewährleistet eine definierte Mindestverfügbarkeit pro Monat für alle für das auftraggebende Unternehmen relevanten Systeme (Service Level Agreement - "SLA").

    Die Mindestverfügbarkeit muss zu Ihrem Bedarf passen. Bei Just-In-Time-Produktion oder einem Online-Shop mit integrierter Warenwirtschaft kann 99% erforderlich sein, für E-Mail sind 90% der Arbeitszeit ausreichend.

  • Der Dienstleister bietet an, für alle für das auftraggebende Unternehmen relevanten Systeme Backups nach Stand der Technik durchzuführen und auf Anforderung des Auftraggebers testweise rückzusichern.

    Für die testweise Rücksicherung müssen Sie mitarbeiten; ein eingespielter Prozess kann große Schäden vermeiden.

  • Der Dienstleister ist in der Lage, eine Inventarisierung aller für den Auftraggeber relevanten Anwendungen und Systeme zu dokumentieren.

    Nur wenn alle Systeme bekannt sind, können auftretende Schwachstellen auch bezüglich ihres Risikos bewertet werden.

  • Es gibt einen dokumentierten Prozess, um Änderungen an Systemen zu erfassen und die Sicherheitsauswirkungen bewerten zu können, bevor die Änderungen durchgeführt werden.

    Lassen Sie sich den Prozess zeigen, damit Ihre Risikoaffinität dadurch abgebildet ist.

  • Eine Fernwartung geschieht ausschließlich über nach dem Stand der Technik verschlüsselte Leitungen mit angemessen starker Authentifizierung.

    Je nach Schutzbedarf reichen gute Passwörter - evtl. sind auch stärkere Lösungen, z.B. Zertifikate geboten. Auf jeden Fall ist ein VPN erforderlich.

 
Reaktion

Reaktion

  • Der Dienstleister bietet an, Vorkehrungen zu treffen, um Hacker-Angriffe auf alle für das auftraggebende Unternehmen relevanten Systeme zu erkennen.

    Fragen Sie explizit nach, welche Angriffe der Dienstleister erkennt, und wann er Sie darüber informiert.

  • Sicherheitswarnungen/-meldungen zu allen mit dem Auftraggeber vereinbarten Betriebssystemen, IT-Systemen und Software-Anwendungen werden beobachtet.

    Wichtig ist, dass der Dienstleister relevante Information für Ihre Systeme zeitnah bekommt - und natürlich verarbeitet.

  • Sicherheitsvorfälle und -warnungen mit hoher Kritikalität werden sofort an den Auftraggeber kommuniziert und es wird unverzüglich (entsprechend der vereinbarten SLAs), in Abstimmung mit dem Auftraggeber, ein sicherer Zustand wiederhergestellt.

    Bei kritischen Vorfällen und Warnungen sollten Sie sich die Zeit nehmen, das für Sie entstehende Risiko (mit) zu bewerten.

  • Sicherheitsvorfälle und –warnungen mit normaler Kritikalität werden am gleichen Tag an den Auftraggeber kommuniziert und in Abstimmung mit ihm ein sicherer Zustand wiederhergestellt.

    Bei nicht-kritischen Vorfällen und Warnungen sollten Sie hin und wieder prüfen, ob Sie die Einschätzung der Kritikalität mittragen.

  • Der Dienstleister bietet IT-Notfall-Dienstleistungen an.

    Computer Emergency Response Team (CERT)-Dienstleistungen (CERT-Dienstleistungen) behandeln eingetretene Sicherheitsprobleme und helfen bei der Behebung - auch auf Anwender-Seite.

 
Lieferant

Lieferant

  • Der Dienstleister führt bezüglich seines eigenen Geschäftes und seiner Infrastruktur regelmäßig eine Risikoanalyse durch und hat geeignete Notfallpläne und risikosenkende Maßnahmen im Einsatz.

    Schwächen in diesem Bereich können Rückwirkungen auf Ihre Systeme und Daten haben.

  • Die Mitarbeiter des Dienstleisters sind nachweislich angemessen zu Sicherheitsthemen qualifiziert. Auch bei Sicherheitsvorfällen ist eine ausreichende personelle Ausstattung mit nachgewiesener Kompetenz (z.B. Herstellerzertifikat) für alle für das auftraggebende Unternehmen relevante Systeme gegeben.

    Bei Sicherheitsvorfällen sind meist mehrere oder alle Kunden betroffen. Gerade dann ist eine hohe Verfügbarkeit von kompetentem Personal wichtig.

  • Der Dienstleister dokumentiert seine regelmäßigen Sicherheits-Sensibilisierungen und -Schulungen bei seinen Mitarbeitern und gewährt dem auftraggebenden Unternehmen Einblick in die Dokumentation.

    Sie sollten in der Lage sein zu prüfen, ob die Sensibilisierung auch für Ihren Schutzbedarf angemessen erscheint.

  • Auf Ausscheiden eines Mitarbeiters des Dienstleisters wird das Benutzerkonto deaktiviert, Passwörter geändert und alle Unterlagen, die den Auftraggeber betreffen, eingezogen.

    Beispielsweise kann ein Privileged Access Management den Zugang zu Systemen durch Administratoren kontrollieren - es werden Personen-spezifische Passwörter vergeben, so müssen die eigentlichen Admin-Passwörter nicht geändert werden.

  • Personenbezogene Daten von Mitarbeitern des auftraggebenden Unternehmens werden in die Schadenspotenzanalyse im Rahmen des Datenschutzmanagements des Dienstleisters mit einbezogen.

    Dies ist im Rahmen der Auftragsdatenverarbeitung sowieso gefordert.

Senden Sie den Kriterienkatalog direkt als PDF
an Ihren Dienstleister oder laden Sie es sich herunter