Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Warum das Risiko meines Dienstleisters mein Risiko sein kann
Externe Dienstleister = Sicherheitsrisiko?
Es liegt in der Natur des Menschen, anderen Menschen vertrauen zu wollen. Doch Vertrauen alleine ist keine Grundlage für eine gemeinsame Basis mit einem externen Dienstleister. Es bedarf eben auch Nachweise die das Vertrauen begründen.
Einführung
Was IT-Sicherheitsexperten schon lange wussten und nun auch belegbar ist: Externe Dienstleister stellen ein weithin unterschätztes Sicherheitsrisiko dar (siehe hierzu die „Vendor Vulnerability Survey 2016”). 92% der befragten IT-Experten gaben dabei an, dass sie Ihrem externen Dienstleister komplett oder die meiste Zeit komplett vertrauen. Gleichzeitig gaben 67% an, dass man dem externen Dienstleister zu viel vertraut.
Wenn ich einem externen Dienstleister Zugriff auf mein Netzwerk gestatte oder ihm meine Daten überlasse, dann reicht hier blindes Vertrauen nicht aus. Als Unternehmer muss ich mich darum im Vorfeld kümmern den Dienstleister sorgfältig auszusuchen und ihn auch im Hinblick auf Informationssicherheit zu überprüfen, damit das Vertrauen gerechtfertigt wird.
Was alles ist ein externer Dienstleister?
Von einem externen Dienstleister ist im Allgemeinen dann die Rede, wenn dieser Unternehmensaufgaben und –strukturen für einen selber erbringt. Es handelt sich dabei um eine spezielle Form des Fremdbezugs einer Leistung, die eventuell bisher intern oder noch nie erbracht wurde. Einige typische Beispiele solcher externen Dienstleister sind:
- Erbringung von Supportleistungen für Anwendungen und Systeme
- Übermittlung von Daten, um mit den Daten zu arbeiten
- Vernichtung von Unterlagen oder Reinigungsdienstleistungen
- Temporäre Nutzung von Personal für gemeinsame Projektarbeiten sofern die Tätigkeiten nicht ausschließlich im eigenen Unternehmen stattfinden
Auch wenn dies nur Beispiele sind zeigen diese jedoch auf, warum externe Dienstleister ein Sicherheitsrisiko sein können. Jemand anderes hat Daten oder bekommt Zugriff auf Daten und ich als Unternehmen muss beurteilen, ob der externe Dienstleister genauso mit den Daten umgeht wie ich als Unternehmen dies tue.
Wie sicher ist mein externer Dienstleister und wie kann ich das beurteilen?
Es gibt zahlreiche Möglichkeiten, um zu prüfen, ob der externe Dienstleister das in Ihn gesetzte Vertrauen verdient. Im Folgenden hier ein paar praktische Tipps:
- Kann jeder Dienstleister sich nach gängigen Standards der Informationssicherheit zertifizieren lassen. So z.B. eine ISO 27001 oder der IT-Grundschutz vom BSI. Ein solches Zertifikat ist der Nachweis, dass das in den externen Dienstleister gesetzte Vertrauen angebracht ist.
- Wenn Ihr externer Dienstleister jedoch nur Ihre Unterlagen entgegennimmt und dann für Sie vernichten soll, dann ist ein Zertifikat aus der ersten Aufzählung zu weit gefasst. Hier gibt es eine Spezialvorschrift. Die DIN 66399. Ein Beleg dafür, dass Ihr externer Dienstleister Datenträger auf sichere Art und Weise vernichtet.
- Wenn der externe Dienstleister solche Zertifikate nicht vorweisen kann, dann muss ich als Unternehmen mir selber ein Urteil bilden, ob das Vertrauen gerechtfertigt ist. Hierzu bietet es sich an den externen Dienstleister selbst zu überprüfen. Doch wie soll dies in der Praxis stattfinden? Hier bietet z.B. das Bayerische Landesamt für Datenschutzaufsicht eine praktische Hilfe (Checkliste). Sie können Ihren externen Dienstleister einfache eine solche Checkliste ausfüllen lassen die Sie selbst prüfen. Idealerweise fahren Sie vor Ort und überprüfen die gemachten Angaben.
Fazit
Das alt bekannte Sprichwort „Vertrauen ist gut, Kontrolle ist besser” findet auch beim Einsatz von externen Dienstleister seine Anwendung. Natürlich muss ein Unternehmen seinem externen Dienstleister vertrauen. Denn ohne Vertrauen gibt es keine geeignete Basis für eine erfolgreiche Dienstleistung. Doch sollte das Vertrauen auch durch Belege manifestiert werden. Denn nur so ist ein Unternehmen auf der sicheren Seite, wenn es einen externen Dienstleister beauftragt.
Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwerpunktmäßig mit dem Informationssicherheits- und Notfallmanagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unterschiedlichen Themen tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare