DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Warum das Risiko meines Dienst­leisters mein Risiko sein kann

Externe Dienst­leister = Sicher­heits­risiko?

Es liegt in der Natur des Men­schen, anderen Men­schen ver­trauen zu wollen. Doch Ver­trauen alleine ist keine Grundlage für eine gemeinsame Basis mit einem externen Dienst­leister. Es bedarf eben auch Nach­weise die das Ver­trauen begründen.

Ein­führung

Was IT-Sicher­heits­ex­perten schon lange wussten und nun auch belegbar ist: Externe Dienst­leister stellen ein weithin unter­schätztes Sicher­heits­risiko dar (siehe hierzu die „Vendor Vul­nera­bility Survey 2016”). 92% der befragten IT-Experten gaben dabei an, dass sie Ihrem externen Dienst­leister kom­plett oder die meiste Zeit kom­plett ver­trauen. Gleich­zeitig gaben 67% an, dass man dem externen Dienst­leister zu viel ver­traut.

Wenn ich einem externen Dienst­leister Zugriff auf mein Netzwerk gestatte oder ihm meine Daten über­lasse, dann reicht hier blindes Ver­trauen nicht aus. Als Unter­nehmer muss ich mich darum im Vorfeld kümmern den Dienst­leister sorg­fältig aus­zu­suchen und ihn auch im Hin­blick auf Infor­ma­ti­ons­si­cherheit zu über­prüfen, damit das Ver­trauen gerecht­fertigt wird.

Was alles ist ein externer Dienst­leister?

Von einem externen Dienst­leister ist im All­ge­meinen dann die Rede, wenn dieser Unter­neh­mens­auf­gaben und –struk­turen für einen selber erbringt. Es handelt sich dabei um eine spe­zielle Form des Fremd­bezugs einer Leistung, die even­tuell bisher intern  oder noch nie erbracht wurde. Einige typische Bei­spiele solcher externen Dienst­leister sind:

  • Erbringung von Sup­port­leis­tungen für Anwen­dungen und Systeme
  • Über­mittlung von Daten, um mit den Daten zu arbeiten
  • Ver­nichtung von Unter­lagen oder Rei­ni­gungs­dienst­leis­tungen
  • Tem­poräre Nutzung von Per­sonal für gemeinsame Pro­jekt­ar­beiten sofern die Tätig­keiten nicht aus­schließlich im eigenen Unter­nehmen statt­finden

Auch wenn dies nur Bei­spiele sind zeigen diese jedoch auf, warum externe Dienst­leister ein Sicher­heits­risiko sein können. Jemand anderes hat Daten oder bekommt Zugriff auf Daten und ich als Unter­nehmen muss beur­teilen, ob der externe Dienst­leister genauso mit den Daten umgeht wie ich als Unter­nehmen dies tue.

Wie sicher ist mein externer Dienst­leister und wie kann ich das beur­teilen?

Es gibt zahl­reiche Mög­lich­keiten, um zu prüfen, ob der externe Dienst­leister das in Ihn gesetzte Ver­trauen ver­dient. Im Fol­genden hier ein paar prak­tische Tipps:

  • Kann jeder Dienst­leister sich nach gän­gigen Stan­dards der Infor­ma­ti­ons­si­cherheit zer­ti­fi­zieren lassen. So z.B. eine ISO 27001 oder der IT-Grund­schutz vom BSI. Ein solches Zer­ti­fikat ist der Nachweis, dass das in den externen Dienst­leister gesetzte Ver­trauen ange­bracht ist.
  • Wenn Ihr externer Dienst­leister jedoch nur Ihre Unter­lagen ent­ge­gen­nimmt und dann für Sie ver­nichten soll, dann ist ein Zer­ti­fikat aus der ersten Auf­zählung zu weit gefasst. Hier gibt es eine Spe­zi­al­vor­schrift. Die DIN 66399. Ein Beleg dafür, dass Ihr externer Dienst­leister Daten­träger auf sichere Art und Weise ver­nichtet.
  • Wenn der externe Dienst­leister solche Zer­ti­fikate nicht vor­weisen kann, dann muss ich als Unter­nehmen mir selber ein Urteil bilden, ob das Ver­trauen gerecht­fertigt ist. Hierzu bietet es sich an den externen Dienst­leister selbst zu über­prüfen. Doch wie soll dies in der Praxis statt­finden? Hier bietet z.B. das Baye­rische Lan­desamt für Daten­schutz­auf­sicht eine prak­tische Hilfe (Check­liste). Sie können Ihren externen Dienst­leister ein­fache eine solche Check­liste aus­füllen lassen die Sie selbst prüfen. Idea­ler­weise fahren Sie vor Ort und über­prüfen die gemachten Angaben.

 

Fazit

Das alt bekannte Sprichwort „Ver­trauen ist gut, Kon­trolle ist besser” findet auch beim Einsatz von externen Dienst­leister seine Anwendung. Natürlich muss ein Unter­nehmen seinem externen Dienst­leister ver­trauen. Denn ohne Ver­trauen gibt es keine geeignete Basis für eine erfolg­reiche Dienst­leistung. Doch sollte das Ver­trauen auch durch Belege mani­fes­tiert werden. Denn nur so ist ein Unter­nehmen auf der sicheren Seite, wenn es einen externen Dienst­leister beauf­tragt.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Thomas Lohre, DATEV eG

Seit 2003 bei der DATEV eG tätig. Zuerst als IT-Revisor, beschäftigt er sich nunmehr schwer­punkt­mäßig mit dem Infor­ma­ti­ons­si­cher­heits- und Not­fall­ma­nagement der DATEV eG. Daneben ist er noch als Referent für die ibs Schreiber GmbH zu unter­schied­lichen Themen tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.