Verantwortlichkeiten beim Outsourcing definieren
Carlos Rieder, Security Consultant
Der Mensch ist oft gutgläubig und deshalb leicht manipulierbar. Dieser Umstand wird auch für Cyber Angriffe ausgenutzt. Mit gezielter Ausbildung wird der gesunde Menschenverstand der Mitarbeitenden geschärft und die nötige Awareness bezüglich IT-Risiken sichergestellt.
Outsourcing und Cloud-Lösungen sind im Trend. Dabei müssen die Verantwortlichkeiten klar definiert werden. Die im Rahmen der Sorgfaltspflicht zu erfolgender Überwachung der eingekauften Dienstleistungen muss institutionalisiert sein. Die Verantwortung für die Unternehmensdaten bleibt in jedem Fall beim Unternehmen und kann nicht delegiert werden (siehe OR 717).
Trend zum Outsourcing resp. zur Nutzung von Cloud-Services
Die umfassende Auslagerung der ICT Infrastrukturen in die Cloud oder zu einem Outsourcing-Partner geht ungehindert weiter. Das man seine Computer-Infrastruktur (teilweise oder als Ganzes) in die Hände Dritter legt, wäre vor 10 Jahren undenkbar gewesen. Heute ist dies der Regelfall.
Wir unterstützten diesen Trend. Insbesondere für ein kleineres KMU ist ein sicherer Betrieb der Systeme und Applikationen sehr aufwändig und eigentlich gar nicht mehr selbst zu bewältigen. Die Auslagerung der ICT (Information and Communication Technology) verändert aber die Situation massiv. Die Systeme und Applikationen stehen nicht mehr im eigenen Haus, sondern beim Dienstleistungspartner oder in der Cloud. Nun stellt sich die Frage, wer macht was, resp. wer ist für was verantwortlich?
Zuständigkeiten regeln
Beim Outsourcing ist der Betrieb der ICT und das Updaten des Betriebssystems meistens klar geregelt und liegt beim Dienstleister. Bei den Fachapplikationen sieht es oftmals anders aus. Diese werden vielfach von einem Drittanbieter eingekauft. Somit entsteht eine Schnittstelle vom generellen ICT-Dienstleister zum Fachapplikationsanbieter. Dabei ist zu klären, wer für was verantwortlich ist.
-
Wer führt welches Update wann aus?
-
Wer testet was nach einem Update?
-
Wer macht die Datensicherung?
-
Wer führt eine Restore-Test durch?
-
Wer verteilt welche Berechtigungen?
Üblicherweise werden diese Fragen in einem Dienstleistungsvertrag oder seinen Anhängen geregelt.
Die Verantwortung bleibt beim Unternehmen
Das Outsourcing zu einem IT-Dienstleister oder in die Cloud wird vom Management gerne als willkommene Problemlösung für die «lästigen» ICT-Themen betrachtet. «Wir wollen auf unser Kerngeschäft konzentrieren und uns nicht mehr um den Betrieb der ICT kümmern müssen». Gut so. Für einen seriösen Dienstleister ist der sichere Betrieb der angebotenen ICT von zentraler Bedeutung. Dennoch bleibt die Verantwortung für die Daten und für die Verfügbarkeit bei der eigenen Unternehmung. Ihre Kunden haben ihre Daten ihrer Firma anvertraut und nicht dem Dienstleister. Somit ist ihr Unternehmen in der Pflicht diese sicher zu bearbeiten. Werden die Daten auf Grund eines Vorfalls beim Dienstleister missbraucht, steht ihre Unternehmung gegenüber den Kunden in der Pflicht und nicht der Dienstleister.
Sorgfaltspflicht wahrnehmen
Zur Einhaltung der Sorgfaltspflicht ist folglich die Überwachung der Dienstleister oder des Cloud-Anbieters eine zentrale Aufgabe. Papier ist bekanntlich geduldig. In der Beschreibung der Dienstleistungen und im Dienstleistungsvertrag kann viel versprochen werden. Aber werden diese Versprechen auch eingehalten? Eine regelmässige Kontrolle der Einhaltung der vereinbarten Vorgaben gehört zur Sorgfaltspflicht eines jeden Dienstleistungsbezügers. Dabei steht nicht die Verfügbarkeit im Vordergrund. Deren Ausfall wird schnell erkannt. Ob regelmässig ein umfassender Restoretest erfolgreich durchgeführt wurde, ist als Dienstleistungsbezüger nicht direkt erkennbar. Dasselbe gilt für das Updaten, für die Berechtigungsvergabe, die Notfallvorsorge usw. Um dieser Anforderung gerecht zu werden, empfehlen wir vom Dienstleister ein regelmässiges, schriftliches Reporting einzufordern, welches die wichtigsten Fragen beantwortet.
Eine zumindest jährliche Kontrolle der Einhaltung der vereinbarten Verträge gehört ebenfalls zur Sorgfaltspflicht. Fragen Sie Ihren Outsourcing Partner, ob die wichtigsten Sicherheitsmassnahmen garantiert und die Verantwortlichkeiten klar abgegrenzt sind.
Backup und Berechtigungen prüfen
Beim Cloud-Anbieter sieht sie Situation anders aus. Oftmals bestellt man in der Cloud einen bestimmten Service. Die viel verwendeten Microsoft 365 Dienste sind bei Microsoft sehr gut geschützt. Sicher besser, als wenn die ICT als Nebenaufgabe selbst betrieben wird. Dennoch gilt es auch hier einiges zu beachten. Von Hause aus bietet Microsoft 365 keinen Backup an. Gelöschte Daten werden nach typischerweise 90 Tagen nichtwiederherstellbar gelöscht. Es sollte geprüft werden, ob ein Backup sinnvoll wäre, zum Beispiel jeden Monat. Greifen mehrere Mitarbeiter auf die Online gespeicherten Daten zu, müssen Berechtigungen vergeben werden. Wer überwacht diese? Wer stellt sicher, dass die Berechtigungen austretenden Mitarbeitenden entzogen werden? Diese Aufgaben müssen auch bei der Nutzung eines Cloud-Dienstes sichergestellt sein.
Notverfahren sicherstellen
Zum Schluss noch einige Gedanken zu Notverfahren.
Was passiert, wenn der Dienstleister oder der Cloud Service Anbieter seine Aufgaben nicht mehr übernehmen kann? Insolvenz, Hacker-Angriff, Datenabfluss, Data Center zerstört, alles schon dagewesen. Entsprechende Vorbereitungen (Notfallpläne) sollten vorgängig getroffen werden. Bekannterweise regnet es nur, wenn man keinen Schirm dabei hat.
Zusammenfassung
Nachfolgend nochmals die wichtigsten Punkte zusammengefasst.
-
Die Verantwortlichkeiten zwischen Dienstleistungsbezüger und Dienstleistungserbringer sind vertraglich festzulegen und regelmässig zu überprüfen, allenfalls in Zusammenarbeit mit einem externen Berater:
-
Updates / Patching / Testing
-
Datensicherung / Restoretests
-
Berechtigungsvergabe
-
Notfallverfahren
-
-
Der Dienstleistungserbringer sollte regelmässig, z.B. quartalsweise, über die bezüglich der Informationssicherheit getroffenen Massnahmen schriftlich rapportieren
Weitere Tipps finden Sie hier:
Bundesamt für Sicherheit in der Informationstechnik, Deutschland OPS.2.3 Nutzung von Outsourcing
Für Fragen stehen wir Ihnen gerne zur Verfügung digitalsicher@secnovum.ch