Die Sicherheit bei Lieferanten auf die Probe stellen
DP+
Bild: iStock.com/nuttapong punna
Datensicherheit in der Lieferkette (Teil 2)
Die steigende Zahl an Attacken auf und über die Lieferkette macht deutlich: Sind die IT-Systeme eines Lieferanten unzureichend geschützt, kann sich dies auf die ganze Supply Chain auswirken (Supply Chain Attacks). Das hat meist auch Folgen für den Datenschutz. Aber woher weiß ein Unternehmen, ob es unsichere Lieferanten hat?
Vertrauen ist gut, Kontrolle ist besser – so könnte man die in Compliance-Regularien übliche Forderung verstehen, sich von der Einhaltung der Vorgaben zu überzeugen. So fordert etwa die Datenschutz-Grundverordnung (DSGVO) ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ (Art. 32 DSGVO).
Art. 28 DSGVO sieht vor, „dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“.
Pen-Testing im technischen Datenschutz
Im technischen Datenschutz gibt es spezielle Verfahren, um die Sicherheit im eigenen Unternehmen oder bei einem Dienstleister oder Lieferanten überprüfen zu lassen. Dazu zählen Penetrationstests, kurz Pen-Tests genannt. Die US-Behörde NIST (National Institute of Standards and Technology) definiert Pen-Testing als „eine Testmethode, bei der Prüfer unter Verwendung aller verfügbaren Dokumentationen (z.B. Systemdesign, Quellcode, Handbücher) und unter bestimmten Bedingungen versuchen, die Sicherheitsfunktionen eines Informationssystems zu umgehen.“
Aktive Suche nach Angriffsmöglichkeiten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt einen „Praxis-Leitfaden für IS-P…
Verfasst von
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
