14. September 2009 - Auftragsdatenverarbeitung

Was Sie bei Managed Security Services beachten sollten

Die wachsende IT-Risiken, die steigenden Forderungen an die Datensicherheit und der Mangel an qualifiziertem Personal lässt gerade kleine und mittlere Unternehmen daran denken, die IT-Sicherheit auszulagern. Doch durch sogenannte Managed Security Services lassen sich nur Aufgaben und keine Verantwortlichkeiten übertragen. Wir zeigen Ihnen, worauf Sie als Datenschutzbeauftragter achten sollten, wenn Ihr Unternehmen die IT-Sicherheit in die Hände Dritter legen will.

was-sie-bei-managed-security-services-beachten-sollten.jpeg
IT-Sicherheit als Auftragsdatenverarbeitung - da sind viele Punkte zu beachten (Bild: Thinkstock)

Bei der Vielzahl an neuartigen Bedrohungen aus dem Internet und der wachsenden Schwierigkeit, die Datensicherheit zu gewährleisten, klingt es verlockend, die Überwachung und den Betrieb der IT-Sicherheit an einen externen Dienstleister auszulagern.

Auf den ersten Blick eine tolle Sache

Stellen Sie sich einmal vor: Das eigene Netzwerk wird bereits außerhalb des Unternehmens abgeschirmt. E-Mails, die ankommen, stellen keine potenzielle Gefahr mehr dar. Denn sie sind laut Angebotsbeschreibung für den Managed Security Service fast 100 Prozent frei von Malware und Viren.

Hacker werden schon bei ihren ersten Angriffsversuchen durch den externen Dienstleister erkannt und abgeblockt. Die eigenen Daten scheinen in Sicherheit, unschöne Datenpannen, die nach dem neuen § 42a BDSG unter Umständen der Öffentlichkeit mitgeteilt werden müssen, werden wohl nie eintreffen. Allerdings ist dieser Traum zu schön, um wahr zu sein.

Die Verantwortung bleibt

Da es sich bei der Verlagerung von Sicherheitsdiensten wie dem Monitoring der Sicherheitsfunktionen, Malware-Erkennung und –Bekämpfung, Verschlüsselung, Aufbau von temporären Virtual Private Networks, Firewalls oder Intrusion Detection um technische Services bei der Datenverarbeitung handelt, wird in der Regel eine Auftragsdatenverarbeitung vorliegen. Sie muss daher den erweiterten § 11 BDSG mit den genauen Vorgaben für ein schriftliches Vertragsverhältnis mit dem Service-Provider berücksichtigen.

Dazu gehört auch, dass die technischen und organisatorischen Maßnahmen gemäß Anlage zu § 9 BDSG vor Beginn der Nutzung von Managed Security Services und dann regelmäßig während der Nutzung überprüft werden müssen. Zudem gilt es sicherzustellen, dass die Protokolle beim Monitoring des Datenverkehrs durch den Provider streng zweckgebunden genutzt (§ 31 BDSG) und vor unerlaubten Zugriffen geschützt werden.

Stellen Sie hohe Anforderungen an Managed Security Services

Bei der Prüfung der technischen und organisatorischen Maßnahmen des Providers (Auftragnehmers) sollten Sie sich insbesondere die folgenden Anforderungen hinsichtlich ihrer Umsetzung ansehen:

Anforderungen Erfüllt Nicht erfüllt
Rechenzentrumsbetrieb des Providers
Schutzvorrichtungen gegen natürliche Schäden wie Feuer, Wasser und Sturm
Schutz vor unbefugtem Zutritt (Maßnahmen der Zutrittskontrolle)
automatische Update-Prozesse für Sicherheitslösungen
Nachgewiesene Fachkunde des Personals
Einsatz erprobter Sicherheitslösungen
Verpflichtung auf Datengeheimnis für Personal
Redundanz der angebotenen Systeme (Ausfallsicherheit)
Notfallplan
Hotline
Datenverbindung zwischen Unternehmen und Provider
Verschlüsselung der Datenübertragung
Schutzvorrichtungen zur Gewährleistung der Netzwerksicherheit bei dem Provider
Zugangskontrollen und Zugriffskontrollen bei Systemen zur Administration der angebotenen Sicherheitslösungen
Datenhaltung und Überwachungsprotokolle
Schutz der Protokolle und anderer vorgehaltener Daten des Unternehmens (wie Benutzerlisten) vor unerlaubtem Zugriff, Datenverlust und Datendiebstahl
den Vorgaben entsprechende Löschung der Daten nach Wegfall der Erfordernis und in Absprache mit dem Auftraggeber
strikte Trennung der verschiedenen Mandanten
regelmäßige Berichte an Auftraggeber und definierte Alarmierung (Eskalationswege mit Alarmierungsstufen) bei Sicherheitsvorfällen

Checkliste Anforderungen an Managed Security Services

Ohne interne IT-Sicherheit geht es nicht

Mit einem weiteren Missverständnis bei Nutzung von Managed Security Services sollten Sie ebenfalls aufräumen: Nicht nur die Verantwortung für den Schutz personenbezogener Daten bleibt im Unternehmen. Auch die IT-Sicherheit kann nicht komplett nach außen vergeben werden. Selbst wenn Ihr Sicherheitsdienstleister sämtlichen ein- und ausgehenden Datenverkehr auf Sicherheitsrisiken hin untersucht, braucht Ihr Unternehmen eine sichere Verbindung zum Service-Provider.

Was im Unternehmen bleibt

So verbleiben als Sicherheitsaufgaben im Unternehmen auf jeden Fall:

  • Aufstellung, Umsetzung und Kontrolle interner Sicherheitsrichtlinien, die auch zum Maßstab für den externen Dienstleister werden können
  • Definition und Überwachung der notwendigen Qualität der beauftragten Dienste (SLA, Service Level Agreement)
  • Planung, Durchführung und Pflege eines Identitätsmanagements, um den Zugang zu und den Zugriff auf die extern betriebenen Anwendungen zu sichern
  • Installation und Aktualisierung von Anti-Malware-Lösungen, Firewalls und anderen lokalen Sicherheitskomponenten, um auch eine sichere Verbindung zum Provider gewährleisten zu können
  • Konfiguration der Sicherheitseinstellungen und Schutz der lokalen und mobilen Endgeräte, die mit den extern betriebenen Lösungen kommunizieren sollen
  • Gewährleistung der internen Netzwerksicherheit (LAN, WLAN) und der Sicherheit der Gateways zur externen Lösung
  • Überwachung der externen Dienstleistung durch Berichte (Reporting) und Kontrollen

Managed Security Services können also ein Mittel sein zur Steigerung der Datensicherheit. Ein Ersatz für interne Bemühungen um Datenschutz und Datensicherheit sind sie jedoch nicht.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln