Gratis
26. Februar 2018 - Auftragsverarbeitung

Managed Security Services: Darauf müssen Sie achten

Drucken

Die IT-Risiken werden immer komplexer, qualifiziertes Personal ist Mangelware – das lässt nicht nur kleine und mittlere Unternehmen daran denken, die IT-Sicherheit auszulagern. Doch wer sogenannte Managed Security Services nutzt, überträgt nur Aufgaben, nicht die komplette Verantwortlichkeit. Lesen Sie, worauf Sie als Datenschutzbeauftragter achten sollten, wenn Ihr Unternehmen plant, die IT-Sicherheit in die Hände Dritter zu geben.

Managed-Security-Services: Auch ein Datenschutz-Thema IT-Sicherheit als Auftragsverarbeitung - da ist auch der Datenschutz gefragt (Bild: iStock.com / LeoWolfert))

Security as a Service

Managed Security Services (MSS), auch Security as a Service genannt, sind IT-Sicherheits-Lösungen und -Dienste, die die Kunden aus der Cloud beziehen.

Typische Beispiele sind das Monitoring der Sicherheits-Funktionen, Malware-Erkennung und -Bekämpfung, Verschlüsselung, Aufbau von temporären Virtual Private Networks, Firewalls oder Intrusion Detection.

Immer mehr Unternehmen greifen zu solchen Managed Security Services. Wie der Cloud-Monitor 2017 von Bitkom und KPMG ergab, hat sich die Verwendung von Sicherheits-Lösungen aus der Cloud mit 44 Prozent auf den zweiten Platz aller Cloud-Services geschoben.

Damit rangieren sie vor Groupware (E-Mail, Kalender u.Ä.) mit 35 Prozent und Collaboration-Tools für die interne Zusammenarbeit mit 33 Prozent.

Auftragsverarbeitung: Die Frage der Verantwortung

Manch Unternehmen hofft, mit Managed Security Services oder Security as a Service Verantwortung abzugeben. Denn die Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten sind hoch, die Umsetzung komplex.

Tatsächlich zeigen Umfragen, dass nicht wenige Unternehmen, die Cloud-Dienste nutzen, die Verantwortung beim Cloud-Anbieter sehen: 20,1 Prozent schieben laut der Studie “Cloud Insights” von T-Systems dem Cloud-Anbieter die alleinige Verantwortung zu.

Da es sich um technische Services bei der Datenverarbeitung handelt, wird allerdings in der Regel eine Auftragsverarbeitung vorliegen. Das heißt, die Verantwortung bleibt beim Auftraggeber.

Eine Auftragsverarbeitung muss den Vorgaben von Artikel 28 Datenschutz-Grundverordnung (DSGVO) für ein Auftragsverhältnis mit dem Service-Provider genügen.

Dazu gehört, dass die Verarbeitung nur mit Auftragsverarbeitern erfolgen darf, die hinreichend Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen so durchführen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Hohe Anforderungen an Managed Security Services stellen

Was gehört zur Prüfung der technischen und organisatorischen Maßnahmen des Providers (Auftragnehmer)? Die folgende Checkliste führt auf, welche Punkte sich Datenschutzbeauftragte ansehen sollten. Das gilt zumindest, bis geeignete Datenschutz-Zertifikate und Verhaltensregeln nach DSGVO vorliegen.

Checkliste Anforderungen an Managed Security Services (Word-Dokument)

Anforderungen Erfüllt Nicht erfüllt
Rechenzentrumsbetrieb des Providers
Schutzvorrichtungen gegen natürliche Schäden wie Feuer, Wasser und Sturm
Schutz vor unbefugtem Zutritt (Maßnahmen der Zutrittskontrolle)
Automatische Update-Prozesse für Sicherheits-Lösungen
Nachgewiesene Fachkunde des Personals
Einsatz erprobter Sicherheits-Lösungen
Verpflichtung auf Datenschutz für Personal
Redundanz der angebotenen Systeme (Ausfallsicherheit)
Notfallplan
Hotline
Datenverbindung zwischen Unternehmen und Provider
Verschlüsselung der Datenübertragung
Schutzvorrichtungen zur Gewährleistung der Netzwerksicherheit bei dem Provider
Kontrollen bei Systemen zur Administration der angebotenen Sicherheits-Lösungen
Datenhaltung und Überwachungsprotokolle
Schutz der Protokolle und anderer vorgehaltener Daten des Unternehmens (wie Benutzerlisten) vor unerlaubtem Zugriff, Datenverlust und Datendiebstahl
Den Vorgaben entsprechende Löschung der Daten nach Wegfall der Erfordernis und in Absprache mit dem Auftraggeber
Strikte Trennung der verschiedenen Mandanten
Regelmäßige Berichte an Auftraggeber und definierte Alarmierung (Eskalationswege mit Alarmierungsstufen) bei Datenschutz-Verletzungen

Achtung: Ohne interne IT-Sicherheit geht es nicht

Räumen Sie zudem mit einem weiteren Missverständnis auf, das mit Managed Security Services einhergeht: Nicht nur die Verantwortung für den Schutz personenbezogener Daten bleibt im Unternehmen. (Bei Datenschutzverletzung wird der Cloud-Anbieter nach DSGVO zwar auch zum Verantwortlichen, nicht aber zum alleinigen.) Auch die IT-Sicherheit lässt sich nicht komplett nach außen vergeben.

Selbst wenn der Sicherheits-Dienstleister sämtlichen ein- und ausgehenden Datenverkehr auf Sicherheits-Risiken untersucht, braucht das Unternehmen eine sichere Verbindung zum Service-Provider.

Sicherheits-Aufgaben

So verbleiben als Sicherheits-Aufgaben im Unternehmen auf jeden Fall:

  • interne Sicherheits-Richtlinien, die auch zum Maßstab für den externen Dienstleister werden können, aufstellen, umsetzen und kontrollieren
  • Qualität der beauftragten Dienste (SLA, Service Level Agreement) definieren und überwachen
  • ein Identitätsmanagement planen, durchführen und pflegen, um den Zugang zu und den Zugriff auf die extern betriebenen Anwendungen zu sichern
  • Anti-Malware-Lösungen, Firewalls und andere lokale Sicherheits-Komponenten installieren und aktualisieren, um eine sichere Verbindung zum Provider zu gewährleisten
  • Sicherheits-Einstellungen konfigurieren und lokale sowie mobile Endgeräte schützen, die mit den extern betriebenen Lösungen kommunizieren sollen
  • interne Netzwerksicherheit (LAN, WLAN) und Sicherheit der Gateways zur externen Lösung gewährleisten
  • externe Dienstleistung durch Berichte (Reporting) und Kontrollen überwachen

Managed Security Services können also ein Mittel der Wahl sein, um die Datensicherheit zu steigern. Ein Ersatz für interne Bemühungen um Datenschutz und Datensicherheit sind sie jedoch nicht.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.