Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
26. Februar 2018

Managed Security Services: Darauf müssen Sie achten

Gratis
Managed Security Services: Darauf müssen Sie achten
Bild: iStock.com / LeoWolfert
0,00 (0)
Auftragsverarbeitung
Die IT-Risiken werden immer komplexer, qualifiziertes Personal ist Mangelware – das lässt nicht nur kleine und mittlere Unternehmen daran denken, die IT-Sicherheit auszulagern. Doch wer sogenannte Managed Security Services nutzt, überträgt nur Aufgaben, nicht die komplette Verantwortlichkeit. Lesen Sie, worauf Sie als Datenschutzbeauftragter achten sollten, wenn Ihr Unternehmen plant, die IT-Sicherheit in die Hände Dritter zu geben.

Security as a Service

Managed Security Services (MSS), auch Security as a Service genannt, sind IT-Sicherheits-Lösungen und -Dienste, die die Kunden aus der Cloud beziehen.

Typische Beispiele sind das Monitoring der Sicherheits-Funktionen, Malware-Erkennung und -Bekämpfung, Verschlüsselung, Aufbau von temporären Virtual Private Networks, Firewalls oder Intrusion Detection.

Immer mehr Unternehmen greifen zu solchen Managed Security Services. Wie der Cloud-Monitor 2017 von Bitkom und KPMG ergab, hat sich die Verwendung von Sicherheits-Lösungen aus der Cloud mit 44 Prozent auf den zweiten Platz aller Cloud-Services geschoben.

Damit rangieren sie vor Groupware (E-Mail, Kalender u.Ä.) mit 35 Prozent und Collaboration-Tools für die interne Zusammenarbeit mit 33 Prozent.

Auftragsverarbeitung: Die Frage der Verantwortung

Manch Unternehmen hofft, mit Managed Security Services oder Security as a Service Verantwortung abzugeben. Denn die Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten sind hoch, die Umsetzung komplex.

Tatsächlich zeigen Umfragen, dass nicht wenige Unternehmen, die Cloud-Dienste nutzen, die Verantwortung beim Cloud-Anbieter sehen: 20,1 Prozent schieben laut der Studie “Cloud Insights” von T-Systems dem Cloud-Anbieter die alleinige Verantwortung zu.

Da es sich um technische Services bei der Datenverarbeitung handelt, wird allerdings in der Regel eine Auftragsverarbeitung vorliegen. Das heißt, die Verantwortung bleibt beim Auftraggeber.

Eine Auftragsverarbeitung muss den Vorgaben von Artikel 28 Datenschutz-Grundverordnung (DSGVO) für ein Auftragsverhältnis mit dem Service-Provider genügen.

Dazu gehört, dass die Verarbeitung nur mit Auftragsverarbeitern erfolgen darf, die hinreichend Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen so durchführen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Hohe Anforderungen an Managed Security Services stellen

Was gehört zur Prüfung der technischen und organisatorischen Maßnahmen des Providers (Auftragnehmer)? Die folgende Checkliste führt auf, welche Punkte sich Datenschutzbeauftragte ansehen sollten. Das gilt zumindest, bis geeignete Datenschutz-Zertifikate und Verhaltensregeln nach DSGVO vorliegen.

Checkliste Anforderungen an Managed Security Services (Word-Dokument)

Anforderungen Erfüllt Nicht erfüllt
Rechenzentrumsbetrieb des Providers
Schutzvorrichtungen gegen natürliche Schäden wie Feuer, Wasser und Sturm
Schutz vor unbefugtem Zutritt (Maßnahmen der Zutrittskontrolle)
Automatische Update-Prozesse für Sicherheits-Lösungen
Nachgewiesene Fachkunde des Personals
Einsatz erprobter Sicherheits-Lösungen
Verpflichtung auf Datenschutz für Personal
Redundanz der angebotenen Systeme (Ausfallsicherheit)
Notfallplan
Hotline
Datenverbindung zwischen Unternehmen und Provider
Verschlüsselung der Datenübertragung
Schutzvorrichtungen zur Gewährleistung der Netzwerksicherheit bei dem Provider
Kontrollen bei Systemen zur Administration der angebotenen Sicherheits-Lösungen
Datenhaltung und Überwachungsprotokolle
Schutz der Protokolle und anderer vorgehaltener Daten des Unternehmens (wie Benutzerlisten) vor unerlaubtem Zugriff, Datenverlust und Datendiebstahl
Den Vorgaben entsprechende Löschung der Daten nach Wegfall der Erfordernis und in Absprache mit dem Auftraggeber
Strikte Trennung der verschiedenen Mandanten
Regelmäßige Berichte an Auftraggeber und definierte Alarmierung (Eskalationswege mit Alarmierungsstufen) bei Datenschutz-Verletzungen

Achtung: Ohne interne IT-Sicherheit geht es nicht

Räumen Sie zudem mit einem weiteren Missverständnis auf, das mit Managed Security Services einhergeht: Nicht nur die Verantwortung für den Schutz personenbezogener Daten bleibt im Unternehmen. (Bei Datenschutzverletzung wird der Cloud-Anbieter nach DSGVO zwar auch zum Verantwortlichen, nicht aber zum alleinigen.) Auch die IT-Sicherheit lässt sich nicht komplett nach außen vergeben.

Selbst wenn der Sicherheits-Dienstleister sämtlichen ein- und ausgehenden Datenverkehr auf Sicherheits-Risiken untersucht, braucht das Unternehmen eine sichere Verbindung zum Service-Provider.

Sicherheits-Aufgaben

So verbleiben als Sicherheits-Aufgaben im Unternehmen auf jeden Fall:

  • interne Sicherheits-Richtlinien, die auch zum Maßstab für den externen Dienstleister werden können, aufstellen, umsetzen und kontrollieren
  • Qualität der beauftragten Dienste (SLA, Service Level Agreement) definieren und überwachen
  • ein Identitätsmanagement planen, durchführen und pflegen, um den Zugang zu und den Zugriff auf die extern betriebenen Anwendungen zu sichern
  • Anti-Malware-Lösungen, Firewalls und andere lokale Sicherheits-Komponenten installieren und aktualisieren, um eine sichere Verbindung zum Provider zu gewährleisten
  • Sicherheits-Einstellungen konfigurieren und lokale sowie mobile Endgeräte schützen, die mit den extern betriebenen Lösungen kommunizieren sollen
  • interne Netzwerksicherheit (LAN, WLAN) und Sicherheit der Gateways zur externen Lösung gewährleisten
  • externe Dienstleistung durch Berichte (Reporting) und Kontrollen überwachen

Managed Security Services können also ein Mittel der Wahl sein, um die Datensicherheit zu steigern. Ein Ersatz für interne Bemühungen um Datenschutz und Datensicherheit sind sie jedoch nicht.

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.