Joachim Schrey

Handbuch IT-Outsourcing


Скачать книгу

zielt auf den Schutz der Informationen und Daten, IT-Prozesse und IT-Systeme mittels Sicherheitsmaßnahmen. Diese können technischer, organisatorischer, personeller und infrastruktureller Natur sein. Informationssicherheit ist als integraler Bestandteil der Unternehmenspolitik aufzufassen und in geeigneter Weise in die Geschäftsprozesse zu integrieren.

      295

      Informationssicherheit ist der Oberbegriff zu IT-Sicherheit und versteht sich als Teil der Unternehmenssicherheit. Sie steht in Wechselwirkung mit anderen sicherheitsrelevanten Themen – insbesondere mit dem Datenschutz und Objektschutz.

      296

      Verletzungen der Informationssicherheit stellen keine Bagatell-Verletzung dar, sondern sind erhebliche Vertragsverletzungen und können in letzter Konsequenz eine außerordentliche Kündigung rechtfertigen.

      297

      Die Geschäftsprozesse der Kunden sind u.a. abhängig von:

Informationen/Daten (elektronisch und papiergebunden),
IT-Prozessen (Kommunikations- und Datenverarbeitungsprozesse) und
IT-Systemen (Kommunikations- und Datenverarbeitungssysteme).

      298

      Diese beeinflussen maßgeblich den unternehmerischen Erfolg. Deren Sicherheit ist daher ein kritischer Erfolgsfaktor im Wettbewerb und somit ein wichtiges Unternehmensziel.

      299

      Für ein ISMS gibt es verschiedene Rahmenwerke. Ein sehr bedeutsames Rahmenwerk ist das Rahmenwerk „Sicherer IT-Betrieb“ des Informatikzentrums der Sparkassenorganisation (SIZ, Bonn). Dieses Rahmenwerk orientiert sich hauptsächlich an der ISO/IEC 27001 und 27002 der International Organization of Standardization (ISO, Genf) sowie den IT-Grundschutz-Standards des BSI.

      300

      Beim Outsourcing von bestimmten IT-Services muss der Provider in das ISMS des Kunden durch den Outsourcing-Vertrag wirksam eingebunden werden. Hierzu muss das ISMS des Kunden mit dem des Providers sinnvoll verbunden werden.

      301

      Der Provider muss selbst ein ISMS, welches sich z.B. am „Sicheren IT-Betrieb“, der ISO/IEC 27001 und 27002 oder dem IT-Grundschutz-Standard 100-1 orientiert. Eine echte Zertifizierung des Providers erfolgt i.d.R. nach diesem Standard nicht, sondern er verpflichtet sich vertraglich dazu, diese Standards einzuhalten. Diese Vorgehensweise wird vor allem von Providern präferiert, da diese die hohen Kosten und organisatorischen Aufwendungen scheuen.

      302

      Natürlich sollte dem Kunden (nach einer Nachbesserungsfrist) die Möglichkeit eingeräumt werden, den Outsourcing-Vertrag sofort zu kündigen (außerordentliches Kündigungsrecht), wenn der Provider diese Sicherheitsstandards nicht einhält.

      303

      Der Provider sollte einen geeigneten IT-Sicherheitsbeauftragten einsetzen, der das ISMS des Providers für die dem Kunden erbrachten IT-Services betreibt. Der IT-Sicherheitsbeauftragte des Providers sollte sich dabei mindestens einmal pro Woche zu einem Jour fixe mit dem Kunden treffen.

      304

      Der Provider sollte bei sicherheitsrelevanten Angelegenheiten den IT-Sicherheitsbeauftragten des Kunden – und soweit relevant zusätzlich den Datenschutzbeauftragten des Kunden – in seine Informations- und Entscheidungsprozesse mit einbeziehen.

      305

      Auch sollte der Provider akzeptierten, dass der IT-Sicherheitsbeauftragte des Kunden – bei Gefahr im Verzuge – gegenüber den Mitarbeitern des Providers in sicherheitsrelevanten Angelegenheiten, die den Kunden betreffen, weisungsbefugt ist. Dadurch sollte aber weder ein Arbeitsverhältnis begründet werden noch ein Fall der Arbeitnehmerüberlassung i.S.v. §§ 1 ff. AÜG vorliegen.

      306

      Der Provider sollte den Kunden durch regelmäßige Berichte informieren und bei Bedarf im Einzelfall den IT-Sicherheitsbeauftragten des Kunden, um diesem jederzeit einen aktuellen, umfassenden und detaillierten Überblick über die Sicherheitslage zu geben.

      307

      Der Provider sollte dabei dem Kunden gestatten (ggf. durch einen beauftragten Dritten), Sicherheitsüberprüfungen beim Provider durchzuführen. Der Provider sollte dem Kunden die relevanten Berichte, die die interne Revision des Kunden benötigt, auch zur Verfügung stellen. Falls der Provider über Zertifizierungen verfügt (z.B. ISO/IEC 27001, SAS70 etc.), sollte er Kopien der Zertifikate und Zertifizierungsberichte (Audit Reports) dem Kunden auch zur Verfügung stellen.

      308

      Die durch den Provider umzusetzenden Sicherheitsmaßnahmen (was ist zu tun) sowie deren Ausgestaltung (wie ist es zu tun) können sich z.B. aus den aktuellen Versionen des Rahmenwerks „Sicherer IT-Betrieb“ des SIZ ergeben. Die dort empfohlenen Maßnahmen einschließlich der Empfehlungen für erhöhten und hohen Schutzbedarf (z.B. Maßnahmen der Qualifizierungsstufe A, B, C und Z des IT-Grundschutz-Katalogs) sollten auch wesentlicher Vertragsbestandteil sein.

      309

      Eventuell sind ergänzende oder abweichende Sicherheitsmaßnahmen durch den Provider umzusetzen, insofern sie sich aus den nachfolgenden Verpflichtungen ergeben:

individuelle Vereinbarungen (z.B. Aufträge),
interne Vorgaben des Kunden (z.B. Organisationsanweisungen, OPDV),
externe Vorgaben (z.B. BDSG, GoBS, KWG) und
Sicherheitsmaßnahmen gemäß individueller Risikoanalyse bei sehr hohem Schutzbedarf.

      310

      Dabei können die nachfolgenden aufgeführten Sicherheitsmaßnahmen und Services als Beispiele dienen, welche IT-Security Leistungen der Provider zu erbringen hat und welche man dazu im Outsourcing-Vertrag vereinbaren kann:

mehrstufiges Firewall-System sowie kontinuierliche Überwachung der Firewall-Systeme, um bei Angriffen verzugslos steuernd reagieren zu können,
mehrstufiges Anti-Spam Verfahren,
zentrales System zur Verschlüsselung von E-Mails mit verschiedenen Verfahren (einschließlich S/Mime, PGP, HTTPS und StartTLS).
automatisches Provisioning von beantragten Benutzerberechtigungen an die IT Systeme um sicherzustellen, dass die genehmigten Berechtigungen (Soll-Zustand) mit dem in den IT-Systemen tatsächlich bestehenden (Ist-Zustand) übereinstimmt.