Die aufwändige Absicherung der Informationssicherheit im eigenen Haus ist wenig zielführend, wenn bei IT-Dienstleistern die Türen weit offen stehen
Die Marketingabteilung eines ungenannten Unternehmens möchte mit einem Internet-Gewinnspiel neue Adressen für das Unternehmen generieren. In Zusammenarbeit mit einer Marketingagentur wird ein attraktives Online-Gewinnspiel entwickelt. Die Agentur bietet praktischerweise ein Komplettpaket aus einer Hand an. Neben der Gestaltung des Gewinnspiels wird die Web-Applikation durch die Agentur auf deren IT betrieben und auch die Adressen der Teilnehmer werden ausgewertet und über eine Schnittstelle zum Download verfügbar gemacht. Der ausgelobte Hauptpreis eines hochwertigen Marken-Tablets lockt auch viele Teilnehmer an, die unter Preisgabe ihrer persönlichen Daten wie Adresse, Geschlecht, Geburtstag und Hobbies auf den Hauptgewinn spekulieren. Nach Auswertung der zahlreich gewonnenen Adressen gerät das Gewinnspiel in Vergessenheit. Bis rund ein Jahr später ein anonymes Schreiben im Unternehmen eintrifft. Der Absender behauptet darin, im Besitz zahlreicher Kundendaten zu sein und hat auch gleich einen Datenauszug zum Beweis beigefügt. Die IT-Security sucht genauso verzweifelt wie vergeblich nach einem Datenleck in den IT-Systemen. Bis zufällig die Adressdatenbank aus dem Gewinnspiel beim Datenabgleich in den Fokus der Ermittlungen gerät. Die Daten der Teilnehmer waren auf dem Server verblieben. Updates zum Schließen von Sicherheitslücken wurden auf dem Server in der Zwischenzeit nicht mehr eingespielt. Ein Hacker ist per Zufall beim Scannen ungepatchter offener Systeme auf die Datenbank gestoßen. Damit nahm das Unheil seinen Lauf…
In einem anderen ungenannten Unternehmen haben Mitarbeiter über lange Zeit den bequemen Service einer Web-Anwendung zur schwierigen und lästigen Koordination von Terminen für Besprechungen genutzt. Fleißig wurden Teilnehmer mit E-Mailadressen eingetragen, Bilder in Profile hinzugefügt, Besprechungsdaten, -inhalte und Teilnehmer in der beliebten kostenfreien Online-Anwendung hinterlegt. Dass der komfortable ausländische Dienst mittlerweile Opfer einer Hackerattacke wurde, ist nur von technischen Insidern wahrgenommen worden. Der IT-Security war die verbreitete Nutzung dieses Dienstes im Unternehmen nicht bekannt. Bis ein Angreifer mittels der “Chef-Masche” zuschlug. Der Leiter des Bereichs Rechnungswesens sollte schnell einen hohen Betrag auf ein Konto überweisen. Die Transaktion zur Übernahme eines anderen Unternehmens aus der Branche sollte streng geheim bleiben. Die Mail kam offensichtlich direkt aus der Mailbox des zuständigen Vorstandsmitglieds und enthielt neben den Angaben zur Transaktion Insiderinformationen über stattgefundene Besprechungen mit Themen und Teilnehmern. Offensichtlich waren dies Daten aus dem Hackerangriff auf den Termindienst kombiniert mit Daten aus weiteren sozialen Netzwerken und Veröffentlichungen. Glücklicherweise fand kurz zuvor eine Schulung zur Informationssicherheit statt, so dass der betroffene Mitarbeiter für die Chef-Masche sensibilisiert war und den Schwindel entdeckte.
Zwei fiktive Fälle, die so oder so ähnlich jedoch in vielen Unternehmen zahlreich stattfinden. Die Auswirkungen dieser Sicherheitsvorfälle können schwerwiegend sein. Finanzdienstleister und Betreiber kritischer Infrastrukturen bekommen die lange Hand des Gesetzgebers und der Regulatorik zu spüren. Die neue Datenschutzgrundverordnung wird mit Gültigkeit ab Mai 2018 schmerzhafte Bußgelder bei Datenpannen zur Folge haben.
Dabei können schon einfache Schutzvorkehrungen bei der Nutzung von IT-Services externer Dienstleister schwerwiegende Schäden verhindern. Grundlage hierfür ist eine enge Zusammenarbeit der Disziplinen Informationssicherheit, Business Continuity Management und Datenschutz gemeinsam mit den Fachbereichen.
1.Transparenz schaffen über Unternehmensdaten, die unternehmensextern gespeichert und verarbeitet werden:
Die IT-Abteilung ist schon lange nicht mehr alleiniger Herrscher über Daten und IT-Anwendungen. Neben den durch die interne IT bereitgestellten Services entstand in den vergangenen Jahren durch die Weiterentwicklung der IT-Technik eine zunehmende “Schatten-IT”, zu der auch die wachsende Zahl an Web-Anwendungen gehört, mittels derer kritische Daten häufig unkontrolliert aus dem sicheren Unternehmensumfeld gelangen. Die unternehmensübergreifende Kenntnis, wo und wie sensitive Unternehmensdaten verarbeitet und gespeichert werden, ist daher grundlegende Voraussetzung für einen gesamthaften Schutz der Daten. Mittels prozessbasierter Schutzbedarfs- und Business Impact Analysen kann in Zusammenarbeit mit den Fachbereichen die erforderliche Transparenz geschaffen werden.
2. Schutzbedarf und Verfügbarkeitsanforderungen der Daten ermitteln:
Ergebnis der Schutzbedarfs- und Business Impact Analyse sind risikoorientierte Anforderungen an den Schutz der Vertraulichkeit, Verfügbarkeit und Integrität der Daten. Auf Basis eines Maßnahmenkatalogs können geeignete Maßnahmen zum Schutz der Daten eingesetzt werden. Die Maßnahmen der BSI Grundschutzkataloge bilden hierfür eine gute Grundlage.
3. Sorgfältige Auswahl des Dienstleisters:
Bei der Auswahl externer Dienstleister für den Bezug von IT-Leistungen muss deren Eignung zur Einhaltung der Anforderungen an die Informationssicherheit, das Business Continuity Management sowie den Datenschutz überprüft werden. Die Schaffung und der laufende Erhalt dieser Voraussetzungen erfordern vom Dienstleister hohe Investitionen. Diese schlagen sich notwendigerweise in den Preisen wieder. Die Betrachtung des Outsourcing alleine unter wirtschaftlichen Gesichtspunkten greift zu kurz und kann das Unternehmen hohen Risiken aussetzen. Eine Checkliste zur Dienstleisterauswahl mit Mindest-Anforderungen aus Sicht der Informationssicherheit, des Business Continuity Management und Datenschutzes ist hierbei ein sehr hilfreiches Unterstützungswerkzeug.
4. Vertragsverhandlung und Abschluss:
Was in Verträgen nicht verhandelt und festgeschrieben ist, lässt sich nach Vertragsabschluss kaum mehr durchsetzen. Zu den Mindestanforderungen gehören beispielsweise Weisungs-, Prüfungs- und Auditrechte, Berichtspflichten, Verfahren zum Umgang mit Sicherheitsvorfällen und Notfällen sowie Regelungen für die Weiterverlagerungen auf Sub-Dienstleister.
5. Abstimmung von Sicherheits- und Notfallkonzepten:
Mit den Dienstleistern sind Sicherheits- und Notfallkonzepte abzustimmen. Hierzu gehören beispielsweise
- Vergabe, Rezertifizierung und Entzug von Zutritts- und Zugriffsrechten
- Umgang mit sensitiven Daten und Dokumenten
- Sichere Schnittstellen und Datenübertragungsverfahren
- Verfahren bei Leistungsstörungen, Notfällen und Sicherheitsvorfällen
- Verantwortlichkeiten, Meldewege und Kontaktdaten
6. Laufende Steuerung und Überwachung:
Eine regelmäßige Überprüfung der Dienstleister stellt die Einhaltung der vertraglichen Anforderungen sicher und ist Basis für die Optimierung und Weiterentwicklung der Zusammenarbeit. Grundlage hierfür sind die Berichtspflichten des Dienstleisters über die Serviceerbringung, Störungen, Notfälle, Tests und Übungen sowie Sicherheitsvorfälle. Risikoorientiert sind Audits bei den Dienstleistern durchzuführen. Grundlage hierfür sind die vertraglich eingeräumten Auditierungsrechte. Um eine effiziente Auditierung durchführen zu können, sollten Informationssicherheit, BCM- und Datenschutzaudits inhaltlich und zeitlich koordiniert durchgeführt werden.
7. Beendigung der Dienstleisterbeziehung:
Wie das aufgezeigte Beispiel mit der Marketingagentur zeigt, sind auch bei der Beendigung des Fremdbezugs einige wichtige Punkte für die Informationssicherheit zu beachten. Es ist sicherzustellen, dass keine Unternehmensdaten beim Dienstleister verbleiben und Berechtigungen für Zugriffe und Zutritte gelöscht werden. Vom Dienstleister sind entsprechende Nachweise einzufordern.
Durch wenige gezielte Maßnahmen in Verbindung mit der Sensibilisierung der Mitarbeiter für den richtigen Umgang mit Unternehmensdaten kann das Risiko eines Datenlecks beim Fremdbezug von IT-Leistungen deutlich reduziert werden. Reputationsschäden, meldepflichtige Sicherheitsvorfälle, empfindliche Bußgelder sowie Sonderprüfungen durch Aufsichtsbehörden können damit vermieden werden.
Eine Hilfestellung kann hierbei die VdS-Richtlinie für Informationssicherheit VdS 3473 bieten. Sie adressiert kleine und mittlere Unternehmen (KMU), für die eine Umsetzung der ISO 27000-Standards zu aufwändig ist und enthält auch Anforderungen hinsichtlich Regelungen für Lieferanten und Auftragnehmer sowie Outsourcing und Netzwerkschnittstellen.
Matthias Hämmerle MBCI, 
Geschäftsführer von haemmerle-consulting, ist ein erfahrerener und anerkannter Experte für Business Continuity und Informationssicherheitsmanagement. Seine Erfahrungen sammelte der studierte Wirtschafts-wissenschaftler sowohl im Finanzsektor als auch bei Unternehmensberatungen und Wirtschafts-prüfungsgesellschaften. Er ist Lead Auditor ISO 22301, als Dozent für den Themenberiche BCM an der Frankfurt School of Finance & Management tätig und Herausgeber der BCM-News, dem führenden deutschsprachigen Informationsportal für BCM.