Eine Befragung unter 167 Unternehmensvertretern aus dem deutschsprachigen Raum zum Thema Informationssicherheitsmanagement zeigt:
- Personenbezogene Daten (31 Prozent) und vertriebsrelevante Produktinformationen (23 Prozent) überwiegen im Austausch mit „externen“ Partnern
- Vertraulichkeitsvereinbarungen mit externen Dienstleistern kommen bei 55 Prozent der befragten Unternehmen zum Einsatz
- Informationssicherheitsvereinbarungen werden von 40 Prozent der Befragten im Umgang mit externen Unternehmen aktuell nicht angewendet
- Sicherheitsvorkehrungen im Outsourcing-Umfeld werden von 33 Prozent der Befragten nicht geordnet und nur unregelmäßig durchgeführt oder überwacht
- Im sensiblen Bereich, wie im Outsourcing von Dienstleistungen, mangelt es vielfach an soliden Vereinbarungen im Vertragsbereich.
Zu diesem Ergebnis kommt eine Studie von RÜHL CONSULTING zum Thema „Informationssicherheitsvereinbarungen in Outsourcing- und Dienstleisterverträgen“. Für die Untersuchung wurden 167 Personen aus dem deutschsprachigen Raum befragt – mehrheitlich Mitarbeiter des IT-Bereichs (47 Prozent), Chief Executive Officer (CEO) aus unterschiedlichen Bereichen mit 42 Prozent und Mitarbeiter der Rechtsabteilung mit 11 Prozent. Die überwiegende Zahl der befragten Unternehmensvertreter kommt aus dem KMU-Umfeld.
Outsourcing als fester Bestandteil der Unternehmen
Nur sechs Personen gaben im Rahmen der Umfrage an, dass es in ihrem Unternehmen keine Form des Outsourcings gibt. Alle anderen Unternehmen betreiben Outsourcing, bei dem schützenswerte Informationen ausgetauscht werden. Hierzu gehören unter anderem personenbezogene Daten (31 Prozent) oder Produktinformationen (23 Prozent). Hinzu kommen beispielsweise Finanzdaten des Unternehmens (16 Prozent) sowie Ergebnisse aus Forschung und Entwicklung mit 13 Prozent.
Vereinbarungen zur Informationssicherheit: vielfach zu passiv oder nicht vorhanden
Die Befragung kommt zu dem Ergebnis, dass 55 Prozent der teilnehmenden Unternehmen Vertraulichkeitsvereinbarungen mit externen Dienstleistern festlegen, aber nur etwas mehr als 9 Prozent vertragliche Verschwiegenheitsverpflichtungen als Anforderungen bei Outsourcing-Projekten nennen. Zudem vereinbaren lediglich 10 Prozent der Teilnehmer konkrete Maßnahmen zum Schutz der ausgetauschten Informationen mit den Outsourcing-Partnern. 40 Prozent der Befragten vereinbaren überhaupt keine Maßnahmen. Andere nutzen zumindest Service-Level-Agreements oder definieren ihre Maßnahmen frei.
Die Befragung zeigt, dass die Unternehmen überwiegend eine zu passive Haltung einnehmen, wenn es um die Überwachung der Einhaltung von Informationssicherheitsvereinbarungen geht. In diesem Kontext besteht die Gefahr, dass wesentliche Maßnahmenvereinbarungen nicht getroffen und deshalb wichtige Maßnahmen zum Schutz der Informationen nicht ergriffen werden. Ähnliches gilt für den Bereich der Überwachungsmethoden. So ist es bezeichnend, dass Sicherheitsvorkehrungen im Outsourcing-Umfeld von 33 Prozent der Befragten nicht geordnet und nur unregelmäßig überprüft oder überwacht werden.
ISO/IEC 27001:2013 als Lösungsansatz
Um Risiken bei Informationssicherheitsvereinbarungen in Outsourcing- und Dienstleisterverträgen besser zu steuern und aktiv sowie vorausschauend auf den Gesamtprozess einzuwirken, ist ein möglicher Lösungsansatz, die vorhandene Struktur der ISO/IEC 27001:2013 Anhang A zu verwenden. Um einen sinnstiftenden Beitrag zur Steuerung von Informationssicherheitsrisiken beim Outsourcing zu leisten, bietet die ISO/IEC 27001:2013 samt Controls aus dem Anhang A eine gute Basis. Dabei kann dieser Katalog für die Vereinbarung von Maßnahmen zum Schutz von Informationen zu verwendet werden.
Weitere Informationen zur Befragung finden Sie unter www.ruehlconsulting.de
Weitere Standards und Normen im Bereich Informationssicherheits Managementsysteme finden Sie in unserem Good to know Bereich