Bundesamt für Sicherheit in der Informationstechnik

G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister

Wenn Situationen eintreten, die nicht eindeutig vertraglich geregelt sind, können (zum Beispiel im Rahmen eines Outsourcing- oder Cloud-Computing-Vorhabens) Nachteile für den Auftraggeber entstehen.

So kann beispielsweise bei Outsourcing oder Nutzung von Cloud-Diensten der Auftraggeber verantwortlich gemacht werden, die zwar im Einflussbereich des Dienstleisters liegen, aber vertraglich nicht eindeutig geregelt sind.

Ein Hauptgrund für Probleme zwischen den Vertragspartnern sind zu optimistische Kostenschätzungen. Wenn sich herausstellt, dass der Dienstleister den Service nicht zu den kalkulierten und angebotenen Kosten erbringen kann oder Uneinigkeit darüber besteht, was "selbstverständlich" ist, kann dies direkt zu Sicherheitsproblemen führen. Erfahrungsgemäß wird an der Informationssicherheit gespart, wenn in anderen Bereichen ein Kostendruck entsteht, dem so begegnet werden kann, ohne dass Folgen unmittelbar sichtbar werden. Es ist daher von entscheidender Bedeutung, wie die vertraglichen Regelungen zwischen Auftraggeber und Auftragnehmer ausgestaltet sind. Nur, was von Anfang an vertraglich fixiert ist, wird auch später sicher in die Tat umgesetzt!

Cloud-Diensteanbieter und Outsourcing-Dienstleister erbringen ihre Services häufig mittels der Dienste Dritter. Bestehen hier unzureichende vertragliche Vereinbarungen, kann dies auch Auswirkungen auf die Service-Erbringung haben. Werden in den vertraglichen Regelungen bestehende Abhängigkeiten zwischen Diensteanbieter und Dritten nicht beachtet, kann dies zu einem Mangel an Transparenz hinsichtlich der Vorgänge beim Diensteanbieter und zu Unsicherheiten bei den Verantwortungsbereichen oder der Einhaltung vereinbarter Dienstgüten führen.

Weitere Beispiele für Folgen aus unzulänglichen vertraglichen Regelungen mit externen Dienstleistern sind:

  • Der Auftraggeber kann seiner Auskunftspflicht gegenüber Aufsichtsbehörden oder Wirtschaftsprüfern nicht nachkommen, wenn der Dienstleister keinen Zutritt zu seinen Räumlichkeiten oder keinen Zugang zu den notwendigen Unterlagen gewährt.
  • Der Auftraggeber muss sich für Verstöße gegen geltende Gesetze verantworten, wenn der Dienstleister nicht auf die Einhaltung dieser Gesetze verpflichtet wurde.
  • Aufgaben, Leistungsparameter und Aufwände wurden ungenügend oder missverständlich beschrieben, sodass aus Unkenntnis oder wegen fehlender Ressourcen Sicherheitsmaßnahmen nicht umgesetzt werden.
  • Der Auftraggeber kann neuen Anforderungen (zum Beispiel fachliche, gesetzliche Vorschriften, Verfügbarkeit, technische Entwicklung) nicht nachkommen, wenn Änderungsmanagement und Systemanpassungen nicht ausreichend vertraglich geregelt wurden.
  • Bei Outsourcing-Vorhaben ist die Behörden- beziehungsweise Unternehmensleitung des Auftraggebers unter Umständen voll verantwortlich für die ausgelagerten Geschäftsbereiche, kann dieser Verantwortung aber wegen fehlender Kontrollmöglichkeiten nicht gerecht werden.
  • Ausgelagerte Daten oder Systeme werden ungenügend geschützt, wenn ihr Schutzbedarf oder besser die daraus resultierenden Anforderungen an die Sicherheit dem Outsourcing-Dienstleister unbekannt sind.
  • Die Dienstleistungsqualität ist schlecht, und es gibt keine Eingriffsmöglichkeiten, weil keine Sanktionen vertraglich festgelegt wurden.
  • Der Dienstleister zieht qualifiziertes Personal ab oder Vertreter des Stammpersonals sind nicht ausreichend vorbereitet, was zu Sicherheitsproblemen führen kann.

Besondere Probleme treten häufig dann auf, wenn Dienstleistungsverträge beendet werden (siehe G 2.85 Unzureichende Regelungen für das Ende eines Outsourcing- oder eines Cloud-Nutzungs-Vorhabens ) und diese Situation nur unzureichend vertraglich geregelt wurde.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK