Bundesamt für Sicherheit in der Informationstechnik

M 2.176 Geeignete Auswahl eines Internet Service Providers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Anbieter von Internetdiensten (Internet Service Provider oder kurz ISP) bieten verschiedene Dienste, Inhalte oder technische Leistungen an, die die Internet-Nutzung oder den Betrieb eigener Internet-Angebote unterstützen. Institutionen sollten Anbieter sorgfältig auswählen. Bei einem Provider, über den eine Institution an das Internet angeschlossen ist, fallen nicht nur Informationen über ein- und ausgehende E-Mail an, sondern auch über alle Webseiten, die die Benutzer aufrufen. Außerdem laufen alle Daten, die zwischen den Rechnern der Benutzer und einem Server im Internet ausgetauscht werden, über die IT -Systeme des Providers.

Bei der Auswahl eines Internet Service Providers sollte hinterfragt werden,

  • ob Ansprechpartner zu technischen Problemen rund um die Uhr zur Verfügung stehen und wie kompetent diese sind,
  • wie er auf den Ausfall einer oder mehrerer seiner IT-Systeme vorbereitet ist (Notfallplanung, Datensicherungskonzept),
  • welche Verfügbarkeit (maximale Ausfallzeit) er garantieren kann,
  • ob er regelmäßig überprüft, ob die Verbindungen zum Kunden noch stabil sind und im negativen Fall entsprechende Schritte unternimmt,
  • welche Daten über die Internet-Nutzung seiner Kunden bei ihm anfallen und wie er diese vor unbefugtem Zugriff schützt,
  • was er zur Absicherung seiner IT-Systeme und der seiner Kunden unternimmt.

Bei der Auswahl eines Providers sollte sich die Institution vom Provider dokumentieren lassen, dass dessen IT-Systeme sicher betrieben werden, also z. B. die in M 2.174 Sicherer Betrieb eines Webservers beschriebenen Anforderungen erfüllt sind. Alle relevanten Maßnahmen zu vernetzten Systemen und zu Datenübertragungseinrichtungen sollten umgesetzt sein. Bei jedem Provider sollte ein Sicherheitskonzept und entsprechende Sicherheitsrichtlinien selbstverständlich sein. Die Sicherheitsrichtlinien sollten für Externe einsehbar sein. Die Mitarbeiter des Providers sollten für Sicherheitsaspekte sensibilisiert sein, auf die Einhaltung der Sicherheitsrichtlinie verpflichtet worden sein und regelmäßig geschult werden (nicht nur in Sicherheitsfragen).

Beim Provider sind Daten über die Benutzer für Abrechnungszwecke gespeichert (Name, Adresse, Benutzer-Kennung, Bankverbindung) ebenso wie Verbindungsdaten und für eine je nach Provider kürzere oder längere Zeitspanne auch die übertragenen Inhalte.

Die Anwender sollten sich bei ihrem Provider erkundigen, welche Daten wie lange über sie gespeichert werden. Bei der Auswahl von Providern sollte berücksichtigt werden, dass deutsche Betreiber den einschlägigen datenschutzrechtlichen Regelungen für die Verarbeitung dieser Daten unterliegen.

Die genauen Modalitäten der Zusammenarbeit mit dem Dienstleister müssen vertraglich geregelt und geeignete Service Level Agreements (SLAs) vereinbart werden, z. B. Ansprechpartner, Reaktionszeiten, IT-Anbindung, Kontrolle der Leistungen, Ausgestaltung der Sicherheitsvorkehrungen, Umgang mit vertraulichen Informationen (siehe hierzu M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister ).

Prüffragen:

  • Werden sicherheitsrelevante, datenschutzrechtliche und leistungsrelevante Eigenschaften der Service Provider in Erfahrung gebracht?

Stand: 13. EL Stand 2013