Bundesamt für Sicherheit in der Informationstechnik

M 5.88 Vereinbarung über Datenaustausch mit Dritten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Ein Datenaustausch mit anderen Unternehmen und Behörden kann z. B. über Datenträgeraustausch oder E-Mail erfolgen. Neben den Sicherheitsmaßnahmen, die bereits beim sporadischen Datenaustausch zu beachten sind, sollten bei einem regelmäßigen Datenaustausch mit festen Kommunikationspartnern Vereinbarungen getroffen werden, um diesen möglichst reibungslos zu gestalten.

Eine solche Vereinbarung sollte folgende Bestandteile umfassen:

  • Benennung von Ansprechpartnern sowohl für organisatorische als auch technische Probleme und insbesondere für sicherheitsrelevante Ereignisse,
  • die erforderlichen technischen Informationen, also Festlegungen darüber,
    • welche Anwendungen und Datenformate unterstützt werden,
    • welche Verfügbarkeit zu gewährleisten ist, also wie häufig beispielsweise die E-Mail zu lesen und wie schnell sie zu beantworten ist,
  • welche Sicherheitsmaßnahmen beim Datenaustausch gewährleistet werden müssen, also z. B.
    • dass die Daten vor und nach dem Austausch auf Computer-Viren zu überprüfen sind,
    • wie die Daten vor Transportschäden und unbefugtem Zugriff zu schützen sind (verschlossene Behältnisse, Checksummen, Verschlüsselung),
    • wie das Schlüsselmanagement geregelt ist,
    • dass die Daten auf der Senderseite frühestens nach der Bestätigung des korrekten Empfangs gelöscht werden dürfen, falls eine Löschung erforderlich ist,
  • eine Vertraulichkeitsvereinbarung (Non-Disclosure-Agreement), d. h. eine Vereinbarung darüber, dass Informationen, die einer der Beteiligten im Rahmen der Zusammenarbeit erhalten hat, nicht an Außenstehende weitergegeben werden,
  • eine Festlegung, welche Daten zu welchen Zwecken genutzt werden dürfen (z. B. bei der Weiterverwendung von Arbeitsergebnissen),
  • eine Verpflichtung auf die Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen, also z. B. Datenschutz- und Urheberrechtsgesetze bzw. Lizenzregelungen.

Weitere Punkte, die in eine solche Vereinbarung aufgenommen werden sollten, finden sich in M 2.45 Regelung des Datenträgeraustausches und M 2.455 Festlegung einer Sicherheitsrichtlinie für Groupware .

Prüffragen:

  • Sind für den regelmäßigen Datenaustausch mit festen Kommunikationspartnern die erforderlichen Sicherheitsmaßnahmen vereinbart?

  • Sind Datenformate und die sichere Form des Datenaustauschs festgelegt?

  • Sind Ansprechpartner sowohl für organisatorische als auch technische Probleme und insbesondere für sicherheitsrelevante Ereignisse beim Datenaustausch mit Dritten benannt?

  • Sind Verfügbarkeiten und Reaktionszeiten beim Datenaustausch mit Dritten vereinbart?

  • Ist festgelegt, welche ausgetauschten Daten zu welchen Zwecken genutzt werden dürfen?

Stand: 13. EL Stand 2013