Bundesamt für Sicherheit in der Informationstechnik

OPS.2.1 Outsourcing für Kunden

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Beim Outsourcing lagern Institutionen (Outsourcing-Kunden) Geschäftsprozesse und Dienstleistungen (z. B. Wach- oder Reinigungspersonal) ganz oder teilweise zu externen Dienstleistern (Outsourcing-Dienstleistern) aus. Der Betrieb von Hardware und Software kann ebenso als Dienstleistung ausgelagert werden. Unabhängig davon, was ausgelagert wird, bedingt jede Auslagerung eine enge Bindung an den externen Dienstleister und dessen Dienstleistungsquantität und -qualität. Dieses Verhältnis ist insbesondere für den Kunden nicht nur mit Chancen, sondern auch mit erheblichen Risiken verbunden, wie z. B. starken Abhängigkeiten, Verlust von eigenem Know-how sowie Verlust von Kontroll- und Steuerungsmöglichkeiten. Informationssicherheitsaspekte müssen daher während des kompletten Lebenszyklus einer Auslagerung angemessen berücksichtigt werden.

Den Schwerpunkt dieses Bausteins bilden Anforderungen, die die Outsourcing-Kunden im Rahmen jeder Phase eines Outsourcing-Vorhabens beachten bzw. umsetzen sollten.

1.2 Zielsetzung

Ziel dieses Bausteins ist es, sicherzustellen, dass alle Sicherheitsziele des Outsourcing-Kunden auch nach der Auslagerung von Geschäftsprozessen oder Dienstleistungen an einen Outsourcing-Dienstleister erfüllt werden und das vereinbarte Sicherheitsniveau dauerhaft aufrechterhalten (bzw. verbessert) wird. Durch das Outsourcing darf es zu keinen unkontrollierbaren Risiken für die auslagernde Institution hinsichtlich Informationssicherheit kommen.

1.3 Abgrenzung

Dieser Baustein enthält Gefährdungen und Sicherheitsanforderungen aus Sicht der Kunden von Outsourcing und beschränkt sich einzig auf die Anforderungen des Schutzes für Informationen seitens der auslagernden Institution.

Übertragungswege zu Outsourcing-Dienstleistern können durch die Umsetzung der Anforderungen nicht abgesichert werden.

Die Begriffe Outsourcing und Cloud haben viele Parallelen. Für Kunden von Outsourcing sind in der Regel auch Anforderungen hinsichtlich Nutzen von Cloud-Services zusätzlich zu beachten.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Outsourcing von Kunden von besonderer Bedeutung:

2 1 Fehlende oder unzureichendeRegelungen zur Informationssicherheit

Im Rahmen eines Outsourcing-Vorhabens werden typischerweise große Mengen von Informationen zwischen dem Kunden und dem Outsourcing-Dienstleister übertragen. Abhängig vom Schutzbedarf der zu verarbeitenden Informationen können fehlende oder unzureichende Regelungen Schäden verursachen. Dies ist zum Beispiel dann der Fall, wenn bei technischen, organisatorischen oder personellen Änderungen die Regelungen und Anweisungen zur Steuerung des Dienstleisters nicht aktualisiert werden, etwa bei Änderung von Ansprechpartnern. Das Spektrum der Regelungsdefizite reicht dabei von Unklarheiten bei Zuständigkeiten und Kontrollfunktionen über unverständlich oder zusammenhanglos formulierte Regelungen, bis hin zu komplett fehlenden Regelungen.

2 2 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten

Je nach Outsourcing-Vorhaben kann es erforderlich sein, dass die Mitarbeiter des Outsourcing-Kunden Zutritts-, Zugangs- und Zugriffsrechte zu IT-Systemen, Informationen, Gebäuden oder Räumen des Outsourcing-Dienstleisters benötigen. Wenn die Vergabe, Verwaltung und Kontrolle dieser Rechte schlecht geregelt ist und dadurch im Extremfall sogar unautorisiert Rechte vergeben werden, ist die Gewährleistung des notwendigen Schutzbedarfs der Informationen des Outsourcing-Kunden nicht mehr gegeben. Beispielsweise kann die unkontrollierte Vergabe von administrativen Berechtigungen an Mitarbeiter des Outsourcing-Dienstleisters zu gravierenden Sicherheitsrisiken führen. Diese könnten Berechtigungen ausnutzen und sensible Informationen kopieren oder manipulieren.

2 3 Fehlendes oder unzureichendes Test- und Freigabeverfahren

Hat ein Outsourcing-Kunde keine angemessenen Anforderungen zu Test- und Freigabeverfahren für den Outsourcing-Dienstleister definiert, werden vorhandene Fehler in der Hard- und Software oder Sicherheitslücken in der Konfiguration eventuell nicht oder nicht rechtzeitig erkannt. Dieser Mangel kann dazu führen, dass der notwendige Schutz der Informationen des Outsourcing-Kunden nicht mehr gewährleistet werden kann. Wenn sich bei Tests herausstellt, dass sich durch neue Komponenten oder Updates wesentliche Änderungen an Arbeitsabläufen ergeben oder für ein annehmbares Verarbeitungstempo mehr Ressourcen (z. B. Hauptspeicher, Prozessorkapazität) benötigt werden und dies dem Kunden nicht mitgeteilt wird, kann das zu erheblichen Fehl- oder Folgeinvestitionen führen.

2 4 Unzulängliche vertragliche Regelungen mit einem Outsourcing-Dienstleister

Aufgrund von unzulänglichen vertraglichen Regelungen mit einem Outsourcing-Dienstleister können vielfältige und auch schwerwiegende Sicherheitsprobleme auftreten. Wenn Aufgaben, Leistungsparameter oder Aufwände ungenügend oder missverständlich beschrieben wurden, kann die Folge sein, dass aus Unkenntnis oder wegen fehlender Ressourcen Sicherheitsmaßnahmen nicht umgesetzt werden. Dies kann eine Vielzahl negativer Auswirkungen nach sich ziehen wie die Nichterfüllung regulatorischer Anforderungen und Pflichten, die fehlende Einhaltung von Auskunftspflichten und Gesetzen bis hin zur fehlenden Übernahme von Verantwortung aufgrund des Verlusts vom fehlender Kontroll- und Steuerungsmöglichkeiten.

2 5 Unzulängliche Regelungen für das Ende eines Outsourcings

Ohne ausreichende und angemessene Regelungen für die Auflösung eines Outsourcing-Vertrags durch den Outsourcing-Kunden besteht die Gefahr, dass sich der Outsourcing-Kunde nur schwer vom Outsourcing-Dienstleister lösen kann. Ebenso kann es andersherum ebenso passieren, dass eine zu kurzfristig mögliche Kündigung des Outsourcing-Dienstleisters den Outsourcing-Kunden dazu zwingt, einen ungeeigneten neuen Outsourcing-Dienstleister auszuwählen zu müssen. In beiden Fällen kann es schwierig bis unmöglich sein, den ausgelagerten Bereich auf einen anderen Dienstleister zu übertragen oder ihn wieder in die eigene Institution einzugliedern. Dabei kann es zu verschiedensten Sicherheitsproblemen kommen, beispielsweise könnten während des Auflösungsprozesses Daten und Systeme nicht mehr ausreichend geschützt sein, da diese als "Alt-Systeme" angesehen werden. Unzureichende Regelungen für das Löschen von Datenbeständen, auch von Datensicherungen, können dazu führen, dass vertrauliche Daten Dritten bekannt werden.

2 6 Abhängigkeit von einem Outsourcing-Dienstleister

Durch die Entscheidung für Outsourcing begibt sich eine Institution immer in eine Abhängigkeit vom Outsourcing-Dienstleister. Mit dieser Abhängigkeit ist die Gefahr verbunden, dass Know-how verloren geht und keine vollständige Kontrolle über die ausgelagerten Prozesse und Komponenten mehr besteht. Außerdem kann es zu einer unterschiedlichen Einschätzung des Schutzbedarfs der ausgelagerten Geschäftsprozesse und Informationen kommen und damit zu unzureichenden Sicherheitsmaßnahmen. Dadurch, dass der Outsourcing-Dienstleister die vollständige Kontrolle über Geschäftsprozesse, schutzbedürftige Informationen, Ressourcen und IT-Systeme hat und gleichzeitig das Wissen über diese beim Outsourcing-Kunden weniger wird, werden unter Umständen Defizite der Informationssicherheit nicht mehr bemerkt.

Diese Situation könnte vom Outsourcing-Dienstleister beispielsweise durch drastische Preiserhöhungen und eine nicht ausreichende Dienstleistungsqualität ausgenutzt werden.

2 7 Störung des Betriebsklimas durch ein Outsourcing-Vorhaben

Outsourcing-Vorhaben werden aus Sicht der Mitarbeiter der auslagernden Institution oft als negative Veränderungen gesehen. Dies führt häufig zu einem schlechten Betriebsklima. Die Mitarbeiter des Outsourcing-Kunden befürchten oft für sie nachteilige Aufgabenänderungen oder sogar einen Stellenabbau durch Outsourcing-Vorhaben. Bei einer negativen Haltung gegenüber dem Outsourcing-Vorhaben könnten Mitarbeiter unabsichtlich oder mutwillig Sicherheitsmaßnahmen vernachlässigen, eine Boykott-Haltung einnehmen oder sogar Racheakte verüben. Außerdem könnten dadurch Know-how-Träger (wie beispielsweise IT-Leiter und der IT-Betrieb) während der Einführungsphase kündigen, so dass das Outsourcing-Vorhaben nicht wie geplant umgesetzt werden kann.

2 8 Mangelhafte Informationssicherheit in der Outsourcing-Einführungsphase

Die Einführungsphase von Outsourcing-Vorhaben ist oft geprägt von engen terminlichen und finanziellen Vorgaben. Dies kann zu fehlenden Sicherheitskontrollen und Audits führen oder Reviews und weitere qualitätssichernde Maßnahmen bleiben aus, zum Beispiel bei der Erstellung von Sicherheitskonzepten. Übergangsmaßnahmen mit Sicherheitsdefiziten werden mit der Zeit zur Gewohnheit und aufgrund von Ressourcenengpässen über Jahre beibehalten. Hieraus entsteht die konkrete Gefahr, dass sich dadurch ein "Projektklima" etabliert, das weitere gravierende Sicherheitsmängel entstehen lässt.

2 9 Ausfall der Systeme eines Outsourcing-Dienstleisters

Bei einem Outsourcing-Dienstleister können die dort betriebenen IT-Systeme und Prozesse teilweise oder ganz ausfallen, wodurch auch der Outsourcing-Kunde betroffen ist. Bei unzureichender Mandantentrennung kann unter Umständen auch der Ausfall eines Systems, das nicht dem Outsourcing-Kunde zugeordnet ist, trotzdem dazu führen, dass der Outsourcing-Kunde seine vertraglich zugesicherte Dienstleistung nicht mehr abrufen kann. Ähnliche Probleme ergeben sich, wenn die Anbindung zwischen Outsourcing-Dienstleister und -Kunde ausfällt.

2 10 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister

Wenn bei einem Outsourcing-Vorhaben die IT-Anbindung zwischen dem Outsourcing-Dienstleister und dem Outsourcing-Kunden unzureichend abgesichert ist, kann die Vertraulichkeit und Integrität der übermittelten Daten gefährdet sein. Es könnten sich aber auch durch offene oder schlecht gesicherte Schnittstellen unautorisierte Zugangsmöglichkeiten für Außenstehende auf die Systeme der beteiligten Institutionen ergeben.

2 11 Fehlende Mandantenfähigkeit beim Outsourcing-Dienstleister

Outsourcing-Dienstleister haben in der Regel viele verschiedene Kunden, die auf die gleiche Ressourcenbasis (z. B. IT-Systeme, Netze, Personal) zurückgreifen. Wenn die IT-Systeme und Daten der verschiedenen Kunden nicht ausreichend sicher voneinander getrennt sind, besteht die Gefahr, dass ein Kunde auf den Bereich eines anderen Kunden zugreifen kann. Außerdem könnte es zu Interessenskonflikten beim Outsourcing-Dienstleister kommen, wenn er parallel vergleichbare Ressourcenforderungen erfüllen muss. Wenn sich die jeweiligen Kunden in einer Konkurrenzsituation befinden, kann dies besonders problematisch sein.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Bereich Outsourcing für Kunden aufgeführt. Grundsätzlich ist der Leiter IT für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Verantwortlichkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.

BausteinverantwortlicherLeiter IT
Weitere VerantwortlicheFachverantwortliche, ISB Outsourcing-Kunde, IT-Betrieb, Leiter Beschaffung, Leiter Organisation, Leiter Personal, Notfallbeauftragter, Änderungsmanager

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

OPS.2.1.A1 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben [ISB Outsourcing-Kunde]

Alle Sicherheitsanforderungen für ein Outsourcing-Vorhaben MÜSSEN auf Basis der Outsourcing-Strategie festgelegt sein. Es MÜSSEN beide Outsourcing-Parteien auf die Einhaltung von IT-Grundschutz oder eines vergleichbaren Schutzniveaus vertraglich verpflichtet sein. Es MÜSSEN alle Schnittstellen zwischen dem Outsourcing-Dienstleister und -Kunden identifiziert und entsprechende Sicherheitsanforderungen dafür definiert werden. Es MUSS in den Sicherheitsanforderungen festgelegt sein, welche Berechtigungen (Zutrittsrechte, Zugangsrechte, Zugriffsrechte) jeweils gegenseitig eingerichtet werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Outsourcing für Kunden. Sie SOLLTEN grundsätzlich umgesetzt werden.

OPS.2.1.A2 Rechtzeitige Beteiligung der Personalvertretung [Leiter Organisation]

Die Personalvertretung SOLLTE rechtzeitig über ein Outsourcing-Vorhaben informiert werden. Die Beteiligung der Personalvertretung SOLLTE schon in der Angebotsphase erfolgen. Je nach Outsourcing-Vorhaben SOLLTE das gesetzliche Mitspracherecht beachtet werden.

OPS.2.1.A3 Auswahl eines geeigneten Outsourcing-Dienstleisters [ISB Outsourcing-Kunde]

Zur Auswahl des Outsourcing-Dienstleisters SOLLTE ein Anforderungsprofil mit den Sicherheitsanforderungen für das Outsourcing-Vorhaben existieren. Es SOLLTEN Bewertungskriterien für den Outsourcing-Dienstleister und dessen Personal vorliegen, die auf diesem Anforderungsprofil basieren.

OPS.2.1.A4 Vertragsgestaltung mit den Outsourcing-Dienstleister [ISB Outsourcing-Kunde]

Es SOLLTEN alle Aspekte des Outsourcing-Vorhabens mit dem Outsourcing-Dienstleister schriftlich geregelt sein. Es SOLLTEN alle Rollen und Mitwirkungspflichten zur Erstellung, Prüfung und Änderung (z. B. von Personen) des Sicherheitskonzepts mit dem Outsourcing-Dienstleister geregelt sein. Die Rechte und Pflichten der Vertragsparteien SOLLTEN schriftlich geregelt sein. Für die regelmäßige Überprüfung der Anforderungen SOLLTE der Outsourcing-Dienstleister dem Outsourcing-Kunden die Möglichkeit von Audits gewährleisten.

OPS.2.1.A5 Festlegung einer Outsourcing-Strategie [ISB Outsourcing-Kunde]

Es SOLLTE eine Outsourcing-Strategie festgelegt werden, die neben den wirtschaftlichen, technischen, organisatorischen und rechtlichen Rahmenbedingungen auch die relevanten Aspekte für Informationssicherheit berücksichtigt. Es SOLLTE geklärt werden, welche Geschäftsprozesse, Aufgaben oder Anwendungen generell für ein Outsourcing in Frage kommen. Der Outsourcing-Kunde SOLLTE ausreichende Fähigkeiten, Kompetenzen und Ressourcen behalten, um in jedem Outsourcing-Vorhaben die Anforderungen an die Informationssicherheit bestimmen und kontrollieren zu können. In der Outsourcing-Strategie SOLLTEN die Ziele, Chancen und Risiken des Outsourcing-Vorhabens beschrieben werden.

OPS.2.1.A6 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben [Fachverantwortliche, ISB Outsourcing-Kunde]

Der Outsourcing-Kunde SOLLTE für jedes Outsourcing-Vorhaben ein Sicherheitskonzept basierend auf den zugehörigen Sicherheitsanforderungen erstellen. Ebenso SOLLTE jeder Outsourcing-Dienstleister ein individuelles Sicherheitskonzept für das jeweilige Outsourcing-Vorhaben vorlegen. Beide Sicherheitskonzepte SOLLTEN miteinander abgestimmt werden. Das Sicherheitskonzept des Outsourcing-Dienstleisters und der Umsetzung SOLLTEN in ein Gesamt-Sicherheitskonzept zusammengefügt und durch den Outsourcing-Kunden oder unabhängige Dritte regelmäßig auf deren Wirksamkeit überprüft werden.

OPS.2.1.A7 Festlegung der möglichen Kommunikationspartner [Leiter Organisation, ISB Outsourcing-Kunde]

Es SOLLTE festgelegt werden, welche internen und externen Kommunikationspartner welche Informationen über das jeweilige Outsoucing-Projekt übermitteln und erhalten dürfen. Es SOLLTE ein Prozess existieren, mit dem die Funktion der Kommunikationspartner auf beiden Seiten geprüft wird. Die zulässigen Kommunikationspartner mit den jeweiligen Berechtigungen MÜSSEN immer aktuell dokumentiert sein.

OPS.2.1.A8 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleiters [Leiter Personal, ISB Outsourcing-Kunde]

Die Mitarbeiter des Outsourcing-Dienstleisters SOLLTEN schriftlich auf die Einhaltung der einschlägigen Gesetze, Vorschriften und der beim Outsourcing-Kunden gültigen Regelungen verpflichtet werden. Die Mitarbeiter des Outsourcing-Dienstleisters SOLLTEN geregelt in ihre Aufgaben eingewiesen und über bestehende Regelungen zur Informationssicherheit unterrichtet werden. Es SOLLTEN für die Mitarbeiter des Outsourcing-Dienstleisters Vertretungsregelungen existieren. Es SOLLTE ein geregeltes Verfahren für die Beendigung des Auftragsverhältnisses mit den Mitarbeitern des Outsourcing-Dienstleisters existieren. Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal beim Outsourcing-Dienstleister SOLLTE wie Besucher behandelt werden.

OPS.2.1.A9 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner [ISB Outsourcing-Kunde]

Vor der Anbindung des Netzes des Outsourcing-Kunden an das Netz des Outsourcing-Dienstleisters SOLLTEN alle sicherheitsrelevanten Aspekte in einer Vereinbarung schriftlich geregelt werden. In der Vereinbarung SOLLTE genau definiert sein, auf welche Bereiche und Dienste der Outsourcing-Dienstleister im Netz des Outsourcing-Kunden zugreifen darf. Die Einhaltung der Vereinbarungen für die Netzanbindung SOLLTE geprüft und dokumentiert werden. Es SOLLTEN auf beiden Seiten Ansprechpartner sowohl für organisatorische als auch technische Fragestellungen der Netzanbindung benannt werden. Das geforderte Sicherheitsniveau SOLLTE nachweislich beim Outsourcing-Dienstleister eingefordert und geprüft werden, bevor die Netzanbindung zum Outsourcing-Dienstleister aktiviert wird. Für den Fall von Sicherheitsproblemen auf einer der beiden Seiten SOLLTE festgelegt sein, wer darüber zu informieren ist und welche Eskalationsschritte einzuleiten sind.

OPS.2.1.A10 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern [ISB Outsourcing-Kunde]

Für den regelmäßigen Datenaustausch mit festen Kommunikationspartnern SOLLTEN die erforderlichen Sicherheitsmaßnahmen vereinbart werden. Datenformate und Vorgehensweisen zum sicheren Datenaustausch SOLLTEN festgelegt werden. Ansprechpartner sowohl für organisatorische als auch technische Probleme und insbesondere für sicherheitsrelevante Ereignisse beim Datenaustausch mit Dritten SOLLTEN benannt werden. Verfügbarkeiten und Reaktionszeiten beim Datenaustausch mit Dritten SOLLTEN vereinbart werden. Es SOLLTE festgelegt werden, welche ausgetauschten Daten zu welchen Zwecken genutzt werden dürfen.

OPS.2.1.A11 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb [ISB Outsourcing-Kunde]

Es SOLLTE ein Betriebskonzept für das Outsourcing-Vorhaben erstellt werden, das auch die Sicherheitsaspekte berücksichtigt. Die Sicherheitskonzepte der Outsourcing-Partner SOLLTEN regelmäßig auf Aktualität und Konsistenz zueinander geprüft werden. Der Status der vereinbarten Sicherheitsmaßnahmen SOLLTE regelmäßig kontrolliert werden. Zwischen den Outsourcing-Partnern SOLLTE eine regelmäßige Kommunikation einschließlich Abstimmung zu Änderungen und Verbesserungen stattfinden.

Die Outsourcing-Partner SOLLTEN regelmäßig gemeinsame Übungen und Tests zur Aufrechterhaltung des Sicherheitsniveaus durchführen. Informationen über Sicherheitsrisiken und den Umgang damit SOLLTEN in regelmäßigen Abständen zwischen den Outsourcing-Partnern ausgetauscht werden. Es SOLLTE ein Prozess existieren, der den Informationsfluss im Umgang mit Sicherheitsvorfällen sicherstellt, welche die jeweiligen Vertragspartner betreffen.

OPS.2.1.A12 Änderungsmanagement [IT-Betrieb, Änderungsmanager]

Der Outsourcing-Kunde SOLLTE über größere Änderungen rechtzeitig vorab informiert werden. Eine Dokumentation aller wesentlichen Änderungen bezüglich Planung, Test, Genehmigung und Dokumentation SOLLTE vom Outsourcing-Kunden regelmäßig eingefordert werden. Bevor Änderungen durchgeführt werden, SOLLTEN gemeinsam mit dem Outsourcing-Dienstleister Rückfall-Lösungen erarbeitet werden.

OPS.2.1.A13 Sichere Migration bei Outsourcing-Vorhaben

Für die Migrationsphase SOLLTE ein Sicherheitsmanagement-Team aus qualifizierten Mitarbeitern des Outsourcing-Kunden und des Outsourcing-Dienstleisters eingerichtet werden. Es SOLLTE für die Migrationsphase ein vorläufiges Sicherheitskonzept erstellt werden, in dem auch die Test- und Einführungsphase betrachtet wird. Es SOLLTE sichergestellt sein, dass produktive Daten in der Migrationsphase nicht ungeschützt als Testdaten verwendet werden. Es SOLLTEN alle Änderungen dokumentiert werden. Nach Abschluss der Migration SOLLTE das Sicherheitskonzept aktualisiert werden. Es SOLLTE sichergestellt sein, dass alle Ausnahmeregelungen am Ende der Migrationsphase aufgehoben werden. Bei Änderungen in der Migrationsphase SOLLTE geprüft werden, inwieweit ein Anpassungsbedarf an den vertraglichen Grundlagen besteht.

OPS.2.1.A14 Notfallvorsorge beim Outsourcing [Notfallbeauftragter]

Es SOLLTE ein Notfallvorsorgekonzept zum Outsourcing existieren, das die Komponenten beim Outsourcing-Kunden, beim Outsourcing-Dienstleister sowie die zugehörigen Schnittstellen umfasst. Im Notfallvorsorgekonzept zum Outsourcing SOLLTEN die Zuständigkeiten, Ansprechpartner und Abläufe zwischen dem Outsourcing-Kunden und dem Outsourcing-Dienstleister geregelt sein. Der Outsourcing-Kunde SOLLTE die Umsetzung der Notfallmaßnahmen des Outsourcing-Dienstleisters kontrollieren. Es SOLLTEN dazu gemeinsame Notfallübungen von Outsourcing-Kunden und Outsourcing-Dienstleister durchgeführt werden.

OPS.2.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses [Leiter Beschaffung]

Der Vertrag mit dem Outsourcing-Dienstleister SOLLTE alle Aspekte der Beendigung des Dienstleistungsverhältnisses regeln, sowohl für eine geplante als auch für eine ungeplante Beendigung des Vertrags. Es SOLLTE sichergestellt sein, dass eine Beendigung des Dienstleistungsverhältnisses mit dem Outsourcing-Dienstleister die Geschäftstätigkeit des Outsourcing-Kunden nicht beeinträchtigt.

Der Outsourcing-Kunde SOLLTE alle Informationen und Daten nach der Beendigung zurück erhalten. Der Outsourcing-Dienstleister SOLLTE alle Datenbestände nach erfolgter Rückgabe sicher löschen.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

OPS.2.1.A16 Sicherheitsüberprüfung von Mitarbeitern(CI)

Mit externen Outsourcing-Dienstleistern SOLLTE vertraglich vereinbart werden, dass die Vertrauenswürdigkeit des eingesetzten Personals geeignet überprüft wird. Dazu SOLLTEN gemeinsam Kriterien festgelegt werden.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Outsourcing für Kunden" finden sich unter anderem in folgenden Veröffentlichungen:

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Outsourcing für Kunden" von Bedeutung.

  • G 0.11 Ausfall oder Störung von Dienstleistern
  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.15 Abhören
  • G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten
  • G 0.18 Fehlplanung oder fehlende Anpassung
  • G 0.19 Offenlegung schützenswerter Informationen
  • G 0.22 Manipulation von Informationen
  • G 0.25 Ausfall von Geräten oder Systemen
  • G 0.29 Verstoß gegen Gesetze oder Regelungen
  • G 0.35 Nötigung, Erpressung oder Korruption
  • G 0.42 Social Engineering

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK