Bundesamt für Sicherheit in der Informationstechnik

OPS.3.1 Outsourcing für Dienstleister

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Beim Outsourcing übernehmen Outsourcing-Dienstleister Geschäftsprozesse und Dienstleistungen (z. B. Wach- oder Reinigungspersonal) ganz oder teilweise von auslagernden Institutionen (Outsourcing-Kunden). Der Betrieb von Hardware und Software kann ebenso als Dienstleistung übernommen werden. Unabhängig davon, welche Dienstleistungen übernommen werden, bedingt dies eine enge Bindung zwischen dem Outsourcing-Dienstleister und dem Outsourcing-Kunden. Der Outsourcing-Dienstleister bleibt nicht von den Risiken im Zuge der Outsourcing-Beziehung verschont. Er muss die in der Regel von Seiten des Outsourcing-Kunden festgelegten risikomindernden Sicherheitsanforderungen (siehe Baustein OPS.2.1 Outsourcing für Kunden) umsetzen. Es liegt nicht nur im Interesse des Outsourcing-Kunden, sondern auch in dem des Outsourcing-Dienstleisters, die vereinbarte Leistung zu erbringen und das vereinbarte Sicherheitsniveau einzuhalten. Bei einer Verfehlung der an ihn gestellten Anforderungen drohen mitunter hohe Vertragsstrafen und gegebenenfalls weitere juristische Folgen, die nicht nur finanzielle Auswirkungen haben, sondern auch die Reputation nachhaltig schädigen können. Den Schwerpunkt dieses Bausteins bilden daher Anforderungen, die sich mit der Planung, Umsetzung, Kontrolle und Steuerung von Informationssicherheitsaspekten im Rahmen eines Outsourcings aus Sicht des Dienstleisters beschäftigen.

1.2 Zielsetzung

Der Baustein beschreibt die Anforderungen für den Outsourcing-Dienstleister, damit er das Sicherheitsniveau der auslagernden Institution erfüllen bzw. für ihn unkontrollierbare Risiken , die sich aus der Geschäftsbeziehung ergeben, vermeiden kann.

1.3 Abgrenzung

Der Baustein enthält Sicherheitsanforderungen an Outsourcing, die Dienstleister erfüllen müssen. Er ergänzt die Anforderungen des Schutzes für Informationen der auslagernden Institution aus Sicht des Outsourcing-Dienstleisters.

Die Absicherung der Übertragungswege zwischen dem Dienstleister und dem Kunden von Outsourcing-Dienstleistungen wird in diesem Baustein nicht betrachtet.

Die Begriffe Outsourcing und Cloud haben viele Parallelen. Für Dienstleister von Outsourcing sind in der Regel auch Anforderungen hinsichtlich der Nutzung von Cloud-Services zusätzlich zu beachten.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Outsourcing von Dienstleister von besonderer Bedeutung:

2 1 Ausfall eines Weitverkehrsnetzes (WAN)

Outsourcing-Dienstleister, deren Leistungserbringung nicht vor Ort beim Kunden erfolgt, sind in hohem Maß abhängig von der Verfügbarkeit von Weitverkehrsnetzen (Wide Area Networks, WAN). Aus wirtschaftlichen Gründen werden die Dienstleistungen meistens von wenigen, zentralen Standorten aus erbracht. Die Anbindung zum Outsourcing-Kunden erfolgt über Weitverkehrsnetze. Der Ausfall eines Weitverkehrsnetzes kann also dazu führen, dass die ausgelagerte Dienstleistung nicht mehr erbracht werden kann.

2 2 Fehlende oder unzureichende Regelungen zur Informationssicherheit

Im Rahmen eines Outsourcings erhalten und verarbeiten Outsourcing-Dienstleister große Mengen an Informationen der Outsourcing-Kunden. Abhängig vom Schutzbedarf der zu verarbeitenden Informationen können fehlende oder unzureichende Regelungen Schäden verursachen, beispielsweise wenn Zuständigkeiten unklar sind. Dies ist zum Beispiel dann der Fall, wenn bei technischen, organisatorischen oder personellen Änderungen die Regelungen und Anweisungen nicht aktualisiert werden, etwa bei Änderung von Ansprechpartnern. Das Spektrum der Regelungsdefizite reicht dabei von Unklarheiten bei Zuständigkeiten und Kontrollfunktionen über unverständlich oder zusammenhanglos formulierte Regelungen, bis hin zu komplett fehlenden Regelungen.

2 3 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten

Je nach Outsourcing-Vorhaben kann es erforderlich sein, dass die Mitarbeiter des Outsourcing-Kunden Zutritts-, Zugangs- und Zugriffsrechte zu IT-Systemen, Informationen, Gebäuden oder Räumen des Outsourcing-Dienstleisters benötigen. Wenn die Vergabe, Verwaltung und Kontrolle dieser Rechte beim Outsourcing-Dienstleister schlecht geregelt ist, kann das zu weitreichenden Sicherheitsproblemen führen. Wenn die Prozesse zur Rechtevergabe zu komplex sind, kann es zu lange dauern, bis die Mitarbeiter des Outsourcing-Kunden die dringend erforderlichen Rechte erhalten. Wenn der IT-Betrieb Mandanten zu viele Rechte einräumt, könnten diese dadurch auch auf Bereiche anderer Mandanten zugreifen.

2 4 Fehlendes oder unzureichendes Test- und Freigabeverfahren

Hat ein Outsourcing-Dienstleister kein ausreichendes Test- und Freigabeverfahren für Hard- und Software etabliert, so stellt dies eine erhebliche Gefährdung des IT-Betriebs dar. Vorhandene Fehler in der Hard- und Software oder Sicherheitslücken in der Konfiguration werden so eventuell nicht oder nicht rechtzeitig erkannt. Wenn neue Komponenten in die Betriebsumgebung eingebracht werden, ohne dass sie vorher ausreichend getestet wurden, kann dies auch dazu führen, dass Fehler oder Sicherheitslücken aus einem Mandantenbereich sich auch bei anderen Kunden negativ auswirken.

Wenn unzureichende Test- und Freigabeverfahren zu Sicherheitsvorfällen führen, ist der notwendige Schutz der Daten des Kunden nicht mehr gewährleistet und es kann zu Strafzahlungen oder Vertragskündigungen kommen und damit finanzielle Auswirkungen haben.

2 5 Ungesicherter Akten- und Datenträgertransport

Outsourcing-Dienstleister verarbeiten oft große Mengen an Daten der auslagernden Institution. Ist der Transport von Akten, Dokumenten und Datenträgern entsprechend dem Schutzbedarf der zu transportierenden Informationen nicht angemessen abgesichert, können durch Verlust, unautorisierte Kenntnisnahme oder Manipulation erhebliche Schäden für die auslagernde Institution, aber auch für den Outsourcing-Dienstleister entstehen. Das kann zu erheblichen Problemen in der Geschäftsbeziehung im Outsourcing führen. Schäden können eintreten, wenn Akten oder Datenträger auf unsicherem Wege zum Outsourcing-Kunden transportiert werden und diese unterwegs abgegriffen, manipuliert werden oder verloren gehen.

2 6 Unzureichendes Informationssicherheitsmanagement beim Outsourcing-Dienstleister

Ein unzureichend etabliertes oder nicht angemessen umgesetztes Informationssicherheitsmanagement seitens des Outsourcing-Dienstleisters birgt erhebliche Risiken. Die Probleme reichen von der fehlenden Gesamtverantwortung für das Thema Informationssicherheit über die mangelnde Unterstützung durch die Leitungsebene und unzureichende strategische und konzeptionelle Vorgaben hin zu einem intransparenten Sicherheitsprozess. Für Outsourcing-Dienstleister besteht nun das Risiko, dass die Anforderungen der auslagernden Institution nicht erfüllt werden, wenn die Gesamtorganisation hinsichtlich Informationssicherheit mangelhaft ist.

2 7 Unzulängliche vertragliche Regelungen mit einem Outsourcing-Kunden

Es kann passieren, dass ein Outsourcing-Dienstleister aufgrund von unzulänglichen vertraglichen Regelungen eine Dienstleistung nicht so erbringt, wie dies zur Aufrechterhaltung des Sicherheitsniveaus des Kunden erforderlich ist. Wenn der Schutzbedarf und die daraus resultierenden Anforderungen an die Sicherheit ausgelagerter Daten oder Systeme dem Outsourcing-Dienstleister unbekannt sind, können sie nicht angemessen geschützt werden.

2 8 Unzureichende Regelungen für das Ende eines Outsourcings

Ohne ausreichende und angemessene Regelung für die Auflösung des Outsourcing-Vertrags besteht die Gefahr, dass die Geschäftsbeziehung nicht konfliktfrei aufgelöst wird. So könnte es passieren, dass Informationen des Kunden unwiderruflich beim Outsourcing-Dienstleister gelöscht werden, bevor diese vollständig und korrekt zum Kunden übertragen wurden. Eine vorzeitige vollständige Löschung der Informationen des Kunden kann Strafzahlungen für den Dienstleister nach sich ziehen.

2 9 Unzureichendes Notfallvorsorgekonzept beim Outsourcing

Besitzt ein Outsourcing-Dienstleister nur ein unzureichendes Notfallvorsorgekonzept, stehen unter Umständen die vertraglich vereinbarten IT-Systeme und Anwendungen im Notfall nicht oder nur eingeschränkt zur Verfügung. Dies hat zur Folge, dass die darauf basierenden Geschäftsprozesse nicht zur Verfügung stehen und die vertraglich vereinbarte Dienstleistung nicht bereit gestellt werden.

2 10 Ausfall der Systme eines Outsourcing-Dienstleisters

Bei einem Outsourcing-Dienstleister können die dort betriebenen IT-Systeme und Prozesse teilweise oder ganz ausfallen, wodurch auch der Outsourcing-Kunde betroffen ist. Bei unzureichender Mandantentrennung kann unter Umständen auch der Ausfall eines Systems, das nicht dem Outsourcing-Kunden zugeordnet ist, trotzdem dazu führen, dass dieser seine vertraglich zugesicherte Dienstleistung nicht mehr abrufen kann. Ähnliche Probleme ergeben sich, wenn die Anbindung zwischen Outsourcing-Dienstleister und -Kunden ausfällt.

Dies kann für den Outsourcing-Dienstleister bedeuten, dass, falls vertraglich vereinbart, der Outsourcing-Kunde Schadensersatzansprüche geltend machen kann.

2 11 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister

Wenn bei einem Outsourcing-Vorhaben die IT-Anbindung zwischen dem Outsourcing-Dienstleister und dem Outsourcing-Kunden unzureichend abgesichert ist, kann die Vertraulichkeit und Integrität der übermittelten Daten gefährdet sein. Es könnten sich aber auch durch offene oder schlecht gesicherte Schnittstellen unautorisierte Zugangsmöglichkeiten für Außenstehende auf die Systeme der beteiligten Institutionen ergeben.

2 12 Social Engineering

Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" von Mitarbeitern zu erlangen. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. Mitarbeiter von Outsourcing-Dienstleistern können hier ein besonders lohnenswertes Ziel abgeben, da sie auf sehr viele Daten unterschiedlicher Unternehmen Zugriff haben.

2 13 Fehlende Mandantenfähigkeit beim Outsourcing-Dienstleister

Outsourcing-Dienstleister haben in der Regel viele verschiedene Kunden, die auf die gleiche Ressourcenbasis (IT-Systeme, Netze, Personal) zurückgreifen. Wenn die IT-Systeme und Daten der verschiedenen Kunden nicht ausreichend sicher voneinander getrennt sind, besteht die Gefahr, dass ein Kunde auf den Bereich eines anderen Kunden zugreifen kann. Außerdem könnte es zu Interessenskonflikten beim Outsourcing-Kunden kommen, wenn der Dienstleister parallel vergleichbare Ressourcenforderungen erfüllen muss. Wenn sich die jeweiligen Kunden in einer Konkurrenzsituation befinden, kann dies besonders problematisch sein.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Bereich Outsourcing für Dienstleister aufgeführt. Grundsätzlich ist der Leiter IT für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Verantwortlichkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt.

BausteinverantwortlicherLeiter IT
Weitere VerantwortlicheDatenschutzbeauftragter, ISB Outsourcing-Dienstleister, IT-Betrieb, Institutionsleitung, Leiter Organisation, Leiter Personal, Notfallbeauftragter, Änderungsmanager

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

OPS.3.1.A1 Erstellung eines Grobkonzeptes für die Outsourcing-Dienstleistung

Es MUSS ein Grobkonzept für die angebotene Outsourcing-Dienstleistung erstellt werden. Dieses Grobkonzept MUSS Rahmenbedingungen des Outsourcings berücksichtigten (z. B. Sonderwünsche) und grundsätzliche Fragestellungen zum Sicherheitsniveau und zu den Sicherheitsanforderungen des Outsourcing-Kunden beantworten.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Outsourcing für Dienstleister. Sie SOLLTEN grundsätzlich umgesetzt werden.

OPS.3.1.A2 Vertragsgestaltung mit den Outsourcing-Kunden [ISB Outsourcing-Dienstleister]

Es SOLLTEN alle Aspekte des Outsourcing-Vorhabens mit dem Outsourcing-Kunden schriftlich geregelt sein, um den Auftrag wie gewünscht erfüllen zu können und das geforderte Sicherheitsniveau zu gewährleisten. Es SOLLTEN alle Verantwortlichkeiten und Mitwirkungspflichten zur Erstellung, Prüfung und Änderung (z. B. von Personen) im Rahmen des Vertragswerkes oder auch direkt im Sicherheitskonzept zwischen dem Outsourcing-Dienstleister und dem Outsourcing-Kunden geregelt sein.

OPS.3.1.A3 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben [ISB Outsourcing-Dienstleister]

Der Outsourcing-Dienstleister SOLLTE für seine Dienstleistungen ein Sicherheitskonzept besitzen. Für individuelle Outsourcing-Vorhaben SOLLTE er außerdem spezifische Sicherheitskonzepte basierend auf den zugehörigen Sicherheitsanforderungen des Outsourcing-Kunden erstellen. Zwischen Outsourcing-Dienstleister und Outsourcing-Kunden SOLLTEN gemeinsame Sicherheitsziele und eine gemeinsame Klassifikation für alle schutzbedürftigen Informationen erarbeitet werden. Die Umsetzung des Sicherheitskonzepts SOLLTE regelmäßig überprüft werden.

OPS.3.1.A4 Festlegung der möglichen Kommunikationspartner [Leiter Organisation, Datenschutzbeauftragter, ISB Outsourcing-Dienstleister]

Zwischen Outsourcing-Dienstleister und -Kunden SOLLTE festgelegt werden, welche internen und externen Kommunikationspartner welche Informationen über das jeweilige Outsourcing-Projekt übermitteln und erhalten dürfen. Es SOLLTE regelmäßig geprüft werden, ob die Kommunikationspartner noch aktuell in ihrer Funktion beschäftigt sind. Die Berechtigungen SOLLTEN bei Änderungen angepasst werden. Zwischen den Outsourcing-Partnern SOLLTE geregelt sein, nach welchen Kriterien welche Kommunikationspartner welche Informationen erhalten dürfen.

OPS.3.1.A5 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleisters [Leiter Personal, ISB Outsourcing-Dienstleister]

Mitarbeiter des Outsourcing-Dienstleisters SOLLTEN geregelt in ihre Aufgaben eingewiesen und über bestehende Regelungen zur Informationssicherheit des Outsourcing-Kunden unterrichtet werden. Die Mitarbeiter des Outsourcing-Dienstleisters SOLLTEN schriftlich auf die Einhaltung der einschlägigen Gesetze, Vorschriften, Vertraulichkeitsvereinbarungen und internen Regelungen verpflichtet werden. Es SOLLTE Vertretungsregelungen in allen Bereichen geben.

OPS.3.1.A6 Regelungen für den Einsatz von Fremdpersonal [Leiter Personal, ISB Outsourcing-Dienstleister]

Setzt der Outsourcing-Dienstleister externes Personal ein, SOLLTE der Outsourcing-Kunde hierüber informiert werden. Externe Mitarbeiter mit Aufgaben in Bezug auf das Outsourcing SOLLTEN schriftlich auf die Einhaltung der einschlägigen Gesetze, Vorschriften und interne Regelungen verpflichtet werden. Sie SOLLTEN in ihre Aufgaben und vor allem in die Sicherheitsvorgaben eingewiesen werden. Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal SOLLTE wie Besucher behandelt werden.

OPS.3.1.A7 Erstellung eines Mandantenkonzeptes durch den Outsourcing-Dienstleister [ISB Outsourcing-Dienstleister]

Durch ein geeignetes Mandantenkonzept SOLLTE sichergestellt werden, dass Anwendungs- und Datenkontexte verschiedener Kunden sauber getrennt sind. Das Mandantenkonzept SOLLTE durch den Outsourcing-Dienstleister erstellt und dem Outsourcing-Kunden zur Verfügung gestellt werden. Das Mandantenkonzept SOLLTE für den Schutzbedarf des Outsourcing-Kunden angemessene Sicherheit bieten. Die benötigten Mechanismen zur Mandantentrennung beim Outsourcing-Dienstleister SOLLTEN ausreichend umgesetzt sein.

OPS.3.1.A8 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner [ISB Outsourcing-Dienstleister]

Vor der Anbindung eines eigenen Netzes an das Netz des Outsourcing-Dienstleisters SOLLTEN alle sicherheitsrelevanten Aspekte in einer Vereinbarung schriftlich festgelegt werden. Es SOLLTE definiert werden, wer aus dem einen Netz auf welche Bereiche und Dienste des jeweils anderen Netzes zugreifen darf. Es SOLLTEN auf jeder Seite Ansprechpartner sowohl für organisatorische als auch technische Fragestellungen der Netzanbindung benannt werden. Auf beiden Seiten SOLLTEN alle identifizierten Sicherheitslücken beseitigt und das geforderte Sicherheitsniveau nachweislich erreicht sein, bevor die Netzanbindung aktiviert wird. Für den Fall von Sicherheitsproblemen auf einer der beiden Seiten SOLLTE festgelegt sein, wer darüber zu informieren ist und welche Eskalationsschritte einzuleiten sind.

OPS.3.1.A9 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern [ISB Outsourcing-Dienstleister]

Für den regelmäßigen Datenaustausch mit festen Kommunikationspartnern der Outsourcing-Partner SOLLTEN die erforderlichen Sicherheitsmaßnahmen vereinbart werden. Datenformate und die sichere Form des Datenaustauschs SOLLTEN festgelegt werden. Ansprechpartner sowohl für organisatorische als auch technische Probleme und insbesondere für sicherheitsrelevante Ereignisse beim Datenaustausch mit Dritten SOLLTEN benannt werden. Verfügbarkeiten und Reaktionszeiten beim Datenaustausch mit Dritten SOLLTEN vereinbart werden. Es SOLLTE festgelegt werden, welche ausgetauschten Daten zu welchen Zwecken genutzt werden dürfen.

OPS.3.1.A10 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb [ISB Outsourcing-Dienstleister]

Der Outsourcing-Kunde SOLLTE ein Betriebskonzept erstellen, in dem alle relevanten Sicherheitsaspekte berücksichtigt werden. Die Sicherheitskonzepte der Outsourcing-Partner SOLLTEN regelmäßig auf Aktualität und Konsistenz zueinander geprüft werden. Der Status der vereinbarten Sicherheitsmaßnahmen SOLLTE regelmäßig kontrolliert werden. Zwischen den Outsourcing-Partnern SOLLTE eine regelmäßige Kommunikation einschließlich Abstimmung zu Änderungen und Verbesserungen stattfinden.

Die Outsourcing-Partner SOLLTEN regelmäßig gemeinsame Übungen und Tests zur Aufrechterhaltung des Sicherheitsniveaus durchführen. Informationen über Sicherheitsrisiken und der Umgang damit SOLLTEN in regelmäßigen Abständen zwischen den Outsourcing-Partnern ausgetauscht werden. Es SOLLTE ein Prozess existieren, welcher den Informationsfluss im Umgang mit Sicherheitsvorfällen sicherstellt, welche die jeweiligen Vertragspartner betreffen.

OPS.3.1.A11 Zutritts-, Zugangs- und Zugriffskontrolle [Leiter Organisation, ISB Outsourcing-Dienstleister]

Zutritts-, Zugangs- und Zugriffsberechtigungen SOLLTEN geregelt sein, sowohl für das Personal des Outsourcing-Dienstleisters als auch für Personal der Outsourcing-Kunden. Es SOLLTE ebenfalls geregelt sein, welche Berechtigungen Auditoren und andere Prüfer erhalten. Es SOLLTEN immer nur so viele Rechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist. Es SOLLTE ein geregeltes Verfahren für die Vergabe, die Verwaltung und den Entzug von Berechtigungen geben.

OPS.3.1.A12 Änderungsmanagement [IT-Betrieb, Änderungsmanager]

Es SOLLTEN Richtlinien für die Durchführung von Änderungen an IT-Komponenten, Software oder Konfigurationsdaten existieren. Es SOLLTE geregelt sein, dass bei der Durchführung von Änderungen auch Sicherheitsaspekte berücksichtigt werden. Es SOLLTEN alle Änderungen geplant, getestet, genehmigt und dokumentiert werden. Art und Umfang der Dokumentationen über die Änderungen SOLLTEN mit dem Outsourcing-Kunden abgestimmt und bereitgestellt werden. Es SOLLTEN Rückfall-Lösungen erarbeitet werden, bevor Änderungen durchgeführt werden. Bei größeren, sicherheitsrelevanten Änderungen SOLLTE das Informationssicherheitsmanagement der auslagernden Institution schon im Vorfeld beteiligt werden.

OPS.3.1.A13 Sichere Migration bei Outsourcing-Vorhaben

Für die Migrationsphase SOLLTE ein Sicherheitsmanagement-Team aus qualifizierten Mitarbeitern des Outsourcing-Kunden und des Outsourcing-Dienstleisters eingerichtet werden. Für die Migrationsphase SOLLTE eine Sicherheitskonzeption erstellt werden. Nach Abschluss der Migration SOLLTE das Sicherheitskonzept aktualisiert werden. Es SOLLTE sichergestellt sein, dass alle Ausnahmeregelungen am Ende der Migrationsphase aufgehoben werden. Bei Änderungen in der Migrationsphase SOLLTE geprüft werden, inwieweit ein Anpassungsbedarf an den vertraglichen Grundlagen und bestehenden Dokumenten besteht.

OPS.3.1.A14 Notfallvorsorge beim Outsourcing [Notfallbeauftragter]

Es SOLLTE ein Notfallvorsorgekonzept zum Outsourcing existieren, das die Komponenten beim Outsourcing-Kunden, beim Outsourcing-Dienstleister sowie die zugehörigen Schnittstellen umfasst. Im Notfallvorsorgekonzept zum Outsourcing SOLLTEN die Zuständigkeiten, Ansprechpartner und Abläufe zwischen Outsourcing-Kunden und Outsourcing-Dienstleister geregelt sein. Es SOLLTEN regelmäßig gemeinsame Notfallübungen vom Outsourcing-Kunden und Outsourcing-Dienstleister durchgeführt werden.

OPS.3.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses [Institutionsleitung]

Es SOLLTE sichergestellt sein, dass eine Beendigung des Vertragsverhältnisses mit dem Outsourcing-Kunden weder dessen noch die eigene Geschäftstätigkeit beeinträchtigt. Der Outsourcing-Vertrag mit dem Outsourcing-Kunden SOLLTE alle Aspekte der Beendigung des Dienstleistungsverhältnisses regeln, sowohl für eine geplante als auch für eine ungeplante Beendigung des Vertragsverhältnisses. Der Outsourcing-Dienstleister SOLLTE alle Informationen und Daten des Outsourcing-Kunden an diesen übergeben. Beim Outsourcing-Dienstleister SOLLTEN danach alle Datenbestände des Kunden sicher gelöscht werden. Alle Berechtigungen, die im Rahmen des Outsourcing-Projekts eingerichtet wurden, SOLLTEN überprüft und, wenn erforderlich, gelöscht werden.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

OPS.3.1.A16 Sicherheitsüberprüfung von Mitarbeitern [Leiter Personal](CI)

Die Vertrauenswürdigkeit von neuen Mitarbeitern und externem Personal beim Outsourcing-Dienstleister SOLLTE durch geeignete Nachweise überprüft werden. Hierzu SOLLTEN gemeinsam mit dem Outsourcing-Kunden Kriterien vertraglich vereinbart werden.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Outsourcing für Dienstleister" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001A15] ISO/IEC 27001;2013 - Annex A.15 Supplier relationship

    Information technology- Security techniques- Information security management systems- requirements, insbesondere Annex A, A.15 Supplier relationships, ISO, 2013

  • [BVIT2005] Buisiness Process Outsourcing Leitfaden

    Business Process Outsourcing Leitfaden - BPO als Chance für den Standort Deutschland, Bundesverband Informationswirtschaft Telekommunikation und neue Medien, Version 10.1, 2005
    https://www.bitkom.org/Bitkom/Publikationen/Leitfaden-Business-Process-Outsourcing.html

  • [BVIT2008] Leitfaden rechtliche Asprekte von Outsourcing in der Praxis

    Rechtliche Aspekte von Outsourcing in der Praxis, Bundesverband Informationswirtschaft Telekommunikation und neue Medien e.V., 2008
    https://www.bitkom.org/Bitkom/Publikationen/Rechtliche-Aspekte-von-Outsourcing-in-der-Praxis.html

  • [DIN37500] DIN ISO 37500:2015-08

    Leitfaden Outsourcing, DIN Deutsches Institut für Normung e.V., 08.2015

  • [ISFSC1.2] The Standard of Good Practice - Area SC1.2 Outsourcing

    insbesondere Area SC1.2 Outsourcing, Information Security Forum (ISF), 06.2016

  • [NIST80053] Security and Privacy Controls for Federal Information Systems and Organizations

    Special Publication 800-53, Revision 4, NIST, 04.2013 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Outsourcing für Dienstleister" von Bedeutung.

  • G 0.9 Ausfall oder Störung von Kommunikationsnetzen
  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten
  • G 0.18 Fehlplanung oder fehlende Anpassung
  • G 0.19 Offenlegung schützenswerter Informationen
  • G 0.22 Manipulation von Informationen
  • G 0.25 Ausfall von Geräten oder Systemen
  • G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
  • G 0.33 Personalausfall
  • G 0.38 Missbrauch personenbezogener Daten
  • G 0.41 Sabotage
  • G 0.42 Social Engineering
  • G 0.45 Datenverlust
  • G 0.46 Integritätsverlust schützenswerter Informationen

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK