Nehmen Sie die Expertise, das Management und den Support Ihrer externen IT-Dienstleister unter die Lupe.
Das Auslagern der IT sollte so unkompliziert sein wie die Beauftragung externer Dienstleister für Personal und Buchhaltung. Aber wissen Sie eigentlich genau, für welche Leistung Sie Ihren IT Service Provider (ITSP) bezahlen? Und woher nehmen Sie die Gewissheit, dass das Preis-Leistungs-Verhältnis stimmig ist und dass alle Dienstleistungen den Sicherheitsanforderungen Ihres Unternehmens entsprechen?
Angesichts der erforderlichen Investitionen, die getätigt werden müssen, damit interne IT-Abteilungen über die entsprechende Expertise, Technologien und Kontrollmechanismen verfügen, ist es nicht verwunderlich, dass Unternehmen zunehmend auf den Service von erfahrenen ITSP oder von Managed Service Providern (MSP) setzen. Hier gilt unabhängig von Größe und Branche: Welcher Dienstleister in diesem hart umkämpften Markt ist der richtige für Ihr Unternehmen? Versteht der Anbieter Ihre geschäftlichen Anforderungen, Ihr Risikoprofil und Ihre strategische Ausrichtung? Wird er Sie im Falle eines IT-Vorfalls oder eines Cyberangriffs effektiv unterstützen?
Fokus: Third-Party-Risiko
ITSPs und MSPs erhalten über ihre Support-Dienstleistungen Zugang zu Unternehmensdaten und Netzwerken. Damit besteht das Risiko, dass interne oder externe Personen diesen Zugriff für kriminelle Aktivitäten nutzen. Dies stellt einen Sicherheitskompromiss dar: Ein Unternehmen profitiert von der Sicherheitsexpertise des ITSP, muss dem Anbieter aber fast immer Zugang zu seinen Daten gewähren.
Es ist entscheidend, die Dienstleistungen des Service-Providers gründlich zu prüfen, da sie integraler Bestandteil der Sicherheitsarchitektur des Unternehmens sind. Die genaue Beurteilung der Fähigkeiten des Dienstleisters ist unerlässlich, da nach Vertragsunterzeichnung und erfolgter Integration ein Wechsel sehr aufwändig und kostenintensiv sein kann.
Die Bewertung des Dienstleisters kann durch einen Fragebogen erfolgen. Diesen kann man im Auswahlprozess eines Dienstanbieters verwenden oder zur Evaluierung bestehender Verträge einsetzen, um sicherzustellen, dass der Anbieter seine Verpflichtungen erfüllt. Ein Verzicht auf eine gründliche Kompetenzprüfung und die ausschließliche Auswahl nach Preis birgt das Risiko, das potenzielle Verluste die Einsparungen aus dem Vertrag übersteigen.
Problemstellung:
Selbst wenn Unternehmen einen Teil des Risikos auf Dritte verlagern, tragen sie weiterhin die Verantwortung für die Folgen von IT- und Sicherheitsfehlern.
Ähnlich wie bei einer nicht zugestellten Lieferung, bei der man sich an den Verkäufer und nicht an den Lieferdienst wendet, ist das Unternehmen für Serviceausfälle verantwortlich.
Das Gleiche trifft auf die Bereitstellung von IT-Dienstleistungen zu, wobei die Verantwortung eines möglichen Ausfalls bei Ihnen liegt. Deshalb ist es wichtig, mit einem kompetenten und zuverlässigen Service-Provider zusammenzuarbeiten.
Praxisbeispiele:
Das Risiko ist real. Zur Veranschaulichung geben wir einige Beispiele aus der Praxis, die zeigen, was passiert, wenn Kompetenzen nicht ausreichen und die Zusammenarbeit nicht funktioniert.
Unternehmen A wurde Opfer kompromittierter E-Mails, was durch Multifaktor-Authentifizierung (MFA) hätte verhindert werden können. Der IT-Dienstleister empfahl, MFA als optional zu behandeln, was zu einem Rechnungsbetrug und Verlusten in Höhe von 115.000 EUR führte.
Trotz erstklassiger Sicherheitsvorkehrungen auf den Arbeitsplatzrechnern versäumte es der IT-Dienstleister, darauf hinzuweisen, dass keine aktuelle Server-Software installiert war. Ein krimineller Akteur nutzte hier bekannte Schwachstellen aus, was zu einem Ransomware-Angriff auf das Unternehmen führte, der 1,8 Mio. EUR kostete.
Nach einem Ransomware-Angriff auf Unternehmen C reagierte dessen IT-Dienstleister und brachte die Situation unter Kontrolle. Allerdings versäumte der Service-Provider, Unternehmen C hierbei ausreichend einzubeziehen. Relevante Informationen über den Angriff wurden nicht an Unternehmen C weitergegeben, so dass es seine Verpflichtungen im Rahmen der Datenschutz-Grundverordnung nicht erfüllen konnte. Dies führte zu erheblichen zusätzlichen Kosten.
Unternehmen D wurde durch ein IoT-Gerät (Internet of Things) im Unternehmensnetzwerk kompromittiert, an dem der IT-Dienstleister Schwachstellen nicht identifiziert hatte. Dies führte dazu, dass Kundendaten entwendet und im Dark Web veröffentlicht wurden. Der Datenverlust wurde sowohl der zuständigen Datenschutzaufsichtsbehörde als auch dem Kunden gemeldet, wobei Auswirkungen auf den Ruf des Unternehmens und die Kosten noch unklar sind.
Viele dieser Probleme resultieren aus einer mangelhaften Vertragsgestaltung mit IT-Dienstleistern. Ein Vertrag ist entscheidend, um Erwartungen festzulegen, und sollte regelmäßig aktualisiert werden. Ein zuverlässiger Service-Provider kooperiert mit einem Unternehmen, um Risiken zu steuern und Schäden zu verhindern.
Unsere Empfehlung
Verwenden Sie eine Checkliste, um Ihren IT-Anbieter zu prüfen. Ein kompetenter Dienstleister kann diese Fragen beantworten und Nachweise erbringen. Bei Unsicherheiten sollten Sie weiter nachfragen. Transparente Kommunikation und das Verständnis der Dienstleistungen sind wichtig, um Risiken zu mindern. Überprüfen Sie Ihren Anbieter jährlich kritisch, um sicherzustellen, dass er weiterhin zu Ihrem Unternehmen passt. Zur Orientierung können Sie gerne unsere zum Download bereitgestellte Checkliste verwenden.
Dieser Leitfaden wurde in Zusammenarbeit mit Risk Evolves erstellt.
