Managed Security Services: Darauf müssen Sie achten
Die IT-Risiken werden immer komplexer, qualifiziertes Personal ist Mangelware – das lässt nicht nur kleine und mittlere Unternehmen daran denken, die IT-Sicherheit auszulagern. Doch wer sogenannte Managed Security Services nutzt, überträgt nur Aufgaben, nicht die komplette Verantwortlichkeit. Lesen Sie, worauf Sie als Datenschutzbeauftragter achten sollten, wenn Ihr Unternehmen plant, die IT-Sicherheit in die Hände Dritter zu geben.
Security as a Service
Managed Security Services (MSS), auch Security as a Service genannt, sind IT-Sicherheits-Lösungen und -Dienste, die die Kunden aus der Cloud beziehen.
Typische Beispiele sind das Monitoring der Sicherheits-Funktionen, Malware-Erkennung und -Bekämpfung, Verschlüsselung, Aufbau von temporären Virtual Private Networks, Firewalls oder Intrusion Detection.
Immer mehr Unternehmen greifen zu solchen Managed Security Services. Wie der Cloud-Monitor 2017 von Bitkom und KPMG ergab, hat sich die Verwendung von Sicherheits-Lösungen aus der Cloud mit 44 Prozent auf den zweiten Platz aller Cloud-Services geschoben.
Damit rangieren sie vor Groupware (E-Mail, Kalender u.Ä.) mit 35 Prozent und Collaboration-Tools für die interne Zusammenarbeit mit 33 Prozent.
Auftragsverarbeitung: Die Frage der Verantwortung
Manch Unternehmen hofft, mit Managed Security Services oder Security as a Service Verantwortung abzugeben. Denn die Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten sind hoch, die Umsetzung komplex.
Tatsächlich zeigen Umfragen, dass nicht wenige Unternehmen, die Cloud-Dienste nutzen, die Verantwortung beim Cloud-Anbieter sehen: 20,1 Prozent schieben laut der Studie „Cloud Insights“ von T-Systems dem Cloud-Anbieter die alleinige Verantwortung zu.
Da es sich um technische Services bei der Datenverarbeitung handelt, wird allerdings in der Regel eine Auftragsverarbeitung vorliegen. Das heißt, die Verantwortung bleibt beim Auftraggeber.
Eine Auftragsverarbeitung muss den Vorgaben von Artikel 28 Datenschutz-Grundverordnung (DSGVO) für ein Auftragsverhältnis mit dem Service-Provider genügen.
Dazu gehört, dass die Verarbeitung nur mit Auftragsverarbeitern erfolgen darf, die hinreichend Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen so durchführen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Hohe Anforderungen an Managed Security Services stellen
Was gehört zur Prüfung der technischen und organisatorischen Maßnahmen des Providers (Auftragnehmer)? Die folgende Checkliste führt auf, welche Punkte sich Datenschutzbeauftragte ansehen sollten. Das gilt zumindest, bis geeignete Datenschutz-Zertifikate und Verhaltensregeln nach DSGVO vorliegen.
Checkliste Anforderungen an Managed Security Services (Word-Dokument)
| Anforderungen | Erfüllt | Nicht erfüllt |
| Rechenzentrumsbetrieb des Providers | ||
| Schutzvorrichtungen gegen natürliche Schäden wie Feuer, Wasser und Sturm | ||
| Schutz vor unbefugtem Zutritt (Maßnahmen der Zutrittskontrolle) | ||
| Automatische Update-Prozesse für Sicherheits-Lösungen | ||
| Nachgewiesene Fachkunde des Personals | ||
| Einsatz erprobter Sicherheits-Lösungen | ||
| Verpflichtung auf Datenschutz für Personal | ||
| Redundanz der angebotenen Systeme (Ausfallsicherheit) | ||
| Notfallplan | ||
| Hotline | ||
| Datenverbindung zwischen Unternehmen und Provider | ||
| Verschlüsselung der Datenübertragung | ||
| Schutzvorrichtungen zur Gewährleistung der Netzwerksicherheit bei dem Provider | ||
| Kontrollen bei Systemen zur Administration der angebotenen Sicherheits-Lösungen | ||
| Datenhaltung und Überwachungsprotokolle | ||
| Schutz der Protokolle und anderer vorgehaltener Daten des Unternehmens (wie Benutzerlisten) vor unerlaubtem Zugriff, Datenverlust und Datendiebstahl | ||
| Den Vorgaben entsprechende Löschung der Daten nach Wegfall der Erfordernis und in Absprache mit dem Auftraggeber | ||
| Strikte Trennung der verschiedenen Mandanten | ||
| Regelmäßige Berichte an Auftraggeber und definierte Alarmierung (Eskalationswege mit Alarmierungsstufen) bei Datenschutz-Verletzungen | ||
Achtung: Ohne interne IT-Sicherheit geht es nicht
Räumen Sie zudem mit einem weiteren Missverständnis auf, das mit Managed Security Services einhergeht: Nicht nur die Verantwortung für den Schutz personenbezogener Daten bleibt im Unternehmen. (Bei Datenschutzverletzung wird der Cloud-Anbieter nach DSGVO zwar auch zum Verantwortlichen, nicht aber zum alleinigen.) Auch die IT-Sicherheit lässt sich nicht komplett nach außen vergeben.
Selbst wenn der Sicherheits-Dienstleister sämtlichen ein- und ausgehenden Datenverkehr auf Sicherheits-Risiken untersucht, braucht das Unternehmen eine sichere Verbindung zum Service-Provider.
Sicherheits-Aufgaben
So verbleiben als Sicherheits-Aufgaben im Unternehmen auf jeden Fall:
- interne Sicherheits-Richtlinien, die auch zum Maßstab für den externen Dienstleister werden können, aufstellen, umsetzen und kontrollieren
- Qualität der beauftragten Dienste (SLA, Service Level Agreement) definieren und überwachen
- ein Identitätsmanagement planen, durchführen und pflegen, um den Zugang zu und den Zugriff auf die extern betriebenen Anwendungen zu sichern
- Anti-Malware-Lösungen, Firewalls und andere lokale Sicherheits-Komponenten installieren und aktualisieren, um eine sichere Verbindung zum Provider zu gewährleisten
- Sicherheits-Einstellungen konfigurieren und lokale sowie mobile Endgeräte schützen, die mit den extern betriebenen Lösungen kommunizieren sollen
- interne Netzwerksicherheit (LAN, WLAN) und Sicherheit der Gateways zur externen Lösung gewährleisten
- externe Dienstleistung durch Berichte (Reporting) und Kontrollen überwachen
Managed Security Services können also ein Mittel der Wahl sein, um die Datensicherheit zu steigern. Ein Ersatz für interne Bemühungen um Datenschutz und Datensicherheit sind sie jedoch nicht.
