Je strategischer die IT-Sicherheit für Unternehmen wird, desto mehr wächst die Besorgnis darüber, wie sicher Firmendaten in den Händen von IT-Dienstleistern sind.
Cybersicherheit und Datenschutz gehören daher mittlerweile zu den schwierigsten Themen bei Outsourcing-Vertragsverhandlungen. Das sagte die Anwältin Rebecca Eisner, Partner bei Mayer Brown in Chicago, gegenüber der Fachpublikation „CIO“. Auf der einen Seite versuchten die Anbieter, aus Angst vor enormen Vertragsstrafen ihre Verantwortlichkeit zu reduzieren. Anderseits machten sich die Kunden ebenso Gedanken, vor allem da, wo Dienstleister nicht die gleichen Anreize wie ihre Kunden hätten, um die Kundendaten zu schützen – und auch, weil die negativen Auswirkungen von Sicherheitsvorfällen für den Kunden stets deutlich gravierender seien als für den Lieferanten.
Gleichzeitig erschwere die sich ständig ändernde Regulierung für beide Seiten das Bewerten der Risiken. Erschwerend komme noch die zunehmend komplexere und geografisch verstreutere IT-Landschaft hinzu, so Eisner weiter. Zu Zeiten, als Unternehmensdaten noch ein einem oder wenigen zentralen Rechenzentren lagerten, ließ sich der Perimeter noch halbwegs absichern. Heute im Zeitalter von Clouds und mobilen Endgeräten sehe das anders aus. „Die Zugangs- und möglichen Punkte für Sicherheitsfehler multiplizieren sich mit diesem ständig wachsenden Ökosystem“, erläutert Expertin Eisner. „Hinzu kommt, dass viele dieser Systeme von Drittanbietern bereitgestellt oder betreut werden.“
CIOs müssten daher bei der Auswahl, Beauftragung und Kontrolle ihrer IT-Dienstleister einen Risk-Management-Ansatz verfolgen. Eisner gibt ihnen dazu sechs Tipps mit auf den Weg, wie sie in ihren IT Supplier Relationships Datenschutz und IT-Sicherheit erhöhen können:
- Verstehen, welche Lieferanten die wichtigsten oder am stärksten regulierten Daten des Unternehmens verarbeiten oder Zugang dazu haben – und auf Daten, welche die „Kronjuwelen“ der Firma sind.
- Mit den Security-, Vendor-Management- und Legal-Teams zusammenarbeiten und herausfinden, welche Supplier Relations die größten Risiken bergen, damit man den entsprechenden Outsourcing-Anbietern gebührend Aufmerksamkeit und Ressourcen widmen kann.
- Bestehende Verträge durch die Brille der aktuellen und wohldefinierten Sicherheits- und Datenschutz-Anforderungen betrachten, gegebenenfalls ergänzen, um Schutzlücken zu schließen.
- Sicherstellen, dass die Vendor-Management-, Compliance- oder Security-Mannschaft der IT die hoch riskanten Dienstleister überwacht und dabei die Fragebögen zum Security Assessment jährlich oder alle zwei Jahre aktualisiert; Audit-Berichte, Zertifikate und Pentests prüft und, falls angebracht, Ortstermine und Security Reviews durchführt.
- Die Standard-Klauseln des Unternehmens zu Sicherheit und Datenschutz regelmäßig mit Rechtsbeistand überprüfen und sicherstellen, dass sie aktuell bleiben. Eisner verweist in diesem Zusammenhang ausdrücklich auf die neue EU-Datenschutz-Grundverordnung (DSGVO), die 2018 in Kraft tritt.
- Chefetage, Mitarbeiter und ggf. Aufsichtsgremien des Unternehmens über Sicherheits- und Datenschutzrisiken – inklusive derer im Zusammenhang der Beziehungen zu Dritten – aufklären und die Schritte verständlich machen, die sie einleiten können, um die Risiken zu verringern.
Mit Retarus als Dienstleister für die Informationslogistik sind Sie auf der sicheren Seite. Unsere weltweit verteilten eigenen Rechenzentren erfüllen strengste Anforderungen an Datenschutz und Datensicherheit. Ihre Daten verarbeiten wir ausschließlich nach den für Ihr Unternehmen geltenden lokalen Anforderungen und Datenschutzbestimmungen. Retarus setzt auf ein strenges internes Kontrollsystem, das laufend von einer renommierten Wirtschaftsprüfungsgesellschaft auditiert wird. Bei Bedarf ermöglichen wir gerne auch Ihren Auditoren den persönlichen Zugang zu Rechenzentren und den erforderlichen Einblick in relevante Prozesse. Weitere Informationen erhalten Sie direkt bei Ihrem Ansprechpartner vor Ort.