IT-Grundschutz-Kompendium Edition 2021
Dieses Dokument ist Teil der Anfrage „Sicherheit des Bürgerportals“
OPS.2.2 OPS.2: Betrieb von Dritten 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein OPS.2.2 Cloud-Nutzung exemplarische Vorschläge für Anforderungen aufge- führt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZ- BEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. OPS.2.2.A15 Sicherstellung der Portabilität von Cloud-Diensten [Fachverantwortliche] (H) Der Cloud-Kunde SOLLTE alle Anforderungen definieren, die es ermöglichen, einen Cloud-Diensteanbieter zu wechseln oder den Cloud-Dienst bzw. die Daten in die eigene IT-Infrastruktur zurückzuholen. Zudem SOLLTE der Cloud-Kunde regelmäßig Portabilitätstests durchführen. Im Vertrag mit dem Cloud-Diensteanbieter SOLLTEN Vor- gaben festgehalten werden, mit denen sich die notwendige Portabilität gewährleisten lässt. OPS.2.2.A16 Durchführung eigener Datensicherungen [Fachverantwortliche] (H) Der Cloud-Kunde SOLLTE prüfen, ob, zusätzlich zu den vertraglich festgelegten Datensicherungen des Cloud- Diensteanbieters, eigene Datensicherungen erstellt werden sollen. Zudem SOLLTE er detaillierte Anforderungen an einen Backup-Service erstellen. OPS.2.2.A17 Einsatz von Verschlüsselung bei Cloud-Nutzung (H) Wenn Daten durch einen Cloud-Diensteanbieter verschlüsselt werden, SOLLTE vertraglich geregelt werden, welche Verschlüsselungsmechanismen und welche Schlüssellängen eingesetzt werden dürfen. Wenn eigene Verschlüsse- lungsmechanismen genutzt werden, SOLLTE ein geeignetes Schlüsselmanagement sichergestellt sein. Bei der Ver- schlüsselung SOLLTEN die eventuellen Besonderheiten des gewählten Cloud-Service-Modells berücksichtigt wer- den. OPS.2.2.A18 Einsatz von Verbunddiensten [Fachverantwortliche] (H) Es SOLLTE geprüft werden, ob bei einem Cloud-Nutzungs-Vorhaben Verbunddienste (Federation Services) einge- setzt werden. Es SOLLTE sichergestellt sein, dass in einem SAML (Security Assertion Markup Language)-Ticket nur die erforderli- chen Informationen an den Cloud-Diensteanbieter übertragen werden. Die Berechtigungen SOLLTEN regelmäßig überprüft werden, sodass nur berechtigten Benutzern ein SAML-Ticket ausgestellt wird. OPS.2.2.A19 Sicherheitsüberprüfung von Mitarbeitern [Personalabteilung] (H) Mit externen Cloud-Diensteanbietern SOLLTE vertraglich vereinbart werden, dass in geeigneter Weise überprüft wird, ob das eingesetzte Personal qualifiziert und vertrauenswürdig ist. Dazu SOLLTEN gemeinsam Kriterien festge- legt werden. 4 Weiterführende Informationen 4.1 Wissenswertes Das BSI beschreibt in seiner Publikation „Anforderungskatalog Cloud Computing (C5)“ Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten. Die Cloud Security Alliance (CSA) gibt in ihrer Publikationen „Security Guidance for Critical Areas of Focus in Cloud Computing“ Empfehlungen zur Nutzung von Cloud-Diensten. Das National Institute of Standards and Technology (NIST) gibt in der NIST Special Publication 800-144 „Guidelines on Security and Privacy in Public Cloud Computing“ Empfehlungen zur Nutzung von Cloud-Diensten. Die European Union Agency for Network and Information Security (ENISA) hat folgendes weiterführendes Doku- ment „Cloud Computing: Benefits, Risks and Recommendations for Information Security“ zum Themenfeld Cloud Computing veröffentlicht. Das Infomation Security Forum (ISF) macht in seinem Standard „The Standard of Good Practice for Information Security“ in Kapitel SC 2 – Cloud Computing – Vorgaben zur Nutzung von Cloud-Diensten. IT-Grundschutz-Kompendium: Stand Februar 2021 7
OPS.2: Betrieb von Dritten OPS.2.2 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die folgenden elementaren Gefährdungen sind für den Baustein OPS.2.2 Cloud-Nutzung von Bedeutung. G 0.9 Ausfall oder Störung von Kommunikationsnetzen G 0.11 Ausfall oder Störung von Dienstleistern G 0.14 Ausspähen von Informationen (Spionage) G 0.15 Abhören G 0.18 Fehlplanung oder fehlende Anpassung G 0.19 Offenlegung schützenswerter Informationen G 0.25 Ausfall von Geräten oder Systemen G 0.26 Fehlfunktion von Geräten oder Systemen G 0.29 Verstoß gegen Gesetze oder Regelungen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen G 0.32 Missbrauch von Berechtigungen G 0.35 Nötigung, Erpressung oder Korruption G 0.36 Identitätsdiebstahl G 0.41 Sabotage G 0.45 Datenverlust 8 IT-Grundschutz-Kompendium: Stand Februar 2021
Elementare Gefährdungen CIA- G 0.9 G 0.11 G 0.14 G 0.15 G 0.18 G 0.19 G 0.25 G 0.26 G 0.29 G 0.30 G 0.31 G 0.32 G 0.35 G 0.36 G 0.41 G 0.45 Werte Anforderungen OPS.2.2 OPS.2.2.A1 X X OPS.2.2.A2 X X OPS.2.2.A3 X OPS.2.2.A4 X OPS.2.2.A5 X X X X X OPS.2.2.A6 X X X X OPS.2.2.A7 X X X X X X X X OPS.2.2.A8 X X X OPS.2.2.A9 X X X OPS.2.2.A10 X X X X OPS.2.2.A11 X X X X X OPS.2.2.A12 X IT-Grundschutz-Kompendium: Stand Februar 2021 OPS.2.2.A13 X X X X X X X X X OPS.2.2.A14 X OPS.2.2.A15 A X X OPS.2.2.A16 A X X OPS.2.2.A17 A X X OPS.2.2.A18 CIA X X OPS.2.2.A19 CIA X X X X 9 OPS.2: Betrieb von Dritten
OPS.2: Betrieb von Dritten OPS.2.2 10 IT-Grundschutz-Kompendium: Stand Februar 2021
OPS.3.1 OPS.3: Betrieb für Dritte OPS.3.1: Outsourcing für Dienstleister 1 Beschreibung 1.1 Einleitung Beim Outsourcing übernehmen Outsourcing-Dienstleister Geschäftsprozesse und Dienstleistungen ganz oder teil- weise von auslagernden Institutionen, den Outsourcing-Kunden. Outsourcing kann die Nutzung und den Betrieb von Hard- und Software betreffen, wobei die Leistung in den Räumlichkeiten des Outsourcing-Kundens oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht werden kann. Typische Beispiele sind der Be- trieb eines Rechenzentrums, einer Applikation oder einer Webseite. Outsourcing ist ein Oberbegriff, der oftmals durch weitere Begriffe ergänzt wird, wie Hosting, Housing oder Colocation. Unabhängig davon, welche Dienstleistungen übernommen werden, ist eine enge Bindung zwischen dem Outsour- cing-Dienstleister und dem Outsourcing-Kunden notwendig. So bleibt der Outsourcing-Dienstleister nicht von den Risiken der Outsourcing-Beziehung verschont. Zudem muss er die vom Outsourcing-Kunden festgelegten risiko- mindernden Sicherheitsanforderungen umsetzen (siehe Baustein OPS.2.1 Outsourcing für Kunden). Denn es liegt auch im Interesse des Outsourcing-Dienstleisters, die vereinbarte Leistung zu erbringen und das vereinbarte Sicher- heitsniveau einzuhalten. Werden an ihn gestellte Anforderungen nicht erfüllt, drohen mitunter hohe Vertragsstra- fen und gegebenenfalls weitere juristische Folgen. Diese können nicht nur finanzielle Auswirkungen haben, son- dern auch die Reputation nachhaltig schädigen. 1.2 Zielsetzung Der Baustein beschreibt die Anforderungen für den Outsourcing-Dienstleister, damit er das Sicherheitsniveau der auslagernden Institution erfüllen bzw. für ihn unkontrollierbare Risiken vermeiden kann, die sich aus der Geschäfts- beziehung ergeben. Den Schwerpunkt dieses Bausteins bilden Anforderungen, die sich mit der Planung, Umset- zung, Kontrolle und Steuerung von Informationssicherheitsaspekten im Rahmen eines Outsourcings aus Sicht des Dienstleisters beschäftigen. 1.3 Abgrenzung und Modellierung Der Baustein OPS.3.1 Outsourcing für Dienstleister ist aus Sicht des Dienstleisters auf jeden Outsourcing-Kunden anzuwenden, der Dienstleistungen vom Outsourcing-Dienstleister bezieht. Der Baustein enthält Sicherheitsanforderungen, die Dienstleister erfüllen sollten, wenn sie Outsourcing-Dienstleis- tungen anbieten. Die Absicherung der Übertragungswege zwischen dem Dienstleister und dem Kunden von Outsourcing-Dienstleis- tungen wird in diesem Baustein nicht betrachtet. Die Nutzung von Outsourcing-Dienstleistungen aus Sicht des Kunden wird im Baustein OPS.2.1 Outsourcing für Kunden behandelt. IT-Grundschutz-Kompendium: Stand Februar 2021 1
OPS.3: Betrieb für Dritte OPS.3.1 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein OPS.3.1 Outsourcing für Dienstleister von besonderer Bedeutung: 2.1 Ausfall eines Weitverkehrsnetzes (WAN) Outsourcing-Dienstleister, deren Leistung nicht vor Ort beim Kunden erbracht wird, sind in hohem Maß von der Verfügbarkeit von Weitverkehrsnetzen (Wide Area Networks, WAN) abhängig. Aus wirtschaftlichen Gründen wer- den die Dienstleistungen meistens von wenigen zentralen Standorten aus erbracht. Die Anbindung zum Outsour- cing-Kunden erfolgt dann über diese Weitverkehrsnetze. Der Ausfall eines Weitverkehrsnetzes kann also dazu füh- ren, dass die ausgelagerten Dienstleistungen nicht mehr erbracht werden können. 2.2 Fehlende oder unzureichende Regelungen zur Informationssicherheit Im Rahmen eines Outsourcings erhalten und verarbeiten Outsourcing-Dienstleister große Mengen an Informatio- nen der Outsourcing-Kunden. Abhängig vom Schutzbedarf der zu verarbeitenden Informationen können fehlende oder unzureichende Regelungen Schäden verursachen, z. B. wenn Zuständigkeiten unklar sind. Dies ist beispiels- weise dann der Fall, wenn bei technischen, organisatorischen oder personellen Änderungen die Regelungen und Anweisungen nicht aktualisiert werden, etwa wenn sich ein Ansprechpartner ändert. Das Spektrum von unzurei- chenden Regelungen reicht dabei von unklaren Zuständigkeiten und Kontrollfunktionen über unverständlich oder zusammenhanglos formulierte Vorgaben bis hin zu komplett fehlenden Regelungen. 2.3 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten Je nach Outsourcing-Vorhaben kann es erforderlich sein, dass die Mitarbeiter des Outsourcing-Kunden Zutritts-, Zugangs- und Zugriffsrechte zu IT-Systemen, Informationen, Gebäuden oder Räumen des Outsourcing-Dienstleis- ters benötigen. Wenn diese Rechte beim Outsourcing-Dienstleister mangelhaft vergeben, verwaltet und kontrol- liert werden, kann das zu weitreichenden Sicherheitsproblemen führen. Wenn etwa die Prozesse zur Rechtever- gabe zu komplex sind, kann es zu lange dauern, bis die Mitarbeiter des Outsourcing-Kunden die dringend erforder- lichen Rechte erhalten. Wenn der IT-Betrieb seinen Mandanten auf der anderen Seite zu viele Rechte einräumt, könnten diese dadurch auch auf Bereiche anderer Mandanten zugreifen. 2.4 Fehlendes oder unzureichendes Test- und Freigabeverfahren Hat ein Outsourcing-Dienstleister kein ausreichendes Test- und Freigabeverfahren für die verantwortete Hard- und Software etabliert, so stellt dies eine erhebliche Gefährdung des IT-Betriebs dar. Vorhandene Fehler in der Hard- und Software oder Sicherheitslücken in der Konfiguration werden so eventuell nicht oder nicht rechtzeitig erkannt. Wenn neue Komponenten in die Betriebsumgebung eingebracht werden, ohne dass sie vorher ausreichend getes- tet wurden, könnten sich Fehler oder Sicherheitslücken aus dem Bereich eines Mandanten auch bei anderen Kun- den negativ auswirken. Wenn unzureichende Test- und Freigabeverfahren zu Sicherheitsvorfällen führen, ist der notwendige Schutz der Kundendaten nicht mehr gewährleistet. Das kann finanzielle Auswirkungen haben, wenn z. B. das Vertragsverhält- nis gekündigt wird oder Vertragsstrafen gezahlt werden müssen. 2.5 Ungesicherter Akten- und Datenträgertransport Outsourcing-Dienstleister verarbeiten oft große Datenmengen der auslagernden Institution. Werden Akten, Doku- mente und Datenträger aber nicht dem Schutzbedarf dieser Informationen entsprechend transportiert, können er- hebliche Schäden sowohl für die auslagernde Institution als auch für den Outsourcing-Dienstleister entstehen. Das kann der Fall sein, wenn Informationen unterwegs manipuliert werden, von unautorisierten Personen eingesehen werden können oder aber verloren gehen. Das wiederum kann zu erheblichen Problemen in der Geschäftsbezie- hung zwischen Outsourcing-Kunden und -Dienstleister führen. 2 IT-Grundschutz-Kompendium: Stand Februar 2021
OPS.3.1 OPS.3: Betrieb für Dritte 2.6 Unzureichendes Informationssicherheitsmanagement beim Outsourcing-Dienstleister Ein unzureichend etabliertes oder nicht angemessen umgesetztes Informationssicherheitsmanagement seitens des Outsourcing-Dienstleisters birgt erhebliche Risiken. Problematisch ist es etwa, wenn niemand die Gesamtverant- wortung für das Thema Informationssicherheit übernimmt, die Leitungsebene das Thema nicht ausreichend unter- stützt, die strategischen und konzeptionellen Vorgaben mangelhaft sind oder der Sicherheitsprozess intransparent ist. Ist die gesamte Informationssicherheit beim Outsourcing-Dienstleister schlecht organisiert, besteht für ihn das Risiko, dass er die Anforderungen der auslagernden Institution nicht erfüllen kann. 2.7 Unzulängliche vertragliche Regelungen mit einem Outsourcing-Kunden Aufgrund von unzulänglichen vertraglichen Regelungen erbringt ein Outsourcing-Dienstleister manchmal eine Dienstleistung nicht so, wie es nötig wäre, um das Sicherheitsniveau des Outsourcing-Kunden aufrechtzuerhalten. Ist der Outsourcing-Dienstleister aber nicht ausreichend über den Schutzbedarf und die Anforderungen an die Si- cherheit ausgelagerter Daten oder Systeme informiert, kann er sie nicht angemessen schützen. 2.8 Unzureichende Regelungen für das Ende eines Outsourcings Wird ein Vertrag für Outsourcing ohne angemessene Regelung aufgelöst, können Konflikte eintreten, wenn die Geschäftsbeziehung beendet wird. So könnte es passieren, dass der Outsourcing-Dienstleister Informationen des Outsourcing-Kunden unwiderruflich löscht, bevor diese vollständig und korrekt zum Kunden übertragen wurden. Ist das der Fall, kann dies Strafzahlungen für den Dienstleister nach sich ziehen. 2.9 Unzureichendes Notfallkonzept beim Outsourcing Hat ein Outsourcing-Dienstleister kein ausreichendes Notfallkonzept, können unter Umständen die vertraglich ver- einbarten IT-Systeme und Anwendungen im Notfall nicht oder nur eingeschränkt genutzt werden. Dies hat zur Folge, dass die darauf basierenden Geschäftsprozesse nicht zur Verfügung stehen und die vertraglich vereinbarten Dienstleistungen nicht erbracht werden können. 2.10 Ausfall der Systeme eines Outsourcing-Dienstleisters Bei einem Outsourcing-Dienstleister können die dort betriebenen IT-Systeme und Prozesse teilweise oder ganz aus- fallen, wodurch auch der Outsourcing-Kunde betroffen ist. Sind die Mandanten beim Outsourcing-Dienstleister nicht ausreichend getrennt, kann dies auch zu Problemen führen. So kann unter Umständen auch der Ausfall eines Systems, das nicht dem Outsourcing-Kunden zugeordnet ist, dazu führen, dass der Outsourcing-Kunde seine ver- traglich zugesicherte Dienstleistung nicht mehr abrufen kann. Ähnliche Probleme ergeben sich, wenn die Anbin- dung zwischen Outsourcing-Dienstleister und -Kunde ausfällt. Dies bedeutet für den Outsourcing-Dienstleister, dass der Outsourcing-Kunde Schadensersatzansprüche geltend machen kann, falls dies vertraglich vereinbart wurde. 2.11 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister Wenn bei einem Outsourcing-Vorhaben die IT-Anbindung zwischen dem Outsourcing-Dienstleister und dem Out- sourcing-Kunden unzureichend abgesichert ist, kann die Vertraulichkeit und Integrität der übermittelten Daten ge- fährdet sein. Durch offene oder schlecht gesicherte Schnittstellen könnten sich Außenstehende zudem unautori- sierten Zugang zu den Systemen der beteiligten Institutionen verschaffen. 2.12 Social Engineering Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen, indem Mitarbeiter ausgehorcht werden. Diese können dadurch so manipuliert werden, dass sie unzulässig handeln. Mitarbeiter von Outsourcing-Dienstleistern können hier ein besonders lohnenswertes Ziel abgeben, da sie auf sehr viele Informationen unterschiedlicher Institutionen zugreifen können. IT-Grundschutz-Kompendium: Stand Februar 2021 3
OPS.3: Betrieb für Dritte OPS.3.1 2.13 Fehlende Mandantenfähigkeit beim Outsourcing-Dienstleister Outsourcing-Dienstleister haben in der Regel viele verschiedene Kunden, die auf die gleichen Ressourcen wie IT- Systeme, Netze oder Personal zurückgreifen. Sind die IT-Systeme und Daten der verschiedenen Outsourcing-Kun- den aber nicht ausreichend sicher voneinander getrennt, besteht die Gefahr, dass ein Kunde auf den Bereich eines anderen zugreifen kann. Außerdem könnten Interessenskonflikte beim Outsourcing-Dienstleister eintreten, wenn er parallel vergleichbare Forderungen an seine Ressourcen erfüllen muss. Sind die jeweiligen Outsourcing-Kunden auch noch Konkurrenten, kann dies besonders problematisch sein. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins OPS.3.1 Outsourcing für Dienstleister aufgeführt. Grundsätzlich ist der IT-Betrieb für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauf- tragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Grundsätzlich zuständig IT-Betrieb Weitere Zuständigkeiten Datenschutzbeauftragter, Institution, Institutionsleitung, Notfallbeauftragter, Personalabteilung, Zentrale Verwaltung 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein OPS.3.1 Outsourcing für Dienstleister vorrangig erfüllt werden: OPS.3.1.A1 Erstellung eines Grobkonzeptes für die Outsourcing-Dienstleistung (B) Für die angebotene Outsourcing-Dienstleistung MUSS ein Grobkonzept erstellt werden. Dieses Grobkonzept MUSS die Rahmenbedingungen des Outsourcings berücksichtigen, wie z. B. Sonderwünsche. Es MUSS grundsätzliche Fragen zum Sicherheitsniveau und zu den Sicherheitsanforderungen des Outsourcing-Kunden beantworten. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein OPS.3.1 Outsourcing für Dienstleister. Sie SOLLTEN grundsätzlich erfüllt werden. OPS.3.1.A2 Vertragsgestaltung mit den Outsourcing-Kunden (S) Alle Aspekte des Outsourcing-Vorhabens SOLLTEN mit dem Outsourcing-Kunden schriftlich geregelt sein. Es SOLL- TEN alle Verantwortlichkeiten und Mitwirkungspflichten zur Erstellung, Prüfung und Änderung (z. B. von Personen) im Rahmen des Vertragswerkes oder auch direkt im Sicherheitskonzept zwischen dem Outsourcing-Dienstleister und dem Outsourcing-Kunden geregelt sein. OPS.3.1.A3 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben (S) Der Outsourcing-Dienstleister SOLLTE für seine Dienstleistungen ein Sicherheitskonzept besitzen. Für individuelle Outsourcing-Vorhaben SOLLTE er außerdem spezifische Sicherheitskonzepte erstellen, die auf den Sicherheitsan- forderungen des Outsourcing-Kunden basieren. Zwischen Outsourcing-Dienstleister und Outsourcing-Kunden SOLLTEN gemeinsame Sicherheitsziele erarbeitet werden. Es SOLLTE außerdem eine gemeinsame Klassifikation für alle schutzbedürftigen Informationen erstellt werden. Es SOLLTE regelmäßig überprüft werden, ob das Sicherheits- konzept auch umgesetzt wird. OPS.3.1.A4 Festlegung der möglichen Kommunikationspartner [Zentrale Verwaltung, Datenschutzbeauftragter] (S) Es SOLLTE zwischen Outsourcing-Dienstleister und -Kunde festgelegt werden, welche internen und externen Kom- munikationspartner welche Informationen über das jeweilige Outsourcing-Projekt übermitteln und erhalten dür- 4 IT-Grundschutz-Kompendium: Stand Februar 2021
OPS.3.1 OPS.3: Betrieb für Dritte fen. Es SOLLTE regelmäßig geprüft werden, ob die Kommunikationspartner noch aktuell in ihrer Funktion beschäf- tigt sind. Die Berechtigungen SOLLTEN bei Änderungen angepasst werden. Zwischen den Outsourcing-Partnern SOLLTE geregelt sein, nach welchen Kriterien welcher Kommunikationspartner welche Informationen erhalten darf. OPS.3.1.A5 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleisters [Personalabteilung] (S) Mitarbeiter des Outsourcing-Dienstleisters SOLLTEN geregelt in ihre Aufgaben eingewiesen und über bestehende Regelungen zur Informationssicherheit des Outsourcing-Kunden unterrichtet werden. Soweit es gefordert ist, SOLLTEN die Mitarbeiter des Outsourcing-Dienstleisters nach Vorgaben des Kunden überprüft werden, z. B. durch ein Führungszeugnis. Die Mitarbeiter des Outsourcing-Dienstleisters SOLLTEN schriftlich dazu verpflichtet werden, einschlägige Gesetze, Vorschriften, Vertraulichkeitsvereinbarungen und interne Regelungen einzuhalten. Es SOLLTE Vertretungsregelungen in allen Bereichen geben. OPS.3.1.A6 Regelungen für den Einsatz von Fremdpersonal [Personalabteilung] (S) Setzt der Outsourcing-Dienstleister externes Personal ein, SOLLTE der Outsourcing-Kunde darüber informiert wer- den. Auch externe Mitarbeiter mit Aufgaben im Bereich Outsourcing SOLLTEN schriftlich dazu verpflichtet werden, einschlägige Gesetze, Vorschriften und interne Regelungen einzuhalten. Sie SOLLTEN in ihre Aufgaben und vor al- lem in die Sicherheitsvorgaben eingewiesen werden. Kurzfristig oder einmalig eingesetztes Fremdpersonal SOLLTE wie Besucher behandelt werden. Die Sicherheitsvorgaben des Kunden SOLLTEN jedoch auch bei Fremdpersonal berücksichtigt werden. OPS.3.1.A7 Erstellung eines Mandantentrennungskonzeptes durch den Outsourcing-Dienstleister (S) Durch ein geeignetes Mandantentrennungskonzept SOLLTE sichergestellt werden, dass Anwendungs- und Daten- kontexte verschiedener Outsourcing-Kunden sauber getrennt sind. Das Mandantentrennungskonzept SOLLTE durch den Outsourcing-Dienstleister erstellt und dem Outsourcing-Kunden zur Verfügung gestellt werden. Das Mandantentrennungskonzept SOLLTE für den Schutzbedarf des Outsourcing-Kunden angemessene Sicherheit bie- ten. Die benötigten Mechanismen zur Mandantentrennung beim Outsourcing-Dienstleister SOLLTEN ausreichend umgesetzt sein. OPS.3.1.A8 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner (S) Vor der Anbindung des eigenen Netzes an das Netz eines Outsourcing-Kunden SOLLTEN alle sicherheitsrelevanten Aspekte in einer Vereinbarung schriftlich festgelegt werden. Es SOLLTE definiert werden, wer aus dem einen Daten- netz auf welche Bereiche und Dienste des jeweils anderen Datennetzes zugreifen darf. Es SOLLTEN auf jeder Seite Ansprechpartner sowohl für organisatorische als auch für technische Fragen zur Netzanbindung benannt werden. Auf beiden Seiten SOLLTEN alle identifizierten Sicherheitslücken beseitigt und das geforderte Sicherheitsniveau nachweislich erreicht sein, bevor die Netzanbindung aktiviert wird. Für den Fall von Sicherheitsproblemen auf einer der beiden Seiten SOLLTE festgelegt sein, wer darüber zu informieren ist und welche Eskalationsschritte einzuleiten sind. OPS.3.1.A9 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern (S) Für den regelmäßigen Datenaustausch mit festen Kommunikationspartnern der Outsourcing-Partner SOLLTEN die erforderlichen Sicherheitsmaßnahmen vereinbart werden. Es SOLLTEN Datenformate und eine sichere Form des Da- tenaustauschs festgelegt werden. Ansprechpartner sowohl für organisatorische als auch technische Probleme SOLLTEN benannt werden. Auch für sicherheitsrelevante Ereignisse beim Datenaustausch mit Dritten SOLLTE es ge- eignete Ansprechpartner geben. Verfügbarkeiten und Reaktionszeiten beim Datenaustausch mit Dritten SOLLTEN vereinbart werden. Es SOLLTE zudem festgelegt werden, welche ausgetauschten Daten zu welchen Zwecken ge- nutzt werden dürfen. OPS.3.1.A10 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb (S) Die Sicherheitskonzepte der Outsourcing-Partner SOLLTEN regelmäßig daraufhin überprüft werden, ob sie noch aktuell und zueinander konsistent sind. Der Status der vereinbarten Sicherheitsmaßnahmen SOLLTE regelmäßig kontrolliert werden. Die Outsourcing-Partner SOLLTEN angemessen kooperieren. Hierüber hinaus SOLLTEN sie sich regelmäßig zu Änderungen und Verbesserungen abstimmen. IT-Grundschutz-Kompendium: Stand Februar 2021 5
OPS.3: Betrieb für Dritte OPS.3.1 Die Outsourcing-Partner SOLLTEN regelmäßig gemeinsame Übungen und Tests durchführen. Informationen über Sicherheitsrisiken und wie damit umgegangen wird SOLLTEN regelmäßig zwischen den Outsourcing-Partnern aus- getauscht werden. Es SOLLTE ein Prozess festgelegt werden, der den Informationsfluss bei Sicherheitsvorfällen si- cherstellt, welche die jeweiligen Vertragspartner betreffen. OPS.3.1.A11 Zutritts-, Zugangs- und Zugriffskontrolle [Zentrale Verwaltung] (S) Zutritts-, Zugangs- und Zugriffsberechtigungen SOLLTEN geregelt sein, sowohl für das Personal des Outsourcing- Dienstleisters als auch für die Mitarbeiter der Outsourcing-Kunden. Es SOLLTE ebenfalls geregelt sein, welche Be- rechtigungen Auditoren und andere Prüfer erhalten. Es SOLLTEN immer nur so viele Rechte vergeben werden, wie für die Wahrnehmung einer Aufgabe nötig ist. Es SOLLTE ein geregeltes Verfahren für die Vergabe, die Verwaltung und den Entzug von Berechtigungen geben. OPS.3.1.A12 Änderungsmanagement [Institution] (S) Es SOLLTE Richtlinien für Änderungen an IT-Komponenten, Software oder Konfigurationsdaten geben. Bei Ände- rungen SOLLTEN auch Sicherheitsaspekte berücksichtigt werden. Alle Änderungen SOLLTEN geplant, getestet, ge- nehmigt und dokumentiert werden. Auf welche Weise und in welchem Umfang die Änderungen dokumentiert werden, SOLLTE mit dem Outsourcing-Kunden abgestimmt werden. Die Dokumentation SOLLTE dem Outsourcing- Kunden zur Verfügung gestellt werden. Es SOLLTEN Rückfall-Lösungen erarbeitet werden, bevor Änderungen durchgeführt werden. Bei größeren, sicherheitsrelevanten Änderungen SOLLTE das Informationssicherheitsmana- gement der auslagernden Institution schon im Vorfeld beteiligt werden. OPS.3.1.A13 Sichere Migration bei Outsourcing-Vorhaben (S) Für die Migrationsphase SOLLTE ein Sicherheitsmanagement-Team aus qualifizierten Mitarbeitern des Outsourcing- Kunden und des Outsourcing-Dienstleisters eingerichtet werden. Für die Migrationsphase SOLLTE eine Sicherheits- konzeption erstellt werden. Nach Abschluss der Migration SOLLTE das Sicherheitskonzept aktualisiert werden. Es SOLLTE sichergestellt sein, dass alle Ausnahmeregelungen am Ende der Migrationsphase aufgehoben werden. Bei Änderungen in der Migrationsphase SOLLTE geprüft werden, ob vertragliche Grundlagen und bestehende Doku- mente angepasst werden müssen. OPS.3.1.A14 Notfallvorsorge beim Outsourcing [Notfallbeauftragter] (S) Es SOLLTE ein Notfallkonzept zum Outsourcing geben, das die Komponenten beim Outsourcing-Kunden, beim Outsourcing-Dienstleister sowie die zugehörigen Schnittstellen umfasst. Im Notfallvorsorgekonzept zum Outsour- cing SOLLTEN die Zuständigkeiten, Ansprechpartner und Abläufe zwischen Outsourcing-Kunden und Outsourcing- Dienstleister geregelt sein. Es SOLLTEN regelmäßig gemeinsame Notfallübungen durchgeführt werden. OPS.3.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses [Institutionsleitung] (S) Wird das Vertragsverhältnis mit dem Outsourcing-Kunden beendet, SOLLTE weder dessen noch die eigene Ge- schäftstätigkeit beeinträchtigt werden. Der Outsourcing-Vertrag mit dem Outsourcing-Kunden SOLLTE alle Aspekte zur Beendigung des Dienstleistungsverhältnisses regeln, sowohl für ein geplantes als auch für eine ungeplantes Ende des Vertragsverhältnisses. Der Outsourcing-Dienstleister SOLLTE alle Informationen und Daten des Outsour- cing-Kunden an diesen übergeben. Beim Outsourcing-Dienstleister SOLLTEN danach alle Datenbestände des Kun- den sicher gelöscht werden. Alle Berechtigungen, die im Rahmen des Outsourcing-Projekts eingerichtet wurden, SOLLTEN überprüft und, wenn erforderlich, gelöscht werden. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein OPS.3.1 Outsourcing für Dienstleister exemplarische Vorschläge für Anforde- rungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖH- TEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risi- koanalyse. OPS.3.1.A16 Sicherheitsüberprüfung von Mitarbeitern [Personalabteilung] (H) Die Vertrauenswürdigkeit von neuen Mitarbeitern und externem Personal beim Outsourcing-Dienstleister SOLLTE durch geeignete Nachweise überprüft werden. Hierzu SOLLTEN gemeinsam mit dem Outsourcing-Kunden vertrag- lich Kriterien vereinbart werden. 6 IT-Grundschutz-Kompendium: Stand Februar 2021
