IT-Grundschutz-Kompendium – Februar 2020
Dieses Dokument ist Teil der Anfrage „Sicherheit des Bürgerportals“
OPS.2: Betrieb von Dritten OPS.2.2 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die folgenden elementaren Gefährdungen sind für den Baustein OPS.2.2 Cloud-Nutzung von Bedeutung. G 0.9 Ausfall oder Störung von Kommunikationsnetzen G 0.11 Ausfall oder Störung von Dienstleistern G 0.14 Ausspähen von Informationen (Spionage) G 0.15 Abhören G 0.18 Fehlplanung oder fehlende Anpassung G 0.19 Offenlegung schützenswerter Informationen G 0.22 Manipulation von Informationen G 0.25 Ausfall von Geräten oder Systemen G 0.26 Fehlfunktion von Geräten oder Systemen G 0.29 Verstoß gegen Gesetze oder Regelungen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.32 Missbrauch von Berechtigungen G 0.35 Nötigung, Erpressung oder Korruption G 0.40 Verhinderung von Diensten (Denial of Service) G 0.45 Datenverlust Elementare CIA- G 0.9 G 0.11 G 0.14 G 0.15 G 0.18 G 0.19 G 0.22 G 0.25 G 0.26 G 0.29 G 0.30 G 0.32 G 0.35 G 0.40 G 0.45 Gefährdungen Werte Anforderungen OPS.2.2.A1 X X X OPS.2.2.A2 X X X X X X X X X X X X X X X OPS.2.2.A3 X X OPS.2.2.A4 X X X OPS.2.2.A5 X X X X OPS.2.2.A6 X X X X OPS.2.2.A7 X X X X X X X X X X X X X X X OPS.2.2.A8 X OPS.2.2.A9 X X X OPS.2.2.A10 X X X X OPS.2.2.A11 X X X X OPS.2.2.A12 X X X X X X OPS.2.2.A13 X X X X X X OPS.2.2.A14 X OPS.2.2.A15 A X X X OPS.2.2.A16 IA X X OPS.2.2.A17 IA X X OPS.2.2.A18 CIA X X OPS.2.2.A19 CIA X X X X X X 8 IT-Grundschutz-Kompendium: Stand Februar 2020
OPS.3.1 OPS.3: Betrieb für Dritte OPS.3.1: Outsourcing für Dienstleister 1 Beschreibung 1.1 Einleitung Beim Outsourcing übernehmen Outsourcing-Dienstleister Geschäftsprozesse und Dienstleistungen ganz oder teil- weise von auslagernden Institutionen, den Outsourcing-Kunden. Outsourcing kann die Nutzung und den Betrieb von Hard- und Software betreffen, wobei die Leistung in den Räumlichkeiten des Outsourcing-Kundens oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht werden kann. Typische Beispiele sind der Be- trieb eines Rechenzentrums, einer Applikation oder einer Webseite. Outsourcing ist ein Oberbegriff, der oftmals durch weitere Begriffe ergänzt wird wie Hosting, Housing oder Colocation. Unabhängig davon, welche Dienstleistungen übernommen werden, ist eine enge Bindung zwischen dem Outsour- cing-Dienstleister und dem Outsourcing-Kunden notwendig. So bleibt der Outsourcing-Dienstleister nicht von den Risiken der Outsourcing-Beziehung verschont. Zudem muss er die vom Outsourcing-Kunden festgelegten risiko- mindernden Sicherheitsanforderungen umsetzen (siehe Baustein OPS.2.1 Outsourcing für Kunden). Denn es liegt auch im Interesse des Outsourcing-Dienstleisters, die vereinbarte Leistung zu erbringen und das vereinbarte Sicher- heitsniveau einzuhalten. Werden an ihn gestellte Anforderungen nicht erfüllt, drohen mitunter hohe Vertragsstra- fen und gegebenenfalls weitere juristische Folgen. Diese können nicht nur finanzielle Auswirkungen haben, son- dern auch die Reputation nachhaltig schädigen. 1.2 Zielsetzung Der Baustein beschreibt die Anforderungen für den Outsourcing-Dienstleister, damit er das Sicherheitsniveau der auslagernden Institution erfüllen bzw. für ihn unkontrollierbare Risiken vermeiden kann, die sich aus der Geschäfts- beziehung ergeben. Den Schwerpunkt dieses Bausteins bilden Anforderungen, die sich mit der Planung, Umset- zung, Kontrolle und Steuerung von Informationssicherheitsaspekten im Rahmen eines Outsourcings aus Sicht des Dienstleisters beschäftigen. 1.3 Abgrenzung und Modellierung Der Baustein OPS.3.1 Outsourcing für Dienstleister ist aus Sicht des Dienstleisters auf jeden Outsourcing-Kunden anzuwenden, der Dienstleistungen vom Outsourcing-Dienstleister bezieht. Der Baustein enthält Sicherheitsanforderungen, die Dienstleister erfüllen sollten, wenn sie Outsourcing-Dienstleis- tungen anbieten. Die Absicherung der Übertragungswege zwischen dem Dienstleister und dem Kunden von Outsourcing-Dienstleis- tungen wird in diesem Baustein nicht betrachtet. Die Nutzung von Outsourcing-Dienstleistungen aus Sicht des Kunden wird im Baustein OPS.2.1 Outsourcing für Kunden behandelt. IT-Grundschutz-Kompendium: Stand Februar 2020 1
OPS.3: Betrieb für Dritte OPS.3.1 2 Gefährdungslage Folgende spezifische Bedrohungen und Schwachstellen sind für den Baustein OPS.3.1 Outsourcing für Dienstleister von besonderer Bedeutung: 2.1 Ausfall eines Weitverkehrsnetzes (WAN) Outsourcing-Dienstleister, deren Leistung nicht vor Ort beim Kunden erbracht wird, sind in hohem Maß von der Verfügbarkeit von Weitverkehrsnetzen (Wide Area Networks, WAN) abhängig. Aus wirtschaftlichen Gründen wer- den die Dienstleistungen meistens von wenigen zentralen Standorten aus erbracht. Die Anbindung zum Outsour- cing-Kunden erfolgt dann über diese Weitverkehrsnetze. Der Ausfall eines Weitverkehrsnetzes kann also dazu füh- ren, dass die ausgelagerten Dienstleistungen nicht mehr erbracht werden können. 2.2 Fehlende oder unzureichende Regelungen zur Informationssicherheit Im Rahmen eines Outsourcings erhalten und verarbeiten Outsourcing-Dienstleister große Mengen an Informatio- nen der Outsourcing-Kunden. Abhängig vom Schutzbedarf der zu verarbeitenden Informationen können fehlende oder unzureichende Regelungen Schäden verursachen, z. B. wenn Zuständigkeiten unklar sind. Dies ist beispiels- weise dann der Fall, wenn bei technischen, organisatorischen oder personellen Änderungen die Regelungen und Anweisungen nicht aktualisiert werden, etwa wenn sich ein Ansprechpartner ändert. Das Spektrum von unzurei- chenden Regelungen reicht dabei von unklaren Zuständigkeiten und Kontrollfunktionen über unverständlich oder zusammenhanglos formulierte Vorgaben bis hin zu komplett fehlenden Regelungen. 2.3 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten Je nach Outsourcing-Vorhaben kann es erforderlich sein, dass die Mitarbeiter des Outsourcing-Kunden Zutritts-, Zugangs- und Zugriffsrechte zu IT-Systemen, Informationen, Gebäuden oder Räumen des Outsourcing-Dienstleis- ters benötigen. Wenn diese Rechte beim Outsourcing-Dienstleister mangelhaft vergeben, verwaltet und kontrol- liert werden, kann das zu weitreichenden Sicherheitsproblemen führen. Wenn etwa die Prozesse zur Rechtever- gabe zu komplex sind, kann es zu lange dauern, bis die Mitarbeiter des Outsourcing-Kunden die dringend erforder- lichen Rechte erhalten. Wenn der IT-Betrieb seinen Mandanten auf der anderen Seite zu viele Rechte einräumt, könnten diese dadurch auch auf Bereiche anderer Mandanten zugreifen. 2.4 Fehlendes oder unzureichendes Test- und Freigabeverfahren Hat ein Outsourcing-Dienstleister kein ausreichendes Test- und Freigabeverfahren für die verantwortete Hard- und Software etabliert, so stellt dies eine erhebliche Gefährdung des IT-Betriebs dar. Vorhandene Fehler in der Hard- und Software oder Sicherheitslücken in der Konfiguration werden so eventuell nicht oder nicht rechtzeitig erkannt. Wenn neue Komponenten in die Betriebsumgebung eingebracht werden, ohne dass sie vorher ausreichend getes- tet wurden, könnten sich Fehler oder Sicherheitslücken aus dem Bereich eines Mandanten auch bei anderen Kun- den negativ auswirken. Wenn unzureichende Test- und Freigabeverfahren zu Sicherheitsvorfällen führen, ist der notwendige Schutz der Kundendaten nicht mehr gewährleistet. Das kann finanzielle Auswirkungen haben, wenn z. B. das Vertragsverhält- nis gekündigt wird oder Vertragsstrafen gezahlt werden müssen. 2.5 Ungesicherter Akten- und Datenträgertransport Outsourcing-Dienstleister verarbeiten oft große Datenmengen der auslagernden Institution. Werden Akten, Doku- mente und Datenträger aber nicht dem Schutzbedarf dieser Informationen entsprechend transportiert, können er- hebliche Schäden sowohl für die auslagernde Institution als auch für den Outsourcing-Dienstleister entstehen. Das kann der Fall sein, wenn Informationen unterwegs manipuliert werden, von unautorisierten Personen eingesehen werden können oder aber verloren gehen. Das wiederum kann zu erheblichen Problemen in der Geschäftsbezie- hung zwischen Outsourcing-Kunden und -Dienstleister führen. 2.6 Unzureichendes Informationssicherheitsmanagement beim Outsourcing-Dienstleister Ein unzureichend etabliertes oder nicht angemessen umgesetztes Informationssicherheitsmanagement seitens des Outsourcing-Dienstleisters birgt erhebliche Risiken. Problematisch ist es etwa, wenn niemand die Gesamtverant- 2 IT-Grundschutz-Kompendium: Stand Februar 2020
OPS.3.1 OPS.3: Betrieb für Dritte wortung für das Thema Informationssicherheit übernimmt, die Leitungsebene das Thema nicht ausreichend unter- stützt, die strategischen und konzeptionellen Vorgaben mangelhaft sind oder der Sicherheitsprozess intransparent ist. Ist die gesamte Informationssicherheit beim Outsourcing-Dienstleister schlecht organisiert, besteht für ihn das Risiko, dass er die Anforderungen der auslagernden Institution nicht erfüllen kann. 2.7 Unzulängliche vertragliche Regelungen mit einem Outsourcing-Kunden Aufgrund von unzulänglichen vertraglichen Regelungen erbringt ein Outsourcing-Dienstleister manchmal eine Dienstleistung nicht so, wie es nötig wäre, um das Sicherheitsniveau des Outsourcing-Kunden aufrechtzuerhalten. Ist der Outsourcing-Dienstleister aber nicht ausreichend über den Schutzbedarf und die Anforderungen an die Si- cherheit ausgelagerter Daten oder Systeme informiert, kann er sie nicht angemessen schützen. 2.8 Unzureichende Regelungen für das Ende eines Outsourcings Wird ein Vertrag für Outsourcing ohne angemessene Regelung aufgelöst, können Konflikte eintreten, wenn die Geschäftsbeziehung beendet wird. So könnte es passieren, dass der Outsourcing-Dienstleister Informationen des Outsourcing-Kunden unwiderruflich löscht, bevor diese vollständig und korrekt zum Kunden übertragen wurden. Ist das der Fall, kann dies Strafzahlungen für den Dienstleister nach sich ziehen. 2.9 Unzureichendes Notfallkonzept beim Outsourcing Hat ein Outsourcing-Dienstleister kein ausreichendes Notfallkonzept, können unter Umständen die vertraglich ver- einbarten IT-Systeme und Anwendungen im Notfall nicht oder nur eingeschränkt genutzt werden. Dies hat zur Folge, dass die darauf basierenden Geschäftsprozesse nicht zur Verfügung stehen und die vertraglich vereinbarten Dienstleistungen nicht erbracht werden können. 2.10 Ausfall der Systeme eines Outsourcing-Dienstleisters Bei einem Outsourcing-Dienstleister können die dort betriebenen IT-Systeme und Prozesse teilweise oder ganz aus- fallen, wodurch auch der Outsourcing-Kunde betroffen ist. Sind die Mandanten beim Outsourcing-Dienstleister nicht ausreichend getrennt, kann dies auch zu Problemen führen. So kann unter Umständen auch der Ausfall eines Systems, das nicht dem Outsourcing-Kunden zugeordnet ist, dazu führen, dass der Outsourcing-Kunde seine ver- traglich zugesicherte Dienstleistung nicht mehr abrufen kann. Ähnliche Probleme ergeben sich, wenn die Anbin- dung zwischen Outsourcing-Dienstleister und -Kunde ausfällt. Dies bedeutet für den Outsourcing-Dienstleister, dass der Outsourcing-Kunde Schadensersatzansprüche geltend machen kann, falls dies vertraglich vereinbart wurde. 2.11 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister Wenn bei einem Outsourcing-Vorhaben die IT-Anbindung zwischen dem Outsourcing-Dienstleister und dem Out- sourcing-Kunden unzureichend abgesichert ist, kann die Vertraulichkeit und Integrität der übermittelten Daten ge- fährdet sein. Durch offene oder schlecht gesicherte Schnittstellen könnten sich Außenstehende zudem unautori- sierten Zugang zu den Systemen der beteiligten Institutionen verschaffen. 2.12 Social Engineering Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen, indem Mitarbeiter ausgehorcht werden. Diese können dadurch so manipuliert werden, dass sie unzulässig handeln. Mitarbeiter von Outsourcing-Dienstleistern können hier ein besonders lohnenswertes Ziel abgeben, da sie auf sehr viele Informationen unterschiedlicher Institutionen zugreifen können. 2.13 Fehlende Mandantenfähigkeit beim Outsourcing-Dienstleister Outsourcing-Dienstleister haben in der Regel viele verschiedene Kunden, die auf die gleichen Ressourcen wie IT- Systeme, Netze oder Personal zurückgreifen. Sind die IT-Systeme und Daten der verschiedenen Outsourcing-Kun- den aber nicht ausreichend sicher voneinander getrennt, besteht die Gefahr, dass ein Kunde auf den Bereich eines anderen zugreifen kann. Außerdem könnten Interessenskonflikte beim Outsourcing-Dienstleister eintreten, wenn er parallel vergleichbare Forderungen an seine Ressourcen erfüllen muss. Sind die jeweiligen Outsourcing-Kunden auch noch Konkurrenten, kann dies besonders problematisch sein. IT-Grundschutz-Kompendium: Stand Februar 2020 3
OPS.3: Betrieb für Dritte OPS.3.1 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen des Bausteins OPS.3.1 Outsourcing für Dienstleister aufgeführt. Grundsätzlich ist der Leiter IT für die Erfüllung der Anforderungen zuständig. Der Informationssicherheitsbeauf- tragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Zuständigkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils explizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Grundsätzlich zuständig Leiter IT Weitere Zuständigkeiten Datenschutzbeauftragter, IT-Betrieb, Institutionsleitung, Leiter Organisation, Leiter Personal, Notfallbeauftragter, Änderungsmanager 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN für den Baustein OPS.3.1 Outsourcing für Dienstleister vorrangig erfüllt werden: OPS.3.1.A1 Erstellung eines Grobkonzeptes für die Outsourcing-Dienstleistung (B) Für die angebotene Outsourcing-Dienstleistung MUSS ein Grobkonzept erstellt werden. Dieses Grobkonzept MUSS die Rahmenbedingungen des Outsourcings berücksichtigen, wie z. B. Sonderwünsche. Es MUSS grundsätzliche Fragen zum Sicherheitsniveau und zu den Sicherheitsanforderungen des Outsourcing-Kunden beantworten. 3.2 Standard-Anforderungen Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für den Baustein OPS.3.1 Outsourcing für Dienstleister. Sie SOLLTEN grundsätzlich erfüllt werden. OPS.3.1.A2 Vertragsgestaltung mit den Outsourcing-Kunden (S) Alle Aspekte des Outsourcing-Vorhabens SOLLTEN mit dem Outsourcing-Kunden schriftlich geregelt sein. Es SOLL- TEN alle Verantwortlichkeiten und Mitwirkungspflichten zur Erstellung, Prüfung und Änderung (z. B. von Personen) im Rahmen des Vertragswerkes oder auch direkt im Sicherheitskonzept zwischen dem Outsourcing-Dienstleister und dem Outsourcing-Kunden geregelt sein. OPS.3.1.A3 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben (S) Der Outsourcing-Dienstleister SOLLTE für seine Dienstleistungen ein Sicherheitskonzept besitzen. Für individuelle Outsourcing-Vorhaben SOLLTE er außerdem spezifische Sicherheitskonzepte erstellen, die auf den Sicherheitsan- forderungen des Outsourcing-Kunden basieren. Zwischen Outsourcing-Dienstleister und Outsourcing-Kunden SOLLTEN gemeinsame Sicherheitsziele erarbeitet werden. Es SOLLTE außerdem eine gemeinsame Klassifikation für alle schutzbedürftigen Informationen erstellt werden. Es SOLLTE regelmäßig überprüft werden, ob das Sicherheits- konzept auch umgesetzt wird. OPS.3.1.A4 Festlegung der möglichen Kommunikationspartner [Leiter Organisation, Datenschutzbeauftragter] (S) Es SOLLTE zwischen Outsourcing-Dienstleister und -Kunde festgelegt werden, welche internen und externen Kom- munikationspartner welche Informationen über das jeweilige Outsourcing-Projekt übermitteln und erhalten dür- fen. Es SOLLTE regelmäßig geprüft werden, ob die Kommunikationspartner noch aktuell in ihrer Funktion beschäf- tigt sind. Die Berechtigungen SOLLTEN bei Änderungen angepasst werden. Zwischen den Outsourcing-Partnern SOLLTE geregelt sein, nach welchen Kriterien welcher Kommunikationspartner welche Informationen erhalten darf. OPS.3.1.A5 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleisters [Leiter Personal] (S) Mitarbeiter des Outsourcing-Dienstleisters SOLLTEN geregelt in ihre Aufgaben eingewiesen und über bestehende Regelungen zur Informationssicherheit des Outsourcing-Kunden unterrichtet werden. Soweit es gefordert ist, SOLLTEN die Mitarbeiter des Outsourcing-Dienstleisters nach Vorgaben des Kunden überprüft werden, z. B. durch 4 IT-Grundschutz-Kompendium: Stand Februar 2020
OPS.3.1 OPS.3: Betrieb für Dritte ein Führungszeugnis. Die Mitarbeiter des Outsourcing-Dienstleisters SOLLTEN schriftlich dazu verpflichtet werden, einschlägige Gesetze, Vorschriften, Vertraulichkeitsvereinbarungen und interne Regelungen einzuhalten. Es SOLLTE Vertretungsregelungen in allen Bereichen geben. OPS.3.1.A6 Regelungen für den Einsatz von Fremdpersonal [Leiter Personal] (S) Setzt der Outsourcing-Dienstleister externes Personal ein, SOLLTE der Outsourcing-Kunde darüber informiert wer- den. Auch externe Mitarbeiter mit Aufgaben im Bereich Outsourcing SOLLTEN schriftlich dazu verpflichtet werden, einschlägige Gesetze, Vorschriften und interne Regelungen einzuhalten. Sie SOLLTEN in ihre Aufgaben und vor al- lem in die Sicherheitsvorgaben eingewiesen werden. Kurzfristig oder einmalig eingesetztes Fremdpersonal SOLLTE wie Besucher behandelt werden. Die Sicherheitsvorgaben des Kunden SOLLTEN jedoch auch bei Fremdpersonal berücksichtigt werden. OPS.3.1.A7 Erstellung eines Mandantentrennungskonzeptes durch den Outsourcing-Dienstleister (S) Durch ein geeignetes Mandantentrennungskonzept SOLLTE sichergestellt werden, dass Anwendungs- und Daten- kontexte verschiedener Outsourcing-Kunden sauber getrennt sind. Das Mandantentrennungskonzept SOLLTE durch den Outsourcing-Dienstleister erstellt und dem Outsourcing-Kunden zur Verfügung gestellt werden. Das Mandantentrennungskonzept SOLLTE für den Schutzbedarf des Outsourcing-Kunden angemessene Sicherheit bie- ten. Die benötigten Mechanismen zur Mandantentrennung beim Outsourcing-Dienstleister SOLLTEN ausreichend umgesetzt sein. OPS.3.1.A8 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner (S) Vor der Anbindung des eigenen Netzes an das Netz eines Outsourcing-Kunden SOLLTEN alle sicherheitsrelevanten Aspekte in einer Vereinbarung schriftlich festgelegt werden. Es SOLLTE definiert werden, wer aus dem einen Daten- netz auf welche Bereiche und Dienste des jeweils anderen Datennetzes zugreifen darf. Es SOLLTEN auf jeder Seite Ansprechpartner sowohl für organisatorische als auch für technische Fragen zur Netzanbindung benannt werden. Auf beiden Seiten SOLLTEN alle identifizierten Sicherheitslücken beseitigt und das geforderte Sicherheitsniveau nachweislich erreicht sein, bevor die Netzanbindung aktiviert wird. Für den Fall von Sicherheitsproblemen auf einer der beiden Seiten SOLLTE festgelegt sein, wer darüber zu informieren ist und welche Eskalationsschritte einzuleiten sind. OPS.3.1.A9 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern (S) Für den regelmäßigen Datenaustausch mit festen Kommunikationspartnern der Outsourcing-Partner SOLLTEN die erforderlichen Sicherheitsmaßnahmen vereinbart werden. Es SOLLTEN Datenformate und eine sichere Form des Da- tenaustauschs festgelegt werden. Ansprechpartner sowohl für organisatorische als auch technische Probleme SOLLTEN benannt werden. Auch für sicherheitsrelevante Ereignisse beim Datenaustausch mit Dritten SOLLTE es ge- eignete Ansprechpartner geben. Verfügbarkeiten und Reaktionszeiten beim Datenaustausch mit Dritten SOLLTEN vereinbart werden. Es SOLLTE zudem festgelegt werden, welche ausgetauschten Daten zu welchen Zwecken ge- nutzt werden dürfen. OPS.3.1.A10 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb (S) Die Sicherheitskonzepte der Outsourcing-Partner SOLLTEN regelmäßig daraufhin überprüft werden, ob sie noch aktuell und zueinander konsistent sind. Der Status der vereinbarten Sicherheitsmaßnahmen SOLLTE regelmäßig kontrolliert werden. Die Outsourcing-Partner SOLLTEN angemessen kooperieren. Hierüber hinaus SOLLTEN sie sich regelmäßig zu Änderungen und Verbesserungen abstimmen. Die Outsourcing-Partner SOLLTEN regelmäßig gemeinsame Übungen und Tests durchführen. Informationen über Sicherheitsrisiken und wie damit umgegangen wird SOLLTEN regelmäßig zwischen den Outsourcing-Partnern aus- getauscht werden. Es SOLLTE ein Prozess festgelegt werden, der den Informationsfluss bei Sicherheitsvorfällen si- cherstellt, welche die jeweiligen Vertragspartner betreffen. OPS.3.1.A11 Zutritts-, Zugangs- und Zugriffskontrolle [Leiter Organisation] (S) Zutritts-, Zugangs- und Zugriffsberechtigungen SOLLTEN geregelt sein, sowohl für das Personal des Outsourcing- Dienstleisters als auch für die Mitarbeiter der Outsourcing-Kunden. Es SOLLTE ebenfalls geregelt sein, welche Be- rechtigungen Auditoren und andere Prüfer erhalten. Es SOLLTEN immer nur so viele Rechte vergeben werden, wie IT-Grundschutz-Kompendium: Stand Februar 2020 5
OPS.3: Betrieb für Dritte OPS.3.1 für die Wahrnehmung einer Aufgabe nötig ist. Es SOLLTE ein geregeltes Verfahren für die Vergabe, die Verwaltung und den Entzug von Berechtigungen geben. OPS.3.1.A12 Änderungsmanagement [IT-Betrieb, Änderungsmanager] (S) Es SOLLTE Richtlinien für Änderungen an IT-Komponenten, Software oder Konfigurationsdaten geben. Bei Ände- rungen SOLLTEN auch Sicherheitsaspekte berücksichtigt werden. Alle Änderungen SOLLTEN geplant, getestet, ge- nehmigt und dokumentiert werden. Auf welche Weise und in welchem Umfang die Änderungen dokumentiert werden, SOLLTE mit dem Outsourcing-Kunden abgestimmt werden. Die Dokumentation SOLLTE dem Outsourcing- Kunden zur Verfügung gestellt werden. Es SOLLTEN Rückfall-Lösungen erarbeitet werden, bevor Änderungen durchgeführt werden. Bei größeren, sicherheitsrelevanten Änderungen SOLLTE das Informationssicherheitsmana- gement der auslagernden Institution schon im Vorfeld beteiligt werden. OPS.3.1.A13 Sichere Migration bei Outsourcing-Vorhaben (S) Für die Migrationsphase SOLLTE ein Sicherheitsmanagement-Team aus qualifizierten Mitarbeitern des Outsourcing- Kunden und des Outsourcing-Dienstleisters eingerichtet werden. Für die Migrationsphase SOLLTE eine Sicherheits- konzeption erstellt werden. Nach Abschluss der Migration SOLLTE das Sicherheitskonzept aktualisiert werden. Es SOLLTE sichergestellt sein, dass alle Ausnahmeregelungen am Ende der Migrationsphase aufgehoben werden. Bei Änderungen in der Migrationsphase SOLLTE geprüft werden, ob vertragliche Grundlagen und bestehende Doku- mente angepasst werden müssen. OPS.3.1.A14 Notfallvorsorge beim Outsourcing [Notfallbeauftragter] (S) Es SOLLTE ein Notfallkonzept zum Outsourcing geben, das die Komponenten beim Outsourcing-Kunden, beim Outsourcing-Dienstleister sowie die zugehörigen Schnittstellen umfasst. Im Notfallvorsorgekonzept zum Outsour- cing SOLLTEN die Zuständigkeiten, Ansprechpartner und Abläufe zwischen Outsourcing-Kunden und Outsourcing- Dienstleister geregelt sein. Es SOLLTEN regelmäßig gemeinsame Notfallübungen durchgeführt werden. OPS.3.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses [Institutionsleitung] (S) Wird das Vertragsverhältnis mit dem Outsourcing-Kunden beendet, SOLLTE weder dessen noch die eigene Ge- schäftstätigkeit beeinträchtigt werden. Der Outsourcing-Vertrag mit dem Outsourcing-Kunden SOLLTE alle Aspekte zur Beendigung des Dienstleistungsverhältnisses regeln, sowohl für ein geplantes als auch für eine ungeplantes Ende des Vertragsverhältnisses. Der Outsourcing-Dienstleister SOLLTE alle Informationen und Daten des Outsour- cing-Kunden an diesen übergeben. Beim Outsourcing-Dienstleister SOLLTEN danach alle Datenbestände des Kun- den sicher gelöscht werden. Alle Berechtigungen, die im Rahmen des Outsourcing-Projekts eingerichtet wurden, SOLLTEN überprüft und, wenn erforderlich, gelöscht werden. 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind für den Baustein OPS.3.1 Outsourcing für Dienstleister exemplarische Vorschläge für Anforde- rungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖH- TEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risi- koanalyse. OPS.3.1.A16 Sicherheitsüberprüfung von Mitarbeitern [Leiter Personal] (H) Die Vertrauenswürdigkeit von neuen Mitarbeitern und externem Personal beim Outsourcing-Dienstleister SOLLTE durch geeignete Nachweise überprüft werden. Hierzu SOLLTEN gemeinsam mit dem Outsourcing-Kunden vertrag- lich Kriterien vereinbart werden. 6 IT-Grundschutz-Kompendium: Stand Februar 2020
OPS.3.1 OPS.3: Betrieb für Dritte 4 Weiterführende Informationen 4.1 Wissenswertes Die International Organization for Standardization (ISO) macht in der Norm ISO/IEC 27001:2013 im Kapitel A.15.2 „Steuerung der Dienstleistungserbringung von Lieferanten“ Vorgaben für die Steuerung von Dienstleistern. In der DIN ISO 37500:2015-08 werden im „Leitfaden Outsourcing“ weiterführende Informationen zum Umgang mit Dienstleistern aufgeführt. Das Information Security Forum (ISF) definiert in seinem Standard „The Standard of Good Practice for Information Security“ verschiedene Anforderungen (SD1.1, SA2.2, SC1.2, SC2.2, LC1.1, BC1.1) an Dienstleister. Der „Leitfaden Business Process Outsourcing: BPO als Chance für den Standort Deutschland“ des Bundesverban- des Informationswirtschaft Telekommunikation und neue Medien e.V. (Bitkom) liefert Informationen, wie Ge- schäftsprozesse an Dienstleister ausgelagert werden können. Ebenso hat die Bitkom den „Leitfaden Rechtliche Aspekte von Outsourcing in der Praxis“ herausgegeben, der rechtliche Aspekte von Outsourcing behandelt. Das National Institute of Standards and Technology (NIST) gibt in der NIST Special Publication 800-53 Anforderun- gen an Dienstleister. 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die Kreuzreferenztabelle enthält die Zuordnung von elementaren Gefährdungen zu den Anforderungen. Anhand dieser Tabelle lässt sich ermitteln, welche elementaren Gefährdungen durch welche Anforderungen abgedeckt sind. Durch die Umsetzung der aus den Anforderungen abgeleiteten Sicherheitsmaßnahmen wird den entspre- chenden elementaren Gefährdungen entgegengewirkt. Die Buchstaben in der zweiten Spalte (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit) zeigen an, welche Grundwerte der Informationssicherheit durch die Anforderung vorrangig geschützt werden. Die folgenden elementaren Gefährdungen sind für den Baustein OPS.3.1 Outsourcing für Dienstleister von Bedeu- tung. G 0.9 Ausfall oder Störung von Kommunikationsnetzen G 0.14 Ausspähen von Informationen (Spionage) G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten G 0.18 Fehlplanung oder fehlende Anpassung G 0.19 Offenlegung schützenswerter Informationen G 0.22 Manipulation von Informationen G 0.25 Ausfall von Geräten oder Systemen G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen G 0.33 Personalausfall G 0.38 Missbrauch personenbezogener Daten G 0.41 Sabotage G 0.45 Datenverlust G 0.46 Integritätsverlust schützenswerter Informationen IT-Grundschutz-Kompendium: Stand Februar 2020 7
OPS.3: Betrieb für Dritte OPS.3.1 Elementare CIA- G 0.9 G 0.14 G 0.17 G 0.18 G 0.19 G 0.22 G 0.25 G 0.30 G 0.33 G 0.38 G 0.41 G 0.45 G 0.46 Gefährdungen Werte Anforderungen OPS.3.1.A1 X OPS.3.1.A2 X X X OPS.3.1.A3 X X X OPS.3.1.A4 X X X OPS.3.1.A5 X X OPS.3.1.A6 X X OPS.3.1.A7 X X OPS.3.1.A8 X X X OPS.3.1.A9 X X X X X X OPS.3.1.A10 X X OPS.3.1.A11 X X X OPS.3.1.A12 X X X OPS.3.1.A13 X X X OPS.3.1.A14 X X X X OPS.3.1.A15 X X X OPS.3.1.A16 CI X 8 IT-Grundschutz-Kompendium: Stand Februar 2020
DER: Detektion und Reaktion
