Management von Risiken durch Drittanbieter vor, während und nach der Unterzeichnung eines Service-Level-Agreement

Einer der größten Vorteile von Events wie dem Next-Generation Security Summit ist die Möglichkeit zur Vernetzung und zum Informationsaustausch mit Sicherheitsexperten aus zahlreichen Branchen. Bei den letzten Vorträgen waren Risiken durch Drittanbieter ein besonders aktuelles Thema.

Im Bankensektor wurde diese Diskussion vor allem von der US-Finanzaufsichtsbehörde befeuert, die kürzlich ihre Richtlinien für das Risikomanagement bei Beziehungen zu Drittanbietern aktualisiert hat. Im Gesundheitswesen ist durch die Anforderungen des HIPAA (Health Insurance Portability and Accountability Act), des Health Information Technology for Economic and Clinical Health Act und der HIPAA Omnibus Rule vorgegeben, dass alle Verwalter geschützter Patientendaten sowie deren Geschäftspartner denselben Sicherheits- und Datenschutzpflichten nachkommen müssen.

Unabhängig davon, ob eher Compliance oder eine höhere Risikobeurteilung in ihren jeweiligen Lieferketten ausschlaggebend sind, müssen Sicherheitsexperten heute sehr viel aufmerksamer gegenüber Risiken durch Drittanbieter sein. Diese Diskussionen über Risiken durch Drittanbieter haben die folgenden fünf wichtigsten Aspekte für das Risikomanagement vor, während und nach der Unterzeichnung eines Service-Level-Agreement ergeben:

Vor der Unterzeichnung der Vereinbarung

Eine der wichtigsten Überlegungen vor einer neuen Beziehung zu einem Drittanbieter besteht darin, nicht erst in letzter Minute vor der Unterzeichnung über Sicherheit, Datenschutz, Compliance und Risiken zu sprechen. Im Gegenteil: Als Best Practice hat sich bewährt, bereits zu Beginn der Zusammenarbeit eine Partnerschaft mit der Beschaffungs-, Risikomanagement-, IT-, Sicherheits- und Rechtsabteilung des Drittanbieters einzugehen. Diese funktionsübergreifende Partnerschaft ist für die folgenden Aspekte wichtig:

  1. Abgestimmte Geschäftsziele: Beide Parteien sollten dieselbe Vorstellung von den Geschäftszielen der Beziehung und dem gewünschten Nutzen des Prozesses oder Service des Drittanbieters haben.
  2. Sicherheitskontrollen: Die erforderlichen Sicherheitskontrollen sollten in das RFP aufgenommen werden und das Sicherheitsteam sollte an der Prüfung jeder Antwort beteiligt werden.
  3. Bewertungskriterien: Die Kriterien zur Bewertung des Risikos durch Drittanbieter und Serviceanbieter sollten klar definiert sein.
  4. Sprachstandards: Die Vertragssprache sollte für jede Vereinbarung mit einem Drittanbieter festgelegt werden.
  5. Überlegungen zur Integration: Details zur IT-Integration und -Konfiguration von Drittanbietersystemen sollten in jede Vereinbarung mit einem Drittanbieter aufgenommen werden.

Während der Verhandlungen

Unabhängig davon, ob die Vereinbarung des Drittanbieters oder der eigene Rahmenvertrag des Unternehmens Anwendung findet, sollte den folgenden Themen besondere Beachtung geschenkt werden:

  1. Daten: Besprechen Sie, wie Daten übergeben werden, wo sich Daten befinden, wie und warum Daten aufbewahrt werden und wie Daten zerstört werden.
  2. Laufende Bewertungen: Räumen Sie das Recht ein, Audits, Risikobewertungen, Penetrationstests und Besuche vor Ort durchführen bzw. erteilen Sie Zugriff auf die Ergebnisse von Penetrationstests.
  3. Business Continuity: Erläutern Sie die Einrichtungen des Rechenzentrums, darunter ggf. Viertanbieter sowie Pläne und Tests für DR (Disaster Recovery) und IR (Incident Response, Behandlung von Incidents).
  4. Beendigung des Vertrags: Erläutern Sie das Verfahren zur ordnungsgemäßen Beendigung und Übertragung des Prozesses oder Service zurück auf das Unternehmen oder einen anderen Drittanbieter.
  5. Versteckte Kosten: Bestimmen Sie beispielsweise, ob unbefugter Zugriff oder DDoS-Angriffe (Distributed Denial-of-Service) als „höhere Gewalt“ gelten und daher nicht der Verantwortung des Drittanbieters unterliegen oder ob die Wahrnehmung des Rechts auf Audits durch das Unternehmen besondere Einschränkungen und/oder Kosten nach sich zieht.

Nach Unterzeichnung der Vereinbarung

Die Unterzeichnung eines Service-Level-Agreement schließt selbstverständlich nicht das Management von Risiken durch Drittanbieter aus. Die Situation und die Beziehung zum Drittanbieter sollten in regelmäßigen Abständen neu bewertet werden, insbesondere bei Änderungen am Umfang der Vereinbarung, wesentlichen Änderungen an der Technologie oder einem Sicherheits-Incident. Diese regelmäßigen Bewertungen sollten u. a. die folgenden Elemente umfassen:

  1. Kontext der Bewertung: Wer hat die Bewertung wann und wie durchgeführt? Ist sie remote oder vor Ort erfolgt? Wurde Dokumentation übergeben? Wurden unabhängige Überprüfungen durchgeführt? Darüber hinaus sollte eine Liste der zuvor ermittelten Risiken sowie der empfohlenen Schritte zu deren Minimierung angefertigt werden.
  2. Besuche vor Ort: Dokumentieren Sie Umfang, Ziele und Ergebnisse des Besuchs vor Ort.
  3. Überprüfung der Sicherheitskontrollen: Notieren Sie die technischen, administrativen und physischen Kontrollen.
  4. Überprüfung der Business Continuity: Überprüfen Sie DR-Pläne, IR-Pläne, Ergebnisse von Tests und unabhängigen Tests sowie Zertifizierungen.
  5. Analystenmeinungen: Holen Sie objektive Erkenntnisse und Empfehlungen zur Bewertung und zu allen Restrisiken im Zusammenhang mit dem Drittanbieter ein. Dies ist nur eine Möglichkeit, einige der wichtigsten Elemente aufzuzählen. In größeren Unternehmen beschäftigen sich ganze Teams ausschließlich mit diesen wichtigen Fragen.

Wenn sichergestellt ist, dass die Standards in jeder Phase der Erstellung eines Service-Level-Agreement eingehalten werden, können Beziehungen zu Drittanbietern statt einer bloßen Verpflichtung eine wichtige Ressource für ein Unternehmen sein.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments