Lieferanten & Cloud (5.19–5.23)

Sicherheit endet nicht an der Firmengrenze

Heutige IT lebt von Dienstleistern und Cloud-Diensten. Die Maßnahmen 5.19–5.23 sorgen dafür, dass ausgelagerte Leistungen die Sicherheit nicht untergraben. Grundregel: Du kannst Aufgaben auslagern, aber nicht die Verantwortung.

5.19 Informationssicherheit in Lieferantenbeziehungen

Prozesse und Verfahren, um die Sicherheitsrisiken aus der Nutzung von Lieferantenprodukten und -diensten zu beherrschen. Beginnt schon bei der Auswahl: Risikobewertung des Lieferanten, bevor man ihm Zugang zu Informationen gibt.

5.20 Behandlung von Sicherheit in Lieferantenvereinbarungen

Sicherheitsanforderungen werden vertraglich festgehalten – passend zur Art der Beziehung. Typische Klauseln: Vertraulichkeit (NDA), Datenschutz/AVV, Subunternehmer-Regeln, Audit-Rechte, Meldepflichten bei Vorfällen, Rückgabe/Löschung von Daten bei Vertragsende.

5.21 Sicherheit in der IKT-Lieferkette

Supply-Chain-Sicherheit: Risiken entlang der gesamten Produkt- und Dienstleistungskette der Informations- und Kommunikationstechnologie. Wichtig geworden durch Angriffe, bei denen Schadcode über einen Zulieferer eingeschleust wurde (z. B. kompromittierte Software-Updates).

5.22 Überwachung & Änderungsmanagement von Lieferantenleistungen

Lieferantenleistungen werden laufend überwacht und überprüft – erbringt der Dienstleister, was vereinbart wurde? Änderungen (neue Subunternehmer, geänderte Prozesse) werden gesteuert. Hilfsmittel: Service Reports, SLAs, regelmäßige Reviews, Audits.

5.23 Informationssicherheit bei Cloud-Diensten

Neu 2022. Eigene Verfahren für Erwerb, Nutzung, Verwaltung und Ausstieg aus Cloud-Diensten. Zentral ist das Modell der geteilten Verantwortung:

Auch „die Cloud" entbindet nicht: Daten, Zugriffsrechte und Konfiguration bleiben fast immer Kundenpflicht. Der Exit (wie komme ich wieder raus, ohne Daten zu verlieren?) wird oft vergessen – die Norm fordert ihn ausdrücklich.