M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Nachdem ein Outsourcing-Dienstleister ausgewählt wurde, müssen alle Aspekte des Outsourcing-Vorhabens vertraglich in sogenannten Service Level Agreements (SLAs) festgehalten und geregelt werden. Die Aspekte, die im Folgenden beschrieben werden, sind als Hilfsmittel und Checkliste bei der Vertragsgestaltung zu sehen. Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen hängen immer vom speziellen Outsourcing-Projekt ab. Je höher der Schutzbedarf der ausgelagerten IT-Systeme und Anwendungen ist, desto sorgfältiger und detaillierter muss der Vertrag zwischen Auftraggeber und Dienstleister ausgehandelt werden. Der Dienstleister sollte auf Einhaltung des IT-Grundschutzes und auf die vom Auftraggeber vorgegebenen Sicherheitsanforderungen verpflichtet werden (siehe M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben). Dazu gehört natürlich, dass der Outsourcing-Dienstleister sich verpflichtet, ein IT-Sicherheitskonzept inklusive eines Notfallvorsorgekonzepts zu erstellen und Sicherheitsmaßnahmen sowie Systeme und Anwendungen zu dokumentieren.

Zusätzlich zur allgemeinen Leistungsbeschreibung empfiehlt es sich jedoch immer, auch eine genaue quantitative Leistungsbeschreibung vertraglich zu fixieren, z. B. zu Verfügbarkeitsanforderungen, Reaktionszeiten, Rechenleistung, zur Verfügung stehendem Speicherplatz, Anzahl der Mitarbeiter, Supportzeiten.

Generell wäre eine allgemeine Verpflichtung auf die Einhaltung des IT-Grundschutzes zwar zufriedenstellend, es empfiehlt sich jedoch immer, alle vereinbarten Leistungen so genau und eindeutig wie möglich vertraglich festzuhalten. Dadurch lassen sich später Streitigkeiten zwischen den Parteien vermeiden. Nachträgliche Konkretisierungen und Ergänzungen des Vertrages, die aufgrund unterschiedlicher Interpretationen der beschriebenen Leistungen notwendig werden, sind oftmals mit deutlichen Kostenerhöhungen für den Auftraggeber verbunden. Auch die Erstellung des IT-Sicherheitskonzeptes selbst sollte Vertragsbestandteil sein. Insbesondere ist zu klären, wer für die fachlichen Inhalte verantwortlich ist und welche Mitwirkungspflichten dem Auftraggeber obliegen.

Im Folgenden findet sich eine Themenliste von Aspekten, die aus Sicherheitssicht geregelt werden sollten. Weitere Hinweise zu Details können den jeweiligen Maßnahmen der IT-Grundschutz-Kataloge entnommen werden:

Infrastruktur

Organisatorische Regelungen/ Prozesse

Personal

Notfallvorsorge

Haftung, juristische Rahmenbedingungen

Mandantenfähigkeit

Änderungsmanagement und Testverfahren

Kontrollen

Ergänzende Kontrollfragen: