M 2.176 Geeignete Auswahl eines Internet Service Providers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Leiter IT

Anbieter von Internetdiensten (Internet Service Provider oder kurz ISP) bieten verschiedene Dienste, Inhalte oder technische Leistungen an, die die Internet-Nutzung oder den Betrieb eigener Internet-Angebote unterstützen. Institutionen sollten Anbieter sorgfältig auswählen. Bei einem Provider, über den eine Institution an das Internet angeschlossen ist, fallen nicht nur Informationen über ein- und ausgehende E-Mail an, sondern auch über alle Webseiten, die die Benutzer aufrufen. Außerdem laufen alle Daten, die zwischen den Rechnern der Benutzer und einem Server im Internet ausgetauscht werden, über die IT-Systeme des Providers.

Bei der Auswahl eines Internet Service Providers sollte hinterfragt werden,

Bei der Auswahl eines Providers sollte sich die Institution vom Provider dokumentieren lassen, dass dessen IT-Systeme sicher betrieben werden, also z. B. die in M 2.174 Sicherer Betrieb eines Webservers beschriebenen Anforderungen erfüllt sind. Alle relevanten Maßnahmen zu vernetzten Systemen und zu Datenübertragungseinrichtungen sollten umgesetzt sein. Bei jedem Provider sollte ein Sicherheitskonzept und entsprechende Sicherheitsrichtlinien selbstverständlich sein. Die Sicherheitsrichtlinien sollten für Externe einsehbar sein. Die Mitarbeiter des Providers sollten für Sicherheitsaspekte sensibilisiert sein, auf die Einhaltung der Sicherheitsrichtlinie verpflichtet worden sein und regelmäßig geschult werden (nicht nur in Sicherheitsfragen).

Beim Provider sind Daten über die Benutzer für Abrechnungszwecke gespeichert (Name, Adresse, Benutzer-Kennung, Bankverbindung) ebenso wie Verbindungsdaten und für eine je nach Provider kürzere oder längere Zeitspanne auch die übertragenen Inhalte.

Die Anwender sollten sich bei ihrem Provider erkundigen, welche Daten wie lange über sie gespeichert werden. Bei der Auswahl von Providern sollte berücksichtigt werden, dass deutsche Betreiber den einschlägigen datenschutzrechtlichen Regelungen für die Verarbeitung dieser Daten unterliegen.

Die genauen Modalitäten der Zusammenarbeit mit dem Dienstleister müssen vertraglich geregelt und geeignete Service Level Agreements (SLAs) vereinbart werden, z. B. Ansprechpartner, Reaktionszeiten, IT-Anbindung, Kontrolle der Leistungen, Ausgestaltung der Sicherheitsvorkehrungen, Umgang mit vertraulichen Informationen (siehe hierzu M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister).

Prüffragen: