M 2.254 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Für jedes Outsourcing-Vorhaben muss ein Sicherheitskonzept existieren. Dieses kann unter anderem auf Grundlage der IT-Grundschutz-Kataloge erstellt sein. Outsourcing-Projekte sind dadurch gekennzeichnet, dass sich viele technische und organisatorische Details erst im Laufe der Planung und bei Migration der Systeme ergeben. Das Sicherheitskonzept, das nach Beauftragung eines Dienstleisters erarbeitet wird, wird daher in den wenigsten Fällen gleich vollständig und endgültig sein und muss während der Migrationsphase von allen Beteiligten stetig weiterentwickelt und konkretisiert werden. Die Migrationsphase ist daher von entscheidender Bedeutung für den Erfolg des Gesamtprojektes und wird in Maßnahme M 2.255 Sichere Migration bei Outsourcing-Vorhaben ausführlich beschrieben.

Generell unterscheiden sich Sicherheitskonzepte für Outsourcing-Vorhaben nur wenig von Sicherheitskonzepten für selbstbetriebene IT-Systeme. Es ergeben sich jedoch folgende Besonderheiten, die berücksichtigt werden müssen:

Die in M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben und M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister genannten Sicherheitsanforderungen bilden dabei die Basis für das Sicherheitskonzept. Aufbauend auf den dort beschriebenen grundlegenden Anforderungen muss im Sicherheitskonzept die detaillierte Ausgestaltung erfolgen, wobei beispielsweise die Maßnahmen konkretisiert und Ansprechpartner namentlich festgelegt werden.

Erfahrungsgemäß ist der Übergang (Migration) von Aufgaben und IT-Systemen vom Auftraggeber zum Outsourcing-Dienstleister eine Projektphase, in der verstärkt mit Sicherheitsvorfällen zu rechnen ist. Aus diesem Grund müssen im Sicherheitskonzept Regelungen und Maßnahmen zur Migration behandelt werden, die in M 2.255 Sichere Migration bei Outsourcing-Vorhaben genauer behandelt werden.

Im Folgenden sind einige Aspekte und Themen aufgelistet, die im Sicherheitskonzept im Detail beschrieben werden sollten. Da die Details eines Sicherheitskonzeptes direkt vom Outsourcing-Vorhaben abhängen, ist die Liste als Anregung zu verstehen und erhebt keinen Anspruch auf Vollständigkeit. Neben einem Überblick über die Gefährdungslage, die der Motivation der Sicherheitsmaßnahmen dient, und den organisatorischen, infrastrukturellen und personellen Sicherheitsmaßnahmen können Maßnahmen aus folgenden Bereichen sinnvoll sein:

Organisation

Hard-/Software

Kommunikation

Kontrollen und QS

Notfallvorsorge

Prüffragen: