M 2.176 Geeignete Auswahl eines Internet Service Providers
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT
Bei einem Provider, über den ein Benutzer an das Internet angeschlossen ist, fallen nicht nur Informationen über ein- und ausgehende E-Mail an, sondern auch über alle WWW-Seiten, die die Benutzer aufrufen. Außerdem laufen alle Daten, die zwischen dem Rechner des Benutzers und einem Server im Internet ausgetauscht werden, über die IT-Systeme des Providers.
Bei der Auswahl eines Internet Service Providers sollte hinterfragt werden,
- ob Ansprechpartner zu technischen Problemen rund um die Uhr zur Verfügung stehen und wie kompetent diese sind,
- wie er auf den Ausfall einer oder mehrerer seiner IT-Systeme vorbereitet ist (Notfallplanung, Datensicherungskonzept),
- welche Verfügbarkeit (maximale Ausfallzeit) er garantieren kann,
- ob er regelmäßig überprüft, ob die Verbindungen zum Kunden noch stabil sind und im negativen Fall entsprechende Schritte unternimmt,
- was er zur Absicherung seiner IT-Systeme und der seiner Kunden unternimmt.
Man sollte sich vom Provider dokumentieren lassen, dass dessen IT-Systeme sicher betrieben werden, also z. B. die in M 2.174 Sicherer Betrieb eines WWW-Servers beschriebenen Anforderungen erfüllt sind. Alle relevanten Maßnahmen zu vernetzten Systemen und zu Datenübertragungseinrichtungen sollten umgesetzt sein. Bei jedem Provider sollte ein IT-Sicherheitskonzept und Sicherheitsrichtlinien selbstverständlich sein. Die Sicherheitsrichtlinien sollten für Externe einsehbar sein. Die Mitarbeiter des Providers sollten für IT-Sicherheitsaspekte sensibilisiert sein, auf die Einhaltung der Sicherheitsrichtlinie verpflichtet worden sein und regelmäßig geschult werden (nicht nur in Sicherheitsfragen).
Beim Provider sind Daten über die Benutzer für Abrechnungszwecke gespeichert (Name, Adresse, Benutzer-Kennung, Bankverbindung) ebenso wie Verbindungsdaten und für eine je nach Provider kürzere oder längere Zeitspanne auch die übertragenen Inhalte.
Die Anwender sollten sich bei ihrem Provider erkundigen, welche Daten wie lange über sie gespeichert werden. Bei der Auswahl von Providern sollte berücksichtigt werden, dass deutsche Betreiber den einschlägigen datenschutzrechtlichen Regelungen für die Verarbeitung dieser Daten unterliegen.
Ergänzende Kontrollfragen:
- Nach welchen Kriterien ist der Provider ausgewählt worden?
- Welche Sicherheitsmechanismen werden beim Provider umgesetzt?