Geschrieben am 16.02.2017 von:
Unternehmen müssen zum Schutz ihrer Systeme nicht nur bei der eigenen IT-Sicherheit ansetzen. Um ausreichende Absicherungen zu umgehen, finden Hackerangriffe nämlich neuerdings vermehrt bei externen Dienstleistern statt. Mit der Überprüfung des eigenen Unternehmens ist das Thema IT-Sicherheit also noch lange nicht abgehakt.
IT-Sicherheit wird erhöht – aber eben nicht überall
Auch mittelständische und kleine Unternehmen haben mittlerweile erkannt, dass nicht nur große Konzerne Opfer von Hackerangriffen werden können. Auch aus Imagegründen wird daher immer häufiger darauf geachtet, ein ausreichendes Maß an IT-Sicherheit zu gewährleisten. Audits und Zertifizierungen können hierbei hilfreich sein.
Oftmals wird bei der Implementierung eines Sicherheitskonzepts vergessen, dass auch die eigenen Dienstleister ein gewisses Niveau an IT-Sicherheit einhalten sollten. Dies birgt gleich 2 nicht zu unterschätzende Risiken:
- Durch Sicherheitslücken beim Dienstleister könnte ein Zugriff von außen auf die eigenen Systeme erfolgen
- Ist der Dienstleister ein Auftragsdatenverarbeiter im Sinne des § 11 BDSG, droht ein Bußgeld in nicht unerheblicher Höhe
Hacker umgehen Sicherheitssysteme
Eine Studie namens „M-Trends 2016“ hat aufgezeigt, dass Angriffe immer häufiger über die Dienstleister des eigentlichen anvisierten Unternehmens erfolgen. Das bietet sich wohl deshalb an, weil die Dienstleister in der Regel über einen Site-to-Site-VPN Tunnel Zugriff auf das ansonsten gut geschützte Netzwerk haben. Im Verhältnis zum Dienstleister sind häufig nur minimale Zugriffsbeschränkungen definiert.
Oft haben externe Dienstleister kein ausgeprägtes Sicherheitssystem und gehen fälschlicherweise davon aus, dass bei ihnen keine relevanten Daten gespeichert sind. Dies führt wiederum dazu, dass sich ein Hacker relativ leicht Zugang zum System des Dienstleisters verschaffen kann und so über den VPN Tunnel auch Zugriff auf das System des anvisierten Unternehmens bekommt.
Häufig IT-Dienstleister betroffen
Die Studie zeigt auch, dass von solchen Angriffen häufig IT-Dienstleister betroffen sind. Betroffene können jedoch auch Dienstleister wie Buchhalter oder Druckerrein sein.
Da gerade externe IT-Dienstleister in der Regel weisungsgebunden handeln und Aufgaben ihres Auftraggebers erfüllen, sind sie häufig als Auftragsdatenverarbeiter im Sinne von § 11 BDSG anzusehen. In einem solchen Fall bleibt der Auftraggeber für die Datenverarbeitung verantwortlich und haftet auch im Falle eines unberechtigten Zugriffs von außen. Gerade aus diesem Grund muss er auch sicherstellen, dass die nach § 9 BDSG und der dazugehörigen Anlage notwendigen technisch-organisatorischen Maßnahmen beim Dienstleister getroffen wurden.
Findet die vorgesehene Überprüfung durch den Auftraggeber nicht statt, droht gem. § 43 BDSG ein Bußgeld in Höhe von bis zu 50.000,00 EUR. Diese Bußgelder werden durch die ab Mai 2018 gültige Datenschutzgrundverordnung (DS-GVO) sogar noch erhöht und können gem. Art. 83 DS-GVO 10-20 Millionen EUR oder im Fall eines Unternehmens bis zu 2-4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen – je nachdem, welcher der Beträge höher ist.
Auswahlkontrollen und regelmäßige Stichproben notwendig
Unternehmen sollten daher schon bei der Auswahl eines externen Dienstleisters sicherstellen, dass dieser ausreichende technisch-organisatorische Maßnahmen getroffen hat und diese auch vertraglich einhalten muss. Anhaltspunkt hierfür kann unter anderem eine Zertifizierung nach ISO 27001 sein.
Ferner muss die Einhaltung dieser Maßnahmen ständig überprüft werden, damit die vertraglichen Abreden nicht leerlaufen und unter Umständen auch Anpassungen gemacht werden können. Der Stand der Technik entwickelt sich ja ständig weiter.