Die Wahl eines passenden IT-Dienstleisters ist für KMU ein entscheidender Schritt, um die Cybersicherheit im Unternehmen zu gewährleisten. Ein kompetenter Dienstleister kann nicht nur die technische Infrastruktur schützen, sondern auch massgeschneiderte Sicherheitslösungen bieten, die den spezifischen Bedürfnissen des Unternehmens entsprechen.
Viele KMU lagern viele Aufgaben rund um IT und Cybersicherheit an externe Dienstleister aus. Diese Entscheidung kann aus Effizienzgründen sinnvoll sein, erfordert jedoch eine sorgfältige Auswahl und klare Vereinbarungen, um Risiken zu minimieren. Nachfolgend einige wichtige Empfehlungen für die Zusammenarbeit mit IT-Providern:
Klare Regelung der Zuständigkeiten
Auch wenn Sie einen IT-Dienstleister beauftragen, bleibt die Gesamtverantwortung für die Cybersicherheit Ihres Unternehmens bei Ihnen. Das bedeutet, dass Sie sicherstellen müssen, dass alle Sicherheitsmassnahmen ordnungsgemäss umgesetzt werden und Ihr Unternehmen im Schadensfall haften muss.
Achten Sie darauf, dass im Vertrag mit dem IT-Dienstleister klare vereinbarte Verantwortlichkeiten festgelegt sind. Insbesondere die technischen und organisatorischen Massnahmen zur Cybersicherheit, wie zum Beispiel Sicherheitsupdates und Notfallprotokolle, müssen präzise definiert sein.
Definieren Sie dabei auch, wie die Haftung geregelt wird, wenn vereinbarte Sicherheitsmassnahmen nicht eingehalten werden und dadurch ein Sicherheitsvorfall oder Schaden entsteht. Klare Haftungsregelungen sind entscheidend, um im Notfall abgesichert zu sein.
Orientierung an Mindestanforderungen
Bei der Einführung jedes neuen IT-Systems oder jeder Software müssen Sicherheitsprüfungen durchgeführt werden. Diese Prüfungen sollten nicht nur vor der Einführung, sondern auch während der Nutzung regelmässig erfolgen, um potenzielle Schwachstellen frühzeitig zu identifizieren.
Stellen Sie ausserdem sicher, dass der IT-Dienstleister die relevanten Sicherheitsstandards und Normen einhält, die für Ihre Branche oder Ihr Unternehmen wichtig sind. Achten Sie darauf, dass die IT-Dienstleister nach anerkannten Sicherheitszertifikaten oder ISO-Normen zertifiziert sind, wie zum Beispiel ISO 27001 für Informationssicherheit.
AGB und vertragliche Vorgaben
Prüfen Sie die Allgemeinen Geschäftsbedingungen (AGB) und alle vertraglichen Vorgaben des IT-Dienstleisters sorgfältig. Diese sollten klare Regelungen zu Datensicherheit, Vertraulichkeit und Geheimhaltungspflichten enthalten. Achten Sie darauf, dass der Dienstleister nicht nur für die Wartung der Systeme verantwortlich ist, sondern auch für die Einhaltung von Datenschutz- und Sicherheitsanforderungen. Stellen Sie auch sicher, dass die Geheimhaltungspflichten klar definiert sind. Vor allem in Bezug auf besonders schützenswerte Personendaten (zum Beispiel Gesundheitsdaten oder Finanzdaten) darf der Dienstleister nur den notwendigen Zugang haben und muss diese Daten strikt vertraulich behandeln.
Sicherheitsvorkehrungen bei der Datenspeicherung bei Cloud-Diensten
Wenn Ihr Unternehmen Cloud-Dienste nutzt, stellen Sie sicher, dass der IT-Dienstleister die Sicherheitsanforderungen in Bezug auf die Speicherung und Verarbeitung von Daten in der Cloud erfüllt. Prüfen Sie auch die AGB des Cloud-Anbieters und stellen Sie sicher, dass die Sicherheitsmassnahmen und Datenschutzrichtlinien transparent sind und den rechtlichen Vorgaben entsprechen. Der Cloud-Anbieter muss nachweislich Sicherheitsstandards einhalten, wie zum Beispiel regelmässige Sicherheits-Audits und die Verschlüsselung von Daten. Vereinbaren Sie im Vertrag, dass nur befugte Mitarbeitende des Cloud-Dienstleisters Zugang zu den Daten haben. Es sollte auch eine klare Regelung zur Datenhoheit bestehen, das heisst, Sie müssen jederzeit die Kontrolle über Ihre Daten behalten, einschliesslich der Möglichkeit, Daten zurückzuholen oder zu löschen.
Monitoring und Notfallplan
Der IT-Dienstleister sollte in der Lage sein, kontinuierliches Monitoring durchzuführen, und Ihnen regelmässige Berichte zu Sicherheitsvorfällen oder -lücken zur Verfügung zu stellen. Dies hilft Ihnen, Schwachstellen frühzeitig zu erkennen und zu beheben. Legen Sie zudem fest, wie der IT-Dienstleister im Falle eines Sicherheitsvorfalls reagiert. Ein klar definierter Notfallplan und schnelle Reaktionszeiten sind entscheidend, um im Falle eines Angriffs schnell handeln zu können.
Weiterführende Informationen:
Bundesamt für Cybersicherheit BACS: Empfehlungen für die Zusammenarbeit mit IT-Providern
Bundesamt für Cybersicherheit BACS: Cybersicherheit in der Lieferkette
