Wie kann mir mein IT-Dienstleister bei Cybersicherheit helfen?

Bei der Einschätzung der IT-Sicherheits-Kompetenz von IT-Dienstleistern sollten Sie die folgenden Aspekte berücksichtigen:

• Das IT-Unternehmen bietet an, bei der Durchführung einer Schutzbedarfsanalyse und der Erstellung eines Sicherheitskonzepts zu unterstützen.
• Das IT-Unternehmen wählt die Sicherheitsmaßnahmen nach den Vorgaben des BSI oder der ISO 27002 aus und ist bereit, sich dazu auch auditieren zu lassen.
• Das IT-Unternehmen ist bereit, auch seine Lieferanten nach diesen Vorgaben auszuwählen beziehungsweise diese Vorgaben bei Lieferanten zu überprüfen.
• Das IT-Unternehmen berichtet regelmäßig über den Sicherheitsstatus der von ihm betreuten Systeme.
• Für die betriebenen IT-Systeme sichert das IT-Unternehmen eine (vertraglich geregelte) Mindestverfügbarkeit zu.
• Das IT-Unternehmen kann auf Nachfrage eine Liste aller für den Kunden betriebenen relevanten und verwendeten IT-Systeme nennen.
• Für die betreuten IT-Systeme erstellt das IT-Unternehmen regelmäßig Backups, und im Falle einer Fernwartung geschieht diese über verschlüsselte Verbindungen mit starker Authentifizierung.
• Das IT-Unternehmen hat eine beschriebene Vorgehensweise, um mit Sicherheitswarnungen und -vorfällen unterschiedlicher Kritikalität umzugehen, und informiert die Kunden über die Reaktion darauf proaktiv.
• Das IT-Unternehmen unterstützt bei Sicherheitsvorfällen mit entsprechenden Notfall-Dienstleistungen.
• Das IT-Unternehmen wendet die gleichen Vorgehensweisen auf seine eigenen Systeme und Informationen an.
• Die Mitarbeitenden des IT-Unternehmens werden regelmäßig zu Sicherheitsthemen geschult.

Einen Kriterienkatalog zum Thema bietet die DIHK hier zum Download an: IT-Dienstleistungen, aber sicher.