Viel Tamtam um TOM? : Auswahl und Prüfung von Dienstleistern anhand technischer und organisatorischer Maßnahmen (TOM)

Von Christian Biehler, Obersulm (DE)

Glauben Sie, dass Ihre Dienstleister alles Notwendige und Sinnvolle für die Sicherheit Ihrer Daten tun? Oder wissen Sie tatsächlich, an welchen Orten auf welche Art und Weise mit Ihren Daten umgegangen wird? Eigentlich müsste heute nahezu jedes Unternehmen eine Antwort auf diese Fragen parat haben – dabei ist grundsätzlich egal, ob Daten vom Steuerberater der Firma für den Jahresabschluss oder einer Marketing-Agentur für neue Kundengewinnungsaktionen verarbeitet werden oder schlicht ein großer Teil der eigenen Datenverarbeitung bei einem Cloud-Anbieter stattfindet.

Seit dem Inkrafttreten der EU Datenschutzgrundverordnung (DSGVO) fallen viele Vorhaben in den Bereich der Auftragsdatenverarbeitung und erfordern die Prüfung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz personenbezogener Daten – eine Anforderung, die in der Praxis sehr unterschiedlich gelebt wird und entsprechende Folgen nach sich zieht.

Druck durch DSGVO

In der Praxis kann der Stellenwert von IT- und Informationssicherheit je nach Branche und Unternehmensgröße jedoch sehr unterschiedlich ausfallen. Leider sind Grundaussagen wie „Mit denen arbeiten wir schon lange zusammen und wir vertrauen diesem Anbieter.“ oder „Die Verträge sind schon unterschrieben, da ohnehin nur der eine Anbieter am Markt infrage kommt – jetzt fehlt nur noch das O. K. zu den Themen Auftragsverarbeitung und TOM-Prüfung.“ an dieser Stelle gefühlt eher die Regel als die Ausnahme. Natürlich gibt es – gerade bei größeren Unternehmen – auch viele Beispiele, wo Datenschutz und Informationssicherheit einen deutlich höheren Stellenwert haben.

Die Verarbeitung personenbezogener Daten ist zwar längst nicht der einzige Auslöser für eine Überprüfung von Anbietern zu Fragen der IT- und InformationsSicherheit, in der Praxis aber wohl der häufigste. Geht es an die eigentliche Prüfung der Sicherheit einer Verarbeitung nach Art. 32 DSGVO, gibt es unterschiedliche Herangehensweisen – sowohl beim Auftragnehmer als auch beim Auftraggeber. Die schnellste Variante, hier „einen Haken daran zu bekommen“, ist aus Sicht des Auftragnehmers sicherlich, einfach eine der vielen im Internet verfügbaren Checklisten zur TOM- oder Anbieter-Prüfung zu verwenden und diese mehr oder weniger akkurat auszufüllen. Prüft der Auftraggeber in gleicher Weise, dann herrscht schnell Einigkeit und beide Parteien schließen ihren Vertrag zur Auftragsverarbeitung – vermeintlich ohne Probleme, bis es womöglich zu einem Vorfall kommt und Kunden- oder Mitarbeiterdaten in Untergrundforen verkauft werden oder im Internet auftauchen.

Gängige Praxis

Viele Auftragnehmer neigen in der Praxis dennoch weiterhin zu dem beschriebenen Vorgehen – die Sicherheit von verarbeiten Daten ist bis heute in den wenigsten Marketing-Folien ein tatsächlich ernst genommenes Verkaufskriterium. Slogans wie „Wir arbeiten DSGVO-konform.“ findet man noch relativ häufig in solchen Dokumenten – der Wert dieser Aussage hält in der Praxis jedoch erfahrungsgemäß oft keinen zwei fundierten Rückfragen stand. Im Resultat werden dann vielleicht TOM einer einfachen Checkliste aufgelistet.

Darin könnte man beispielsweise Angaben zu organisatorischen oder technischen Maßnahmen bei der Zutrittskontrolle finden, bei denen schlicht „angekreuzt“ ist, dass es eine Tragepflicht von Mitarbeiter-/Gästeausweisen sowie eine Schlüsselregelung / ein Schlüsselbuch gibt und generell Firewalls und Anti-Viren-Software eingesetzt werden.

Wer auf dieser Basis tatsächlich die Wirksamkeit der Maßnahmen zum Schutz der verarbeiteten Daten beurteilen kann, dem muss schon eine gewisse Magie innewohnen. Denn aus einer solchen Checkliste lässt sich nicht entnehmen, ob die Schlüsselregelung womöglich nur besagt: „Jeder bekommt einen Generalschlüssel, es wäre aber super nett, wenn dieser beim Verlassen des Unternehmens wieder abgegeben wird.“ – oder ob die Firewall mit einer sicherheitstechnisch „fragwürdigen“ Any-to-Any-Regel schlicht jeden Zugriffe erlaubt – aber zumindest ist ja eine Firewall installiert! Spätestens seitdem Mitarbeiter im Homeoffice für viele Firmen zum Alltag gehören, stellt sich manchem auch die Frage, wie es im Heimnetz um Firewall und Virenschutz steht (gibt es überhaupt VPN-Pflicht und Firmen-Hardware?) und ob die Heimarbeiter ihre Gäste im privaten Umfeld in Bezug auf dienstliches Material ebenso sorgfältig im Auge behalten, wie es bei Besuchern im Unternehmen der Fall wäre.

Derartige Beispiele ließen sich aus dem Beratungsalltag im Umfang ganzer Buchreihen zusammentragen. Der letztlich zugrunde liegenden Frage nach dem „Scope“ und dem Reifegrad von Checklisten und Zertifizierungen widmet sich der vorliegende Beitrag gleich noch – zunächst bleibt festzuhalten: Das Ziel, die Sicherheit der Verarbeitung von Daten nachvollziehbar darzulegen und die Wirksamkeit getroffener Maßnahmen zu ergründen, lässt sich mit Standard-Checklisten nach Erfahrung des Autors nicht realisieren – auch weil oft schon Fragen wie „Wo werden die Daten genau verarbeitet? Wo befinden sich (physisch) die Backups? Wie sind die logischen Zugriffswege in geschützte Serverbereiche realisiert und abgesichert?“ dabei nicht beantwortet werden (können).

Regulierung und Zertifizierung

Bei der Frage nach den Anforderungen an Dienstleistungs- und Outsourcing-Vorhaben hilft nach wie vor ein Blick in die bekannten Standards und Empfehlungen: Das BSI hat beispielsweise einen aktualisierten Grundschutzbaustein zu den Anforderungen beim Outsourcing von IT-Betriebsthemen aus Kundensicht entwickelt (OPS.2.1 Outsourcing für Kunden). Die ISO 27002 widmet den Beziehungen zu Dienstleistern ein eigenes Kapitel mit Anforderungen. Und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat für den Bereich Cloud – also streng genommen alle Varianten des externen
Hostings (IaaS, PaaS, SaaS) – eine Orientierungshilfe für Unternehmen in ihrem Geltungsbereich herausgegeben (www.bafin.de/SharedDocs/Downloads/DE/Merkblatt/BA/dl_181108_orientierungshilfe_zu_auslagerungen_an_cloud_anbieter_ba.pdf?__blob=publicationFile).

Alle diese Werke sind geeignet, um auf ihrer jeweiligen Flughöhe die jeweiligen Schwerpunktthemen relativ umfassend zu bearbeiten – der Fokus der BaFin ist an dieser Stelle etwas enger gefasst als bei den beiden anderen Rahmenwerken, dafür gibt es für Banken (BAIT) und Versicherungen (VAIT) noch separate Dokumente zu allen weiteren Fragen beim Fremdbezug von Dienstleistungen.

Technische Anforderungen

Für technisches Outsourcing sieht der BSI Grundschutz den „Leiter IT“ als Verantwortlichen für die Erfüllung der dort spezifizierten Anforderungen – der Informationssicherheitsbeauftragte (ISB) ist hingegen zuständig für die Einhaltung der Sicherheitsanforderungen der Organisation. Hier beißt sich gerade in kleineren Betrieben oft die Katze in den Schwanz: Die Anforderungen an Dienstleister sollen den Sicherheitsanforderungen der Organisation entsprechen – doch was ist, wenn es diese gar nicht in erforderlichem Umfang und Tiefe gibt? Für größere Vorhaben lässt sich eventuell noch ein spezifisches Sicherheitskonzept erstellen, aber bei der Flut von Anfragen aus den Fachbereichen zur Nutzung von Videokonferenzsystemen, Software-as-a-Service-Anwendungen (SaaS) oder zur sonstigen Datenweitergabe an Dienstleister, ist das in der Praxis für die wenigsten Firmen in allen Fällen leistbar.

Organisatorische Anforderungen

Immerhin lassen sich die Empfehlungen von Standards und Regulierungen auf organisatorischer Ebene (mit einer gewissen Unschärfe) aus allen Bereichen zu folgenden Anforderungen zusammenfassen:

• Das Vorhaben sollte klar abgegrenzt und beschrieben sein.
• Art und Ort der verarbeiteten Daten und aller verarbeitenden Systeme sollten identifiziert worden sein.
• Dem Dienstleister sollten verbindliche Anforderungen an die Sicherheit kommuniziert werden.
• Sicherheit und die Verantwortlichkeiten für die jeweiligen Tätigkeiten im Bereich der IT- und Informationssicherheit sollten Bestandteil der Verträge sein.
• Der Auftragnehmer sollte vertraglich zugesicherte Maßnahmen auditieren können.
• Dienstleister sollten aktiv gesteuert und die Einhaltung der Vorgaben fortlaufend überwacht werden.
• Bei Nicht-Einhaltung der Vereinbarungen sollten entsprechende Sanktionen und Austrittsklauseln greifen.

Gerade den letzten Punkt sehen Auftragnehmer in der Regel nicht so gern. Es lässt sich ja schließlich einfacher das Blaue vom Himmel herab versprechen, wenn von der Einhaltung dieser Versprechen nicht gleich die Existenz der eigenen Firma abhängt.

Anforderungen an die / in der Cloud

Handelt es sich bei dem Dienstleister um einen Cloud-Anbieter oder eine vergleichbare Dienstleistung, bietet der „Kriterienkatalog Cloud Computing C5“ des BSI an einigen Stellen handfeste, messbare Anforderungen (www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Kriterienkatalog/Kriterienkatalog_node.html). Ein schönes Beispiel aus dem C5 liegt im Bereich des Schwachstellen- und Patchmanagements. Die Anforderung OPS-22 „Prüfung und Dokumentation offener Schwachstellen“ sieht etwa vor, dass Systemkomponenten im Bereich des Cloud-Anbieters „mindestens monatlich, automatisiert auf bekannte Schwachstellen geprüft“ werden. Das zugehörige Zusatzkriterium legt fest, dass bekannte Schwachstellen mit der Bewertung kritisch nach Common Vulnerability Scoring System (CVSS3 Base Score) innerhalb von 3 Stunden zu schließen sind.

Der Interpretationsspielraum ist hier deutlich geringer als etwa in den Anforderungen des ISO 27002 zum technischen Schwachstellenmanagement – und das muss ja nicht nur für „die Cloud“ gelten. Es ist durchaus eine valide Erwartung, dass ein Dienstleister, der Zugriff auf Daten oder Systeme seiner Auftraggeber hat oder deren Daten bei sich verarbeitet, seine eigenen Systeme – und hierzu zählen Clients ebenso wie Server, Router, Switches, ESX-Cluster und Firewalls – in Schuss hält und bekannte gewordene Schwachstellen schließt.

Verfügen Dienstleister oder ihre Rechenzentren über entsprechende Zertifizierungen im Bereich der Informationssicherheit, dann ist das für die Bewertung der Sicherheit der Verarbeitung sicherlich hilfreich. In der Praxis gibt es aber hier Stolpersteine, vor allem beim Scope, dem „Statement of Applicability“ oder der Frage nach dem tatsächlichen Reifegrad der Umsetzung einzelner Anforderungen des Standards, etwa bei einer ISO-27001-Zertifizierung: Auch zertifizierte Rechenzentren müssen nicht alle Anforderungen mit dem höchsten Reifegrad umgesetzt haben. Das kann beispielsweise dazu führen, dass es zwar ein Patchmanagement gibt, dieses aber in der Dokumentation nicht alle Systeme umfasst.

Die Details zur Zertifizierung legen nicht unbedingt alle Unternehmen offen, die mit einem ISO-27001-Zertifikat werben. Microsoft hat für Azure mittlerweile zumindest eine Zusammenfassung der Audit-Ergebnisse auf Ebene der Kapitelüberschriften in seinem Service-Trust-Portal veröffentlicht. Die Frage nach so einem Dokument lohnt sich bei anderen Dienstleistern, um etwaige Bereiche zu identifizieren, in denen der Reifegrad nicht optimal ist, und um daraus mögliche eigene Risikobehandlungsmaßnahmen abzuleiten. Gleiches gilt übrigens auch für andere Nachweise wie etwa einen ISAE 3402 Type II Report für Prüfungen des internen Kontrollsystems (IKS) bei Dienstleistern. Auch hier sind der Scope und ein grundlegendes Verständnis des zertifizierten Systems hilfreich, um die Wirksamkeit der Maßnahmen zu beurteilen.

Lohnender Aufwand

Eine derart umfassende Anbieterprüfung klingt aufwendig – und das ist sie auch! Hinzu kommen noch die regelmäßige Kontrolle und die Überwachung der Leistungserbringung. Das alles bedeutet Arbeit für den Auftraggeber – und mehr Pflichten und Tätigkeiten, als sich manches Unternehmen bei der Entscheidung für Outsourcing bewusst zu sein scheint.

Auch wenn die Idee verlockend klingt: Leider gibt es hier nicht den einen perfekten Weg für die Prüfung und fortlaufende Kontrolle aller Anbieter aus beliebigen Bereichen. Klar ist, dass etwa die Bewertung der Wirksamkeit technischer Maßnahmen in der Regel nicht der Datenschutzbeauftragte (DSB) leisten kann – besonders wenn der DSB keinen technischen Hintergrund hat. Klar ist auch, dass die ITler in größeren Unternehmen in der Regel nicht vor Begeisterung an die Decke springen, wenn man sie zu jeder Dienstleisterprüfung hinzuzieht.

IT- und Informationssicherheit können – sofern vorhanden und hinreichend ausgestattet – helfen und Teile der Überprüfung übernehmen oder dabei unterstützen, die richtigen Fragen und Anforderungen zu stellen. Aber auch der anfordernde Fachbereich selbst hat seinen Teil zur Bewertung und Prüfung von Dienstleistern beizutragen! Die Schaffung von Transparenz über den Aufwand der Prüfung und die Bewertung von Dienstleistern ist beim ISB jedoch nicht schlecht aufgehoben – schließlich erstellt er auch die internen Vorgaben und weiß, was er zum Schutz der verarbeiteten Informationen fordert und wie die Umsetzung und die Wirksamkeit von Maßnahmen sinnvoll geprüft werden können.

Verbindlich im Vertrag

Einen Punkt, den der Autor im Kontext vieler Vertragsanbahnungen in den letzten Jahren diskutiert hat, ist das Thema der Verbindlichkeit von Sicherheitsthemen. „Klar machen wir alles sicher nach dem Stand der Technik“ ist da eine oft gehörte Aussage. Warum dann aber beispielsweise bei individueller Softwareentwicklung in den Kriterien für die Bereitstellung eines Updates nur „Störungen der fachlichen Funktionalität“ als Grund für eine Nachbesserung genannt werden, lässt sich selten sachlich beantworten.

Informationssicherheit ist Vertragsbestandteil – egal ob bei Softwareentwicklung, allgemeiner Dienstleistung oder IT-Betriebsthemen. Einer muss die verwendeten Systeme patchen. Wer das ist, wie oft und unter welchen Bedingungen ein Patch eingespielt wird oder wie die zugreifenden Systeme darüber hinaus abgesichert werden, die per VPN auf ein Unternehmensnetzwerk zugreifen, ist in den vertraglichen Dokumenten oder SLAs so zu beschreiben, dass alle das gleiche Verständnis haben.

Wenn der Auftragnehmer dann plötzlich höhere Kosten aufruft, ist es umso wichtiger, dass das Thema angesprochen wurde – denn offensichtlich gab es hier zuvor unterschiedliche Wahrnehmungen der Aufgaben und Aufwände dieses Bereichs. Und ja: Sicherheit kostet Zeit und Geld. Die Suche nach dem billigsten Anbieter wird gern zum Boomerang, wenn es um Fragen der Informationssicherheit geht. Im Extremfall kann das sogar dazu führen, dass die Gesamtrechnung zum Thema Outsourcing unter Berücksichtigung der sicherheitsrelevanten Anforderungen und der Aufwände für die laufende Steuerung und Überwachung eines Dienstleisters nicht mehr zugunsten einer externen Lösung ausfällt.

Am Anfang steht Transparenz

Informationssicherheit wird in Dienstleisterbeziehungen mit zunehmendem Fremdbezug und zunehmender Verteilung der eigenen Daten immer wichtiger. Bei der Definition und Diskussion der Anforderungen und Prüfkriterien kann es durchaus zu Reibereien kommen. Dafür muss in einer Checkliste nicht mal eine „unmenschliche“ Anforderung stehen.

Ein Beispiel aus der Praxis ist hier die vom Auftraggeber in den Vertrag formulierte Anforderung: „Werden in der Webanwendung Schwachstellen gemäß der OWASP Top 10 Web Application Security Risks identifiziert, sind diese vom Auftragnehmer kostenfrei zu beheben.“ Der Auftragnehmer hatte zuvor mündlich bestätigt, dass er stets sicher entwickele und alle Anforderungen des genannten Standards und darüber hinaus berücksichtigt. Eine entsprechende Klausel sollte also eigentlich kein Problem sein – in der Praxis kann daraus aber eine lange Diskussion werden.

Aber: Jede solche Diskussion bringt dem Auftraggeber Transparenz. Und die ist die Grundlage, um Risiken zu bewerten und eigene ergänzende Maßnahmen zum Schutz relevanter Daten und Geschäftsprozesse abzuleiten. Jede Antwort auf eine Frage aus der eigenen Prüfliste liefert ein Puzzleteil bei der Gesamtbeurteilung des Dienstleisters.

Dabei können diese Fragen recht einfach sein – aus Sicht des Auftraggebers beispielsweise:

• Welche Inhalte beschreibt Ihr Leitfaden zur sicheren Entwicklung?
• Wie oft werden interne und aus dem Internet erreichbare Systeme, die zur Verarbeitung unserer Daten oder zum Zugriff auf unsere Infrastruktur verwendet werden, auf Schwachstellen überprüft?
• Auf welchen Systemen und an welchen Standorten werden unsere Daten verarbeitet, gesichert oder archiviert?
• Wie lauten Ihre internen Vorgaben zur Behebung von Schwachstellen aus Sicherheitsüberprüfungen?
• Wer ist auf Ihrer Seite der Ansprechpartner für Fragen zur IT- und Informations-Sicherheit?
• Auf welchem Weg teilen Sie uns sicherheitsrelevante Vorfälle mit, die unsere Daten oder Systemzugänge betreffen?
• Wie stellen Sie sicher, unbefugte Zugriffe auf unsere Daten oder Systeme zu erkennen?
• Mit welchen technischen und organisatorischen Maßnahmen werden Clients vor Missbrauch geschützt, wenn sie sich außerhalb der gesicherten Bürogebäude befinden?
• Wie lauten Ihre Vorgaben zum Einspielen sicherheitsrelevanter Updates in Abhängigkeit von der Kritikalität der adressierten Schwachstellen und dem Schutzniveau der Systeme?

Bei der Gestaltung von Fragen an Dienstleister haben sich offene Fragen bewährt, um Transparenz zu schaffen – mit allen Nachteilen hinsichtlich des Aufwands bei der Auswertung, die sich daraus ergeben. Oft reichen dann aber schon wenige und einfache Fragen, wie die hier genannten, um einen ersten Eindruck vom potenziellen Auftragnehmer zu gewinnen.

Fazit

Auch nach über zwei Jahren DSVGO und diversen Datendiebstählen unter Beteiligung externer Dienstleister scheint das Thema „Bewertung und Überprüfung von Dienstleistern“ noch immer teilweise eher als lästig statt als nützlich wahrgenommen zu werden. Viele exemplarische Checklisten, die als TOM-Dokument verwendet werden und in denen sinngemäß steht „Wir haben ein Schloss in der Tür.“ sind dabei nicht sehr hilfreich. Beim Leasing eines Autos würde ein Interessent an dieser Stelle wohl nachfragen, mit welcher Technik das Schloss funktioniert (klassischer Schlüssel oder Funk, Reichweite, automatisch oder manuell?) und die Türöffnung direkt mal ausprobieren – und zwar unabhängig davon, ob das Auto eine Bauartzulassung und eine aktuelle TÜV-Plakette hat. Da wäre es doch passend, auch bei IT-Dienstleistern nicht nur nach dem Äquivalent von vier Reifen und einer Windschutzscheibe zu fragen, sondern zu verifizieren, ob die Räder mit dem definierten Drehmoment festgeschraubt sind und die Windschutzscheibe frei von Kratzern und Steinschlägen ist.

Mit steigendem Wert der Informationen, die der Auftragnehmer verarbeiten soll, und steigender Kritikalität der Geschäftsprozesse, die betroffen sind, sollten auch die Anforderungen an beauftragte Dienstleister steigen. Eine Fragen- und Checkliste in Abhängigkeit vom Schutzbedarf und der Art der Dienstleistung bietet die Möglichkeit, vorhandene Ressourcen auf die schützenswertesten Bereiche zu fokussieren und kosteneffizient zu arbeiten. Vielleicht macht es sogar Sinn, in bestimmten Fällen, etwa bei extern betriebener Software oder VPN-Zugängen, die Systeme des Dienstleisters in die eigenen regelmäßigen Schwachstellenscans der Infrastruktur mit aufzunehmen. Das kann – wo anwendbar – auch mit Blick auf den Nachweis der Kontrollpflichten als Auftraggeber und die regelmäßige Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen durchaus hilfreich sein.

Christian Biehler (christian.biehler@bi-sec.de) ist Geschäftsführer der bi-sec GmbH.