Bericht zum Workshop ’Outsourcing und Vendor Security’ am 11.11.2011 in Frankfurt

von Ingrid Dubois

Die Fachgruppe ’Management von Informationssicherheit’ (SECMGT) der Gesellschaft für Informatik (GI) hatte am 11.11.2011 zu einem Workshop zum Thema ’Outsourcing und Vendor Security’ eingeladen. 45 Teilnehmer, die überwiegend bei Unternehmen beschäftigt sind, nahmen an der Veranstaltung teil. Schwerpunkt des Workshops war die Rolle der Informationssicherheit beim Einbinden von Externen, insbesondere die Anforderungen und Pflichten für Auftraggeber und Dienstleistungserbringer, dabei für eine angemessene Sicherheit zu sorgen.


Zu Beginn stellte Dr. Adrian Davis vom Information Security Forum (ISF) die Ergebnisse der Studie des ISF ’Securing external suppliers and supply chains’ vor. Eindrucksvoll eröffnete er seinen Vortrag mit der Aussage, dass alles, einschließlich IT und Informationssicherheit, ausgelagert werden kann und große Firmen oftmals mit über 2000 externen Dienstleistern zusammenarbeiten. Aufschlussreich waren auch die weiteren Zahlen aus der Studie: ca. ein Viertel der befragten Unternehmen sind sehr zufrieden mit dem Maß der vereinbarten Sicherheitsmaßnahmen, während sich in etwa die Hälfte der Unternehmen Risiken ausgesetzt sehen, die von den beauftragten Dienstleistern ausgehen. Knapp dreiviertel der befragten Unternehmen sind sehr besorgt über die Gestaltung der Sicherheitsvereinbarungen mit Dienstleistern. Dies unterstreicht den Bedarf, sich mit diesen Fragen aktiv auseinander zu setzen.

Kurt Küpper, Business Information Security Office der Citigroup Global Markets Deutschland AG, stellte in seinem Vortrag den ’Third Party Information Security Assessment (TPISA) Prozess bei der Citigroup’ vor. Dieser Prozess reicht vom Inventory mit Festlegung der Kritikalitäten outgesourcter Dienstleistungen, über die jährlich durchzuführende Due Dilligence, der Beurteilung der beim Dienstleister implementierten Maßnahmen, der daraus resultierenden Risikoeinstufung bis hin zur Vorgabe, welche Aktionen aufgrund der Ergebnisse zu ergreifen sind. In die Risikoeinstufung fließen u.a. Informationen über den Dienstleister und die Art und Menge der Informationen, die er verarbeitet, ein. Aus der Einstufung leitet sich ab, ob und wie oft von Citi beim Dienstleister vor Ort geprüft wird. Das Überprüfen der Vendoren stellt zwar sowohl für die Vendoren, wie auch für Citi einen großen, aus Sicht von Citi dennoch lohnens-werten Aufwand dar, da sich fortwährend Rahmenbedingungen und Risikolage ändern und auch immer wieder Schwachstellen gefunden werden.

Klaus Martens von Itella Information GmbH, einem Dienstleister für Finanz- und Buchhaltungsprozesse, stellte in seinem Vortrag ’Auditprozess beim Auftragsdatenverarbeiter: Darf’s ein bisschen mehr sein?’ die Thematik aus Dienstleistersicht dar. Das Spektrum der Prüfung durch die Auftraggeber reicht von ’keine Prüfung’, über ’Fragebögen’ bis hin zu ’Prüfungen vor Ort’. Letztere sind hinsichtlich Umfang und Dauer sehr unterschiedlich: Einige dauern 2 Stunden, andere 2 Tage, einige sind vollkommen unstrukturiert und unvorbereitet, andere orientieren sich an Standards und manche übertragen die Sicherheitsanforderungen des Auftraggebers 1:1 unreflektiert auf den Dienstleister. Entsprechend bunt und individuell sind auch Beurteilungen und Anforderungen an resultierende Maßnahmen. Aus Sicht eines Dienstleisters wäre ein einheitlicher Standard wünschenswert. Außerdem sollten vertragliche Maßnahmen den Rahmen, was geprüft werden kann, klar abstecken.

Ulrich Kunitz von der Deutschen Bank stellte in seinem Vortrag ’Shared Assessments - Ein unternehmensübergreifender Ansatz zur Risikobewertung von Vendoren’ vor. Ziel der Shared Assessments ist die Erhöhung der Effizienz des Vendor-Risiko-Assessment-Prozesses auf Kunden- und Anbieterseite durch Standardisierung ohne Abstriche bei der Qualität der Prüfungen. Um einen branchenübergreifenden Standard zu entwickeln und Erfahrungen auszutau-schen, hatten sich daher bereits im Jahr 2005 Kunden, Dienstleister und Prüfungsunternehmen zusammengetan. Seither wurden u.a. ein Fragenkatalog, Unterlagen zum Prüfverfahren und Whitepapers zur Verfügung gestellt. Der Fragenkatalog ist ein Excel-basiertes Werkzeug, der über 1000 Fragen enthält. Der Beantwortungsaufwand kann jedoch reduziert werden, da auch Basisprüfungen vorgesehen sind.

Dr. Frank Kedziur von British Telecom (BT) stellte in seinem Vortrag vor, wie die BT die Her-ausforderungen meistert, die zahlreichen Anforderungen seiner Kunden möglichst effizient zu erfüllen. BT verfolgt drei alternative Ansätze: Entweder überzeugt sich der Kunde durch vorgelegte Zertifikate und Berichte über die bei BT realisierte Baseline Security und betrachtet das verbleibende Risiko für sich als akzeptabel. Der zweite Ansatz setzt bei der Ausschreibung an: Der Kunde schließt sich ganz oder teilweise den sorgfältig vorbereiteten und erprobten TPI-(Maximal)Anforderungen an und erhält eine entsprechende darauf basierende, vertragliche Ab-sicherung. Weicht der Dienstleister von den im ’request for proposal’ aufgeführten Anforderungen ab, muss der Dienstleister dies angeben und beschreiben, welche Alternative er anbieten kann. Bei der dritten Variante implementieren Kunde und BT gemeinsam ein maßgeschneider-tes Informationssicherheits-Managementsystem (ISMS).

Bernhard C. Witt von der it.sec GmbH & Co. KG stellte in seinem Vortrag ’Der neue Standard ISO/IEC 27036 - Information security for supplier relationships’ den Stand zu den Arbeiten an diesem neuen internationalen Standard vor. Dabei skizzierte er auch kurz die Möglichkeiten zur Mitarbeit im DIN und die Struktur des Normenausschusses Informationstechnik und Anwen-dungen (NIA). Der Standard wird aus mehreren Teilen bestehen, wovon sich die ersten drei zurzeit noch im Status ’working draft’ befinden. Ziel ist, dass der Standard den gesamten Prozess für Produkte und Services und sowohl die Belange des Auftraggebers (Acquirer, also Bezieher eines Produktes oder outgesourcten Services) als auch des Auftragnehmers (Supplier, der Produkte und/oder Services anbietet) abdeckt. ISO/IEC 27036 wird die Maßnahmen aus ISO/IEC 27002 outsourcingspezifisch erweitern und hierbei die komplette Supply Chain adressieren.

Unterlagen zu den einzelnen Fachvorträgen können heruntergeladen werden unter
http://www.gi.de/gliederungen/fachgruppen/fg-secmgt/fachgruppe-secmgt-management-von-informationssicherheit/workshops/aktuelle-workshops/2011-11-11.html.

pdf-Fassung des Workshop-Berichts

Bericht zum Data Leakage Workshop am 25.2.2011

SECMGT-Veranstaltung zu 'Data Leakage' gut besucht

Ende Februar hatte die Fachgruppe 'Management von Informationssicherheit' (SECMGT) der Gesellschaft für Informatik (GI) zu einem Workshop zum Thema 'Data Leakage' eingeladen. Die unterschiedlichen Facetten dieses Themas wurden vor 48 Teilnehmern auf der Grundlage informativer Fachreferate beleuchtet.

Zum Einstieg präsentierte Herr Holger Heimann von it.sec GmbH & Co.KG diverse Beispiele, wo und wie unerwünscht (zu)viel Information transportiert/abfließen kann und/oder bewusst und in unlauterer Absicht abgegriffen werden kann. Dazu zählen die Konfiguration von E-Mail und Metadaten genauso, wie Wikileaks und 'Steuersünder-CD'.

Der Vortrag gab einen guten Einstieg in die Thematik. Neben dem Überblick über Ursachen von Data Leakage - technische, organisatorische und/oder menschliche Fehler - zeigte Herr Heimann auch deutlich Schadensszenarien und Konsequenzen für Organisationen und einzelne Verantwortliche auf, wie z.B. Reputationsverlust, Umsatzeinbußen aufgrund von an die Konkurrenz verlorenen Aufträgen, Strafzahlungen.

Mögliche Strafen waren dann auch ein zentraler Aspekt, den Rechtsanwalt Dr. Martin Braun von der Kanzlei WilmerHale, in seinem Vortrag aufgriff. Er stellte wichtige Gesetze, die im Zusammenhang mit Data Leakage, Geheimnisverrat und Datenschutz stehen, vor, nannte präventive Pflichten und, falls dann doch mal eine Datenpanne passiert ist, welche Rechte und Pflichten Betroffene und Beteiligte haben. Wesentliche Regelungen dazu sind in der Neuregelung der EU-Richtlinie 2002/58/EG und im Bundesdatenschutzgesetz zu finden.

Herr Daniel Joseph vom Verfassungsschutz Rheinland-Pfalz verdeutlichte in seinem Vortrag, dass Spionage eigentlich nur eine spezielle Ausprägung von Data Leakage sei. Der Verfassungsschutz kümmert sich dabei ausschließlich um das Verhindern und Aufdecken von nachrichtendienstlich initiierter Spionage, d.h. Spionage, die von einem anderen Staat beauftragt wurde. Konkurrenzspionage fällt - auch wenn sie grenzüberschreitend ist - nicht in den Aufgabenbereich des Verfassungsschutzes. Neben statistischen Daten über die Länder, die zurzeit am aktivsten Spionage betreiben, wurden auch Schulungs- und Sensibilisierungsmaßnahmen vorgestellt. Diese umfassen sowohl Maßnahmen, wenn sich eigenes Personal in einem anderen Land aufhalten, wie auch Regeln, die beachtet werden sollten, wenn Mitarbeiter, Praktikanten, etc. aus anderen Ländern in einer deutschen Organisation beschäftigt werden oder diese besuchen. Abschließend wies Herr Joseph noch einmal darauf hin, dass die Mitarbeiter des Verfassungsschutzes gerne auch vor Ort zu den Firmen kommen, beraten und auch Schulungen und Awarenessveranstaltungen durchführen.

Eine Möglichkeit, um Data Leakage zu verhindern, ist, sich über Gefahren und mögliche Konsequenzen von Data Leakage in seinen vielfältigen Formen bewusst zu sein. Eine weitere ist, Tools zu installieren, die insbesondere im technischen Umfeld und möglichst automatisiert Data Leakage erkennen und idealerweise verhindern. Herr Christian Götz von Cyber-Ark stellte unterschiedliche, technische Lösungsansätze und Data Leakage Prevention-Tools (DLP-Tools) vor. Für jedes der vorgestellten Beispiele wurden in einem Spinnennetzdiagramm die jeweiligen Stärken und Schwächen dargestellt. So wurde anschaulich klar, dass DLP ein vielschichtiges Thema ist und es (noch) keine perfekte Lösung gibt.

Wichtig und richtig war auch der Hinweis, dass es in einer freien Gesellschaft nie eine Lösung geben wird, die das allumfassende Überwachen möglich macht, das notwendig wäre, um gegebenenfalls einen Datenabfluss einzuschränken oder zu verhindern. Die Freiheit des Einzelnen im Umgang mit Informationen und das Interesse, dies zu überwachen, sind keine unvereinbaren Ziele. Jedoch stehen sie in einem deutlichen Spannungsverhältnis.

Unterlagen zu den einzelnen Fachvorträgen können im Internet von der Workshop-Seite heruntergeladen werden.

Autorin: Ingrid Dubois; der Workshop-Bericht wurde im Informatik Spektrum Heft 3-2011 veröffentlicht.