Sponsored

Sponsored

Cyber-Sicherheit: IT-Dienstleister müssen überwacht werden. Aber wie?

01.05.2025
IT-Dienstleister unterstützen KMU mit technischer Expertise und der Bereitstellung der IT-Infrastruktur, die das Rückgrat vieler Unternehmen bildet und auch eine gewichtige Schwachstelle für potenzielle Cyber-Angriffe ist. Obwohl es in der Verantwortung der IT-Dienstleister liegt, proaktiv Risiken für ihre Kunden zu minimieren, müssen KMU sicherstellen, dass sie diese Risiken im internen Risikomanagementprozess berücksichtigen.

IT-Dienstleister sind essenziell für die Organisation und Infrastruktur vieler KMU. Sie bieten spezialisiertes Fachwissen und technologische Werkzeuge, die für die Unternehmen unerlässlich sind. Im Bereich der Cyber-Sicherheit kommt den IT-Dienstleistern eine besonders wichtige Funktion zu. Sie unterstützen KMU dabei, ihre Systeme, Tools und Prozesse auf dem neuesten Stand zu halten und auf diese Weise potenziellen Bedrohungen vorzubeugen. Sie statten Unternehmen mit den notwendigen Sicherheitsmassnahmen aus, um Daten und Systeme vor Angriffen zu schützen sowie bei Notfällen die Schäden zu minimieren und die Betriebsfähigkeit wiederherzustellen.

IT-Dienstleister gelten jedoch als lohnendes Angriffsziel für Cyber-Kriminelle. In der Schweiz führen Schwachstellen oder Kompromittierungen der IT-Dienstleister zu etwa einem Drittel aller erfolgreichen Cyber-Angriffe. Drei Szenarien kommen dabei vor:

  • Fehlverhalten oder Versäumnisse des IT-Dienstleisters durch Fehlkonfigurationen (z. B. Firewall) oder Offenlassen ungeschützter Benutzerkonten;
  • Kompromittierung des Outsourcing-Providers mit Auswirkung auf die Kunden;
  • Kritische Schwachstellen werden vom Hersteller als unkritisch eingestuft und nicht zeitnah mit Sicherheitspatches geschlossen.

Der weltweit führende Versicherungsbroker Marsh zählt die Überprüfung externer IT-Dienstleister zu den zwölf zentralen Sicherheitskontrollen zur Gewährleistung der Cyber-Sicherheit. Für den Versicherungsabschluss stellt er deshalb Fragen zum Risikopotenzial externer Dienstleister sowie zum internen Risikomanagement damit.

Der Umfang der Auslagerung der IT an spezialisierte Dienstleister variiert stark zwischen den KMU. Sehr oft werden einzelne oder mehrere Bereiche ausgelagert: Von der Nutzung eines Cloud Services bis zur Auslagerung der kompletten IT ist alles möglich. Deshalb kommt den IT-Dienstleistern bei der Informationssicherheit eine sehr grosse Bedeutung zu. Wer sich dieser Tatsache bewusst ist, wird dies bei der Auswahl des IT-Dienstleisters berücksichtigen. Eine Zertifizierung nach ISO27001 bestätigt, dass ein Unternehmen über ein wirksames Managementsystem zur Informationssicherheit verfügt. Dieses erkennt die spezifischen Risiken und begegnet diesen mit geeigneten Massnahmen.

Die Zertifizierung nach ISO27001 ist anspruchsvoll und eine grosse Herausforderung für IT-Dienstleister, die selbst KMUs sind. Diese Problematik hat der Verein «Allianz Digitale Sicherheit Schweiz» (ADSS) erkannt und mit dem «CyberSeal» ein niederschwelliges Gütesiegel für IT-Dienstleister geschaffen. Der Verband «Cyber-Safe» verfolgt mit dem gleichlautenden Label dasselbe Ziel. Dieses definiert minimale Sicherheitsanforderungen für KMU, Gemeinden, öffentliche Organisationen, Berufsverbände und Vereine.

KMU können sich nicht allein auf die Professionalität ihrer IT-Dienstleister verlassen. Sie sind verpflichtet, diese regelmässig zu überprüfen und systematisch in ihren Risikomanagementprozess einzubinden. Dabei sind diese Aspekte für eine wirksame Überwachung zentral:

  • Etablierung strukturierter Prozesse zur Identifikation, Bewertung, Überwachung und Minderung von Risiken, die durch Dienstleister entstehen können.
  • Entwicklung und Umsetzung von verbindlichen Cybersicherheitsrichtlinien für sämtliche Dienstleister mit Zugriff auf unternehmensinterne Daten, einschliesslich risikobasierter Überwachung auffälliger Aktivitäten.
  • Regelmässige sicherheitsbezogene Evaluierung aller externen Dienstleister mit Datenzugriff.
  • Durchführung jährlicher Überprüfungen auf Grundlage unabhängiger Auditberichte über die Dienstleister.
  • Einholung schriftlicher Bestätigungen, dass die Dienstleister sämtliche gesetzlichen Anforderungen hinsichtlich Datenspeicherung und -übertragung einhalten.
  • Nachweis, dass die Dienstleister über angemessene Cyber-Versicherungen verfügen, um potenzielle Schäden aus Sicherheitsvorfällen abzusichern.

Die Umsetzung dieser Massnahmen führt zwar zu einem erhöhten Aufwand für das Management, die Botschaft ist jedoch unmissverständlich: KMU können sich ihrer Verantwortung nicht entziehen, indem sie die Überwachung von Cyber-Risiken vollständig an ihre Dienstleister delegieren. Vielmehr sind sie gefordert, intern technisches und sicherheitsspezifisches Know-how aufzubauen und externe Dienstleister aktiv und systematisch in ihren Risikomanagementprozess zu integrieren.