Lieferantenmanagement-Software

IT-Sicherheit als Einkaufskriterium

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Kontrolle der Cloud-Provider auf alle Lieferanten ausweiten

Unter den Lieferanten und Dienstleistern gibt es eine Gruppe, bei der das Thema Security Audit in den letzten Monaten und Jahren ausführlich diskutiert wird: die Cloud-Provider. Datenschützer betonen hier immer wieder, dass die Cloud-Anbieter kontrolliert und deren IT-Sicherheitsmaßnahmen geprüft werden müssen. Hintergrund ist dabei, dass es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt, der Auftraggeber also in der Verantwortung für den Datenschutz bleibt und sich von der IT-Sicherheit des Cloud-Lieferanten überzeugen muss.

Zu den Sicherheits- und Datenschutzanforderungen bei Cloud-Providern gibt es eine Reihe von Leitfäden, wie die Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz, die Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder den Cloud Security Guide for SMEs von ENISA (European Union Agency for Network and Information Security).

So wichtig Cloud Computing und die Cloud-Sicherheit auch sind, es reicht nicht, Security Audits und Lieferanten-Sicherheitsbewertungen für Cloud Provider vorzusehen. Die IT-Sicherheitskontrollen, wie sie bei Cloud Computing gefordert werden, sind für alle Lieferanten und Dienstleister erforderlich, in der Regel selbst dann, wenn es keine Datenverbindung zu ihnen gibt. Schließlich könnten auch vertrauliche Unterlagen des Auftraggebers auf einem USB-Stick oder in einer Papierakte abhandenkommen.

IT-Sicherheit mit den Zielen Vertraulichkeit, Verfügbarkeit und Integrität muss in der kompletten Lieferkette sichergestellt und deshalb bewertet werden. Lieferantenmanagement und Lieferantenbewertung ohne einen Fokus auf IT-Sicherheit werden der fortschreitenden Digitalisierung der Wirtschaft und den steigenden IT-Bedrohungen nicht gerecht. IT-Sicherheit muss deshalb zwingend als Einkaufskriterium gesehen und auch so behandelt werden.

Zur Startseite