IT-Dienstleistung - aber sicher

Organisation

"Der Dienstleister bietet an, eine Schutzbedarfsanalyse für die Systeme des auftraggebenden Unternehmens durchzuführen, sowie daraus gemeinsam mit dem Auftraggeber ein Sicherheitskonzept abzuleiten."

Vor Auftragserteilung und vor Aufbau oder Inbetriebnahme einer Sicherheitsinfrastruktur wird gemeinsam mit dem Kunden erarbeitet, welche Sicherheitsinfrastruktur benötigt und angemessen ist. Dies orientiert sich am Schutzbedarf der geschützten Daten sowie den Unternehmensanforderungen zum BCM1 . So ist es z.B. nicht sinnvoll eine hochverfügbare Firewall Infrastruktur hinter einem singulärem Internet Uplink aufzubauen. Ob die bestehende und neue Infrastruktur den Anforderungen des Unternehmens entspricht wird in diesem Stadium ermittelt und ggf. angepasst.

Bei Bedarf des Kunden kann die bestehende Infrastruktur und auch die neue Infrastruktur einem Penetration Test unterzogen werden, um die Wirksamkeit der Maßnahmen nachzuweisen.

 

"Die Auswahl der technischen Sicherungsverfahren und die Organisation der IT-Sicherheit werden in Abstimmung mit dem auftraggebenden Unternehmen auf der Basis der Best Practices der ISO 27002 (oder vergleichbar) abgestimmt."

Die Managed Services der Pallas werden jährlich vom TÜV2 geprüft. Je nach Schutzbedarf des Kunden werden aus einem Baukastensystem die für den Kunden passenden Sicherheitskomponenten aufgebaut und betrieben.

 

"Der Dienstleister berichtet dem auftraggebenden Unternehmen monatlich über den sicherheitsrelevanten Status der Kundensysteme und gibt Handlungsempfehlungen."

Jeder Sicherheitsvorfall wird im Pallas eigenen ISMS3 verfolgt. Bei kritischen Sicherheitslücken wird Pallas selbständig aktiv und schließt diese für den Kunden. Gibt es dedizierte Systeme des Kunden, die eine sehr hohe Verfügbarkeitsanforderung haben, so steht dies meist im Widerspruch zur schnellen Schließung von Sicherheitslücken. Daher wird in diesen Fällen das Vorgehen mit dem Kunden individuell abgestimmt.

"Der Dienstleister ist bei Vertragsabschluss bereit, für alle Subunternehmer die hier aufgeführten Anforderungen ausgefüllt dem Auftraggeber vorzulegen."

Pallas setzt i.d.R. keine Subunternehmen ein, sondern arbeitet mit eigenem Personal. Dennoch kommt es häufig vor, dass Partnerunternehmen von Kunden erweiterte Rechte auf Kundensystemen erhalten müssen. Dies erfolgt nach Vorgabe durch den Kunden. Werden Techniker von z.B. Hardwarelieferanten im Einsatz benötigt, so arbeiten diese nie alleine an Systemen, sondern immer unter Aufsicht von Pallas Mitarbeitern.

 

"Der Dienstleister erklärt sich bereit, Security Audits durch geeignete Dritte mit einer angemessenen Vorlaufzeit zu akzeptieren."

Security Audits durch Kunden kommen regelmäßig vor und werden selbstverständlich akzeptiert. Entstehen durch das Audit Risiken wie z.B. Denial of Service Attacken auf Kundensysteme, so weist Pallas darauf hin. Pallas wird jährlich durch den TÜV zertifiziert und gem. ISAE 3402 testiert. Zertifikat und Testat werden Kunden zur Verfügung gestellt.

 

  1Business Continuity Management
  2www.pallas.com/fileadmin/user_upload/medien/main/Tuev_2017.pdf
  3Information Security Management System