Die hektische Geschäftswelt verlangt uns allen viel Zeit und Kraft ab. Da liegt es auf der Hand, dass wir uns durch externe Dienstleister unter die Arme greifen lassen und uns bei der Behandlung der heutigen Informationsflut unterstützen lassen. Klingt gut, oder? Aber ist es denn wirklich so einfach eine solche Dienstleistung in Anspruch zu nehmen, oder handeln wir uns damit doch mehr Risiken ein?
Stell’ Dir vor: Du bist Chef der Abteilung «Kundenbindung und Produkteentwicklung» einer Schweizer KMU. Du hast eine Firma an der Hand, die Dir grossartige Analysen und Marktinformationen verspricht, mit denen Du Deine Firma im Markt besser positionierst, um der Konkurrenz damit ein Schritt voraus zu sein. Genau das hast Du gesucht!
Du kennst Eure Weisungen und hast auch schon den Evaluationsprozess für Drittparteien heruntergeladen. Du rufst den CISO an und bittest ihn, den potenziellen neuen Partner bezüglich Sicherheit bei der Bearbeitung Deiner Informationen auf Herz und Nieren zu prüfen. Eins ist klar: wenn Du Deine Informationen an diese Firma abgibst, sollen sie sorgsam und sicher damit umgehen. Nach intensivem Austausch zu den Fähigkeiten des Dienstleiters stellst Du fest, dass die Firma nach ISO 27001 zertifiziert sei und zusätzlich eine namhafte Consultingfirma beauftragt habe, einen ISAE 3402 Typ2-Bericht zu verfassen.
Einige Wochen später ist der Dienstleistungsvertrag mit der Firma unterzeichnet und sie sind daran die Verbindungen in Dein Netzwerk zu bauen, denn die Daten (Kundendaten, vertrauliche Informationen über Produkte, etc.) sollen ja bald zu ihnen fliessen. Am Morgen überfliegst Du die Zeitung und Dein Auge bleibt an einer Schlagzeile hängen: «Datenklau bei Firma XYZ blieb seit Monaten unbemerkt.» und genau mit dieser Firma hast Du den Dienstleistungsvertrag unterzeichnet. Du bist Dir ziemlich sicher, dass Deine Rechtsabteilung den Vertrag bezüglich Haftung eingehend geprüft hat, aber der CISO erwähnte in seinem Bericht ja auch einige Risiken, denen Du in der Eile keine grosse Aufmerksamkeit geschenkt hast: so hat die Firma es unterlassen, den verlangten «Penetration Test»-Bericht zu liefern und dass sie sich dafür aus «operationellen Gründen» einige Wochen Zeit dafür ausbedungen hat. Der Zeitungsbericht erzählt dann auch, dass die Daten über einige nicht gesicherte Ports und an der Firewall des Partners vorbei unbemerkt gestohlen wurden und nun im «Darknet» zum Verkauf angeboten werden. Zudem hat der Partner es auch unterlassen, Dir seine eigenen Sicherheitsmassnahmen offenzulegen, von einer Liste derjenigen seiner Mitarbeiter, die auf das Netzwerk Deiner Firma zugreifen können, ganz zu schweigen. Die Liste der Verfehlungen ist recht detailliert.
Du weist die Rechtsabteilung an, den Vertrag sofort zu sistieren, denn mit dem Partner möchtest Du ja vorerst nicht in Verbindung gebracht werden. Blöd nur, dass Dein Firmenlogo schon auf der Webseite der Firma prangt. So was! Langsam wird Dir das Ausmass des Problems klar, und Du beschliesst sofort den Bericht des CISO im Detail zu lesen. Das Erste, was Dir ins Auge sticht, dass es sich bei dem Dokument um «eine Momentaufnahme möglicher Risiken bei einer Kooperation mit Firma XYZ» handelt und dass man Dir als Auftraggeber empfiehlt, die vorgeschlagenen Massnahmen in Betracht zu ziehen und mit dem Risikoappetit der Firma zu vergleichen. Nach einigen aufgeregten Telefonaten mit Deinen Geschäftsleitungskollegen bekommst Du vom CISO endlich die Mitteilung, dass noch keine produktiven Daten an die Firma geflossen seien, dass Dein «SOC» bereits einige Versuche des Zugriffs über die Datenverbindung der Firma festgestellt hat, die aber zum Glück abgewehrt wurden.
Du bist mit einem blauen Auge davongekommen! Einige Erkenntnisse sind aber bei Dir hängen geblieben: zum einen weisst Du jetzt, dass Du den Bericht des CISO besser ganz gelesen hättest … und das vor der Vertragsunterzeichnung! Ob Du seinen Empfehlungen gefolgt wärst, sei dahingestellt, aber Du wärst Dir der Risiken bewusst geworden, genauso, wie der Verantwortung, die Du trotz aller Verträge hast. Zertifizierungen und Prüfberichte sind zum Beispiel nur ein «Indiz» für das Sicherheitsverhalten des Partners, bieten aber keine Gewissheit. Hat die Firma die Schwachstellen im nicht gelieferten Bericht beseitigt? Du weisst es nicht. Und das Allerwichtigste? Du kannst zwar die Aufgaben delegieren, nicht aber die Verantwortung für die Sicherheit Deiner Kronjuwelen! Letztendlich hast Du weder Zeit noch Ressourcen gespart … von Nerven ganz zu schweigen.
Bora Okumus, Georg Dürst und Roger Kaufmann bloggen aus dem Unterricht des CAS Cyber Risk Management.