Zwei Männer am Laptop in einer Besprechung
Ratgeber

Cybersicherheit: Zusammenarbeit mit externen Firmen ist klar geregelt

Häufig setzen KMU auf externe IT-Dienstleister, weil es ihnen beispielsweise an Fachexpertise mangelt, es kosteneffizienter ist oder sie den Fokus auf das Tagesgeschäft und ihre Kernkompetenzen legen möchten. Um sich vor Cyberattacken zu schützen, ist es wichtig, klare Zuständigkeiten zwischen dem eigenen Unternehmen und externen IT-Dienstleistern zu definieren. Dies bedeutet, dass die Rollen und Aufgaben der einzelnen Parteien im Bereich der IT-Sicherheit klar festgelegt und kommuniziert werden müssen. 

Weshalb braucht es eine klare Aufgabenteilung?

Durch klare Definitionen wissen alle Beteiligten genau, wer für welche Aspekte der IT-Sicherheit verantwortlich ist. Die Verantwortung wird nicht verschoben, sondern effizient verteilt. Dadurch können Aufgaben konsequent und rasch erledigt werden, was die Reaktionszeit im Falle einer Cyberattacke verkürzt. 

Eine eindeutige Verteilung hilft auch bei der Kommunikation zwischen Unternehmen und IT-Dienstleister: Informationen werden gezielter ausgetauscht, was zu einem besseren Verständnis der Anforderungen und Risiken führt. 

Grafik Verantwortlichkeiten extern
basic_checklist

Das Wichtigste auf einen Blick

Arbeiten Sie mit einem externen IT-Dienstleister zusammen, ist es wichtig, dass jede Partei weiss, welche Aufgaben und Verantwortlichkeiten bei ihr liegen. So kann bei einem Cyberangriff rasch und effizient reagiert werden. Doppelspurigkeit wird vermieden. Achten Sie bei der Regelung der Zusammenarbeit, dass Sie zu Beginn 

eine Bestandsaufnahme machen.

die Zuständigkeiten klären.

ein Pflichtenheft erstellen.

Wie kann ich vorgehen?

Bestandsaufnahme und Risikoanalyse 

Erfassen Sie alle relevanten Informationen zu Ihrer aktuellen IT-Infrastruktur und den damit verbundenen Prozessen. Dazu gehören beispielsweise Netzwerktopologie, vorhandene Hardware und Software, Sicherheitsrichtlinien und Zugriffsrechte.  

Identifizieren Sie (gemeinsam mit dem IT-Dienstleister) kritische IT-Bereiche und ermitteln Sie potenzielle Schwachstellen und Risiken. Bewerten Sie die Auswirkungen von Cyberattacken auf Ihr Unternehmen. 

Sicherheitsaudit durchführen

Klare Zuständigkeiten definieren 

Benennen Sie die Person, welche intern für die IT-Sicherheit zuständig ist. 

Legen Sie für jede IT-Aufgabe (z. B. Sicherheitsupdates, Datensicherung, Incident-Response) verantwortliche Parteien fest – sowohl intern als auch beim externen Dienstleister. 

Prüfen Sie zudem regelmässig, ob die vereinbarten Zuständigkeiten und Pflichten im Pflichtenheft (siehe Absatz «Pflichtenheft erstellen») eingehalten werden. Aktualisieren Sie es bei Bedarf, um sich an neue Bedrohungen, Gegebenheiten und Gesetzgebungen anzupassen. 

Wer ist intern für die Cybersicherheit zuständig?

Pflichtenheft erstellen 

Ein Pflichtenheft ist ein Dokument, das die Aufgaben und Verantwortlichkeiten der einzelnen Parteien im Bereich der IT-Sicherheit festlegt. Das Pflichtenheft sollte von allen Parteien gelesen und verstanden werden. 

Verfassen Sie ein umfassendes Pflichtenheft für den IT-Dienstleister. Es sollte alle Aufgaben, Verantwortlichkeiten, Service-Level-Vereinbarungen und Eskalationswege detailliert beschreiben. 

Was, wenn doch etwas passiert? 

Unsere Cyberversicherung für Unternehmen bietet Ihnen umfangreiche Unterstützung bei virtuellen Problemen: Ihre elektronischen Daten sind als Folge eines Datenlecks gestohlen worden? Wir sind für Sie da.  

Möglicher Aufbau eines Pflichtenhefts

Ein Pflichtenheft für ein mittleres Schweizer KMU, das einen externen IT-Dienstleister beauftragt, könnte die folgenden Punkte umfassen: