die Mobiliar

""
""

Cybersicherheit: Zusammenarbeit mit externen Firmen ist klar geregelt

Häufig setzen KMU auf externe IT-Dienstleister, weil es ihnen beispielsweise an Fachexpertise mangelt, es kosteneffizienter ist oder sie den Fokus auf das Tagesgeschäft und ihre Kernkompetenzen legen möchten. Um sich vor Cyberattacken zu schützen, ist es wichtig, klare Zuständigkeiten zwischen dem eigenen Unternehmen und externen IT-Dienstleistern zu definieren. Dies bedeutet, dass die Rollen und Aufgaben der einzelnen Parteien im Bereich der IT-Sicherheit klar festgelegt und kommuniziert werden müssen. 

Weshalb braucht es eine klare Aufgabenteilung?

Durch klare Definitionen wissen alle Beteiligten genau, wer für welche Aspekte der IT-Sicherheit verantwortlich ist. Die Verantwortung wird nicht verschoben, sondern effizient verteilt. Dadurch können Aufgaben konsequent und rasch erledigt werden, was die Reaktionszeit im Falle einer Cyberattacke verkürzt. 

Eine eindeutige Verteilung hilft auch bei der Kommunikation zwischen Unternehmen und IT-Dienstleister: Informationen werden gezielter ausgetauscht, was zu einem besseren Verständnis der Anforderungen und Risiken führt. 

Das Wichtigste auf einen Blick 

Arbeiten Sie mit einem externen IT-Dienstleister zusammen, ist es wichtig, dass jede Partei weiss, welche Aufgaben und Verantwortlichkeiten bei ihr liegen. So kann bei einem Cyberangriff rasch und effizient reagiert werden. Doppelspurigkeit wird vermieden. Achten Sie bei der Regelung der Zusammenarbeit, dass Sie zu Beginn 

  • eine Bestandsaufnahme machen. 
  • die Zuständigkeiten klären. 
  • ein Pflichtenheft erstellen. 

Wie kann ich vorgehen?

Bestandsaufnahme und Risikoanalyse 

Erfassen Sie alle relevanten Informationen zu Ihrer aktuellen IT-Infrastruktur und den damit verbundenen Prozessen. Dazu gehören beispielsweise Netzwerktopologie, vorhandene Hardware und Software, Sicherheitsrichtlinien und Zugriffsrechte.  

Identifizieren Sie (gemeinsam mit dem IT-Dienstleister) kritische IT-Bereiche und ermitteln Sie potenzielle Schwachstellen und Risiken. Bewerten Sie die Auswirkungen von Cyberattacken auf Ihr Unternehmen. 

Klare Zuständigkeiten 

Benennen Sie die Person, welche intern für die IT-Sicherheit zuständig ist. 

Legen Sie für jede IT-Aufgabe (z. B. Sicherheitsupdates, Datensicherung, Incident-Response) verantwortliche Parteien fest – sowohl intern als auch beim externen Dienstleister. 

Prüfen Sie zudem regelmässig, ob die vereinbarten Zuständigkeiten und Pflichten im Pflichtenheft (siehe Absatz «Pflichtenheft erstellen») eingehalten werden. Aktualisieren Sie es bei Bedarf, um sich an neue Bedrohungen, Gegebenheiten und Gesetzgebungen anzupassen. 

Was, wenn doch etwas passiert?  

Unsere Cyberversicherung für Unternehmen bietet Ihnen umfangreiche Unterstützung bei virtuellen Problemen: Ihre elektronischen Daten sind als Folge eines Datenlecks gestohlen worden? Wir sind für Sie da.  

Zur Cyberversicherung  

Pflichtenheft erstellen 

Ein Pflichtenheft ist ein Dokument, das die Aufgaben und Verantwortlichkeiten der einzelnen Parteien im Bereich der IT-Sicherheit festlegt. Das Pflichtenheft sollte von allen Parteien gelesen und verstanden werden. 

Verfassen Sie ein umfassendes Pflichtenheft für den IT-Dienstleister. Es sollte alle Aufgaben, Verantwortlichkeiten, Service-Level-Vereinbarungen und Eskalationswege detailliert beschreiben. 

Ein Pflichtenheft für ein mittleres Schweizer KMU, das einen externen IT-Dienstleister beauftragt, könnte die folgenden Punkte umfassen:

Zielsetzung und Rahmenbedingungen

  • Beschreibung des KMU und seiner Geschäftstätigkeit. 
  • Zielsetzung und Erwartungen an den IT-Dienstleister. Z. B. Gewährleistung einer reibungslosen IT-Infrastruktur und Sicherstellung der Datensicherheit. 
  • Geltungsbereich und Dauer der Zusammenarbeit. 

Leistungsumfang und Dienstleistungen

  • Übersicht über die IT-Dienstleistungen, die der Dienstleister erbringt (z. B. Netzwerkmanagement, Systemadministration, Datensicherung). 
  • Service-Level-Agreements (SLAs) mit klaren Leistungskennzahlen und Reaktionszeiten. 

Verantwortlichkeiten und Zuständigkeiten

  • Festlegung der Verantwortlichkeiten sowohl auf Seiten des KMU als auch des IT-Dienstleisters für verschiedene Aufgaben und Prozesse. 
  • Definition der Eskalationswege im Falle von Störungen oder Sicherheitsvorfällen. 

Datenschutz und Sicherheit

  • Aktuell geltende Sicherheitsrichtlinien und -massnahmen, die der IT-Dienstleister einhalten muss. 
  • Regelungen zum Umgang mit und Schutz sensibler Unternehmensdaten und Kundeninformationen. 

Dokumentation und Berichtswesen

  • Anforderungen an die Dokumentation von IT-Aktivitäten und -Vorfällen. Z. B. muss der IT-Dienstleister alle durchgeführten Aktivitäten dokumentieren. 
  • Form und Frequenz der Berichterstattung über erbrachte Leistungen und Sicherheitsereignisse.  

Kommunikation und Zusammenarbeit

  • Festlegung der Kommunikationswege, -mittel und -frequenz zwischen dem KMU und dem IT-Dienstleister. 
  • Regelmässige Besprechungen und Abstimmungen für eine enge Zusammenarbeit. 

Notfall- und Eskalationspläne

  • Festlegung von Massnahmen bei IT-Notfällen und kritischen Vorfällen wie das Ausfallen des Systems. Beispielsweise enthält der Notfallplan die Kontaktdaten des IT-Dienstleisters, welche ausserhalb der Geschäftszeiten gelten. 
  • Eskalationspläne für den Fall, dass vertragliche Vereinbarungen nicht eingehalten werden können. 

Vertragsbedingungen und Kündigung

  • Vertragsdauer, Kündigungsfristen und -bedingungen 
  • Regelungen für Vertragsanpassungen und -erweiterungen 

Weitere Massnahmen für mehr Cybersicherheit finden Sie in unseren Ratgebern.

18 Massnahmen für mehr Cyberschutz