Sichere IKT-Beschaffung als Basis für sichere elektronische Kommunikationen

enisa veröffentlichte am 11. Dezember 2014 neue Studie und einen Leitfaden

[datensicherheit.de, 11.12.2014] Die enisa veröffentlichte am 11. Dezember 2014 zwei Berichte:
– „Secure Procurement for Secure Electronic Communications“ (Sichere Beschaffung für sichere elektronische Kommunikation) behandelt die wachsende Abhängigkeit der Anbieter von IKT-Produkten sowie outgesourcten Diensten und analysiert die damit verbundenen Sicherheitsrisiken,
– „Secure ICT Procurement Guide for Electronic Communications Service Providers“ (Leitfaden zur sicheren IKT-Beschaffung für Anbieter elektronischer Kommunikationsdienste) soll als ein praktisches Instrument dienen, mit dem Anbieter die Sicherheitsrisiken im Umgang mit Dienstleistern und Lieferanten von IKT-Produkten und outgesourcten Diensten besser kontrollieren können.

Externe IKT-Produkte und outgesourcte Dienste als Hauptursache

Die Studie „Secure Procurement for Secure Electronic Communications“ folgt der letzten Ausgabe des Jahresvorfallberichts (Annual Incidents Report), der eine ausführliche Analyse der Vorfälle, die für schwere Ausfälle gesorgt haben, bietet.
Eine Hauptursache hierfür waren laut enisa externe IKT-Produkte und outgesourcte Dienste, insbesondere im Bereich Hardware- und Softwarefehler. Der Bericht 2014 ist das Ergebnis der Zusammenarbeit der enisa mit Anbietern und Dienstleistern mit dem Ziel, diese Probleme zu bekämpfen.

***Erkannte Schachstellen und Gefahrenquellen***
Zu den wichtigsten Themen, die von den Anbietern der elektronischen Kommunikationsdienste angesprochen wurden, gehören demnach:

• mangelnde Sicherheitskontrollen auf der Dienstleisterseite,
• Softwareschwachstellen bei IKT-Produkten oder -Diensten,
• Nichteinhaltung der vertraglich festgelegten Sicherheitsanforderungen,
• mangelnde Unterstützung von Dienstleistern bei Vorfällen,
• schwache Verhandlungsposition der Anbieter und
• Fehlen eines Rahmens oder von Leitlinien für Anbieter bei Beschaffung und Outsourcing.

Erhöhte Sensibilisierung für Sicherheitsrisiken bei der Beschaffung

In diesem Zusammenhang gibt die enisa allgemeine Empfehlungen ab und berücksichtigt die Ergebnisse einer von ihr unter Anbietern elektronischer Kommunikationsdienste und IKT-Dienstleistern durchgeführten Umfrage.
Die Empfehlungen an die Mitgliedstaaten beinhalten eine erhöhte Sensibilisierung im Hinblick auf die Sicherheitsrisiken im Zusammenhang mit der Beschaffung von IKT-Produkten und Outsourcing-Diensten.
Darüber hinaus wird Dienstleistern und Anbietern empfohlen, ein gemeinsames Konzept für die Festlegung von Sicherheitsanforderungen, den Austausch von Informationen zu Schwachstellen und Bedrohungen der Sicherheit und zur Begrenzung von Vorfällen zu entwickeln.

Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen

Der enisa-Leitfaden „Secure ICT Procurement Guide for Electronic Communications Service Providers“ soll die Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen abbilden, der von Dienstleistern bei der Beschaffung als Instrument verwendet werden kann, und beschäftigt sich mit Sicherheitsrisiken für Kerndienstleistungen in Kommunikationsnetzen und -diensten.

Praktisches Instrument für die Beschaffung

Der Jahresvorfallbericht zeige jedes Jahr, dass externe IKT-Produkte und „Managed Services“ die Hauptursache für die Ausfälle sind, erläutert Professor Udo Helmbrecht, Geschäftsführender Direktor der enisa. So könne ein einfacher Softwarefehler erhebliche Auswirkungen auf die Verfügbarkeit des Internets und von Telefonie-Diensten haben, und die Anbieter seien nicht immer in der Lage, diese Probleme rasch selbstständig zu lösen.
Der am 11. Dezember 2014 veröffentlichte enisa-Sicherheitsleitfaden für IKT-Beschaffung sei ein praktisches Instrument, mit dem Anbieter IKT-Produkte und -Dienste von Dienstleistern und Lieferanten mit den erforderlichen Sicherheitsanforderungen kaufen könnten, so Professor Helmbrecht.

Weitere Informationen zum Thema:

enisa
Secure ICT Procurement in Electronic Communications