Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.11 — Ausfall oder Störung von Dienstleistern

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.15A.5.19A.5.20A.5.21A.5.22A.5.23A.5.24A.5.25A.5.26A.5.27A.5.29A.5.30A.6.7A.8.1A.8.5A.8.7A.8.14A.8.20A.8.21A.8.22A.8.30 BSI IT-GrundschutzISO 27001ISO 27002

Der Cloud-Provider, bei dem ein Unternehmen seine komplette Buchhaltung betreibt, meldet Insolvenz an. Die Plattform ist ab sofort nur noch eingeschränkt verfügbar. Ein Datenexport ist theoretisch möglich, aber die Exportfunktion funktioniert nicht zuverlässig. Das Unternehmen hat weder ein lokales Backup der Buchhaltungsdaten noch eine Exit-Strategie. Der Wechsel zu einer neuen Lösung dauert drei Monate — drei Monate mit eingeschränkter Finanzbuchhaltung.

Kaum eine Organisation arbeitet heute ohne externe Dienstleister. Cloud-Provider, IT-Dienstleister, Gehaltsabrechner, Hosting-Anbieter, Softwareentwickler — die Abhängigkeit von Dritten wächst stetig. Das BSI führt den Ausfall oder die Störung von Dienstleistern als elementare Gefährdung G 0.11, und mit 21 zugeordneten ISO-Kontrollen ist sie die am breitesten adressierte Gefährdung in dieser Gruppe.

Was steckt dahinter?

Wenn Teile der eigenen Leistungserbringung von externen Dienstleistern abhängen, wird deren Verfügbarkeit zum eigenen Geschäftsrisiko. Die Organisation gibt einen Teil der Kontrolle ab — behält aber die volle Verantwortung für das Ergebnis.

Ausfallursachen

  • Insolvenz — Der Dienstleister stellt den Betrieb ein. Besonders kritisch bei Cloud-Diensten und SaaS-Plattformen, wo die eigenen Daten auf der Infrastruktur des Anbieters liegen.
  • Einseitige Vertragskündigung — Der Dienstleister kündigt den Vertrag mit Frist oder stellt Konditionen, die wirtschaftlich untragbar sind. Der Wechsel zu einem Alternativanbieter erfordert Zeit.
  • Betriebliche Probleme — Personalausfall, technische Störungen, Cyberangriffe oder Naturereignisse beim Dienstleister beeinträchtigen dessen Leistungsfähigkeit.
  • Qualitätsmängel — Die erbrachten Leistungen entsprechen nicht den Anforderungen. Schleichende Qualitätsverschlechterung wird oft erst bemerkt, wenn ein konkreter Vorfall eintritt.
  • Unterauftragnehmer-Probleme — Viele Dienstleister greifen auf Subunternehmer zurück. Deren Störungen oder Ausfälle wirken indirekt auf den Auftraggeber durch — oft ohne Transparenz über die Subunternehmer-Kette.

Die Rückholung ausgelagerter Prozesse kann extrem aufwändig sein. Fehlende Dokumentation, proprietäre Datenformate, mangelnde Kooperation des bisherigen Dienstleisters und fehlendes internes Know-how erschweren die Transition. Im schlimmsten Fall sind ausgelagerte Prozesse faktisch nicht rückholbar, weil das interne Wissen über Jahre verloren gegangen ist.

Schadensausmass

Der Ausfall eines Dienstleisters bedroht alle drei Schutzziele gleichzeitig. Die Verfügbarkeit leidet durch den Leistungsausfall. Die Vertraulichkeit ist gefährdet, wenn ein insolventer Dienstleister die Kontrolle über Kundendaten verliert oder diese an Dritte gelangen. Die Integrität kann beeinträchtigt werden, wenn Qualitätsmängel zu fehlerhafter Datenverarbeitung führen.

Praxisbeispiele

Cloud-Provider mit Datenverlust. Ein Unternehmen nutzt einen Cloud-Speicherdienst für das Projektmanagement. Der Provider erleidet einen schweren Hardwareausfall und verliert einen Teil der gespeicherten Daten. Die Wiederherstellung dauert Wochen, und einige Daten sind endgültig verloren. Das Unternehmen hatte sich auf die Backup-Versprechen des Providers verlassen und kein eigenes Backup erstellt.

Outsourcing-Dienstleister kündigt. Ein IT-Outsourcing-Dienstleister kündigt den Vertrag mit sechsmonatiger Frist, weil der Auftrag für ihn nicht mehr wirtschaftlich ist. Die ausgelagerten Systeme sind über Jahre gewachsen und schlecht dokumentiert. Die Rückholung erfordert Know-how, das im eigenen Haus nicht mehr vorhanden ist. Die Suche nach einem Nachfolge-Dienstleister und die Transition dauern deutlich länger als sechs Monate.

Qualitätsmängel beim Rechenzentumsbetreiber. Ein Unternehmen hat seine Server in einem externen Rechenzentrum untergebracht. Der Betreiber spart an der Wartung der Klimaanlage. Bei einem Hitzerekord im Sommer fällt die unterdimensionierte Kühlung aus. Die Server des Unternehmens überhitzen und fallen aus. Der Betreiber hatte keine SLA-Vereinbarung zur Klimatisierung, und das Unternehmen hatte die Infrastruktur des Rechenzentrums seit der Inbetriebnahme nie geprüft.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 21 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.11 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • OPS.2.3 (Nutzung von Outsourcing) — Anforderungen an die Steuerung ausgelagerter IT-Dienstleistungen.
  • OPS.3.2 (Anbieten von Outsourcing) — Anforderungen an Dienstleister, die Outsourcing-Leistungen erbringen.
  • OPS.2.2 (Cloud-Nutzung) — Spezifische Anforderungen an die Nutzung von Cloud-Diensten.
  • DER.4 (Notfallmanagement) — Business-Continuity-Planung unter Einbeziehung kritischer Dienstleister.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.15 Zugriffskontrolle A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.22 Überwachung und Überprüfung von Lieferanten A.5.23 Informationssicherheit bei Cloud-Diensten A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.29 Informationssicherheit bei Störungen A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.6.7 Telearbeit A.8.1 Benutzerendgeräte A.8.5 Sichere Authentifizierung A.8.7 Schutz gegen Schadsoftware A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.30 Ausgelagerte Entwicklung

Häufig gestellte Fragen

Welche Dienstleister sind aus Sicht der Informationssicherheit besonders kritisch?

Alle Dienstleister, die Zugang zu vertraulichen Daten haben oder deren Ausfall Geschäftsprozesse stoppt: Cloud-Provider, Rechenzentumsbetreiber, Managed-Service-Provider, Entwicklungsdienstleister, Gehaltsabrechner, IT-Support. Je schwieriger und zeitaufwändiger ein Wechsel des Dienstleisters wäre, desto kritischer ist die Abhängigkeit.

Was ist eine Exit-Strategie und brauche ich eine?

Eine Exit-Strategie beschreibt, wie du einen Dienstleister wechseln oder die ausgelagerte Leistung zurückholen kannst — inklusive Datenübernahme, Übergangsfristen, Vertragslaufzeiten und technischer Voraussetzungen. Für jeden kritischen Dienstleister sollte eine dokumentierte Exit-Strategie existieren. ISO 27001 fordert das explizit.

Muss ich die Informationssicherheit meiner Dienstleister prüfen?

Ja. ISO 27001 (Kontrolle A.5.19–A.5.22) verlangt, dass die Informationssicherheit in der Lieferkette adressiert wird. Das bedeutet: Sicherheitsanforderungen vertraglich festlegen, regelmäßig prüfen (Audits, Berichte, Zertifizierungen) und bei Veränderungen neu bewerten. Der Umfang richtet sich nach der Kritikalität der Dienstleistung.