Sichere IKT-Beschaffung für sichere elektronische Kommunikationen

Die ENISA veröffentlicht heute zwei Berichte. Der Bericht „Secure Procurement for Secure Electronic Communications“ (Sichere Beschaffung für sichere elektronische Kommunikationen) behandelt die wachsende Abhängigkeit der Anbieter von IKT-Produkten und outgesourcten Diensten und analysiert die damit verbundenen Sicherheitsrisiken. Der Bericht „Secure ICT Procurement Guide for Electronic Communications Service Providers“ (Leitfaden zur sicheren IKT-Beschaffung für Anbieter elektronischer Kommunikationsdienste) dient als praktisches Instrument, mit dem Anbieter die Sicherheitsrisiken im Umgang mit Dienstleistern und Lieferanten von IKT-Produkten und outgesourcten Diensten besser kontrollieren können.

„Secure Procurement for Secure Electronic Communications“

Die Studie folgt der letzten Ausgabe des Jahresvorfallberichts (Annual Incidents report), der eine ausführliche Analyse der Vorfälle, die für schwere Ausfälle gesorgt haben, bietet. Eine Hauptursache hierfür waren externe IKT-Produkte und outgesourcte Dienste, insbesondere im Bereich Hardwarefehler und Softwarefehler. Der diesjährige Bericht ist das Ergebnis der Zusammenarbeit der ENISA mit Anbietern und Dienstleistern mit dem Ziel, diese Probleme zu bekämpfen.

Zu den wichtigsten Themen, die von den Anbietern der elektronischen Kommunikationsdienste angesprochen wurden, gehören:

• Mangelnde Sicherheitskontrollen auf der Dienstleisterseite
  • Softwareschwachstellen bei IKT-Produkten oder -Diensten
  • Nichteinhaltung der vertraglich festgelegten Sicherheitsanforderungen
  • Mangelnde Unterstützung von Dienstleistern bei Vorfällen
  • Schwache Verhandlungsposition der Anbieter
  • Fehlen eines Rahmens oder von Leitlinien für Anbieter bei Beschaffung und Outsourcing

In diesem Zusammenhang gibt die ENISA allgemeine Empfehlungen ab und berücksichtigt die Ergebnisse einer von ihr unter Anbietern elektronischer Kommunikationsdienste und IKT-Dienstleistern durchgeführten Umfrage. Die Empfehlungen an die Mitgliedstaaten beinhalten eine erhöhte Sensibilisierung im Hinblick auf die Sicherheitsrisiken im Zusammenhang mit der Beschaffung von IKT-Produkten und Outsourcing-Diensten. Darüber hinaus wird Dienstleistern und Anbietern empfohlen, ein gemeinsames Konzept für die Festlegung von Sicherheitsanforderungen, den Austausch von Informationen zu Schwachstellen und Bedrohungen der Sicherheit und zur Begrenzung von Vorfällen zu entwickeln.

„Secure ICT Procurement Guide for Electronic Communications Service Providers“

Der Leitfaden bildet die Sicherheitsrisiken im Gesamtrahmen der Sicherheitsanforderungen ab, der von Dienstleistern bei der Beschaffung als Instrument verwendet werden kann, und beschäftigt sich mit Sicherheitsrisiken für Kerndienstleistungen in Kommunikationsnetzen und -diensten.

Professor Udo Helmbrecht, Geschäftsführender Direktor der ENISA, erklärt: „Der Jahresvorfallbericht zeigt jedes Jahr, dass externe IKT-Produkte und Managed Services die Hauptursache für die Ausfälle sind. Ein einfacher Softwarefehler kann erhebliche Auswirkungen auf die Verfügbarkeit des Internets und von Telefonie-Diensten haben, und die Anbieter sind nicht immer in der Lage, diese Probleme rasch selbstständig zu lösen. Der heute von uns veröffentlichte Sicherheitsleitfaden für IKT-Beschaffung ist ein praktisches Instrument, mit dem Anbieter IKT-Produkte und -Dienste von Dienstleistern und Lieferanten mit den erforderlichen Sicherheitsanforderungen kaufen können.“

Die vollständigen Berichte (in englischer Sprache) sind hier abrufbar: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/Incidents-reporting/requirements-ecomms-vendors

Hintergrund: ENISA Annual Incident Reports

Bei Interview-Anfragen; Christoffer Karsberg, Experte, resilience@enisa.europa.eu

Tags: