Während insbesondere grössere Behörden häufig über eigene IT-Abteilungen verfügen, lagern viele kleinere Behörden diese Aufgaben aus. Stellen Sie sicher, dass die Zuständigkeiten zwischen Ihnen und dem IT-Dienstleistungsunternehmen bezüglich IT-Sicherheit klar geregelt sind. Dies betrifft insbesondere die technischen und organisatorischen Massnahmen. Legen Sie vertraglich fest, wie die Haftung in einem Schadenfall geregelt ist, wenn vereinbarte Sicherheitsmassnahmen nicht eingehalten wurden.
Die Verantwortung kann nicht ausgelagert oder delegiert werden. Bei einem Vorfall kann Ihre Behörde am Ende der Haftungskette stehen.
Orientieren Sie sich an den Mindestanforderungen
- Bereits bei der Abnahme integrierter IT-Systeme sind Sicherheitsprüfungen durchzuführen.
- Informieren Sie sich über relevante AGB und Vorgaben bei Inanspruchnahme von Informatikleistungen. Diese Vorgaben sollten Bestandteil der Vertragsverhältnisse zwischen Ihnen und den externen IT-Dienstleistungsunternehmen sein.
- Die Geheimhaltungspflichten für Wartung und Betreuung von IKT-Systemen durch Dritte sind zu regeln und unnötiger Zugang zu besonders schützenswerten Personendaten ist nicht zu gestatten.
- Abklärungen und Vereinbarungen sind auch mit dem jeweiligen Unternehmen für die Datenspeicherung (Cloud-Unternehmen) vorzunehmen und zu treffen.
Weitere Informationen
Beim Bundesamt für wirtschaftliche Landesversorgung (BWL) finden Sie die Minimalstandards für IKT:
https://www.bwl.admin.ch
Das Gütesiegels «CyberSeal» für IT-Dienstleister wurde im Rahmen einer öffentlich-privaten Partnerschaft bestehend aus dem BACS, der Mobiliar, Secnovum und digitalswitzerland initiiert. Mit dem Label «CyberSeal» ausgezeichnete IT-Dienstleister garantieren ihren Kunden mit geeigneten technischen und organisatorischen Massnahmen ein angemessenes Schutzniveau vor Cyberrisiken.
https://www.digitalsecurityswitzerland.ch
Das Label «cyber-safe.ch» wurde vom Schweizer Verband für das Cybersecurity-Gütesiegel entwickelt. Es definiert minimale Anforderungen spezifisch für Gemeinden und KMU. Mittels Onlinefragebogen können die Cyberrisiken von Gemeinden und KMU ermittelt werden:
https://www.cyber-safe.ch
Die Digitale Verwaltung Schweiz hat per 1.1.2022 sämtliche operativen Tätigkeiten der Schweizerischen Informatikkonferenz (SIK) übernommen, die zur Betreuung der Allgemeinen Geschäftsbedingungen für IKT-Leistungen notwendig sind. Sie erarbeitet und verhandelt die AGB bis zur Vertragsunterzeichnung durch die SIK.
Digitale Verwaltung Schweiz
Hilfsmittel zum Datenschutz und eine Auflistung der jeweiligen Datenschutzaufsichtsstellen finden Sie auf der Website der Konferenz der schweizerischen Datenschutzbeauftragten, privatim:
https://www.privatim.ch
Für das Datenbearbeiten durch Private und durch Bundesorgane ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zuständig:
https://www.edoeb.admin.ch
Wahl des IKT-Dienstleistungsunternehmen
Zertifizierungen nach anerkannten Datenschutz- und Informationssicherheitsstandards oder Kontrollberichte von unabhängigen Dritten können bei der Auswahl des Unternehmens behilflich sein. Sie müssen nicht zwingend zertifizierte Partner auswählen. Empfehlenswert ist es, wenn IKT-Dienstleistungsunternehmen aufzeigen können, dass sie Ihren gestellten Anforderungen entsprechen sowie die von Ihnen geforderte Verfügbarkeit und Sicherheit gewährleisten können. Lassen Sie dies durch eine unabhängige Stelle prüfen oder bestätigen.
Führen Sie Sicherheitsaudits durch
Die Umsetzung der im Vertrag festgehaltenen Leistungen muss periodisch nach anerkannten Auditstandards, beispielsweise auf Basis COBIT (Control Objectives for Information and Related Technology, https://www.isaca.org/resources/cobit [in Englisch]) der Information Systems Audit and Control Association (ISACA, https://www.isaca.org/ [in Englisch]), kontrolliert werden.
Nehmen Sie dafür die Dienste unabhängiger Prüfstellen in Anspruch. Das IKT-Dienstleistungsunternehmen kann auch ein sogenanntes ISAE 3400 Type 2 (International Standard on Assurance Engagements) machen lassen – auch bekannt als SOC-2-Bericht (Service Organization Control). Die Prüfstelle bewertet Aspekte von Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit.
Letzte Änderung 12.03.2024
