So gelingt die Zusammenarbeit mit dem richtigen IT-Dienstleister
So gelingt die Zusammenarbeit mit dem richtigen IT-Dienstleister
Was macht einen guten IT-Dienstleister aus? Für viele KMU ist die Antwort einfach: Er muss erreichbar sein, zuverlässig liefern und sich «um alles kümmern». Doch was, wenn ausgerechnet der IT-Partner zur Schwachstelle wird?
Welche Kriterien helfen Ihnen dabei, den richtigen IT-Partner mit Sicherheitskompetenz zu erkennen?
Ein Beispiel: Ein KMU lagert seine IT an einen Dienstleister aus, inklusive Cloud-System für Offerten und Rechnungen. Die Zusammenarbeit läuft gut – bis plötzlich vermehrt Phishing-Mails durchrutschen und Kundendaten ungeschützt auf einem Testserver auftauchen. Auf Nachfrage zeigt sich: Wichtige Sicherheitsupdates wurden nicht eingespielt, und klare Zuständigkeiten fehlen.
IT-Sicherheit ist keine reine Technikfrage, sondern eine Frage der Zusammenarbeit, der Standards und der Kommunikation. Wer die richtigen Fragen stellt und klare Erwartungen definiert, ist besser geschützt.
1. Zertifizierungen: Standards schaffen Orientierung
Ein verlässlicher IT-Anbieter kann nachweisen, dass er IT-Sicherheit strukturiert angeht, z.B. mit Zertifizierungen wie:
- ISO/IEC 27001 (internationaler Standard für Informationssicherheits-Managementsysteme)
- CyberSeal (Schweizer Sicherheitslabel für IT-Dienstleister)
- SOC 2 (Audit-Bericht zur Einhaltung von Datenschutz- und Sicherheitsstandards)
Auch die Qualifikationen einzelner Mitarbeitender geben Hinweise, z.B. CISSP (Certified Information Systems Security Professional), CEH (Certified Ethical Hacker) sowie anerkannte Anbieterzertifizierungen von Microsoft, Fortinet oder Cisco.
Bitten Sie um konkrete Nachweise oder Auditberichte. Sie zeigen, dass nicht nur versprochen, sondern auch umgesetzt wird.
2. Technische Schutzmassnahmen: Was konkret eingesetzt wird
Sicherheitsstandards sollten nicht nur auf dem Papier bestehen. Fragen Sie Ihren Anbieter nach den konkret eingesetzten technischen Massnahmen:
- Ende-zu-Ende-Verschlüsselung: schützt Daten bei Übertragung und Speicherung
- Firewalls und IDS/IPS: Systeme zur Abwehr bzw. Erkennung von Angriffen
- Multi-Faktor-Authentifizierung (MFA): zusätzlicher Schutz neben Benutzername und Passwort
- Patch-Management: regelmässiges Einspielen von Sicherheitsupdates
Verlangen Sie eine Übersicht oder ein IT-Sicherheitskonzept, das schafft Transparenz.
3. Datenschutz mitdenken und umsetzen
Ihr IT-Partner sollte die Anforderungen des Datenschutzgesetzes kennen und aktiv unterstützen:
- Auftragsverarbeitungsvertrag (AVV) gemäss Datenschutzgesetz
- Speicherung in Rechenzentren innerhalb von Ländern mit adäquatem Datenschutzniveau
- Klare Richtlinien zur Datenaufbewahrung und Löschung
Datenschutz ist kein Nice-to-have, sondern Teil einer seriösen Sicherheitsstrategie.
4. Reaktionszeit und Erreichbarkeit: Wenn’s zählt, muss es schnell gehen
Cyber-Security ist Teamwork. Reaktionszeit, Erreichbarkeit und klare Absprachen im Ernstfall sind genauso wichtig wie Technik.
- Gibt es einen 24/7-Support?
- Wer ist Ihre Hauptansprechperson?
Reaktionszeiten sollten vertraglich (SLA = Service Level Agreement) geregelt sein, damit im Ernstfall keine Zeit verloren geht.
5. Wiederherstellungspläne: Nicht nur sichern, sondern auch retten
Wissen Sie, ob der IT-Anbieter über ein belastbares Notfallkonzept verfügt? Wer vorbereitet ist, kann im Ernstfall schneller reagieren. Lassen Sie sich erklären, welche Notfallpläne für Ausfälle, Angriffe oder Datenverluste bestehen, z.B:
- Disaster Recovery Pläne: konkrete Schritte bei Ausfällen oder Angriffen
- Backups, die regelmässig getestet werden
- Angaben zu RTO/RPO: Wie schnell sind Systeme wieder einsatzbereit? Wie alt dürfen wiederhergestellte Daten maximal sein?
Fragen Sie nicht nur, ob Backups existieren, sondern auch, wie oft sie getestet werden.
6. Transparente Kommunikation auch in schwierigen Momenten
Im Fall eines Sicherheitsvorfalls braucht es klare Abläufe:
- Wer informiert Sie und wann?
- Was wird dokumentiert?
- Wie läuft die Zusammenarbeit mit Behörden oder externen Stellen?
Eine offene, lösungsorientierte Kommunikation ist ein zentrales Qualitätsmerkmal; auch (oder gerade) im Krisenfall.
7. Schulung und Weiterentwicklung
Cyber-Security braucht Menschen, nicht nur Tools. Technik schützt nicht, wenn sie falsch angewendet wird. Ein Anbieter, der auf Schulung und Weiterentwicklung setzt, bleibt am Puls der Zeit und schützt damit auch Ihre Systeme besser. Er sollte also:
- sein Personal regelmässig schulen;
- Mitarbeitende für neue Bedrohungen sensibilisieren (z.B. Phishing, Social Engineering);
- die Entwicklungen in Technologie und Bedrohungslage aktiv verfolgen.
Fragen Sie ruhig nach, wie die Teams geschult werden, das sagt viel über den Stellenwert von Sicherheit aus.
Checkliste für KMU: Woran Sie gute IT-Partner erkennen
- Gibt es Zertifikate und konkrete Nachweise für Sicherheitsstandards?
- Welche technischen Schutzmassnahmen werden eingesetzt und dokumentiert?
- Unterstützt der Anbieter aktiv beim Datenschutz (AVV, DSGVO)?
- Wie sind Reaktionszeit, Erreichbarkeit und Kommunikation geregelt?
- Gibt es getestete Backup- und Wiederherstellungsprozesse mit RTO/RPO?
- Werden Vorfälle offen kommuniziert und gemeinsam bearbeitet?
- Gibt es ein Weiterbildungskonzept für das IT-Team?
Fazit: Wer die richtigen Fragen stellt, trifft bessere Entscheidungen
Die Zusammenarbeit mit einem IT-Dienstleister kann vieles vereinfachen, wenn die Rahmenbedingungen stimmen. Mit klaren Kriterien, etwas technischer Grundkenntnis und einem bewussten Blick auf Sicherheitsfragen wird der externe Partner zur echten Stütze für Ihr Unternehmen.