Grundregeln für sicheres Managed-Hosting (Fortsetzung)

Dann muss sich das Unternehmen mit dem Anbieter abstimmen, welche Mitarbeiter bei ihm überhaupt Zugriffsrechte auf die gespeicherten Informationen haben dürfen. Dabei muss der Provider auch sicherstellen, dass etwa seine Mitarbeiter keine Daten ohne vorige Autorisierung durch das Unternehmen an Dritte weitergeben können.

Natürlich muss der Provider auch für die physikalische Sicherheit seines Rechenzentrums sorgen. Dies fängt mit Schutzmechanismen gegen Wassereinbruch oder Feuer an und geht hin bis zu Kontrollmechanismen, wer zu welchen Bereichen Zutritt hat.

Außerdem verlangt NTT Europe, dass der Anbieter sein Können über Zertifikate wie für die ISO 27001 für Informationssicherheitsmanagement nachweisen kann. Dazu gehört auch, dass dieses regelmäßig überprüft wird. Verarbeitet das Unternehmen in irgendeiner Form Kreditkartendaten, greifen auch die PCI-Vorgaben (Payment-Card-Industry). Das gilt dann auch für den Provider.

Schließlich genügt es nicht, all diese Dinge einzuhalten. Es muss auch regelmäßig die Wirksamkeit überprüft werden. NTT Europe nennt als Richtwert ein bis zweimal pro Jahr. Dazu gehört auch, auf sich ändernde Sicherheitsvorgaben rasch zu reagieren können.