Dienstleistermanagement: Informationssicherheit effektiv überprüfen

Artikel von Dr. Datenschutz·22. Mai 2026

Die Überprüfung der Informationssicherheit bei Dienstleistern ist ein zentraler Bestandteil eines effektiven Dienstleistermanagements und damit auch des eigenen Informationssicherheitsmanagementsystems. Dieser Beitrag zeigt Best Practices auf, wie Unternehmen den Stand der Informationssicherheit bei Dienstleistern effektiv bewerten können. Im Fokus steht die Überprüfung von ISO 27001-Zertifikaten in ihrer Vollständigkeit. Ergänzend werden alternative Möglichkeiten vorgestellt.

Der Inhalt im Überblick

Warum ist Dienstleistermanagement für die Informationssicherheit entscheidend?
Wie überprüft man ISO 27001-Zertifikate von Dienstleistern richtig?
Welche weiteren Nachweise zur Informationssicherheit sind sinnvoll?
Wie lassen sich die Ergebnisse der Überprüfung dokumentieren und nutzen?
Ein strukturiertes Dienstleistermanagement stärkt die Informationssicherheit

Warum ist Dienstleistermanagement für die Informationssicherheit entscheidend?

Dienstleistermanagement und Informationssicherheit sind eng miteinander verbunden, ebenso wie bei Dienstleisterkontrollen im Datenschutz. Unternehmen lagern zunehmend wichtige Prozesse und Daten an externe Dienstleister aus. Damit steigt die Abhängigkeit und die Notwendigkeit, die Informationssicherheit dieser Partner systematisch zu überprüfen. Nur so lassen sich Risiken für die eigene Organisation minimieren und regulatorische oder gesetzliche Anforderungen erfüllen, wie zum Beispiel im Rahmen von DORA oder NIS-2. Insbesondere, da der Auftraggeber in der Verantwortung der Sicherheit seiner Werte bleibt.

Ein effektives Dienstleistermanagement umfasst daher:

Die Auswahl geeigneter Dienstleister
Die regelmäßige Überprüfung der Informationssicherheit
Die Dokumentation und Nachverfolgung von Risiken und Maßnahmen

Wie überprüft man ISO 27001-Zertifikate von Dienstleistern richtig?

Die ISO 27001-Zertifizierung ist die Zertifizierung eines international anerkannten Standards für Informationssicherheitsmanagementsysteme (ISMS). Viele Dienstleister weisen ihre Sicherheitsmaßnahmen durch ein solches Zertifikat nach. Doch nicht jedes Zertifikat ist notwendigerweise gleichwertig. Also wie kann die Gültigkeit und Aussagekraft eines ISO 27001-Zertifikats überprüft werden?

Prüfung der Zertifikatsgültigkeit:
Fordern Sie das aktuelle Zertifikat an und prüfen Sie das Ablaufdatum sowie den Geltungsbereich (Scope).
- Nur ein gültiges Zertifikat mit passendem Scope ist aussagekräftig.
- Viele Unternehmen stellen ihre Zertifikate über die eigene Webseite oder Trust Center frei, oder auf Anfrage zur Verfügung.
- Der Geltungsbereich ist hierbei nicht zu vernachlässigen. So kann das Zertifikat nur die Verwaltung eines Unternehmens abdecken, ohne den operativen Unternehmensteil oder die eigentliche Serviceleistung einzuschließen.
- Das Zertifikat sollte bei der Zertifizierungsstelle verifiziert werden. Die meisten Zertifizierungsstellen bieten entsprechende Möglichkeiten über ihre Webseite an. Andere verifizieren Zertifikate auf konkrete Anfrage.
Abgleich der Erklärung zur Anwendbarkeit (SoA):
Die Erklärung der Anwendbarkeit (engl. Statement of Applicability (SoA)) listet alle umgesetzten und ausgeschlossenen Controls der ISO 27001 auf. Vergleichen Sie die SoA mit den eigenen Anforderungen und prüfen Sie, ob kritische Controls abgedeckt sind. Die SoA gehört hierbei zu dem Zertifikat und wird auf diesem mit seiner Version referenziert. Oft müssen Sie dieses Dokument eigenständig anfragen. Unternehmen, die ihre SoA auf Anfrage nicht herausgeben, wollen oft nicht offenlegen, dass sie bestimmte Controls nicht umgesetzt haben.
Akkreditierung der Zertifizierungsstelle:
Ein Zertifikat zur ISO 27001 kann ein jeder ausstellen. Überprüfen Sie deshalb, ob die ausstellende Zertifizierungsstelle bei der Global Accreditation Cooperation Incorporated (Global ACI) akkreditiert ist. Nur dann ist das Zertifikat uneingeschränkt vergleichbar. Im Rahmen der Akkreditierung wird geprüft, dass die Zertifizierungsstelle ihrerseits internationalen Standards zur Auditierung und Zertifizierung folgt.
Stichprobenhafte Nachweise:
Lassen Sie sich bei Bedarf Nachweise zu besonders wichtigen Maßnahmen zeigen, etwa zu Zugriffsrechten, Notfallmanagement oder dem Dienstleistermanagement.

Welche weiteren Nachweise zur Informationssicherheit sind sinnvoll?

Neben ISO 27001-Zertifikaten gibt es weitere Möglichkeiten, den Stand der Informationssicherheit bei Dienstleistern zu überprüfen:

SOC 2 Typ 2 Berichte:
Diese Prüfberichte bescheinigen die Wirksamkeit von Maßnahmen über einen längeren Zeitraum und sind besonders im internationalen Kontext anerkannt.
Eigene Fragebögen:
Individuell erstellte Fragebögen ermöglichen eine gezielte Abfrage von Sicherheitsmaßnahmen, die über Standardzertifikate hinausgehen. Diese Variante kann auch herangezogen werden, wenn der Dienstleister über kein Zertifikat oder anderweitigen Nachweis zur Informationssicherheit verfügt, oder einen Fokus auf bestimmte Themen setzen wollen.
Audits vor Ort:
Bei besonders kritischen Dienstleistern kann ein Audit vor Ort sinnvoll sein, um den Stand der Informationssicherheit und die Umsetzung von Maßnahmen direkt zu überprüfen. Im Rahmen von DORA müssen Auditrechte beispielweise für IKT-Dienstleister für kritische und wichtige Funktionen eingeholt werden.
Weitere Zertifikate:
Je nach Branche können auch andere Zertifikate wie TISAX (Automobilindustrie) oder BSI C5 (Cloud-Dienste) relevant sein.

Wie lassen sich die Ergebnisse der Überprüfung dokumentieren und nutzen?

Die Ergebnisse der Überprüfung sollten strukturiert dokumentiert und regelmäßig aktualisiert werden. Folgende Punkte sind dabei zu beachten:

Festhalten von Nachweisen
Halten Sie fest, welche Nachweise geprüft wurden und welche Ergebnisse sich daraus ergeben haben.
Bewertung und Maßnahmen:
Identifizieren Sie eventuelle Risiken und leiten Sie gemeinsam mit dem Dienstleister Verbesserungsmaßnahmen ab.
Regelmäßige Wiederholung:
Wiederholen Sie die Überprüfung in definierten Abständen, um Veränderungen im Sicherheitsniveau frühzeitig zu erkennen.

Ein strukturiertes Dienstleistermanagement stärkt die Informationssicherheit

Ein strukturiertes Dienstleistermanagement ist essenziell, um Risiken durch externe Partner zu erfassen und zu adressieren. Die Kombination aus ISO 27001-Zertifikatsprüfung, SoA-Abgleich, Kontrolle der Akkreditierung und ergänzenden Nachweisen wie SOC 2 Typ 2 Berichten oder eigenen Fragebögen bietet eine solide Grundlage für fundierte Entscheidungen. So bleibt die Informationssicherheit auch im Zusammenspiel mit Dienstleistern auf einem hohen Niveau.

- Cloud-Dienste
  Cloud-Switching unter dem Data ActFachbeitrag·15. Dezember 2025
- Die iCloud von Apple im Datenschutz-CheckFachbeitrag·24. Oktober 2023
- Drittland: Ist ein bloßes Zugriffsrisiko schon eine Übermittlung?News·17. August 2022
Mehr zum Thema
- Dienstleister
  AVV vs. SLA: Was ist bei IT-Notfällen wichtiger?Fachbeitrag·16. Januar 2026
- Top 5 DSGVO-Bußgelder im November 2025News·1. Dezember 2025
- Paketankündigung und DSGVO: Was gilt für die E-Mail-Weitergabe?Fachbeitrag·12. August 2025
Mehr zum Thema
- Dienstleisterkontrollen
  Dienstleisterkontrolle: Die Anforderungen werden nicht wenigerFachbeitrag·12. März 2026
- Anforderungen an die DienstleisterkontrolleFachbeitrag·19. Mai 2025
- ISO 27701: Auftragnehmer-Management und DienstleisterkontrollenFachbeitrag·3. Dezember 2024
Mehr zum Thema
- IT-Dienstleister
  DSK-Checkliste zur Orientierungshilfe VideokonferenzsystemeFachbeitrag·19. November 2020
- Neue EU-Richtlinie zur IT-SicherheitNews·10. Dezember 2015
- Mitgliederdaten bei der CDU entwendet! Wir bitten um Verständnis!?News·29. August 2011
Mehr zum Thema
- IT-Sicherheit
  Digitale Souveränität: Risiken und Chancen für OrganisationenFachbeitrag·5. Juni 2026
- Security Fatigue: Wenn Sicherheit zur Last wirdFachbeitrag·8. Mai 2026
- Erst Spam-Flut, dann der „hilfsbereite" IT-KollegeNews·5. Mai 2026
Mehr zum Thema
- NIS2
  Dr. Datenschutz Shortnews im Januar 2026 – KW04News·21. Januar 2026
- NIS-2 gilt: Was Sie jetzt zur Geschäftsleitungsschulung wissen müssenFachbeitrag·12. Dezember 2025
- Was Unternehmen aus dem CrowdStrike-Vorfall lernen könnenFachbeitrag·15. August 2025
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Das IAF heißt nicht mehr IAF und ich meine, dass man dort nur die Akkreditierungsstellen findet und dann muss man darüber die Zertifizierungsstelle validieren.

Christian am 25. Mai 2026, 16:02 Uhr

Antworten
- Vielen Dank für den Hinweis! Das stimmt natürlich – Macht der Gewohnheit. :-) Haben wir entsprechend geändert.
  
  Dr. Datenschutz am 3. Juni 2026, 11:02 Uhr
  
  Antworten