Informationssicherheit für externe Geschäfts- oder Kooperationspartner

1. Allgemeines

Geschäfts- oder Kooperationspartner („Partner“) der MEDIACC, die im Rahmen der Abwicklung eines Vertragsverhältnisses Zugang und/oder Zugriff auf elektronische Informationen bzw. Informationssysteme der MEDIACC erhalten bzw. diese MEDIACC zur Verfügung stellen, sind verpflichtet, die Regelungen dieses Merkblattes strikt einzuhalten, sofern keine anderen vertraglichen Regelungen vereinbart wurden.

Diese Regelungen gelten für alle Partner, unabhängig davon, ob ihnen ein IT-Arbeitsplatz-System der MEDIACC zur Verfügung gestellt wird,r sie mit eigenen Systemen oder mit Anschluss zu Ressourcen des MEDIACC-Kommunikationsnetzwerks auf die MEDIACC- Informations­systeme zugreifen oder elektronische Informationen austauschen.


2. Verantwortlichkeiten

Partnern wird zum gegenseitigen Nutzen und zur Steigerung der Effizienz der Abwicklung von Prozessen der Zugriff auf unternehmenseigene Informationen der MEDIACC gewährt und ggf. die Nutzung von MEDIACC-Systemen und -Netzen ermöglicht. Hierfür werden auch Informationen der Partner in die Systeme der MEDIACC mit aufgenommen.

Dies bedingt Sicherungsmaßnahmen zum Schutz der Vertraulichkeit, vor Computerviren, vor Hacking-Angriffen und dergleichen. Dazu ist es zwingend erforderlich, die nachfolgenden Regeln und Grundsätze einzuhalten. Die vertraglich vereinbarten Prüf- und Auditrechte sowie das Recht auf Einholen von Selbstauskünften zum Umsetzungsstand der Sicherheitsvorkehrungen sind über das gesamte Vertragsverhältnis zu gewährleisten. Die Erbringung von Leistungen durch Unterauftragnehmer darf nur im vertraglich festgehaltenen Rahmen erfolgen. Hierbei ist vom Partner die Einhaltung der Sicherheitsvorkehrungen auch bei Unterauftragnehmern zu gewährleisten. Sowohl die Nachvollziehbarkeit als auch das vom Lieferanten geforderte Sicherheitsniveau und die Vertragsbedingungen der MEDIACC müssen entlang der gesamten Lieferkette gewährleistet
sein. Im Hinblick auf eventuell auftretende Haftungsansprüche ist der Prozess der Umsetzung dieser Anforderungen zu dokumentieren und der Nachweis darüber zu erbringen.

Änderungen der Lieferkette, Eigentümerwechsel oder geänderte Grundvoraussetzungen, etwa die Aberkennung bestehender Zertifizierungen, sind unverzüglich MEDIACC zu melden.
 

3. Generelle Regelungen des Datenzugangs/-zugriffs

Jeder Partner hat bei Zugang/Zugriff auf die IT-Systeme bzw. beim Übermitteln von Informationen o. Ä. der MEDIACC folgende Grundsätze zu beachten, um das Kommunikationsnetzwerk der MEDIACC zu schützen:

› Der Zugriff darf nur über die jeweils zur Verfügung gestellten Endgeräte, Schnittstellen, Dienste und für die vereinbarten Zwecke und Aufgaben erfolgen.
› Die hinterlegten Schutzmechanismen (Kennungen und Passwörter) müssen personenscharf verwendet werden. Eine Weitergabe oder Offenlegung für Dritte ist in jedem Fall zu vermeiden.

› Alle Geräte, auf denen Informationen generiert, verändert oder übermittelt werden, unterliegen den aktuellen vom BSI herausgegebenen Standards und sicherheitsrelevante Aktualisierungen (Updates) sind für alle auf den jeweiligen Geräten verwendeten Programme inkl. der Virenscanner auf dem neuesten Stand.

› Besondere Sicherungseinstellungen, -systeme oder sonstige Vorkehrungen (z.B. zum Schutz vor Computerviren, Verschlüsselungen) dürfen nicht außer Betrieb genommen, umgangen oder in sonstiger Weise verändert werden.

› Die Zuschaltung/Anbindung eigener Systeme der Partner an das Kommunikationsnetzwerk der MEDIACC ist strikt zu vermeiden.

› Wenn ein Fernzugang zu Systemen der MEDIACC gewährt wird, dürfen nur die vorgegebenen Gateways, Sprungserver und Dienste verwendet werden. Das Herunterladen von anderen Programmen als die von MEDIACC auf die externen Geräte aufgespielten Programme hat zu unterbleiben. Eine Netzkopplung oder parallele Fernzugriffe müssen strikt vermieden werden.

› Die Mitnahmen von Dokumenten, Arbeitsergebnissen oder IT-Systemen außerhalb der Geschäftsräume der MEDIACC ist grundsätzlich nicht erlaubt und bedarf der vorherigen schriftlichen Genehmigung der Geschäftsführung der MEDIACC und in Einzelfällen wie Betriebs- und Geschäftsgeheimnissen der Abstimmung mit der Geschäftsführung.

› Ein Datenaustausch ist nur über verschlüsselte Kommunikationswege zulässig.
› Partner hat zudem sämtliche einschlägigen normativen Bestimmungen insbesondere datenschutzrechtlicher Art strikt zu beachten.


4. Besondere Regelungen der Datennutzung im Einzelfall
› MEDIACC behält sich vor, bei Umgang von Partnern mit besonders sensiblen oder geheimhaltungsbedürftigen Daten der MEDIACC oder ihrer weiteren Partner im Einzelfall zuvor ein besonderes Sicherheitsniveau festzulegen und besondere Schutzanordnungen zu treffen.
› Bei Verdacht auf nicht automatisch erkennbare oder zu beseitigende Computerviren oder Ablaufproblemen der Virenschutzprogramme ist unverzüglich die Geschäftsführung der MEDIACC zu benachrichtigen.

› Sofern ein Partner Schwachstellen und Vorfälle mit möglichen Auswirkungen auf die Informationssicherheit erkennt, meldet er diese umgehend der verantwortlichen Stelle der MEDIACC. MEDIACC informiert die Geschäftsleitung bzw. Verantwortliche seiner Partner im Falle eines größeren Sicherheitsvorfalls, wie zum Beispiel einem größeren Befall mit Schadsoftware, einem Systemausfall oder Ähnlichem, umgehend innerhalb einer angemessenen Zeit. Partner informiert die Geschäftsleitung der MEDIACC ebenfalls im Falle eines größeren Sicherheitsvorfalls umgehend innerhalb einer angemessenen Zeit.

 › Die Einhaltung der Maßnahmen zur Informationssicherheit wird durch MEDIACC kontrolliert und insbesondere durch den/die Datenschutzbeauftragte:n und/oder der Geschäftsführung der MEDIACC überwacht.

› MEDIACC ist berechtigt, eine regelmäßige Überprüfung der Einhaltung der Informationssicherheitsvorgaben im erforderlichen Umfang durchzuführen. Die Prüfung findet in Absprache mit den Partnern statt und wird mit einer angemessenen Vorankündigungsfrist angemeldet. Dies schließt das Recht ein, jede Einrichtung, die Informationen mit MEDIACC austauscht, zu besichtigen und gilt ebenfalls für Unterauftragnehmer. Aufwände hierfür sind nicht gesondert zu vergüten, sofern keine anderweitige vertragliche Vereinbarung getroffen wurde.

› Ein Verstoß gegen diese Bestimmungen kann – unbeschadet der sonstigen Rechte aus
dem Vertragsverhältnis mit dem Geschäftspartner – zum sofortigen Entzug der Zugangs-/Zugriffsberechtigungen auf die IT-Systeme der MEDIACC führen.