Outsourcing

Die IT-Sicherheit obliegt dem Anwender

18.05.2009
Von Alexander Hoffmann
Wie Outsourcing-Kunden sicherstellen können, dass der IT-Dienstleister ihren Sicherheitsanforderungen gerecht wird.

Beim Auslagern von IT-Aufgaben oder Geschäftsprozessen werden die traditionellen Wertschöpfungsketten aufgebrochen und externe Spezialisten auf allen Ebenen - von der IT bis zum Geschäftsprozess - integriert. An die Stelle der klassischen Organisationsstrukturen treten bilaterale Auftraggeber-Auftragnehmer-Beziehungen. Auch wenn der Outsourcing-Anwender dadurch an Autonomie in den ausgelagerten Bereichen verliert: Die Kontrolle und Verantwortung obliegt ihm nach wie vor. Der Outsorucing-Nehmer bleibt für die ausgelagerten Geschäftsbereiche so verantwortlich, wie wenn er sie selbst betreiben würde.

Bei Auslagerungsvorhaben in den Bereichen Finanzen und Human Resources (HR) etwa gilt es, Compliance-Anforderungen wie SOX, Euro-SOX, KonTraG, das Bundesdatenschutzgesetz (BDSG), Basel II und Solvency II zu berücksichtigen. Nach den jüngsten Entwicklungen auf den internationalen Finanzmärkten wird die Finanzaufsichtsbehörde Bafin die Mindestanforderungen an das Risiko-Management (MaRisk) eher noch weiter verschärfen, schätzen die IT-Sicherheitsexperten der Secaron AG.

Informationsrisiken beim Outsourcing

Um mit unternehmensindividuellen Risiken angemessen umgehen zu können, kommt es darauf an, kritische und sensible Geschäftsprozesse zu analysieren und mögliche Schwachstellen ausfindig zu machen, die das Zusammenspiel der Ressourcen "Menschen", "Prozesse", "Technik" und "Information" gefährden. Vor allem das Thema "Informationssicherheit" ist dabei in letzter Zeit stärker in den Fokus gerückt. So arbeitet die Bafin schon seit einiger Zeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) an einer Lösung zur intensiveren Überprüfung der IT-Sicherheit. Auch beim Risiko-Management werden die Vorgaben konkreter - etwa in Form von Risikoanalysen und Notfallkonzepten für die IT sowie durch die Ausrichtung an internationalen "Best Practices" wie Itil, ISO 27001 und Cobit. Outsourcing-Anwender sollten darüber hinaus für größtmögliche Transparenz sorgen, um das Auslagerungsprojekt umfassend steuern und die Haftungsrisiken eindämmen zu können.