IT-Sicherheitsanalyse der Datenverarbeitung im Ausland

Die IT-Verarbeitung im Ausland ist Bedrohungen ausgesetzt, die Anwender genau analysieren sollten. Die Beteuerungen der Serviceanbieter, sie orientierten sich an internationalen Standards, sind zum Teil wertlos. Das musste etwa ein Anwender erfahren, der bei einer Rechenzentrumsbesichtigung eines großen Anbieters in den USA Überraschendes erlebte. Das Data Center, das seine Server beherbergte, lag auf einem campusartigen, öffentlich zugänglichen Gelände. Eine Perimetersicherung (Freigeländesicherung) gab es praktisch nicht. Der Zugang wurde von einem Wachmann geschützt, der aufgrund gesetzlicher Regelungen in Neuengland keine Waffe tragen durfte. Die physische Sicherheit war gemessen an deutschen Maßstäben kümmerlich. Der amerikanische Betreiber konnte jedoch kein Sicherheitsproblem erkennen. Er bestritt, dass es ein Bedrohungsszenario gebe, da das Rechenzentrum nicht an einem einsamen Ort liege.

Vorsicht ist zudem geboten, wenn Daten in Länder gelangen, in denen die innenpolitische Lage nicht stabil ist. Hier können Unternehmensdaten durch Wirtschaftsspionage und organisierte Kriminalität gefährdet sein. Hat ein Systemverwalter in einem solchen Land etwa Verwaltungsrechte in einem weltweiten Active Directory, kann er auf deutsche Systeme zugreifen. Eine entsprechende Rechtedelegation ist daher dringend erforderlich. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kennt das Problem und hat entsprechende Handlungsanweisungen formuliert (BSI-Grundschutz M 2.230: "Planung der Active Directory-Administration").

Empfehlung: Ein deutscher IT-Sicherheitsexperte sollte vor Ort untersuchen, ob die geplante Auslandsdatenverarbeitung empfehlenswert ist. Ziel muss es sein, die Gefährdung des Unternehmens im Verarbeitungsland einzuschätzen. Unternehmenskritische Daten dürfen nicht ungeschützt im Ausland verarbeitet werden. Der Sicherheitsexperte muss gegebenenfalls Schutzmaßnahmen formulieren, die in das Vertragswerk einfließen sollten.