Security hat für die meisten Firmen extrem hohe Priorität. Bei Outsourcing-Vorhaben sollte da keine Ausnahme gemacht werden. Auch wenn ein externer Anbieter Teile der Leistungserbringung übernimmt: Die Verantwortung für die IT-Sicherheit obliegt grundsätzlich dem Auftraggeber. Geschäftsführer beziehungsweise Vorstände haften persönlich für eventuelle Versäumnisse. Die Beteiligung von Dienstleistern erfordert sogar noch stringentere Datenschutz- und Datensicherheitslösungen auf organisatorischer und technischer Ebene.

Security: Von Anfang an wichtig

Vor diesem Hintergrund sollten Unternehmen die Wahrung der IT-Sicherheit bereits im Blick haben, wenn Sie ein Outsourcing-Vorhaben vorbereiten. Denn der Trend zum selektiven Outsourcing hat zur Folge, dass Anwender häufig mehrere IT-Dienstleister beschäftigen, die zunehmend miteinander vernetzt sind. Dabei werden immer mehr Verantwortlichkeiten auf die Partner übertragen, die oft auch Security-Anforderungen beinhalten. Damit hat sich der Sicherheitsaspekt zu einem wichtigen Kriterium für die Provider-Auswahl entwickelt, das möglichst frühzeitig in die Verhandlungen einzubringen ist.

So sollte der Anwender dafür sorgen, dass die Sicherheitsanforderungen und Prioritäten über alle Geschäftsprozesse und deren Einbettung in die Wertschöpfungskette hinweg verstanden werden und dass nach Möglichkeit in Zusammenarbeit mit dem IT-Dienstleister die Voraussetzungen für ihre Einhaltung geschaffen werden. Auch die Schadensvermeidung hat beim Outsourcing eine besondere Bedeutung. Vorbeugen-den Maßnahmen sollte grundsätzlich sogar ein höherer Stellenwert beigemessen werden als der Haftung im Schadensfall.

Die Erarbeitung eines fundierten IT-Sicherheitskonzepts umfasst folgende Schritte: Die Analysephase schafft die nötige Transparenz, um daraus die Security-Strategie abzuleiten, Anforderungen und Werte zu identifizieren sowie Prioritäten zu setzen. Darauf aufbauend werden die Unternehmenswerte und Prozesse in Schutzklassen gruppiert. Anschließend erfolgt die Risikoanalyse, auf deren Basis die Sicherheitsmaßnahmen priorisiert, das heißt: nach Eigenschaften und Auswirkungen gegliedert und unter Kosten-Nutzen-Aspekten bewertet werden. Sie bilden die Basis für die Risikopolitik des Unternehmens.