So behalten Sie alles unter Kontrolle

Wie Sie Geschäftsdaten sicher auslagern

26.02.2008
Von Lars Rudolff
Wer kritische Informationen und Dienste nach außen gibt, sollte das Risiko einschätzen können. Eine Bewertung im Vorfeld spart Kosten und Ärger.
Eine Risikomatrix macht die Gefahren für jeden einzelnen Prozess grafisch sichtbar. Sie gliedert sich nach der Höhe des Schadens und seiner Eintrittswahrscheinlichkeit. Liegt das Risiko außerhalb des tolerierbaren Bereichs (gestrichelte Linie), ist das Auslagern des Prozesses nach außen nicht zu empfehlen.
Eine Risikomatrix macht die Gefahren für jeden einzelnen Prozess grafisch sichtbar. Sie gliedert sich nach der Höhe des Schadens und seiner Eintrittswahrscheinlichkeit. Liegt das Risiko außerhalb des tolerierbaren Bereichs (gestrichelte Linie), ist das Auslagern des Prozesses nach außen nicht zu empfehlen.
Foto: Secaron AG

Unternehmen vernetzen sich zunehmend und verwenden dazu externe Services. Diese gestatten es Anwendern, Daten über Firmengrenzen hinweg auszutauschen. Wo auf der Welt sich Dienstleister und Dienste befinden, ist unerheblich. Das spart Kosten, weil Unternehmen keine internen Systeme einrichten, sondern kostengünstige oder kostenlose Web-Plattformen verwenden. Doch je mehr ausgelagert wird, desto mehr Gefahren drohen. Die Zahl der Personen, die Zugriff auf Unternehmensdaten bekommen, wächst. Verlassen Informationen die Grenzen einer Firma, können sie nicht unmittelbar beschützt werden. Unternehmen hängen zusätzlich von der Verfügbarkeit externer Dienste und Systeme ab, auf deren konkrete technische Ausgestaltung sie im Regelfall keinen Einfluss haben. Auch wer nur mittelbar interne Informationen nach außen gibt, ist gefährdet: Bereits Web-Konferenz-Systeme und Web-2.0-Anwendungen zur Kommunikation mit Partnern und Kunden bergen Gefahren. Ein Sicherheitsrisiko entsteht schon, wenn Mitarbeiter geschäftliche E-Mails auf ihre privaten Accounts weiterleiten. Um die Gefahren auf ein Minimum einzugrenzen, ist eine umfassende Analyse der Situation nötig.

Tatsächliche und eingebildete Gefahren unterscheiden

Vor jeder Auslagerung steht die Risikobewertung. Wichtig ist zunächst die Unterscheidung zwischen den Gefahren, die tatsächlich bestehen, und denen, die sich ein Unternehmen einbildet. Häufig spricht die Angst vor einer möglichen Industriespionage, also vor dem Verlust der Vertraulichkeit von Informationen, gegen das Outsourcing. Ein Unternehmen muss sich überlegen, ob die Angst begründet oder nur eingebildet ist. Warum sollten die externen Dienstleister weniger vertrauenswürdig sein als die eigenen Mitarbeiter? Für wen könnten die auszulagernden Daten interessant sein und warum? Eine objektive Bewertung aller möglichen inneren und äußeren Bedrohungen hilft, eine Basis für das weitere Vorgehen zu schaffen.

Wichtig ist auch eine Qualitätskontrolle des externen Dienstes an sich. Durch eine Auslagerung gehen der Betrieb und möglicherweise auch seine Weiterentwicklung zwar nach außen, Verantwortung und Risiko aber bleiben in jedem Fall beim Auftraggeber. Sollte ein Dienst nicht wie gewünscht arbeiten, kann der Schaden nicht immer an den eigentlichen Verursacher weitergegeben werden. Daher sind im Vorfeld konkret formulierte Service-Level-Agreements (SLAs) zwischen den Partnern wichtig, um die Verantwortlichkeiten für diese Ausnahmefälle klar bestimmen zu können.

Zwei Ansätze für die Steuerung

Es gibt zwei Modelle, um die Risiken zu bewerten und zu steuern. Der Compliance-Ansatz basiert auf der Klassifikation der Daten, die ausgelagert werden sollen. Die Klassen werden vorab definiert und entsprechend dem Risiko mit Schutzmaßnahmen hinterlegt. Ein Beispiel: Daten der Klasse "vertraulich" dürfen nur verschlüsselt über öffentliche Netze übertragen werden. Auf Daten der Klasse "streng vertraulich" darf nur über eine Zwei-Faktor-Authentifizierung zugegriffen werden – mit Passwort und Fingerabdruck. Die vertraglichen Anforderungen an die Partner werden klassenbezogen in den SLAs festgelegt.

Ein geschlossener Kreislauf: Wenn alle Risiken ausgemacht sind, folgen ihre Analyse und Bewertung. Mit Hilfe verschiedener Steuerungsmodelle bekommt ein Unternehmen die Gefahren anschließend besser unter Kontrolle und kann sie im nächsten Schritt prüfen und so eventuell neue Schwachstellen finden.
Ein geschlossener Kreislauf: Wenn alle Risiken ausgemacht sind, folgen ihre Analyse und Bewertung. Mit Hilfe verschiedener Steuerungsmodelle bekommt ein Unternehmen die Gefahren anschließend besser unter Kontrolle und kann sie im nächsten Schritt prüfen und so eventuell neue Schwachstellen finden.
Foto: Secaron AG

Der risikoorientierte Ansatz erfordert für jedes Vorhaben eine genaue Analyse. Sie basiert auf konkreten Bedrohungsszenarien, die einzeln bewertet werden. Die möglichen Auswirkungen und ihre Eintrittswahrscheinlichkeit beziehungsweise –häufigkeit dienen als Maßstab. Stellt sich heraus, dass das Risiko für ein bestimmtes Szenario zu hoch ist, können Gegenmaßnahmen abgeleitet werden. Eine Risikomatrix macht die Ergebnisse der Bewertung grafisch sichtbar (siehe Abbildung). Der risikoorientierte Ansatz erfordert mehr Arbeit, liefert aber konkretere Ergebnisse als das Compliance-Modell.

Bedrohungslage regelmäßig prüfen

Beiden Vorgehen sind drei Grundregeln gemein: Die Bedrohungen müssen vollständig identifiziert und analysiert werden, objektiv, nachvollziehbar und miteinander vergleichbar sein sowie zeitnah zur geplanten Auslagerung bewertet werden. Zur Vollständigkeit gehört es, dass Aspekte aus verschiedenen Bereichen betrachtet werden. Wenn ein Unternehmen das Thema Industriespionage nicht oder nur einseitig mit einbezieht, kann das wiederum Auswirkungen auf andere Bereiche haben. Nachvollziehbar und vergleichbar heißt, dass die angelegten Messinstrumente und Kennzahlen so ausgestaltet sind, dass unterschiedliche Bewertungen miteinander verglichen werden können. Um Risiken erfolgreich unter Kontrolle zu behalten, muss man immer ihr aktuelles Ausmaß kennen. Ändert sich ihre Anzahl oder der potenzielle Schaden, der von einer einzelnen Schwachstelle ausgeht, ändern sich auch die nötigen Gegenmaßnahmen. Darum sollten Unternehmen ihre Bewertungskriterien in regelmäßigen Zyklen prüfen. Jeder Fall muss wieder neu bewertet werden, eine pauschale Vorgehensweise gibt es nicht. Nur wenn alle Chancen und Risiken einer Auslagerung von Daten oder Services gegeneinander abgewogen worden sind, kann das Management eine fundierte Entscheidung treffen. (sh)

Checkliste: Auslagern oder nicht?

Wer alle Fragen für sein Unternehmen positiv beantwortet, kann auch kritische Daten und IT-Services ruhigen Gewissens an externe Dienstleister geben:

  • Wurden die mit dem Vorhaben verbundenen Risiken vollständig identifiziert und objektiv bewertet?

  • Überwiegen die Vorteile klar gegenüber den Nachteilen und die Chancen klar gegenüber den Risiken?

  • Gibt es ein System zur Steuerung der Risiken? Werden Risikobewertungen regelmäßig überprüft?

  • Ist Art und Umfang der Dienstleistung klar definiert und sind die Anforderungen des Auftraggebers in Verträgen oder SLAs verankert?

  • Kann die Einhaltung dieser Anforderungen kontinuierlich überwacht werden?

  • Wurden angemessene Haftungsregelungen vereinbart?