Outsourcing

Die IT-Sicherheit obliegt dem Anwender

18.05.2009 von Alexander Hoffmann

Wie Outsourcing-Kunden sicherstellen können, dass der IT-Dienstleister ihren Sicherheitsanforderungen gerecht wird.

Beim Auslagern von IT-Aufgaben oder Geschäftsprozessen werden die traditionellen Wertschöpfungsketten aufgebrochen und externe Spezialisten auf allen Ebenen - von der IT bis zum Geschäftsprozess - integriert. An die Stelle der klassischen Organisationsstrukturen treten bilaterale Auftraggeber-Auftragnehmer-Beziehungen. Auch wenn der Outsourcing-Anwender dadurch an Autonomie in den ausgelagerten Bereichen verliert: Die Kontrolle und Verantwortung obliegt ihm nach wie vor. Der Outsorucing-Nehmer bleibt für die ausgelagerten Geschäftsbereiche so verantwortlich, wie wenn er sie selbst betreiben würde.

Bei Auslagerungsvorhaben in den Bereichen Finanzen und Human Resources (HR) etwa gilt es, Compliance-Anforderungen wie SOX, Euro-SOX, KonTraG, das Bundesdatenschutzgesetz (BDSG), Basel II und Solvency II zu berücksichtigen. Nach den jüngsten Entwicklungen auf den internationalen Finanzmärkten wird die Finanzaufsichtsbehörde Bafin die Mindestanforderungen an das Risiko-Management (MaRisk) eher noch weiter verschärfen, schätzen die IT-Sicherheitsexperten der Secaron AG.

Informationsrisiken beim Outsourcing

Um mit unternehmensindividuellen Risiken angemessen umgehen zu können, kommt es darauf an, kritische und sensible Geschäftsprozesse zu analysieren und mögliche Schwachstellen ausfindig zu machen, die das Zusammenspiel der Ressourcen "Menschen", "Prozesse", "Technik" und "Information" gefährden. Vor allem das Thema "Informationssicherheit" ist dabei in letzter Zeit stärker in den Fokus gerückt. So arbeitet die Bafin schon seit einiger Zeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) an einer Lösung zur intensiveren Überprüfung der IT-Sicherheit. Auch beim Risiko-Management werden die Vorgaben konkreter - etwa in Form von Risikoanalysen und Notfallkonzepten für die IT sowie durch die Ausrichtung an internationalen "Best Practices" wie Itil, ISO 27001 und Cobit. Outsourcing-Anwender sollten darüber hinaus für größtmögliche Transparenz sorgen, um das Auslagerungsprojekt umfassend steuern und die Haftungsrisiken eindämmen zu können.

Outsourcing-Risiken und ihre Folgen

Durch die komplette oder teilweise Übertragung von IT- oder Geschäftsprozessen, der darunter liegenden Infrastruktur und eventuell auch des zuständigen Personals an einen externen IT-Dienstleister begibt sich der Auftraggeber in eine Abhängigkeit von der Qualität der extern erbrachten Services. Infolge der engen Verzahnung von Business und IT können sich mögliche Sicherheitsrisiken sogar auf die Unternehmensstrategie auswirken und im schlimmsten Fall die gesamte Geschäftsgrundlage gefährden. Um solche Fälle zu vermeiden gilt es, die IT wirtschaftlich effizient und sinnvoll abzusichern. Dabei müssen vor allem die Security-Anforderungen an der Schnittstelle zwischen Business und IT Kontrolliert werden. Dies ist eine äußerst komplexe und häufig unterschätzte Aufgabe.

Um die Risiken zu begrenzen, sollte der Outsourcing-Anwender die spezifischen Security-Anforderungen des Vorhabens unter Berücksichtigung aller möglichen Risiken und Bedrohungen entwickeln und über den gesamten Outsourcing-Lebenszyklus kommunizieren und kontrollieren. Vor diesem Hintergrund empfiehlt es sich, das Auslagerungsprojekt und die damit verbundenen Aktivitäten in Phasen aufzugliedern (siehe Kasten "Sicher in acht Schritten").

Besonders viel Aufmerksamkeit verlangt die Planungspase (Schritt 1 bis 3), weil auf ihr alle weiteren Phasen basieren: Nach der Abgrenzung des Outsourcing-Gegenstands und der Bewertung seines informationellen Werts gilt es, die aktuelle Ist-Situation einer Risikoanalyse zu unterziehen, um Sicherheitsschwachstellen aufzudecken, die sich durch das Auslagern verbessern lassen. Zugleich dient die Analyse als Maßstab, um mögliche Verbesserungen oder Verschlechterungen des Sicherheitsniveaus während der Auslagerung zu beurteilen.

Risiken und ihre Ursachen

Höhere Gewalt - etwa IT-Ausfall durch Naturkatastrophe;
organisatorische Mängel: etwa ungenügende Anforderungen, ungesicherte Kommunikation zwischen Outsourcing-Nehmer und Dienstleister oder Fehler bei der Verwaltung von Zugangs- und Zugriffsrechten;
technisch bedingte Ausfälle - etwa durch Hard- oder Software-Fehler;
menschliches Fehlverhalten - etwa Datenverluste durch Anwender- Programmierfehler;
Vorsatz: Missbrauch von Administratorrechten, Fernwartungszugängen oder Unternehmensinformationen oder das Verschweigen von Sicherheitslücken durch den Outsourcer.

Auswahl des Dienstleisters

Entscheidend beim Outsourcing ist die Frage, welcher IT-Dienstleister den Sicherheitsanforderungen des Auftraggebers gerecht wird. Um dies zu klären, empfiehlt sich ein "Due-Diligence-Audit", der sich an der den Compliance-Audits zur Informationssicherheit - etwa ISO27001 - orientiert. Steht der passende Partner fest, spricht der Verantwortliche des Anwenderunternehmens mit ihm in Abstimmung mit dem Risiko-Management durch, wie die einzelnen Anforderungen umzusetzen sind. Dabei sollten alle Risiken vollständig identifiziert und die Maßnahmen zu ihrer Eindämmung bereits in der Kosten-Nutzen-Analyse budgetiert sein.

Idealerweise begleitet der Security-Verantwortliche des Anwenderunternehmens den gesamten Lebenszyklus des Outsouricng-Vorhabens. Wie ein Bericht des Security-Forums zeigt, werden Sicherheitsrisiken aber oft erst in späteren Projektphasen erkannt. In vielen Führungsetagen mangelt es nach wie vor am nötigen Risikobewusstsein und am Verständnis für ein umfassendes Security-Management, folgern die Experten.

Typische Firmenrisiken

Strategische Risiken:

Verlust von öffentlichem Vertrauen/ Imageschaden;
Falsche Management-Entscheidungen - etwa bei der Kostensteuerung - oder Verlust von Autonomie, Kontrolle, Reaktionsfähigkeit und Knowhow;
Ungewollte Veröffentlichung von internen Informationen;

Operative Risiken:

Geschäftsunterbrechung - etwa Ausfall von Unternehmensteilen;
Compliance-Verstöße - etwa gegen KonTraG, SOX, Euro-SOX, Verstöße gegen branchenspezifische Richtlinien, Grundsätze und Rundschreiben - etwa KWG, Basel II respektive MaRisk oder gegen DIN-, ISO-, IEC-Normen und Best Practices (ITIL, CObIT, ISO 27001);
Verlust der Moral der Mitarbeiter (Frustration und Arbeitsverweigerung);
Betrug (Ausnutzen von internen Informationen - etwa Insiderhandel)

Sicher in acht Schritten

1. Sicherheitsanalyse

Abgrenzung des auszulagernden Gegenstandes;
Erhebung von projektrelevanten Basisinformationen;
Business Impact Analyse (BIA);
Risikoanalyse der aktuellen Sourcing-Situation;
Definition der Sicherheitsstrategie.

2. Sicherheitsanforderungen:

IT-Strukturanalyse des Outsourcing-Gegenstands;
kKassifikation des Schutzbedarfs für alle IT-Komponenten;
Definition der Sicherheitsanforderungen.

3. Auswahl des Outsourcers

Request For Information (RFI) und Request For Proposal (RFP);
Due Diligence Audit für Informationssicherheit;
Risikoanalyse für bestimmte Outsourcing-Situationen;
Auswahl des Dienstleisters.

4. Vertragsgestaltung

Definition der Security-SLAs und geregelten Vertragsbeendigung;
Formulierung der Leistungsanforderungen und deren Kontrolle;
Vertragsverhandlungen und -abschluss.

5. Sicherheitskonzept

Konzept und Abstimmung der Absicherungsmaßnahmen.

6. Migration gemäß Sicherheitskonzept

Bildung eines Teams zum Management der Informationssicherheit;
Umsetzung der organisatorischen und technischen Vorgaben;
Abnahmetest und Übergang zum Regelbetrieb.

7. Aufrechterhaltung des sicheren Betriebs

Messparameter und Kontrollindikatoren;
regelmäßiges Monitoring und Audits;
Sicherheitskontrolle im Change-Management;
Analyse, Eskalation und Verbesserung von Schwachstellen.

8. Sichere Beendigung des -Projekts

Aufrechterhalten des Sicherheitsniveaus beim Übergang auf einen anderen Dienstleister oder beim Insourcing.

(sp)