Unternehmen übertragen heute im Zuge von Cloud-Computing und zunehmender Compliance-Regularien in steigendem Maße Teile ihrer IT-Wertschöpfung an externe Partner. Dabei handelt es sich vielfach um komplexe und kritische Elemente der zentralen Wertschöpfung. Für den Fall der Fälle sichern sich die Firmen jedoch lediglich mit Standard-Kontrollmechanismen ab und setzen darüberhinaus faktisch auf ein gutes Vertrauensverhältnis - was zu erheblichen Risiken führt. Zu diesem Ergebnis kommt das Beratungshaus Deloitte in seiner aktuellen TrustIT-Studie.
Kontrollregularien nur fragmentarisch formuliert
Die Unternehmen hegen selbst erhebliche Zweifel an diesem Vorgehen. In einer zeitnah erschienen weiteren Studie zur IT-Sicherheit verzeichnet Deloitte eine steigende Zahl an Sicherheitsbedrohungen und Vorfällen. International agierende Unternehmen betrachten darin ihre externen Partner als ein Risikopotenzial und konstatieren einen deutlichen Mangel an adäquaten Absicherungsmechanismen. Dennoch seien die Investitionen in die IT-Sicherheit im Vergleich zu den Vorjahren kaum erhöht und Kontrollregularien für Outsourcing-Verträge nur fragmentarisch formuliert worden, moniert Deloitte. Vielmehr hielten die Firmen sogar bei einer Störung des Vertrauensverhältnisses an den bestehenden Steuerungsinstrumenten fest.
Vertrauen basiert auf Risikoabsicherung
Entscheidend für das Vertrauensverhältnis ist demnach aus Sicht der Unternehmen nicht nur die Sensitivität der Daten, sondern auch das Ausmaß an Verantwortung und Risiken, die der jeweilige Partner übernimmt. Das heißt, stellt Deloite fest, dass die Unternehmen zwar absicherungsorientiert agierten, jedoch relativ wenig in die Spezifizierung der Kontrollmechanismen investierten. Firmen müssten künftig stärker auf professionalisierte Absicherungsinstrumente setzen, da Vertrauen vor allem auf Risikoabsicherung basiert, mahnt Deloitte. Auf diese Weise ließen sich nicht nur Risiken, sondern auch hohe Folgeaufwände wie etwa die Koordination mehrerer Partner vermeiden.