Outsourcing-Risiken und ihre Folgen

Durch die komplette oder teilweise Übertragung von IT- oder Geschäftsprozessen, der darunter liegenden Infrastruktur und eventuell auch des zuständigen Personals an einen externen IT-Dienstleister begibt sich der Auftraggeber in eine Abhängigkeit von der Qualität der extern erbrachten Services. Infolge der engen Verzahnung von Business und IT können sich mögliche Sicherheitsrisiken sogar auf die Unternehmensstrategie auswirken und im schlimmsten Fall die gesamte Geschäftsgrundlage gefährden. Um solche Fälle zu vermeiden gilt es, die IT wirtschaftlich effizient und sinnvoll abzusichern. Dabei müssen vor allem die Security-Anforderungen an der Schnittstelle zwischen Business und IT Kontrolliert werden. Dies ist eine äußerst komplexe und häufig unterschätzte Aufgabe.

Um die Risiken zu begrenzen, sollte der Outsourcing-Anwender die spezifischen Security-Anforderungen des Vorhabens unter Berücksichtigung aller möglichen Risiken und Bedrohungen entwickeln und über den gesamten Outsourcing-Lebenszyklus kommunizieren und kontrollieren. Vor diesem Hintergrund empfiehlt es sich, das Auslagerungsprojekt und die damit verbundenen Aktivitäten in Phasen aufzugliedern (siehe Kasten "Sicher in acht Schritten").

Besonders viel Aufmerksamkeit verlangt die Planungspase (Schritt 1 bis 3), weil auf ihr alle weiteren Phasen basieren: Nach der Abgrenzung des Outsourcing-Gegenstands und der Bewertung seines informationellen Werts gilt es, die aktuelle Ist-Situation einer Risikoanalyse zu unterziehen, um Sicherheitsschwachstellen aufzudecken, die sich durch das Auslagern verbessern lassen. Zugleich dient die Analyse als Maßstab, um mögliche Verbesserungen oder Verschlechterungen des Sicherheitsniveaus während der Auslagerung zu beurteilen.