Auswahl des Dienstleisters
Entscheidend beim Outsourcing ist die Frage, welcher IT-Dienstleister den Sicherheitsanforderungen des Auftraggebers gerecht wird. Um dies zu klären, empfiehlt sich ein "Due-Diligence-Audit", der sich an der den Compliance-Audits zur Informationssicherheit - etwa ISO27001 - orientiert. Steht der passende Partner fest, spricht der Verantwortliche des Anwenderunternehmens mit ihm in Abstimmung mit dem Risiko-Management durch, wie die einzelnen Anforderungen umzusetzen sind. Dabei sollten alle Risiken vollständig identifiziert und die Maßnahmen zu ihrer Eindämmung bereits in der Kosten-Nutzen-Analyse budgetiert sein.
Idealerweise begleitet der Security-Verantwortliche des Anwenderunternehmens den gesamten Lebenszyklus des Outsouricng-Vorhabens. Wie ein Bericht des Security-Forums zeigt, werden Sicherheitsrisiken aber oft erst in späteren Projektphasen erkannt. In vielen Führungsetagen mangelt es nach wie vor am nötigen Risikobewusstsein und am Verständnis für ein umfassendes Security-Management, folgern die Experten.
Typische Firmenrisiken
Strategische Risiken:
Verlust von öffentlichem Vertrauen/ Imageschaden;
Falsche Management-Entscheidungen - etwa bei der Kostensteuerung - oder Verlust von Autonomie, Kontrolle, Reaktionsfähigkeit und Knowhow;
Ungewollte Veröffentlichung von internen Informationen;
Operative Risiken:
Geschäftsunterbrechung - etwa Ausfall von Unternehmensteilen;
Compliance-Verstöße - etwa gegen KonTraG, SOX, Euro-SOX, Verstöße gegen branchenspezifische Richtlinien, Grundsätze und Rundschreiben - etwa KWG, Basel II respektive MaRisk oder gegen DIN-, ISO-, IEC-Normen und Best Practices (ITIL, CObIT, ISO 27001);
Verlust der Moral der Mitarbeiter (Frustration und Arbeitsverweigerung);
Betrug (Ausnutzen von internen Informationen - etwa Insiderhandel)