Gefahr erkannt, Gefahr gebannt

18.02.2008
Von Lars Rudolff
Wer kritische Daten und Dienste nach außen gibt, sollte das Geschäftsrisiko einschätzen können. Eine Bewertung im Vorfeld spart Kosten und Ärger.

Unternehmen vernetzen sich zunehmend und verwenden dazu externe Services. Das spart Kosten, weil die Firmen keine internen Systeme einrichten, sondern kostengünstige oder -lose Web-Plattformen verwenden. Doch je mehr ausgelagert wird, desto mehr Gefahren drohen. Die Zahl der Personen, die Zugriff auf Unternehmensdaten bekommen, wächst. Verlassen Informationen die Grenzen einer Firma, können sie nicht unmittelbar beschützt werden. Zudem hängen die Betriebe von der Verfügbarkeit externer Dienste und Systeme ab, auf deren konkrete technische Ausgestaltung sie meist keinen Einfluss haben. Auch wer nur mittelbar interne Informationen nach außen gibt, ist gefährdet: Bereits Web-Konferenz-Systeme und Web-2.0-Anwendungen zur Kommunikation mit Partnern und Kunden bergen Gefahren. Ein Sicherheitsrisiko entsteht schon, wenn Mitarbeiter geschäftliche E-Mails auf ihre privaten Accounts weiterleiten.

Hier lesen Sie …

warum das Auslagern von Geschäftsdaten ein Sicherheitsrisiko darstellt;

wie sich die Outsourcing-Gefahren eingrenzen lassen;

warum jeder Fall einzeln betrachtet werden muss.

Tatsächliche und eingebildete Gefahren unterscheiden

Vor jeder Auslagerung steht die Risikobewertung. Wichtig ist zunächst die Unterscheidung zwischen den Gefahren, die tatsächlich bestehen, und denen, die sich ein Unternehmen einbildet. Häufig spricht die Angst vor einer möglichen Industriespionage, also vor dem Verlust der Vertraulichkeit von Informationen, gegen das Outsourcing. Doch warum sollten die externen Dienstleister weniger vertrauenswürdig sein als die eigenen Mitarbeiter? Für wen könnten die auszulagernden Daten interessant sein und warum? Eine objektive Bewertung der inneren und äußeren Bedrohungen schafft eine Basis für das weitere Vorgehen.

Durch eine Auslagerung gehen der Betrieb und möglicherweise auch seine Weiterentwicklung zwar nach außen, Verantwortung und Risiko aber bleiben in jedem Fall beim Auftraggeber. Ein eventueller Schaden kann nicht immer an den eigentlichen Verursacher weitergegeben werden. Daher sind im Vorfeld konkret formulierte Service-Level-Agreements (SLAs) zwischen den Partnern wichtig.

Es gibt zwei Modelle, um die Risiken zu bewerten und zu steuern: Der Compliance-Ansatz basiert auf der Klassifikation der Daten. Die Klassen werden vorab definiert und je nach Risiko mit Schutzmaßnahmen hinterlegt. Ein Beispiel: Daten der Klasse "vertraulich" dürfen nur verschlüsselt über öffentliche Netze übertragen werden. Auf Daten der Klasse "streng vertraulich" darf nur über eine Zwei-Faktor-Authentifizierung zugegriffen werden - mit Passwort und Fingerabdruck. Die Anforderungen an die Partner werden klassenbezogen in den SLAs festgelegt.

Der risikoorientierte Ansatz hingegen erfordert für jedes Vorhaben eine gesonderte Analyse. Sie basiert auf konkreten Bedrohungsszenarien, die einzeln bewertet werden. Die möglichen Auswirkungen und ihre Eintrittswahrscheinlichkeit dienen als Maßstab. Stellt sich heraus, dass das Risiko für ein bestimmtes Szenario zu hoch ist, können Gegenmaßnahmen abgeleitet werden. Eine Risikomatrix macht die Ergebnisse der Bewertung grafisch sichtbar (siehe Abbildung). Der risikoorientierte Ansatz erfordert mehr Arbeit, liefert aber konkretere Ergebnisse als das Compliance-Modell.

Checkliste: Fit fürs Auslagern?

Wer alle Fragen für sein Unternehmen positiv beantwortet, kann auch kritische Daten und IT-Services ruhigen Gewissens an externe Dienstleister geben:

  • Wurden die mit dem Vorhaben verbundenen Risiken vollständig identifiziert und objektiv bewertet?

  • Überwiegen die Vorteile klar gegenüber den Nachteilen und die Chancen ebenso klar gegenüber den Risiken?

  • Gibt es ein System zur Steuerung der Risiken? Werden Risikobewertungen regelmäßig überprüft?

  • Sind Art und Umfang der Dienstleistung klar definiert? Und sind die Anforderun-gen des Auftraggebers in Verträgen oder SLAs verankert?

  • Kann die Einhaltung dieser Anforderungen kontinuierlich überwacht werden?

  • Wurden angemessene Haftungsregelungen vereinbart?

Beiden Vorgehensweisen sind drei Grundregeln gemein: Die Bedrohungen müssen 1. vollständig identifiziert und analysiert werden, 2. objektiv, nachvollziehbar und miteinander vergleichbar sein sowie 3. zeitnah zur geplanten Auslagerung bewertet werden. Zur Vollständigkeit gehört es, dass Aspekte aus verschiedenen Bereichen betrachtet werden. Nachvollziehbar und vergleichbar heißt, dass die angelegten Messinstrumente und Kennzahlen so ausgestaltet sind, dass sich unterschiedliche Bewertungen miteinander vergleichen lassen. Um Risiken unter Kontrolle zu behalten, muss man ihr aktuelles Ausmaß kennen. Ändern sich ihre Anzahl oder der potenzielle Schaden, ändern sich auch die Gegenmaßnahmen. Darum sollten Unternehmen ihre Bewertungskriterien regelmäßig prüfen. (Simon Hülsbömer)