Security hat für die meisten Firmen extrem hohe Priorität. Bei Outsourcing-Vorhaben sollte da keine Ausnahme gemacht werden. Auch wenn ein externer Anbieter Teile der Leistungserbringung übernimmt: Die Verantwortung für die IT-Sicherheit obliegt grundsätzlich dem Auftraggeber. Geschäftsführer beziehungsweise Vorstände haften persönlich für eventuelle Versäumnisse. Die Beteiligung von Dienstleistern erfordert sogar noch stringentere Datenschutz- und Datensicherheitslösungen auf organisatorischer und technischer Ebene.
Die Verantwortung liegt beim Anwender
Der Auftraggeber kann mit den Mitarbeitern des Providers keine direkten Vereinbarungen treffen.
Der IT-Dienstleister setzt seine eigenen Maßnahmen zur Vereinfachung, Optimierung und Kostensenkung um.
Wenn der Outsourcing-Anbieter Insolvenz anmeldet, kann ihn der Anwender für eventuelle Fehler oder Versäumnisse nicht mehr haftbar machen.
Die Verantwortung gegenüber Kunden und gesetzlichen Vorschrif-ten kann der Auftraggeber nicht an einen Dienstleister delegieren.
Für informelle Sicherheitslösungen, die früher zum Geschäftsalltag gehörten, besteht nach einem Outsourcing keine Grundlage mehr.
Hier lesen Sie ...
Warum IT-Sicherheits-aspekte beim Outsourcing so wichtig sind;
welche Risiken das Auslagern von IT-Aufgaben in puncto Security birgt;
worauf es bei der Zusammenarbeit zwischen Outsourcing- Anwender und externen IT-Dienstleistern ankommt.
www.computerwoche.de
1219236: Experton Group zum Security-Stand deutscher Firmen;
593234: BSI zur IT-Sicherheit in Deutschland;
582450: CIOs haften für Fehler des Outsourcers;
1216038: Firmenchefs haften für Schäden durch Sicherheitsmängel.
Security: Von Anfang an wichtig
Vor diesem Hintergrund sollten Unternehmen die Wahrung der IT-Sicherheit bereits im Blick haben, wenn Sie ein Outsourcing-Vorhaben vorbereiten. Denn der Trend zum selektiven Outsourcing hat zur Folge, dass Anwender häufig mehrere IT-Dienstleister beschäftigen, die zunehmend miteinander vernetzt sind. Dabei werden immer mehr Verantwortlichkeiten auf die Partner übertragen, die oft auch Security-Anforderungen beinhalten. Damit hat sich der Sicherheitsaspekt zu einem wichtigen Kriterium für die Provider-Auswahl entwickelt, das möglichst frühzeitig in die Verhandlungen einzubringen ist.
Anforderungen priorisieren
Darüber hinaus sollte der Anwender dafür sorgen, dass die Sicherheitsanforderungen und Prioritäten über alle Geschäftsprozesse und deren Einbettung in die Wertschöpfungskette hinweg verstanden werden und dass nach Möglichkeit in Zusammenarbeit mit dem IT-Dienstleister die Voraussetzungen für ihre Einhaltung geschaffen werden. Auch die Schadensvermeidung hat beim Outsourcing eine besondere Bedeutung. Vorbeugen-den Maßnahmen sollte grundsätzlich sogar ein höherer Stellenwert beigemessen werden als der Haftung im Schadensfall.
Die Erarbeitung eines fundierten IT-Sicherheitskonzepts umfasst folgende Schritte: Die Analysephase schafft die nötige Transparenz, um daraus die Security-Strategie abzuleiten, Anforderungen und Werte zu identifizieren sowie Prioritäten zu setzen. Darauf aufbauend werden die Unternehmenswerte und Prozesse in Schutzklassen gruppiert. Anschließend erfolgt die Risikoanalyse, auf deren Basis die Sicherheitsmaßnahmen priorisiert, das heißt: nach Eigenschaften und Auswirkungen gegliedert und unter Kosten-Nutzen-Aspekten bewertet werden. Sie bilden die Basis für die Risikopolitik des Unternehmens.
Dieses Sicherheitskonzept muss gültig bleiben, auch wenn das Anwenderunternehmen IT-Funktionen oder -prozesse auslagert. Entscheidend ist dabei, dass das Konzept auf alle Elemente der Zusammenarbeit übertragen wird: Verträge, Service-Level-Agreements (SLAs), Preismodelle sowie auf das Reporting und alle Management-Prozesse. Im Sinne der Erfüllung aller regulatorischen Anforderungen und Haftungsansprüche ist es zudem ratsam, die externen IT-Dienstleister in bestehende Audit-Verpflichtungen zu integrieren. Um Sicherheitsver-letzungen frühzeitig zu erkennen, sollte der Anwender die Security-Incidents mit dem externen Anbieter zusammen steuern. Auch Risiko-Management-Prozesse sowie Business-Continuity- und Disaster-Recovery-Lösungen für den Katastrophenfall sind gemeinsam zu vereinbaren.
Neben der Verankerung der Sicherheitsanforderungen in Rahmenverträgen, Leistungsscheinen, Preismodellen und sonstigen Regelungen sollte der Auftraggeber daraus die Rechte und Pflichten des externen Anbieters ableiten und Spiel-regeln für die Erschließung von Innovationen vereinbaren. Nach Möglichkeit sind die Verantwortlichkeiten für Aufgaben wie die Überwachung, Kontrolle und Implementierung der Systeme an ein klares Rollenmodell gebunden, das auch vertraglich festgeschrieben ist. Dabei sollte der Anwender festlegen, welche Rollen sich Auftraggeber und Provider teilen etwa die des Security-Managers oder des IT-Architekten und welche Rollen spiegelbildlich, also auf beiden Seiten, übernommen werden.
Kritisches Know-how sichern
Wichtig sind zudem Regelungen zur Rückabwicklung von Outsourcing-Deals. Gerade hier kommt es häufig zu Konflikten, weil die Verträge nicht detailliert genug ausgearbeitet wurden. Ein weiterer kritischer Erfolgsfaktor beim Outsourcing ist der Know-how-Transfer. Auch im Sinne der IT-Sicherheit muss der Anwender dem IT-Dienstleister alle für ihn relevanten Informationen übergeben, dabei aber gleichzeitig dafür sorgen, dass das eigene Know-how im Unternehmen verbleibt. Entsprechende Vorkehrungen sind eine entscheidende Voraussetzung für eine effektive Steuerung der Provider. Besonders wichtig sind sie beim Wechsel zu einem anderen Anbieter.
Kontinuität ist das A und O
Besonderes Augenmerk sollten Anwender und Dienstleister auf den Übergang von der Projekt- zur Betriebsphase richten. Speziell wenn es sich m einen neuen IT-Dienstleister handelt, können an den Schnittstellen zwischen Kunde und Provider leicht Schwachstellen und Zuständigkeitslücken entstehen. Daher gilt es nicht nur, alle betriebs- und übergangselevanten Angelegenheiten Tätigkeitsfelder, Haftungsvereinbarungen und sonstige Verpflichtungen explizit zu vereinbaren. Angesichts der ständigen technischen Veränderungen, die sich häufig auf die Geschäftsfelder auswirken, sollte der Anwender die Leistungen seiner IT-Dienstleister auch regelmäßig auf Basis der vereinbarten SLAs überwachen und mit Hilfe von Security-spezifischen Benchmarks prüfen. Regelmäßige Reviews sind ebenfalls ein sinnvolles Instrument.
Fazit
Fehlende Security-Richtlinien oder Mängel in deren Umsetzung können folgenschwere Schäden verursachen und Unternehmen existenziell gefährden. Durch das Auslagern steigt die Wahrscheinlichkeit neuer Sicherheitslücken. Outsourcing-Anwender sollten das Thema Security daher früh und mit hoher Priorität behandeln. Dabei geht es nicht nur um Basisvorkehrungen wie Desaster Recovery und Business Continuity. Angesichts der Risiken, die durch das Zusammenspiel mit externen IT-Dienstleistern entstehen, sollten auch Maßnahmen wie das Security-Incident-Handling, Asset-Control und Datenschutzvorkerhungen weit oben auf der Agenda des auslagernden Unternehmens stehen.
Outsourcing-Anwender, die über nicht genug qualifizierte Mitarbeiter im Security-Bereich verfügen, sollten bei der Ausarbeitung ihres Sicherheitskonzepts auf externe Unterstützung zurückgreifen. Weil sich das Unternehmensumfeld sowie damit verbundenen IT-Infrastruktur ständig verändern, muss das Konzept aber immer wieder überprüft und gegebenenfalls angepasst werden. (sp)