Verantwortung lässt sich nicht auslagern

25.07.2007
Von Ulfert Gartz

Sicherheitskonzept bleibt auch beim Outsourcing gültig

Dieses Sicherheitskonzept muss gültig bleiben, auch wenn das Anwenderunternehmen IT-Funktionen oder -prozesse auslagert. Entscheidend ist dabei, dass das Konzept auf alle Elemente der Zusammenarbeit übertragen wird: Verträge, Service-Level-Agreements (SLAs), Preismodelle sowie auf das Reporting und alle Management-Prozesse. Im Sinne der Erfüllung aller regulatorischen Anforderungen und Haftungsansprüche ist es zudem ratsam, die externen IT-Dienstleister in bestehende Audit-Verpflichtungen zu integrieren. Um Sicherheitsver-letzungen frühzeitig zu erkennen, sollte der Anwender die Security-Incidents mit dem externen Anbieter zusammen steuern. Auch Risiko-Management-Prozesse sowie Business-Continuity- und Disaster-Recovery-Lösungen für den Katastrophenfall sind gemeinsam zu vereinbaren.

Neben der Verankerung der Sicherheitsanforderungen in Rahmenverträgen, Leistungsscheinen, Preismodellen und sonstigen Regelungen sollte der Auftraggeber daraus die Rechte und Pflichten des externen Anbieters ableiten und Spiel-regeln für die Erschließung von Innovationen vereinbaren. Nach Möglichkeit sind die Verantwortlichkeiten für Aufgaben wie die Überwachung, Kontrolle und Implementierung der Systeme an ein klares Rollenmodell gebunden, das auch vertraglich festgeschrieben ist. Dabei sollte der Anwender festlegen, welche Rollen sich Auftraggeber und Provider teilen etwa die des Security-Managers oder des IT-Architekten und welche Rollen spiegelbildlich, also auf beiden Seiten, übernommen werden.

Wichtig sind zudem Regelungen zur Rückabwicklung von Outsourcing-Deals. Gerade hier kommt es häufig zu Konflikten, weil die Verträge nicht detailliert genug ausgearbeitet wurden. Ein weiterer kritischer Erfolgsfaktor beim Outsourcing ist der Know-how-Transfer. Auch im Sinne der IT-Sicherheit muss der Anwender dem IT-Dienstleister alle für ihn relevanten Informationen übergeben, dabei aber gleichzeitig dafür sorgen, dass das eigene Know-how im Unternehmen verbleibt. Entsprechende Vorkehrungen sind eine entscheidende Voraussetzung für eine effektive Steuerung der Provider. Besonders wichtig sind sie beim Wechsel zu einem anderen Anbieter.