Outsourcing: Eine Frage der Sicherheit


Outsourcing: Welche Vorteile die Auslagerung von einzelnen Geschäftsprozessen mit sich bringen
Den Sicherheitsanforderungen gerecht werden: Auch nach dem Outsourcing muss das Unternehmen als Ganzes noch funktionieren


Von Gernot Keckeis, Director Identity & Security bei Novell, und Michael Junk, IT-Security & Compliance Manager bei Novell

(31.03.10) - In vielen IT-Abteilungen regiert derzeit der Rotstift, da die Auswirkungen der aktuellen Krise an den Finanzmärkten auf die reale Wirtschaft nicht ausbleiben. Das Thema Outsourcing bekommt dadurch erneut Rückenwind: In Boomzeiten gilt es als gute Möglichkeit, um Zugang zu neuen Technologien und Ressourcen zu erhalten und in Krisenzeiten gilt Outsourcing als Kostensenker. Dabei ist kaum ein Thema gleichzeitig so umstritten. Gernot Keckeis, Director Identity & Security bei Novell, und Michael Junk, IT-Security & Compliance Manager bei Novell, untersuchen, welche Vorteile die Auslagerung von einzelnen Geschäftsprozessen mit sich bringen kann und welche Hürden gemeistert werden müssen.

Zahlreiche gesetzliche Vorschriften und der zunehmende Druck von Finanzmärkten stellen IT-Entscheider vor neue Herausforderungen, denn die IT-Systeme und Geschäftsprozesse in den Unternehmen müssen den komplexen rechtlichen Rahmenbedingungen entsprechen. Zudem machen neue Anforderungen an Corporate Governance und Compliance auch um Outsourcing-Dienstleistungen keinen Bogen. Die ideale Form des Outsourcing ist individuell verschieden, aber durch die Orientierung an Fragen nach den gesetzlichen Regelungen und Richtlinien, deren praktischer Umsetzung, den Standards und Zertifikaten, die sich im Markt durchgesetzt haben sowie an Referenzmodellen lässt sich das jeweils ideale Modell besser eingrenzen.

Auslöser für eine Entscheidung zum Outsourcing bilden oft kurzfristige Kapazitätsengpässe oder Kostenprobleme. Das greift jedoch zu kurz: Informationstechnische und unternehmerische Aspekte wie zum Beispiel Stabilität, Sicherheit, Funktionalität, Verfügbarkeit, Zuverlässigkeit, Flexibilität oder Pflege von Informationssystemen und Daten müssen ebenfalls berücksichtigt werden. Weitere potenzielle Risiken wie Umweltbedrohungen, der Ausfall von Mitarbeitern, externe Abhängigkeiten und andere Gefahren von innen (Netzausfälle) und außen (Anschläge, Diebstähle) müssen bei der Entscheidung eine Rolle spielen.

Daher ist es unerlässlich, die kritischen Bereiche im Sicherheitsprozess genau unter die Lupe zu nehmen und zu dokumentieren. Denn auch nach dem Outsourcing muss das Unternehmen als Ganzes noch funktionieren und in der Lage sein, für das Thema Ausfall und Datenschutz die Anforderungen seitens des Gesetzgebers zu erfüllen.

Auch das Thema IT-Compliance und die Einhaltung von gesetzlichen Regelungen sollten beim Outsourcing nicht zu kurz kommen. Generell sind die Schwachstellen der IT Sicherheit heute eher in der stark vernetzten Leistungserbringungskette zu suchen, als in nicht funktionsfähigen Firewalls.

Um den enormen Sicherheitsanforderungen gerecht zu werden, ist es empfehlenswert, nach dem Ansatz "Plan, Do, Check and Act" vorzugehen. Unter "Plan" fallen dabei Aspekte, wie die Definition des Geltungsbereiches, Definition und Auswahl der Informationssicherheitspolitik (IS-Politik) sowie die Definition eines systematischen Ansatzes für den Umgang mit Risiken. Außerdem erfolgt in dieser Phase die Übernahme der Restrisiken durch das Management sowie die Freigabe der Einführung und des Betriebs des ISMS (Information Security Management System).

Die Umsetzung ("Do") beginnt idealerweise mit der Definition und Implementierung eines Risikobehandlungsplans, der Aktionen, Verantwortungen, Rollen und Prioritäten in Bezug auf IS-Risiken beschreibt. Dann folgt die praktische Umsetzung der ausgewählten IS-Maßnahmen sowie der Trainings- und Awareness-Programme. Außerdem werden Verfahren eingeführt, um auf sicherheits-relevante Vorfälle möglichst schnell reagieren zu können.

In der Check-Phase folgt die Ausführung der Überwachungsverfahren und -maßnahmen. Hinzu kommen regelmäßige Sicherheitsaudits, die Überprüfung des Niveaus von Restrisiken und tragbaren Risiken sowie die Durchführung interner ISMS-Audits und Management-Reviews. Außerdem werden sicherheitsrelevante Aktivitäten und Ereignisse aufgezeichnet.

In der vierten Phase "Act" folgt die Definition, Implementierung und Überwachung von Korrektur- und Vorbeugungsmaßnahmen. Erkenntnisse aus Sicherheitsvorfällen der eigenen oder fremden Organisationen werden angewandt und die ISMS-Aktivitäten und - Ergebnisse werden im regelmäßigen Austausch mit allen Beteiligten kommuniziert.

IT-Sicherheit und Managementsystem für das Outsourcing
Das zeigt: Die Implementierung eines funktionsfähigen Sicherheits- und Risikomanagementsystems geht mit einem kontinuierlichen Verbesserungsprozess einher. Die Implementierung eines Regelkreislaufes ist notwendig, um heute die notwendige IT-Sicherheit und ein dem Risiko angemessenes Managementsystem für das Outsourcing aufzusetzen.

Zu beachten ist auch, dass die Qualität der ausgelagerten Prozesse nur indirekt durch den Auftraggeber beeinflusst werden kann. Die sorgfältige Auswahl des Dienstleisters sollte daher hohe Priorität haben. Je nach dem welche Prozesse ausgelagert werden, kann nicht nur die weitere Arbeit im Unternehmen, sondern auch das Image nach außen betroffen sein.

Sicher der wichtigste Punkt während eines Auslagerungsprozesses ist die zeitnahe und offene Kommunikation mit den betroffenen Mitarbeitern. Werden diese nicht umfassend und zeitnah informiert, kann dies zu Gerüchten und Szenarien führen, welche die Umsetzung des Vorhabens erschweren oder gar gefährden können. Change Management und interne Kommunikation müssen also gut geplant und umgesetzt werden.

Hält ein Unternehmen bei der Umsetzung diese Regeln ein, so hat Outsourcing folgende Vorteile: Die Konzentration auf die Kernkompetenzen ist wieder möglich und Geschäftsprozesse werden rationeller. Die Gesamtbetriebskosten sinken und lassen sich besser kalkulieren. Auslagerungen können Unternehmen zudem flexibler und mobiler machen, da sie schneller auf Veränderungen reagieren und wachsen können. Außerdem werden keine Mittel durch Investitionen gebunden und das Kredit-Rating verbessert sich.

Aber auch die Nachteile einer Auslagerung müssen klar sein: Vor allem das Outsourcing von Schlüsselprozessen birgt Risiken durch entstehende Abhängigkeiten, wenn beispielsweise ein externer Zulieferer sich als unzuverlässig herausstellt. Wichtiges Know-how kann verloren gehen. Auch die Abgrenzung vom Mitbewerber, der auf denselben Dienstleister zurückgreifen kann, wird schwieriger. Die erwarteten Kostenvorteile treffen zudem mittel- und langfristig nicht immer ein. (Novell: ra)

Novell GmbH, Nördlicher Zubringer 9-11, 40470 Düsseldorf


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Schwerpunktinhalte im Überblick

Virtualisierung und Ausfallsicherheit

  • Drei zentrale Gefahren bei der Virtualisierung

    Dass die Einführung von Virtualisierungslösungen gleichbedeutend mit einer Erhöhung der IT-Sicherheit ist, bezeichnet die Security-Software-Anbieterin Cyber-Ark als Trugschluss. Im Gegenteil: Vielfach sei gerade die Implementierung einer virtualisierten IT-Infrastruktur mit zahlreichen neuen und zusätzlichen Gefahren verbunden - insbesondere im Hinblick auf die unterlassene Beschränkung der Zugriffsrechte von Administratoren.

  • So funktioniert Advanced Site Recovery

    In Unternehmen werden Disaster Recovery-Konzepte oft vernachlässigt. Das kann gerade dann zur Katastrophe führen, wenn geschäftskritische Daten in eine virtuelle Struktur eingebunden sind. Um den Geschäftbetrieb auch im Falle eines Ausfalls zu erhalten, müssen virtuelle Infrastrukturen nicht nur hochverfügbar vorgehalten werden, sondern im Notfall schnell wiederherstellbar sein. Site Recovery-Technologien sollen helfen, auch verteilte Ressourcen zu nutzen und Kosten zu sparen. Mit ausgeklügelten Disaster Recovery-Plänen und intelligenter Software lässt sich das Risiko eines Datenverlusts im Notfall minimieren.

  • Rezept für Business Continuity & Disaster Recovery

    DataCore Software bietet kosteneffektive Verwaltung und Kontrolle von Speicherressourcen und Speichererweiterungen, Verbesserung von Datensicherheit, Business Continuity und Disaster Recovery, mehr Flexibilität bei Kaufentscheidungen und zukunftssichere Lösungen, da der Anwender heute aus einem breiten Spektrum von Speichergeräten entsprechend seiner individuellen Anforderungen auswählen kann, administratordefinierte Unternehmenslösungen für Storage und Storage-Dienste, die für alle Systeme und Speichergeräte sowie alle FC-, iSCSI-, FCoE- und gemischten Netzwerke geeignet sind.

  • DataCore SANmelody im Klinik-Betrieb

    DataCore und Citrix - bei der Muldentalkliniken GmbH mit den Krankenhäusern Grimma und Wurzen setzt man auf diese Kombination und beziffert die Einsparungen durch die Zentralisierung der EDV in Zusammenhang mit der Virtualisierung auf bis zu 100.000 Euro in drei Jahren. Das DataCore-SAN unterstützt die Performance-hungrige SAP-Umgebung ebenso wie das kapazitätsfressende PACS-Bildarchiv.

  • Datensicherungs- und Notfallvorsorge-Lösung

    Wie eine Datensicherungs- und Notfallvorsorge-Lösung für ein mittelständisches Handelsunternehmen aussehen kann, beschreibt der folgende Situationsbericht. Der Kunde forderte optimierte Datensicherheit, verbesserter Service-Level und Serviceangebote für die Tochtergesellschaften, ein zentrales Vorsorgekonzept und damit eine erhöhte Planungssicherheit.

  • Disaster Recovery im Virtualisierungsumfeld

    "Eine generelle Änderung in der strategischen Ausrichtung seitens Brocade hat sich durch die Virtualisierungstechnik nicht ergeben", sagt Marco De Luca, Principal Solution Architect, EMEA bei Brocade. "Im Gegenteil, die von Brocade angebotenen Lösungen sind die Voraussetzung für die Einführung von Virtualisierung. In sofern hat die Virtualisierungstechnik die Ausrichtung Brocades auf innovative, hochperformante und zuverlässige Netzwerk-Lösungen vielmehr bestätigt." Marco De Luca äußert sich zum Thema Virtualisierung und Disaster Recovery.

  • Strategien für die Sicherung virtueller Umgebungen

    Für die Sicherung virtueller IT-Umgebungen empfiehlt sich ein mehrstufiges Sicherungskonzept: Redundanter Primärspeicher stellt Hochverfügbarkeit sicher. Auf Seiten des Sekundärspeichers liefern Disks die Performance und Flexibilität für die Wiederherstellung, während Tapes Kosteneffizienz bei der Archivierung, beim Energieverbrauch und der Notfallplanung liefern.

  • FCoE – Was es ist und was es bringt

    Es ist nicht zu übersehen, dass die Konsolidierungswelle rollt und stark wächst. Durch die Verbreitung von Virtualisierungslösungen getrieben, wird seit geraumer Zeit (genauer gesagt seit Ende 2007) auch an einer Lösung zur Konsolidierung von I/Os gearbeitet. Der Heilsbringer heißt hier "Fibre Channel over Ethernet", kurz FCoE.

  • Datenverlust und Faktor Mensch

    Menschliche Fehler sind ein wesentlicher Grund für die Zunahme an Datenverlusten. Dies belegen die Erfahrungen von Kroll Ontrack. Fehlbedienungen werden durch immer komplexere Storage-Systeme folgenschwerer. Gerade in der Virtualisierung kommt es daher immer häufiger zu Anfragen nach Datenrettung. Sinkende Investitionen in Hardware, in das Training und in eine optimale Besetzung des IT-Personals verstärken diesen Effekt. Über die Risiken eines Datenverlustes und die Möglichkeiten einer Datenrettung in virtuellen Umgebungen informierte jetzt Kroll Ontrack.

  • Disaster Recovery ist Teamarbeit

    Viele Unternehmen machen den großen Fehler, auf regelmäßige Backups zu verzichten. Zehn wichtigen Maßnahmen sollten kleinere Unternehmen zum Schutz und zur Sicherung ihrer Daten und für stabile Wiederherstellungsstrategie ergreifen.

  • Virtuelle Systeme bieten ganz reale Vorteile

    Mit Virtualisierungstechnologien werden die IT-Ressourcen besser genutzt und die Flexibilität zur Anpassung an neue Anforderungen und Arbeitsbelastungen steigt. Mit der Hinzufügung von Automatisierungstechnologien könne darüber hinaus die Effektivität aller IT-Ressourcen dramatisch verbessert werden. Doch was verbirgt sich hinter dem Begriff Virtualisierung sowie den zugehörigen Märkten und Systemen?

  • Datensicherheit für den Exchange-Server

    Microsoft Exchange ist eine wichtige Komponente der täglichen Arbeit in vielen kleinen und mittelständischen Unternehmen (KMU). Das Kommunikationstool unterstützt Angestellte dabei, ihre Meetings zu planen, sich an Termine zu erinnern und Kontaktdaten zu speichern. Die nachfolgenden Tipps helfen Ihnen den kontinuierlichen Betrieb Ihrer Exchange-Umgebung sicherzustellen und zeigen Ihnen auf, wie Sie bei einem Ausfall des Exchange Servers Ihre Daten schnellst möglichst wiederherstellen können.

  • Hochverfügbare und skalierbare Netzwerkkomponenten

    Als eines der führenden Unternehmen im Netzwerkmarkt bietet Brocade eine breite Palette an Lösungen für das klassische IP-Umfeld ebenso wie im Bereich des Fibre Channel SAN. Die Produktpalette integriert hochverfügbare und skalierbare Netzwerkkomponenten für Unternehmen im Mittelstand sowie für international aufgestellte Großunternehmen. Brocade Produkte gehören zu den industrieweit leistungsfähigsten Netzwerkkomponenten, die in Unternehmen mit extrem hohen Ansprüchen an Zuverlässigkeit, Administrierbarkeit, Service-Level sowie die Total Cost of Ownership (TCO) und Return on Investment (ROI) für einen reibungslosen, kosteneffizienten Betrieb sorgen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen