Outsourcing und mangelndes Risikobewusstsein

Unternehmen erkennen Risiken beim IT-Outsourcing erst im Nachhinein: Palette der Risiken reicht vom Datendiebstahl bis zu Urheberrechtsfragen
Jeweiligen regionalen Anforderungen an die Compliance und die gesetzlichen Regelungen beim Outsourcing-Partner vor Ort beachtet werden

(11.07.08) - Die mit dem Outsourcing verbundenen Risiken für die Informationssicherheit sind bekannt und es gibt zahlreiche dokumentierte Fälle, in denen Daten verloren gingen oder gestohlen wurden. Dennoch unterschätzen viele Unternehmen das Gefährdungspotenzial, bis es zu spät dafür ist. Das ist das Ergebnis einer Studie des Information Security Forums ISF, eines gemeinnützigen internationalen Verbandes mit 300 Mitgliedsunternehmen weltweit.

"Die Attraktivität von Outsourcing- und Offshoring-Projekten nimmt weiterhin zu, denn sie bieten die Chance auf Kosteneinsparungen bei gleichzeitig schnelleren Entwicklungszyklen", sagt Reinhard Bertram, Leiter des Center of Competence Security bei Siemens IT Solutions and Services und Co-Autor der neuen Studie des ISF. "Der Outsourcing-Partner muss die Risiken für die Informationssicherheit vollständig kennen und erfassen.

Ansonsten bleibt eine entscheidende Lücke. Wenn dann die nötigen Maßnahmen zur Minimierung dieser Risiken nicht budgetiert werden, kann dies ernsthafte Konsequenzen haben – bis hin zur Gefährdung des gesamten Projekts ".

Die ISF-Studie zeigt, dass die Risiken für die Informationssicherheit oft erst im Nachhinein erkannt und Fachleute für die Informationssicherheit regelmäßig zu spät in die Projekte einbezogen werden. Eine Erklärung dafür ist ein mangelndes Risikobewusstsein insbesondere in der Führungsebene sowie das fehlende Verständnis für die Wichtigkeit eines Informations-Risikomanagements in allen Phasen eines Outsourcing-Projekts.

"Wenn Sicherheitsspezialisten nicht vom Start weg in das Projekt eingebunden werden, nehmen die Bedrohungen für das Unternehmen ständig zu. Sei es durch Datendiebstahl, Datenverluste oder durch Auseinandersetzungen, die beispielsweise durch ungeklärte Urheberrechtsfragen entstehen", beschreibt Simone Seth, die Autorin der ISF-Studie, das Problem.

IT-Manager sollten deswegen zunächst sämtliche ausgelagerten Prozesse, Abläufe und Technologien unter die Lupe nehmen und geschäftskritische Grenzen für alle vier Schritte eines Outsourcing-Projekts festlegen: Für die Vorbereitung ebenso wie für die Implementierung, die Umsetzung und das Review.

Der Verantwortliche für das Informations-Risikomanagement sollte zudem für vertragliche Vereinbarungen sorgen, welche die Anforderungen an die Informationssicherheit und die dazugehörigen Vorschriften und Regelungen berücksichtigen, um so auch rechtliche Sicherheit zu schaffen. Dazu müssen auch die jeweiligen regionalen Anforderungen an die Compliance und die gesetzlichen Regelungen beim Outsourcing-Partner vor Ort beachtet werden.

Das betrifft insbesondere auch die Sprachregelung einzelner Vertragsvereinbarungen. Auf diese Weise lassen sich mögliche Konflikte zu Urheberrechtsfragen oder zur Datenübermittlung von vornherein vermeiden. (ISF- Information Security Forum: ra)