Feste Regularien schützen vor Kontrollverlust

So minimieren Unternehmen ihre Risiken beim IT-Outsourcing

| Autor / Redakteur: Dr. Gerald Spiegel, Daniel Just* / Elke Witmer-Goßner

Deutsche Unternehmen sollten zu Recht vorsichtig sein, wenn es um Kundendaten und Betriebsgeheimnisse geht. Dies gilt auch bei der Wahl eines IT-Outsourcing-Partners.
Deutsche Unternehmen sollten zu Recht vorsichtig sein, wenn es um Kundendaten und Betriebsgeheimnisse geht. Dies gilt auch bei der Wahl eines IT-Outsourcing-Partners. (Bild: freshidea, Fotolia)

Externe Dienstleister in Anspruch zu nehmen, hat viele Vorteile. Doch wer die Zügel aus der Hand gibt, verliert auch leicht die Kontrolle. Deshalb raten die Steria-Mummert-Experten Dr. Gerald Spiegel und Daniel Just: Vertrauen ist gut, feste Vereinbarungen sind besser:

Durch Outsourcing erhoffen sich 60 Prozent der Unternehmen mindestens 20 Prozent ihrer Kosten zu sparen. 43 Prozent erwarten eine Entlastung des Managements und 37 Prozent eine größere Flexibilität. Das sind Ergebnisse der Studie „Erfolgsmodelle Outsourcing 2013“ (siehe Kasten). Doch keine Vorteile ohne Risiken.

Beispielsweise kann Know-how abwandern, die Abhängigkeit von Dienstleistern steigen und Vertraulichkeit durch unzureichende Sicherheitsarchitektur verloren gehen. Um dies zu verhindern ist ein detailliertes Regelwerk unabdingbar. Doch die Umsetzung vielfältiger Compliance-Vorschriften kostet Zeit, bindet Arbeitskräfte und sorgt vor allem in den IT-Abteilungen für Arbeitsdruck. Denn kaum ein Regularium, von dem die IT-Systeme nicht betroffen sind.

Vorschriften kosten Zeit und Geld

Die Energiebranche muss beispielsweise unter der EU-Transparenzverordnung REMIT Veröffentlichungspflichten einhalten und OTC-Derivate an Transaktionsregister melden. Insbesondere die hohe Meldefrequenz und die Veröffentlichungspflichten stellen dabei hohe Anforderungen an die IT. Auch in der Finanzbranche stehen Gesamtbanksteuerung und Risikomanagement unter dem Einfluss der Bankenrichtlinien MaRisk und Basel III. Bei Versicherern ist es Solvency II. Alle diese Vorschriften machen Anpassungen der IT-Landschaft notwendig und knabbern an den ohnehin knappen Budgets. Noch dazu sind Fachkräfte in diesem Umfeld schwer zu finden und IT gehört zumeist nicht zum Kerngeschäft der Unternehmen.

Daher verwundert es nicht, dass Firmen gerade ihre IT an Dienstleister auslagern, die durch Skaleneffekte oder günstige Standorte in Übersee Leistungen günstiger anbieten können. Kosteneinsparung ist schließlich auch der häufigste Grund für Outsourcing. Dazu erhoffen sich 43 Prozent der Manager eine Konzentration auf das Kerngeschäft, indem sie die Notfallvorsorge, den Betrieb der IT-Infrastruktur, die Anwendungsentwicklung oder sogar ganze Geschäftsprozesse auslagern. Gerade dieser Wert hat seit der Befragung im Jahr 2011 deutlich um elf Prozentpunkte zugenommen. Um diese Themen auch wirklich aus dem Kopf zu verbannen, erhoffen sich viele Firmen mit dem Outsourcing auch eine Risikoübertragung, ähnlich dem Abschluss einer Versicherung.

Schwachstellen des Outsourcings

Damit die Strategie der Risikoübertragung aufgeht, müssen sich Unternehmen zuvor intensiv mit den durch das Outsourcing selbst entstehenden Gefahren auseinandersetzen. Denn nur wenn mögliche Probleme bereits vorher erörtert werden, werden sie beherrschbar oder können bereits im Vertrag mit dem Dienstleister geregelt werden.

Ergänzendes zum Thema
 
Hintergrund zur Studie

Eine mögliche Schwachstelle des Outsourcings ist der Verlust von Know-how und Erfahrung. Wird ein Bereich ausgelagert, fließt vorhandenes Wissen durch die übergehenden Mitarbeiter an den Dienstleister ab. Ist der Bereich recht neu, kann Wissen vermutlich gar nicht erst entstehen. Grundsätzlich ist dies ja gerade der Ansatz von Outsourcing: Es werden keine teuren IT-Experten im eigenen Unternehmen benötigt und die Manager müssen sich mit dem Thema operativ nicht beschäftigen. Schließlich stimmen 30 Prozent der für die Outsourcing-Studie befragten Manager der These zu, dass Outsourcing-Dienstleister Spezialisten auf ihrem Gebiet sind. Nach Kosteneinsparungen, Management-Entlastung und Flexibilität ist diese Professionalität der an vierter Stelle genannte Vorteil, den die Befragten in Outsourcing sehen. Zudem sehen 21 Prozent den Vorteil, auf das Fachwissen der Dienstleister und deren standardisierte Vorgehensmethoden zugreifen zu können.

Doch so praktisch das Expertenwissen der Provider bei einer reibungslos funktionierenden Partnerschaft ist, so problematisch wird es bei aufkommenden Schwierigkeiten. Schon bei der Überprüfung und Beurteilung der erbrachten externen Leistungen kann es kompliziert werden, wenn sich niemand mehr auskennt. Und bei einer Insolvenz oder einer Kündigung kann die Firma die Aufgabe nur schwer wieder selbst übernehmen.

Die größte Angst der auslagernden Unternehmen ist jedoch die vor Datenverlust. Eine unzureichende Sicherheitsarchitektur beim Dienstleister kann zu Vertraulichkeitsverlust von Unternehmensdaten oder sogar zum Verstoß gegen das Bundesdatenschutzgesetz führen. Daher wird die Sorge um Datensicherheit und Compliance auch als häufigstes Argument gegen Near- und Offshoring angeführt. 76 Prozent der Entscheider halten Outsourcing in das Ausland für nicht machbar, weil sie Datenschutzbedenken hegen. Großunternehmen sowie Banken und Versicherer äußern dabei die größte Skepsis.

Vertrauen ist gut, Kontrolle ist besser

Doch viele der genannten Risiken sind vermeidbar und entstehen durch fehlendes oder mangelhaftes Outsourcing-Management. So kommt es zu lückenhaften Verträgen und Dienstleister werden nicht ausreichend überwacht. Beides kann natürlich mit fehlendem Know-how innerhalb des Unternehmens zusammenhängen. In der Praxis sind es aber Vorurteile, die das Management der Risiken von Outsourcing-Partnerschaften erschweren. Ein verbreiteter Irrtum besteht darin, dass der Partner die volle Verantwortung für die Informationssicherheit übernimmt. Diese Verantwortung verbleibt jedoch immer bei der Leitung des Auftraggebers, externe Dienstleister übernehmen stets nur festgelegte Aufgaben und Rollen. Die Gestaltung und die Kontrolle liegt beim Auftraggeber!

Vorab vereinbarte klare Regeln sind deshalb das A und O einer erfolgreichen Partnerschaft. Viele auslagernde Firmen glauben noch immer: Wer für welche Aufgabe im Detail zuständig ist, lasse sich mit etwas Vertrauen in den Partner auch nachträglich noch regeln. Gerade Informations- und Ausfallsicherheit betrachten beide Vertragspartner oft als rein technische Angelegenheit, die man nach Vertragsabschluss mit dem Partner klären kann. Doch auch in diesem Punkt gilt: Klare Absprachen, die die Kunden-Lieferanten-Beziehung detailliert beschreiben und schriftlich fixiert in einem Vertragswerk einsehbar sind, sind unabdingbar.

Regelwerk ist Grundlage einer guten Beziehung

In einem solchen Regelwerk sollte beispielsweise eine genaue Rollen- und Berechtigungsdefinition enthalten sein. Darüber hinaus sollte darin stehen, dass der Auftraggeber die vereinbarten Sicherheitsmaßnahmen beim Dienstleister regelmäßig prüfen darf. Dafür muss das Unternehmen natürlich auch das notwendige Wissen haben und dieses Recht auch nutzen. Schließlich ist diese Überprüfung besonders wichtig, auch die besten Abwehrmaßnahmen können durch schleichende und unbemerkte Vernachlässigung für Ausfälle und Datenabflüsse sorgen.

Das Regelwerk sollte unter anderem folgende Einzelpunkte berücksichtigen:

  • Es muss exakt festhalten, wer Eigentümer von Informationen, Arbeitsergebnissen und Systemkomponenten ist. Bei einer externen Anwendungsentwicklung ist zu vereinbaren, ob der Dienstleister weitere Nutzungsrechte an der von ihm erstellten Software erhält.
  • Der Dienstleister sollte Maßnahmen nachweisen, mit denen er seine Mitarbeiter für das Thema Datensicherheit sensibilisiert und kontrolliert. Eine Vertraulichkeitserklärung ist das Minimum.
  • Für den Fall der Fälle sollte es eine Notfall- und Mangeldefinition geben. Hilfreich ist ein Schema mit Fehlerklassen, aus dem auch Reaktionszeiten zur Beseitigung hervorgehen.
  • Eine vorher festgelegte Vorgehensweise bei Vertragsablauf und Kündigung stellt auch dann noch die Vertraulichkeit von Informationen sicher.

Je klarer die vertraglichen Regeln sind, desto besser lassen sie sich nachprüfen und messen. Wenn möglich sollten diese Messungen sogar softwaregestützt und kontinuierlich ablaufen. Anhaltspunkte für Kontrollsysteme liefern Richtlinien wie ISO 27001/2 oder COBIT.

Die Waage halten

Bei allen Argumenten für eine klare schriftliche Regelung muss ein Vertrag trotzdem in gewissem Rahmen flexibel bleiben. Vereinbarungen sollten sich schnell anpassen lassen, um künftigen Anforderungen gerecht zu werden.

Kontrollen und klare Regelungen klingen nach Misstrauen. Doch genau das Gegenteil sollte in einer Partnerschaft der Fall sein. Ein gemeinsames Verständnis der Ziele, Aufgaben und Rollen beim Outsourcing ist eine zwingende Voraussetzung für eine gewinnbringende und langfristige Zusammenarbeit. Eine Grundvoraussetzung dafür ist, dass beide Partner auch zueinander passen. Unternehmen haben dazugelernt und legen bei der Auswahl ihres Dienstleisters steigenden Wert auf wichtige Eigenschaften. Besonders die Fachkompetenz schätzen 68 Prozent der outsourcenden Firmen, ein Anstieg um elf Prozentpunkte. Datensicherheit landet mit 64 Prozent auf dem zweiten Platz. Auch dieser Wert ist um sieben Prozentpunkte gestiegen.

Doch die Auswahl des Partners ist oftmals keine triviale Aufgabe, genauso wenig wie das Ziel, eine gemeinsame Sicht herzustellen. Beide Aufgaben können auch den Einsatz einer unabhängigen Partei als Vermittler erfordern. Diese neutrale Instanz übersetzt die geschäftlichen Anforderungen in geeignete technische und organisatorische Maßnahmen beim Servicegeber und legt so den Grundstein für eine lange, erfolgreiche Partnerschaft.

* Dr. Gerald Spiegel ist als Senior Manager Information Security Solutions Experte für Sicherheitsfragen und Senior Executive Daniel Just ist Outsourcing-Experte und Leiter der zitierten Studie bei der Steria Mummert Consulting AG.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42239890 / Hosting und Outsourcing)