Outsourcing und das Thema Sicherheit

Unerlässlich beim Outsourcing: Die kritischen Bereiche im Sicherheitsprozess müssen genau unter die Lupe genommen und dokumentiert werden
Einstieg ins Outsourcing: Die Umsetzung ("Do") beginnt idealerweise mit der Definition und Implementierung eines Risikobehandlungsplans

Von Gernot Keckeis, Director Identity & Security bei Novell, und Michael Junk, IT-Security & Compliance Manager bei Novell

(13.01.09) - In vielen IT-Abteilungen regiert derzeit der Rotstift, da die Auswirkungen der aktuellen Krise an den Finanzmärkten auf die reale Wirtschaft nicht ausbleiben. Das Thema Outsourcing bekommt dadurch erneut Rückenwind: In Boomzeiten gilt es als gute Möglichkeit, um Zugang zu neuen Technologien und Ressourcen zu erhalten, und in Krisenzeiten gilt Outsourcing als Kostensenker. Dabei ist kaum ein Thema gleichzeitig so umstritten. Gernot Keckeis, Director Identity & Security bei Novell, und Michael Junk, IT-Security & Compliance Manager bei Novell, untersuchen, welche Vorteile die Auslagerung von einzelnen Geschäftsprozessen mit sich bringen kann und welche Hürden gemeistert werden müssen.

Zahlreiche gesetzliche Vorschriften und der zunehmende Druck von Finanzmärkten stellen IT-Entscheider vor neue Herausforderungen, denn die IT-Systeme und Geschäftsprozesse in den Unternehmen müssen den komplexen rechtlichen Rahmenbedingungen entsprechen. Zudem machen neue Anforderungen an Corporate Governance und Compliance auch um Outsourcing-Dienstleistungen keinen Bogen. Die ideale Form des Outsourcing ist individuell verschieden, aber durch die Orientierung an Fragen nach den gesetzlichen Regelungen und Richtlinien, deren praktischer Umsetzung, den Standards und Zertifikaten, die sich im Markt durchgesetzt haben sowie an Referenzmodellen lässt sich das jeweils ideale Modell besser eingrenzen.

Auslöser für eine Entscheidung zum Outsourcing bilden oft kurzfristige Kapazitätsengpässe oder Kostenprobleme. Das greift jedoch zu kurz: Informationstechnische und unternehmerische Aspekte wie zum Beispiel Stabilität, Sicherheit, Funktionalität, Verfügbarkeit, Zuverlässigkeit, Flexibilität oder Pflege von Informationssystemen und Daten müssen ebenfalls berücksichtigt werden. Weitere potenzielle Risiken wie Umweltbedrohungen, der Ausfall von Mitarbeitern, externe Abhängigkeiten und andere Gefahren von innen (Netzausfälle) und außen (Anschläge, Diebstähle) müssen bei der Entscheidung eine Rolle spielen.

Daher ist es unerlässlich, die kritischen Bereiche im Sicherheitsprozess genau unter die Lupe zu nehmen und zu dokumentieren. Denn auch nach dem Outsourcing muss das Unternehmen als Ganzes noch funktionieren und in der Lage sein, für das Thema Ausfall und Datenschutz die Anforderungen seitens des Gesetzgebers zu erfüllen. Auch das Thema IT-Compliance und die Einhaltung von gesetzlichen Regelungen sollten beim Outsourcing nicht zu kurz kommen. Generell sind die Schwachstellen der IT Sicherheit heute eher in der stark vernetzten Leistungserbringungskette zu suchen, als in nicht funktionsfähigen Firewalls. Um den enormen Sicherheitsanforderungen gerecht zu werden, ist es empfehlenswert, nach dem Ansatz "Plan, Do, Check and Act" vorzugehen. Unter "Plan" fallen dabei Aspekte, wie die Definition des Geltungsbereiches, Definition und Auswahl der Informationssicherheitspolitik (IS – Politik) sowie die Definition eines systematischen Ansatzes für den Umgang mit Risiken. Außerdem erfolgt in dieser Phase die Übernahme der Restrisiken durch das Management sowie die Freigabe der Einführung und des Betriebs des ISMS (Information Security Management System).

Die Umsetzung ("Do") beginnt idealerweise mit der Definition und Implementierung eines Risikobehandlungsplans, der Aktionen, Verantwortungen, Rollen und Prioritäten in Bezug auf IS-Risiken beschreibt. Dann folgt die praktische Umsetzung der ausgewählten IS-Maßnahmen sowie der Trainings- und Awareness-Programme. Außerdem werden Verfahren eingeführt, um auf sicherheitsrelevante Vorfälle möglichst schnell reagieren zu können.

In der Check-Phase folgt die Ausführung der Überwachungsverfahren und -maßnahmen. Hinzu kommen regelmäßige Sicherheitsaudits, die Überprüfung des Niveaus von Restrisiken und tragbaren Risiken sowie die Durchführung interner ISMS-Audits und Management-Reviews. Außerdem werden sicherheitsrelevante Aktivitäten und Ereignisse aufgezeichnet.

In der vierten Phase "Act" folgt die Definition, Implementierung und Überwachung von Korrektur- und Vorbeugungsmaßnahmen. Erkenntnisse aus Sicherheitsvorfällen der eigenen oder fremden Organisationen werden angewandt und die ISMS-Aktivitäten und – Ergebnisse werden im regelmäßigen Austausch mit allen Beteiligten kommuniziert.

Das zeigt: Die Implementierung eines funktionsfähigen Sicherheits- und Risikomanagementsystems geht mit einem kontinuierlichen Verbesserungsprozess einher. Die Implementierung eines Regelkreislaufes ist notwendig, um heute die notwendige IT Sicherheit und ein dem Risiko angemessenes Managementsystem für das Outsourcing aufzusetzen.

Zu beachten ist auch, dass die Qualität der ausgelagerten Prozesse nur indirekt durch den Auftraggeber beeinflusst werden kann. Die sorgfältige Auswahl des Dienstleisters sollte daher hohe Priorität haben. Je nach dem welche Prozesse ausgelagert werden, kann nicht nur die weitere Arbeit im Unternehmen, sondern auch das Image nach außen betroffen sein.

Sicher der wichtigste Punkt während eines Auslagerungs-Prozesses ist die zeitnahe und offene Kommunikation mit den betroffenen Mitarbeitern. Werden diese nicht umfassend und zeitnah informiert, kann dies zu Gerüchten und Szenarien führen, welche die Umsetzung des Vorhabens erschweren oder gar gefährden können. Change Management und interne Kommunikation müssen also gut geplant und umgesetzt werden.

Hält ein Unternehmen bei der Umsetzung diese Regeln ein, so hat Outsourcing folgende Vorteile: Die Konzentration auf die Kernkompetenzen ist wieder möglich und Geschäftsprozesse werden rationeller. Die Gesamtbetriebskosten sinken und lassen sich besser kalkulieren. Auslagerungen können Unternehmen zudem flexibler und mobiler machen, da sie schneller auf Veränderungen reagieren und wachsen können. Außerdem werden keine Mittel durch Investitionen gebunden und das Kreditrating verbessert sich.

Aber auch die Nachteile einer Auslagerung müssen klar sein: Vor allem das Outsourcing von Schlüsselprozessen birgt Risiken durch entstehende Abhängigkeiten, wenn beispielsweise ein externer Zulieferer sich als unzuverlässig herausstellt. Wichtiges Know-how kann verloren gehen. Auch die Abgrenzung vom Mitbewerber, der auf denselben Dienstleister zurückgreifen kann, wird schwieriger. Die erwarteten Kostenvorteile treffen zudem mittel- und langfristig nicht immer ein. (Novell: ra)

Novell: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Anzeigen

Meldungen: Grundlagen

Testverfahren für Cloud Computing-Modelle In den letzten Jahren sind IT-Organisationen zunehmend dazu übergegangen, Plattformen und Anwendungen in die Cloud zu migrieren. Dabei unterhalten Unternehmen in einigen Fällen weiterhin eigene Cloud-Rechenzentren vor Ort. Oftmals werden dafür die Großeinrichtungen kommerzieller Anbieter von Cloud Computing-Services genutzt. Während die Unternehmen das Konzept "Cloud" mit all seinen Vorteilen gerne annehmen und nutzen, kommt in der öffentlichen Diskussion doch immer wieder die Frage auf, wie zuverlässig eigentlich die Anwendungen sind, die in die Cloud ausgelagert werden.
Cloud Computing und Kapazitätsmanagement Cloud Computing verwandelt die IT-Umgebung in eine hochelastische Ressource, die sich schnell und kontinuierlich an sich ändernde Bedürfnisse des Unternehmens anpasst. Dieser Wandel verändert von Grund auf die Art und Weise, in der Unternehmen IT-Dienste anbieten und ermöglicht es, dass die IT besser auf den Bedarf des Unternehmens reagieren kann.
Durch Outsourcing zum Vorsprung Die weltweite Wirtschafts- und Finanzkrise hat zahlreiche Unternehmen schwer gebeutelt. Das Thema Outsourcing rückt dadurch nicht neu auf die Agenda, allerdings werden die Entscheidungen für oder gegen ein solches Projekt schneller getroffen. Hier lauern aber Gefahren, die es abzuwenden gilt.
Der sichere Pfad in die Cloud Dieser Artikel versucht einen Prozess zur sicheren Migration in eine Public Cloud zu beschreiben. Das vorgestellte funktionsunabhängige Vorgehen soll eine Kontrolle der Risiken und Compliance-Anforderungen und damit ein angemessenes Sicherheitsniveau gewährleisten. Zudem werden die besonderen Risiken, die mit dem Outsourcing in eine Public Cloud verbunden sind, aufgezeigt. In diesem Zusammenhang wird Cloud Computing als ein Outsourcing-Vorhaben mit folgenden Besonderheiten betrachtet: >> die Provider und die "Standorte" der Cloud sind anonym weltweit verteilt; >> die Ressourcen können on-demand sofort zur Verfügung gestellt werden.
PEP-Technologie für die Cloud Für Firmen, die ihren IT-Aufwand verringern möchten, stellt Cloud Computing eine attraktive Möglichkeit dar, die jedoch auch viele Herausforderungen birgt. Einige Führungskräfte befürchten, dass sie die Kontrolle über hochgeladene Anwendungen und Daten verlieren und sehen zudem die Sicherheit der Daten gefährdet. Um diesen Befürchtungen begegnen zu können, ist es daher unabdingbar, dass IT-Verantwortliche die Cloud betreffende Aktivitäten einer strengen Kontrolle und Aufsicht unterziehen. Die "Cloud Governance", eine logische Fortentwicklung von Strategien der SOA-Governance (Service-orientierte Architektur = SOA), bietet ein Mittel, die Kontrolle über interne und externe Anwendungen und Daten zu behalten. Sie bietet zudem eine vereinheitlichte und anwendungsbezogene Sicht der IT im Datenzentrum sowie in der Cloud.
Auslagerung des Application Management Wachstum der IT-Landschaft über Jahre hinweg, partielle Anpassung der IT an die Geschäftsanforderungen oder länderspezifische Systeme - meist ist die IT in Unternehmen ein bunter Flickenteppich. Diese Heterogenität und die ständig neuen technischen Innovationen stellen Application Management-Dienstleister vor Herausforderungen. Unternehmen selbst können sie kaum bewältigen und nutzen externe Application Management Services (AMS), die weltweit und mit Expertenwissen bereit gestellt werden.
Finanzprozesse "as a Service" Jedes Jahr werden in Europa laut den Analysten von Billentis rund 30 Milliarden Rechnungen verschickt. Für Unternehmen stellen Rechnungseingang sowie -ausgang damit einen erheblichen Kostenpunkt dar - wie groß dieser tatsächlich ist, ist den wenigsten Entscheidern im Unternehmen bekannt. Dennoch behandeln Unternehmen den Rechnungsprozess oftmals stiefmütterlich und binden in ihm zu viele Ressourcen. Bei zunehmender Konkurrenz im Markt und sinkenden Margen ist so eine Einstellung Teilprozessen gegenüber nicht beizubehalten. Jeder Prozess im Unternehmen muss durchleuchtet werden und auf seine Effizienz hin überprüft werden. Zunächst mögen für die dann nötige Prozessoptimierung weitere Kosten anfallen, doch langfristig lohnt sich ein solches Unterfangen.
IT-Sicherheit und Cloud Computing Cloud Computing ist sowohl in Unternehmen als auch privat inzwischen zum Standard bei der Bereitstellung von IT-Diensten geworden. Mehr als 50 Prozent der im Rahmen der Global Information Security Workforce Study befragten IT-Sicherheitsspezialisten unterhalten nach eigenen Angaben Clouds und über 40 Prozent arbeiten mit Software-as-a-Service (SaaS).
Alles über SaaS für Helpdesks Kleine und mittlere Unternehmen, die Software-as-a-Service (SaaS) zur Automatisierung ihrer IT-Helpdesks und der IT-Infrastruktur einsetzten, berichten von bedeutenden Einsparungen. Die Gründe für den Umstieg von herkömmlicher Software auf SaaS sind höhere Effizienz, Skalierbarkeit, Zuverlässigkeit/Verfügbarkeit, minimale Start-up-Kosten, eine niedrige monatliche Abogebühr und automatische Updates.
Fünf Schritte zur effektiven Cloud Im Unternehmen wird rege die Architektur von Cloud Computing-Lösung diskutiert. Dem Verantwortlichen ist klar, dass eine "Provisioning Engine", ein "Self Service-Portal" sowie ein Mechanismus zur Abbestellung von Services benötigt werden. Dennoch bleiben of einige wichtige Fragen noch offen. Wer nutzt die Cloud? Welche Services werden überhaupt benötigt - und mit welchen Optionen? Wie interagiert die Cloud mit den bestehenden Systemen? All diese Themen bedürfen der gründlichen Planung.

Diese Seite drucken