Risikomanagement beim Outsourcing


Auslagerung von IT und Geschäftsprozessen: Viele Auftraggeber prüfen nicht, ob der Dienstleister alle erforderlichen Sicherheitsvorschriften einhält
Immer mehr Wirtschaftsprüfer legen Wert auf Zertifizierungen nach dem Prüfungsstandard SAS70 beziehungsweise PS 951

(21.06.10) - Auch bei der Auslagerung von IT oder Geschäftsprozessen sind Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Die Verantwortung über die ausgelagerten Bereiche verbleibt also beim Auftraggeber. Sicherheitsexperte Cyber-Ark sieht an diesem Punkt bei vielen Unternehmen großen Handlungsbedarf und eine Verletzung gängiger Compliance-Vorschriften.

Als Nachweis, dass auch beim Outsourcing alle Anforderungen an das Risikomanagement und unternehmensinterne Kontrollsysteme erfüllt werden, hat sich auf internationaler Ebene der Prüfungsstandard SAS70 (Statement on Auditing Standard 70: Service Organizations) vom American Institute of Certified Public Accountants (AICPA) bewährt. In Deutschland gibt es seit 2007 mit dem vom Institut der Wirtschaftsprüfer veröffentlichten Standard IDW PS 951 eine vergleichbare Richtlinie, die die Anforderungen von SAS 70 aufgreift und zusätzlich nationale Besonderheiten berücksichtigt.

Lesen Sie zum Therma "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Outsourcing gehört heute für viele Unternehmen bereits zum Alltag - und zwar nicht nur bei großen, sondern auch bei kleineren Firmen: man denke nur an die weit verbreitete Auslagerung der Lohnbuchhaltung. Doch dass der Auftraggeber genau hinschaut, ob der Dienstleister alle erforderlichen Sicherheitsvorschriften einhält, ist nach wie vor die Ausnahme. Da liegt noch vieles im Argen. Allerdings wird sich hier kurzfristig einiges ändern müssen, denn immer mehr Wirtschaftsprüfer legen Wert auf Zertifizierungen nach dem Prüfungsstandard SAS70 beziehungsweise PS 951."

Die Problematik einer auch nur teilweisen IT-Auslagerung an ein externes Systemhaus oder einen Hoster liegt darin, dass in der Regel mehrere Administratoren mit dem gleichen Passwort auf die Kundensysteme zugreifen können. Bei diesen sogenannten Shared Accounts ist dann keine Nachvollziehbarkeit gegeben. Hat eine größere Gruppe von Administratoren Zugriff auf Passwörter, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.

Abhilfe kann hier nur eine Lösung schaffen, die es ermöglicht, privilegierte Benutzerkonten mit erweiterten Rechten automatisch zu verwalten. (Cyber-Ark: ra)

Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Anzeigen



Meldungen: Hintergrund

Unsicherheit beim Cloud Computing Kaum ein Unternehmen legt sich im Arbeitsalltag heutzutage noch auf eine einzige IT-Plattform fest – Entwicklungen wie Cloud und Bring-Your-Own-Device (BYOD) segmentieren die Infrastrukturumgebungen, die Mitarbeitern und Kunden tagtäglich reibungslos bereitstehen müssen. Sophos-CTO Gerhard Eschelbeck beschreibt im Rahmen des aktuellen "Security Threat Reports 2012" die Sicherheitsrisiken, die mobile oder traditionelle IT-Plattformen sowie die Cloud mit sich bringen.

 

Zunehmende Nachfrage nach Managed Fax Services Die Faksimile-Übertragung – nach der Morse-Telegraphie die älteste Form der elektrischen Datenübermittlung – behauptet sich 150 Jahre nach der ersten kommerziellen Nutzung weltweit als Managed Fax Service. Obwohl das Telefax seit Jahren immer wieder totgesagt wird, steigt die Nachfrage nach Fax-Lösungen ungebrochen. Wesentlicher Treiber der erneuten Popularität sind innovative Managed Fax Services, die die Vorteile der Telefaxübertragung mit modernen Messaging-Technologien kombinieren.

 

Stärker auf die Firmenchefs fokussieren Die Videokonferenz scheint endlich im Breitenmarkt angekommen zu sein. Laut den Marktforschern von IDC belief sich der weltweite Umsatz mit Videokonferenzsystemen, die in Unternehmen zum Einsatz kommen, in 2011 auf 2,7 Milliarden US-Dollar. Das damit realisierte deutliche Wachstum von 20,5 Prozent gegenüber dem Vorjahr soll zudem in den kommenden Jahren anhalten. Als Gründe dafür nennen die Researcher die künftig absatzfördernde Schubkraft durch UC (Unified Communication)- und Collaboration-Installationen sowie die zunehmende Video-Nutzung in kleinen Arbeitsgruppen, am Desktop und auf Mobilsystemen.

 

Cloud Computing-Services vorantreiben Ein Konsortium aus führenden IT-Serviceanbietern und drei der größten Forschungseinrichtungen Europas (CERN, EMBL und ESA) gibt eine Partnerschaft zur Einrichtung einer europäischen Cloud Computing-Plattform bekannt. Die "Helix Nebula – the Science Cloud" soll die umfangreichen IT-Anforderungen im Rahmen europäischer Forschungsvorhaben unterstützen und nach einer Pilotphase auch staatlichen Organisationen und Industrieunternehmen zur Verfügung stehen.

 

Ausreichende Performance mit VPS-Lösungen "Die Nutzung virtueller Server für das Hosting der eigenen Website ist unsicher und nicht performant": Solche Vorurteile sind weit verbreitet. Verio, internationaler Anbieter von Webhosting-Services, zeigt auf, dass sie nicht zutreffend sind, wenn man sich für den richtigen Provider entscheidet.

 

Konsequente Prozessorientierung aufbauen Nach Ansicht der ITSM Consulting AG liegt ein zentraler und bisher kaum diskutierter Nutzen der ISO-20000-Zertifizierung darin, dass damit ein konsequenter Weg in der Prozessorientierung eingeschlagen wird. Dadurch würden im Rahmen des Realisierungsprojekts nachhaltige Effekte für die Leistungsqualität der IT-Prozesse erzielt.

 

Trend auf dem Speichermarkt: Cloud Computing Infortrend setzt in diesem Jahr auf einen multidimensionalen Ansatz, um den diversen Marktanforderungen gerecht zu werden. Neue Hardware-Plattformen werden die steigende Nachfrage nach mehr Storage-Effizienz und Cloud-basierten Speicherlösungen befriedigen.

 

Sourcing-Fitness-Check spürt Fallen auf Rund die Hälfte der IT-Budgets fließt heute in Outsourcing-Services. Trotzdem werden in der Mehrzahl aller Sourcing-Vorhaben fundamentale Fehler gemacht, die unnötige Kosten verursachen und Einsparpotenziale verschenken - in einzelnen Fällen bis in Millionenhöhe. Ein "Fitness-Check" hilft, diese versteckten Kosten- und Effizienzfallen aufzuspüren, sagt Branimir Brodnik von der Unternehmensberatung microfin, die sich auf Sourcing spezialisiert hat.

 

Cloud Computing hat sich am Markt durchgesetzt Cloud Computing hat sich etabliert. Im Gegensatz zu vielen anderen IT-Trends und -Hypes erkennen Anwender den konkreten Nutzen und lagern in immer stärkerem Maße interne IKT-Leistungen an entsprechende Anbieter aus. Nach Anwendungen in Form von Software-as-a-Service (SaaS) rücken zunehmend auch ganze Systemumgebungen als Infrastructure-as-a-Service (IaaS) in den Fokus. Nicht zuletzt wird durch Platform-as-a-Service (PaaS) auch alte Software Cloud-fähig gemacht. Die IT-Landschaft in Berlin und Brandenburg, geprägt von einer großen Zahl spezialisierter Anbieter und einem starken Nachfragemarkt, hat das Potenzial, eine Führungsrolle in der deutschen Cloud Computing-Branche einzunehmen.

 

Cloud Computing und Hacker-Angriffe Die Sicherheit bei der Nutzung von Cloud Computing und die Abwehr von Hacker-Angriffen werden 2012 die größten Herausforderungen für die deutsche Wirtschaft in Bezug auf IT-Sicherheit sein. Dies geht aus der aktuellen Studie "IT-Sicherheit und Datenschutz 2012" hervor, den die Nationale Initiative für Informations- und Internet-Sicherheit zum Jahreswechsel vorgelegt hat.

 

© SaaS-Magazin.de, 2009 - 2011 - Alle Rechte vorbehalten

Diese Seite drucken