Risiken von IT-Outsourcing minimieren

No
28. Mai 2014
Unternehmen wollen mit Outsourcing sowohl Kosten einsparen als auch Risiken übertragen – ähnlich wie beim Abschluss einer Versicherung. Diese Strategie ist jedoch nur dann erfolgreich, wenn Auftraggeber die Risiken erkennen, die durch das Outsourcing selbst entstehen und entsprechend damit umgehen können. Dazu sind klare vertragliche Regelungen notwendig, die nachprüfbar und messbar sind.

Ein gemeinsames Verständnis der Ziele, Aufgaben, Rollen und Risiken ist beim Outsourcing eine zwingende Voraussetzung für eine gewinnbringende und langfristige Zusammenarbeit von Auftraggeber und Outsourcing-Dienstleister. Für eine erfolgreiche Outsourcing-Partnerschaft ist zwar auch Vertrauen notwendig, dennoch sind klare Absprachen unabdingbar, die die Kunden-Lieferanten-Beziehung detailliert beschreiben und in einem Vertragswerk schriftlich fixiert sind. 

Dieses Regelwerk sollte die genaue Rollen- und Berechtigungsdefinition enthalten. Zudem muss der Auftraggeber die Option haben, die verabredeten Sicherheitsmaßnahmen beim Dienstleister regelmäßig zu überprüfen. Je klarer die vertraglichen Regeln sind, desto besser lassen sie sich nachprüfen und messen. Wenn möglich, sollten Kontrollen softwareunterstützt und kontinuierlich durchgeführt werden. Spezielle Auditierungsprogramme helfen dabei, das geforderte Sicherheitsniveau regelmäßig zu überprüfen.

Im Idealfall orientieren sich die mit dem Outsourcing-Partner vereinbarten Kontrollsysteme an anerkannten Standards wie ISO 27001, den BSI Grundschutzkatalogen oder den Control Objectives for Information and Related Technology (COBIT). Auch ITIL kann unterstützen, etwa bei der Vermeidung von Risiken, indem Themen wie Security Management, Configuration Management und Service Level Agreements (SLAs) beschrieben werden. Auch im internationalen Standard ISO 27002 werden Sicherheitsaspekte bei Outsourcing-Verträgen und Inhalte von Service Level Agreements aufgegriffen – basierend auf allgemeinen Regeln und Bedingungen für Verträge mit Fremdfirmen.