Die Gefahren des Outsourcing

Die ISF-Studie zeigt, dass die Risiken für die Informationssicherheit oft erst im Nachhinein erkannt und Security-Spezialisten regelmäßig zu spät in die Projekte einbezogen werden. Eine Erklärung dafür sei ein mangelndes Risikobewusstsein insbesondere in der Führungsebene, so das ISF.

„Wenn Sicherheitsspezialisten nicht vom Start weg in das Projekt eingebunden werden, nehmen die Bedrohungen für das Unternehmen ständig zu. Sei es durch Datendiebstahl, Datenverluste oder durch Auseinandersetzungen, die beispielsweise durch ungeklärte Urheberrechtsfragen entstehen“, beschreibt Simone Seth, die Autorin der ISF-Studie, das Problem.

IT-Manager sollten deswegen zunächst sämtliche ausgelagerten Prozesse, Abläufe und Technologien unter die Lupe nehmen. Die geschäftskritischen Grenzen für die vier Schritte eines Outsourcing-Projekts – Vorbereitung, Implementierung, Umsetzung, Review – müssten im Vorfeld festgelegt werden.

Der Verantwortliche für das Informations-Risikomanagement sollte zudem für vertragliche Vereinbarungen sorgen. Diese müssen die Anforderungen an die Informationssicherheit und die dazugehörigen Vorschriften und Regelungen berücksichtigen.

Zudem haben die Verantwortlichen auch die jeweiligen regionalen Anforderungen an die Compliance und die gesetzlichen Regelungen beim Outsourcing-Partner vor Ort zu berücksichtigen. Das betrifft insbesondere auch die Sprachregelung einzelner Vertragsvereinbarungen. Auf diese Weise lassen sich mögliche Konflikte zu Urheberrechtsfragen oder zur Datenübermittlung von vornherein vermeiden.

Das ISF ist ein gemeinnütziger Verband mit 300 Mitgliedsunternehmen weltweit. (dsc)