IT-Security im Outsourcing - durchwegs empfehlenswert
Die IT-Security in der eigenen Firma zu gewährleisten wird zunehmend schwierig. Externe Sicherheitsspezialisten bieten sich da an. Doch was ist beim Outsourcing zu beachten?
Die Sicherheitslage wird für Firmen immer weniger überschaubar, Angriffe nehmen an Komplexität zu. Da überlegt sich schon der eine oder andere IT-Verantwortliche, ob es nicht gescheiter wäre, die IT-Security von einem Spezialisten betreuen zu lassen und im Outsourcing einem sogenannten SOC (Security Operations Center) anzuvertrauen. Ob sich das lohnt oder nicht, was es beim IT-Security-Outsourcing zu beachten gibt, war Thema an der 19. Berner Tagung für Informationssicherheit, die von der Information Security Society Switzerland (ISSS) veranstaltet wurde.
Dass Outsourcing mehr Chancen bieten als Probleme bereiten kann, waren sich die Vortragendes an dem Event fast einig. So wurde etwa von Bernhard Hämmerli, Professor für ICT-Security und Networking an der Hochschule für Informatik der Fachhochschule Zentralschweiz sowie an der Norwegian University of Science and Technology, hervorgehoben, dass der Besitz von IT heutzutage nicht mehr gleichbedeutend ist mit der Kontrolle über diese. «Das ‹traditionelle Besitzen› gibt es im Cloud-Zeitalter nicht mehr», meint Hämmerli. Den gekauften Geräten und Software-Produkten müsse man schlussendlich genauso vertrauen wie einem Outsourcing-Partner. Kommt erschwerend hinzu, dass die In-house-Betreuung der IT-Security eines grossen Personalaufwands bedarf. «Selber machen ist bei der IT-Security keine gute Option», meint Hämmerli. Im Gegenteil: Der Professor spricht sogar grossen Anbietern das Wort. «Hier bedeutet für einmal: je grösser der Provider, desto sicherer, da er viele Fach- und Personalressourcen aufbieten kann». Dies gelte zumindest für den Fall, dass vonseiten der Benutzer keine Spezialwünsche berücksichtigt werden müssten. In solchen Fällen seien dann wieder lokale SOC-Anbieter vorzuziehen, da diese besser auf die Anwender eingehen könnten. Nächste Seite: Rechtliche Aspekte
Rechtliche Aspekte
Sogar aus rechtlicher Sicht ist gegen Outsourcing von IT-Security-Dienstleistungen nichts Grundlegendes einzuwenden, wie Jürg Schneider, Rechtsanwalt und Partner bei Walder Wyss in Zürich, anschliessend zu erfahren war. Je nach Konstellation sei der Beizug eines Dienstleisters sogar erforderlich.
Blind auf diesen verlassen dürfe man sich aber ebenfalls nicht. Grund hierfür ist unter anderem die sogenannte Organhaftung, welche besagt, dass die Verantwortung für das Unternehmen beim Verwaltungsrat bleibt. Selbst wenn die IT-Security an einen Dienstleister delegiert wird, hafte der Verwaltungsrat im Extremfall persönlich für einen Schaden, so Schneider. Allerdings könne das Haftungsrisiko durch den Beizug von Hilfspersonen, sprich: Outsourcern, verringert werden. Ansonsten gelte beim Outsourcing wie in anderen Bereichen, «was im Vertrag geregelt wurde», wie Schneider betont. Deshalb lautet auch seine Empfehlung beim Abschliessen eines Outsourcing-Vertrags, jeweils einen präzisen Leistungsbeschrieb vorzunehmen sowie Service Levels und die Einhaltung von Standards zu definieren. Zudem rät er die Verantwortlichkeiten klar zuzuweisen sowie die Haftung zu regeln. Bei Cloud-Anbietern sei das Vorgehen übrigens ähnlich. Hier müsse allerdings besonders noch der Datenschutz und der Ort der Datenspeicherung beachtet werden.
