IT-Outsourcing - Chance oder Risiko?
IT-Outsourcing - Chance oder Risiko?
Outsourcing bei Finanzdienstleistern
Die Globalisierung der Finanzmärkte, die rasante Entwicklung neuer Technologien und die zunehmende Bedeutung von E-Business - alle diese Faktoren wälzen den Markt für Finanzdienstleistungen um. Wenn der Outsourcer Zugriff auf hochsensitive Daten hat, dann gilt in besonderem Masse "Vertrauen ist gut, Kontrolle ist besser". Wesentliche Komponente bei einem Outsourcing-Projekt ist die detaillierte Vertragsgestaltung, in der Regel in Form eines Service Level Agreements (SLA). Dieses enthält alle Leistungsmerkmale bezüglich Qualität und Quantität der Leistungserbringung. Rechte und Pflichten der Vertragsparteien müssen klar aus dem Vertrag hervorgehen. Weitere wichtige Bestandteile sind die Entlöhnung, Kündigungsfristen sowie Schadenersatz und gegebenenfalls Konventionalstrafen.
Je nach Ausmass des Projekts sollte sich der Auftraggeber aber auch vertraglich zusichern lassen, in regelmässigen Abständen eine IT-Revision beim externen Leistungserbringer durchführen zu dürfen. Auf diese Weise lässt sich objektiv überprüfen, ob vertraglich vereinbarte Leistungs-, Qualitäts- und Sicherheitsstandards eingehalten werden.
Besonders sensitive Punkte im Rahmen von Outsourcing-Projekten sind IT-Sicherheit und Datenschutz. Unternehmen und Outsourcing-Partner sollten sich unbedingt auf gemeinsame Sicherheitsstandards einigen und vertraglich eine für beide Seiten verbindliche Sicherheits-Policy festlegen. Als Standardwerke für die Entwicklung einer solchen Vereinbarung können die Control Objectives for Information and related Technology (Cobit), der britische Code of Practice for Information Security Management (BS 7799 / ISO 17799) oder das BSI-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) hinzugezogen werden. Zur Sicherheits-Policy gehört auch eine geeignete Katastrophenvorsorge beim Outsourcing-Anbieter, der unter anderem durch Alarmkonzepte und Hardware-Backups sicherstellen muss, die vereinbarte Leistung kontinuierlich liefern zu können. Hinzu kommen detaillierte Vereinbarungen zum Datenschutz und über Zugangsregelungen zu sensitiven Daten.
Aktualisierungen der Sicherheits-Policy erfolgen in Übereinstimmung von beiden Vertragspartnern und werden rechtsgültig abgezeichnet. Um die Sicherheit beim Outsourcing-Projekt gewährleisten zu können, sind folgende Anforderungen nötig:
o Informationssicherheit und Informatik-sicherheit müssen während des ganzen Prozesses sichergestellt sein
o Der Besitzer der Information trägt die -Verantwortung für Informationssicherheit und darf diese nicht delegieren.
o Kompatibel mit Basel II und Sarbanes -Oxley Act
o Einhaltung des Schweizerischen Datenschutzgesetzes (DSG)
o Die gesetzlichen Geheimhaltungspflichten sind zu wahren
o Der Outsourcer ist periodisch zu kontrollieren, und die gesetzliche Revision und Aufsicht ist sicherzustellen.
o Der Leistungsbezüger macht eine IT--Sicherheits-Risikoanalyse.
Die Globalisierung der Finanzmärkte, die rasante Entwicklung neuer Technologien und die zunehmende Bedeutung von E-Business - alle diese Faktoren wälzen den Markt für Finanzdienstleistungen um. Wenn der Outsourcer Zugriff auf hochsensitive Daten hat, dann gilt in besonderem Masse "Vertrauen ist gut, Kontrolle ist besser". Wesentliche Komponente bei einem Outsourcing-Projekt ist die detaillierte Vertragsgestaltung, in der Regel in Form eines Service Level Agreements (SLA). Dieses enthält alle Leistungsmerkmale bezüglich Qualität und Quantität der Leistungserbringung. Rechte und Pflichten der Vertragsparteien müssen klar aus dem Vertrag hervorgehen. Weitere wichtige Bestandteile sind die Entlöhnung, Kündigungsfristen sowie Schadenersatz und gegebenenfalls Konventionalstrafen.
Je nach Ausmass des Projekts sollte sich der Auftraggeber aber auch vertraglich zusichern lassen, in regelmässigen Abständen eine IT-Revision beim externen Leistungserbringer durchführen zu dürfen. Auf diese Weise lässt sich objektiv überprüfen, ob vertraglich vereinbarte Leistungs-, Qualitäts- und Sicherheitsstandards eingehalten werden.
Besonders sensitive Punkte im Rahmen von Outsourcing-Projekten sind IT-Sicherheit und Datenschutz. Unternehmen und Outsourcing-Partner sollten sich unbedingt auf gemeinsame Sicherheitsstandards einigen und vertraglich eine für beide Seiten verbindliche Sicherheits-Policy festlegen. Als Standardwerke für die Entwicklung einer solchen Vereinbarung können die Control Objectives for Information and related Technology (Cobit), der britische Code of Practice for Information Security Management (BS 7799 / ISO 17799) oder das BSI-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) hinzugezogen werden. Zur Sicherheits-Policy gehört auch eine geeignete Katastrophenvorsorge beim Outsourcing-Anbieter, der unter anderem durch Alarmkonzepte und Hardware-Backups sicherstellen muss, die vereinbarte Leistung kontinuierlich liefern zu können. Hinzu kommen detaillierte Vereinbarungen zum Datenschutz und über Zugangsregelungen zu sensitiven Daten.
Aktualisierungen der Sicherheits-Policy erfolgen in Übereinstimmung von beiden Vertragspartnern und werden rechtsgültig abgezeichnet. Um die Sicherheit beim Outsourcing-Projekt gewährleisten zu können, sind folgende Anforderungen nötig:
o Informationssicherheit und Informatik-sicherheit müssen während des ganzen Prozesses sichergestellt sein
o Der Besitzer der Information trägt die -Verantwortung für Informationssicherheit und darf diese nicht delegieren.
o Kompatibel mit Basel II und Sarbanes -Oxley Act
o Einhaltung des Schweizerischen Datenschutzgesetzes (DSG)
o Die gesetzlichen Geheimhaltungspflichten sind zu wahren
o Der Outsourcer ist periodisch zu kontrollieren, und die gesetzliche Revision und Aufsicht ist sicherzustellen.
o Der Leistungsbezüger macht eine IT--Sicherheits-Risikoanalyse.
In der Schweiz dominiert das so genannte «selektive Outsourcing» - es werden nur bestimmte Services aus dem Spektrum der ICT-Aktivitäten ausgelagert. Die Unternehmen werden durch den stetigen Kosten- und Wettbewerbsdruck zum Outsourcing gezwungen, befürchten jedoch auch die möglichen Nachteile. Outsourcing-Projekte müssen sehr sorgfältig geplant werden und eine sofortige Kostenreduktion ist nicht zu erwarten. Sie dürfen nicht alles auslagern, da sonst zu viel Know-How verloren geht.
Wolfgang Sidler
