Aktuelles, Experten, Gastbeiträge - geschrieben von cp am Montag, Februar 17, 2014 14:52 - noch keine Kommentare
IT-Outsourcing: Einhaltung von Verträgen und Norm-Vorgaben
Lieferantenaudits bei IT-Dienstleistern
Von unseren Gastautoren Robert Kuhlig und Thomas Neeff
[datensicherheit.de, 17.02.2014] Im IT-Dienstleistungsbereich ist die vollständige oder teilweise Vergabe von Dienstleistungen üblich. Unternehmen versprechen sich davon eine Konzentration auf ihre Kernkompetenzen, indem sie einzelne Elemente der IT-Wertschöpfungskette – beispielsweise den Rechenzentrumsbetrieb oder ganze Services wie z.B. die Rechnungsarchivierung – an spezialisierte Dienstleister vergeben. Auch Kostenvorteile werden als Grund für solche Auftragsvergaben angeführt.
Kann man Verantwortung auslagern?
In Bezug auf die Verantwortung für das Handeln der jeweiligen Dienstleister ist die Meinung weit verbreitet, dass der Dienstleister neben der operativen Durchführung der Dienstleistung auch vollumfänglich die Verantwortung vor allem für die Sicherheit der Informationen hinsichtlich der ausgelagerten Dienstleistung übernimmt. Dies trifft jedoch nicht zu; grundsätzlich verbleibt die Verantwortung für die Datenverarbeitung immer beim Auftraggeber, denn Verantwortung kann nicht ausgelagert werden. Begründungen und Argumente hierfür finden sich in praktisch allen regulatorischen und gesetzlichen Vorgaben (einige Beispiele: Bundesdatenschutzgesetzt für die Verarbeitung personenbezogene Daten, Kreditwesengesetz für die Auslagerung im Banken- und Finanzdienstleistungsumfeld, Regularien der US-amerikanischen FDA (Food & Drug Administration)), in denen auf die Auslagerung von IT-Dienstleistungen Bezug genommen wird.
Praxistipp: Lassen Sie sich bereits bei der Auftragsvergabe ein regelmäßiges Recht zur Auditierung der Abläufe beim Dienstleister schriftlich zusichern und definieren Sie Kriterien, nach denen in regelmäßigen Abständen (zeitliche Komponente) und bei außerordentlichen Ereignissen (z.B. Service Level Verletzungen, Security Incidents, Veränderung der Services) Überprüfungen durch Audits durchgeführt werden sollen.
Rechtfertigung für einen Lieferantaudit
Grundsätzlich obliegt es daher dem Auftraggeber einer Dienstleistung, sich regelmäßig in angemessenen Abständen, bei Bedarf und mittels entsprechender Vorgehensweisen – zum Beispiel mittels eines risikobasierten Ansatzes – von der Ordnungsmäßigkeit (so wie vereinbart) der Abläufe beim Dienstleister zu überzeugen. Das kann mittels qualifizierter Nachweise von Dritten erfolgen, indem beispielsweise eine sach- und fachkundige Partei Überprüfungs-Audits beim Dienstleister durchführt. Solchen Audits liegt oft ein konkreter Anlass zu Grunde, wobei grundsätzlich in einschlägigen Normen wie der IT Service Management-Norm ISO20000 oder auch der IT Security Management Normenreihe ISO27000 eine solche regelmäßige Überprüfung gefordert wird. Die Erfüllung dieser Forderung sichert nicht nur die Qualität und Sicherheit der eingekauften IT-Dienstleistung, sondern hilft auch, das Verhältnis zwischen Kunde und Lieferant langfristig zu erhalten und auf ein für beide Parteien akzeptiertes Niveau zu heben.
Vorgehen beim Audit
Im Rahmen eines Lieferanten-Audits erfolgen Prüfungshandlungen üblicherweise sowohl auf Seiten des Auftraggebers als auch beim Auftragnehmer einer IT-Dienstleistung. Auf Seiten des Auftraggebers wird mindestens überprüft, welche Vorgaben (Lieferanten Policy) für die Aussteuerung des Lieferantenverhältnisses vorhanden sind und ob beispielsweise die IT-Sicherheitsvorgaben für Lieferanten den eigenen Vorschriften entsprechen. Bei der Überprüfung des Lieferanten, die den Hauptumfang der Prüfungshandlungen darstellt, dreht sich die Untersuchung schwerpunktmäßig um die Frage, ob die Vereinbarungen hinsichtlich der Dienstgüte (Service Level – SL) eingehalten werden. Dabei wird im Bereich IT-Sicherheit meist intensiver geprüft als in den anderen Disziplinen. Ebenso ist es möglich, besondere Schwerpunkte aus branchenspezifischen Anforderungen und spezielle in den SLA vereinbarte Aspekte mit in die Analyse einzubeziehen.
Was wird nach einem Audit geliefert?
Die Untersuchungsergebnisse werden in einem Audit Report festgehalten. Dieses Dokument zeigt nicht nur die beim Audit gemachten Beobachtungen auf, sondern gibt auch konkrete Empfehlungen anhand eines priorisierten Maßnahmenkataloges , wie und in welcher Reihenfolge die identifizierten Punkte einer Lösung zugeführt werden müssen. Auf Basis dieser Dokumente können Auftraggeber und Dienstleister gemeinsam die Abarbeitung der Themen planen, welche dann im Rahmen von Nachbetrachtungen erneut überprüft werden.
Praxistipp: Ein qualifizierter Audit Report stellt einen angemessenen Nachweis dar, mit dem sich die Verantwortung des Auftraggebers (auslagerndes Unternehmen) für die Datenverarbeitung gegenüber Dritten nachweisen lässt. Insbesondere im Fall von Uneinigkeiten zwischen den Parteien und etwaigen folgenden Auseinandersetzungen hinsichtlich des Auftragsgegenstands ist ein solches Dokument ein hilfreiches Beweisstück von erheblicher Aussagekraft.
Ist ein Lieferanten Audit rentabel?
Meist ergibt sich durch ein solches extern durchgeführtes Lieferanten-Audit ein erhebliches Verbesserungspotential in der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer. Darüber hinaus liegen die Vorteile auch kostenseitig auf der Hand: Die Ausgaben für eine solche externe Auditierung sind, verglichen mit dem Wert eines IT-Dienstleistungsvertrags, meist sehr gering. In der Mehrzahl der Fälle ergibt sich aus einem solchen Audit ein erhebliches Kostensenkungspotential, weil
- Entweder festgestellt wird, dass eine vertraglich zugesicherte Leistung nicht oder nicht in der vereinbarten Dienstgüte geliefert wird und daher Rückforderungen möglich sind oder
- ein Leistungsumfang bezogen wird, der gar nicht notwendig ist – (Teil)Kündigung möglich je nach Vertragslaufzeit bzw. Umwidmung
Fazit:
Auf Basis des Ergebnisberichts lassen sich kurz-, mittel- und langfristige Optimierungsmaßnahmen hinsichtlich der Gestaltung der Lieferantenbeziehung aufsetzen. Als positiver Effekt lässt sich eine steigende Servicequalität bei sinkenden Kosten beobachten.
Praxistipp: Steuern Sie Ihre externen Dienstleister auch unterjährig, indem Sie regelmäßige Service Review Meetings durchführen und aktiv die Beziehung zum Dienstleister gestalten. Im Rahmen solcher Service Review Meetings sollten die vereinbarten Service Level Agreements besprochen und Kennzahlen der Betrachtungsperiode gemeinsam besprochen werden. Auch der Status der bereits vereinbarten Verbesserungsmaßnahmen sollte Gegenstand des Meetings sein
Die Autoren:
Robert Kuhlig
Robert Kuhlig ist Gründer und Geschäftsführer des mITSM Munich Institute for IT Service Management und Experte auf den Gebieten IT Service- und Security Management.
Thomas Neeff ist IT Management-Experte und beschäftigt sich seit mehreren Jahren mit den Themen IT Service Management, Security Management und Datenschutz.
Das mITSM bietet Schulungen in ITIL, ISO27000, ISO20000 und COBIT an und berät Firmen in allen Fragen rund um Service- und Security Management. Zum Leistungsumfang gehört auch die Durchführung aller Arten von IT-Audits, sowohl intern bei Kunden als auch bei deren Dienstleistern.
Weitere Informationen zum Thema:
mITSM MUNICH INSTITUTE FOR IT SERVICE MANAGEMENT
Lieferantenaudit bei IT Dienstleistern
Aktuelles, Experten - Dez 10, 2024 10:36 - noch keine Kommentare
vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
weitere Beiträge in Experten
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
Aktuelles, Branche, Studien - Dez 9, 2024 13:38 - noch keine Kommentare
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
weitere Beiträge in Branche
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren