IT-Sicherheit von draussen

Sind unsere sensiblen Daten beim Managed Security Service Provider (MSSP) in guten Händen? Sind dem Outsourcing-Dienstleister unsere Daten genauso wichtig wie uns? Bekommen wir wirklich ein Plus an Sicherheit? Erbringt der MSSP tatsächlich die verabredeten Leistungen? Bohrende Fragen, die sich Anwender stellen, wenn das Auslagern der eigenen IT-Sicherheit zum Thema wird. Und das wird es zunehmend nicht nur wegen des anhaltend hohen Kostendrucks. Die Anforderungen an die IT-Sicherheit sind auch durch gesetzliche Auflagen gewachsen: Die Bestimmungen von Basel II beispielsweise betreffen nicht nur Banken und deren Eigenkapitalausstattung, sondern gehen jedes mittelständische Unternehmen an. Denn Kreditinstitute sind gehalten, sämtliche Geschäftsrisiken bei der Kreditvergabe zu berücksichtigen, darunter auch die IT-Risiken, die aus dem mangelhaften Schutz von Informationswerten resultieren können.
Im Zuge der Globalisierung wird für mehr und mehr Unternehmen in Deutschland der Sarbanes Oxley Act interessant, nämlich dann, wenn beispielsweise deutsche Unternehmen in den USA an der Börse notiert sind oder von US-amerikanischen börsennotierten Unternehmen aufgekauft werden. Dann sind sie ebenso wie die Mutterfirmen in den USA dazu verpflichtet, nachhaltig für die Sicherheit und Verfügbarkeit aller geschäftsrelevanten Daten zu sorgen. Auch nationale Gesetze wie das KontraG oder TranspuG zielen auf Risikomanagement im Sinne des Anlegerschutzes ab. Im Schadensfall müssen Unternehmen den Nachweis erbringen, dass sie alle notwendigen Sicherheitsmaßnahmen zum Schutz ihrer Daten ergriffen haben.
Immer höhere Anforderungen an die IT-Sicherheit auf der einen, knapper werdende Ressourcen in konjunkturell schwierigen Zeiten auf der anderen Seite. In dieser Situation kann die Auslagerung der IT-Sicherheit eine Option sein. Doch wie wird Outsourcing zur Erfolgsgeschichte? Manch ein Entscheider richtet sein Hauptaugenmerk zu einseitig auf die Service Level Agreements (SLAs). Solange diese nur »wasserdicht« formuliert seien, könne mit dem Outsourcing nichts mehr schief gehen, lautet ein weit verbreiteter Irrtum.
SLAs ergänzen und präzisieren den Outsourcing-Rahmenvertrag. Sie legen dar, auf welche Leistungen, Prozesse und Qualitätsstandards der Kunde einen Anspruch hat. Sie schreiben beispielsweise fest, welche Netzwerkbereiche überwacht und gemanagt werden, definieren maximale Ausfallzeiten, die Verfügbarkeit der Services, Reaktionszeiten, Haftungsbeschränkungen und Notfallmaßnahmen. Außerdem beschreiben SLAs, auf welche Art das Reporting erfolgt. Aber SLAs legen nicht nur einseitig die Pflichten des Providers fest. Auch die Verantwortlichkeiten des Kunden sollten darin präzise dargestellt werden. Dazu gehören zum Beispiel die Bereitstellung aller technischen Informationen, eine detaillierte Netzwerkübersicht oder die Kontaktdaten aller relevanten Ansprechpartner im Unternehmen. Die SLAs sollten beispielsweise auch verfügen, dass der Kunde seinen MSSP vor jeder planmäßigen Netzwerkwartung rechtzeitig informiert. In den SLAs muss darüber hinaus festgehalten werden, welche gesetzlichen und branchenspezifischen Sicherheitsanforderungen das Unternehmen erfüllen muss.