Risiken durch IT-Outsourcing
Cyber-Ark: Risikomanagement kommt bei Outsourcing zu kurz
Was viele Firmen nicht wissen, die ihre IT oder Teile davon auslagern: Die Verantwortung über die ausgelagerten Bereiche bleibt beim Auftraggeber. Sicherheitsexperte Cyber-Ark sieht an diesem Punkt bei vielen Unternehmen Handlungsbedarf und eine Verletzung gängiger Compliance-Vorschriften.
Wer seine IT oder einzelne Bereich davon an einen Dienstleister auslagert, delegiert damit nicht automatisch auch das Risikomanagement. Dies ist vielen Unternehmen offenkundig jedoch nicht bewusst, so die IT-Sicherheitsfirma Cyber-Ark.
»Auch bei der Auslagerung von IT oder Geschäftsprozessen sind Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen«, unterstreicht Jochen Koehler, Deutschland-Chef von Cyber-Ark. »Die Verantwortung über die ausgelagerten Bereiche verbleibt beim Auftraggeber.«
Als Nachweis, dass auch beim Outsourcing alle Anforderungen an das Risikomanagement und unternehmensinterne Kontrollsysteme erfüllt werden, hat sich auf internationaler Ebene der Prüfstandard SAS70 (Statement on Auditing Standard 70: Service Organizations) des American Institute of Certified Public Accountants (AICPA) bewährt.
Auch in Deutschland Richtlinien vorhanden
In Deutschland gibt es seit 2007 eine vergleichbare Richtlinien: IDW PS 951 H, die das Institut der Wirtschaftsprüfer veröffentlicht hat. Diese Norm greift die Anforderungen von SAS 70 auf und berücksichtigt zusätzlich nationale Besonderheiten.
»Outsourcing gehört heute für viele Unternehmen bereits zum Alltag - und zwar nicht nur bei großen, sondern auch bei kleineren Firmen«, so Koehler. »Man denke nur an die weit verbreitete Auslagerung der Lohnbuchhaltung. Doch dass der Auftraggeber genau hinschaut, ob der Dienstleister alle erforderlichen Sicherheitsvorschriften einhält, ist nach wie vor die Ausnahme«
Allerdings wird sich hier kurzfristig einiges ändern müssen, denn immer mehr Wirtschaftsprüfer legen Wert auf Zertifizierungen nach dem Prüfungsstandard SAS70 beziehungsweise PS 951.
Ein Problem: Nachlässiger Umgang mit Passwörtern
Die Problematik einer auch nur teilweisen IT-Auslagerung an ein externes Systemhaus oder einen Hoster liegt darin, dass in der Regel mehrere Administratoren mit dem gleichen Passwort auf die Kundensysteme zugreifen können. Bei diesen sogenannten Shared-Accounts ist dann keine Nachvollziehbarkeit gegeben.
Hat eine größere Gruppe von Administratoren Zugriff auf Passwörter, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat. Damit ist eine revisionssichere Überprüfung der Verwendung eines Accounts bis auf die Personenebene hinab nicht möglich.
Abhilfe kann hier nur eine Lösung schaffen, die es ermöglicht, privilegierte Benutzerkonten mit erweiterten Rechten automatisch zu verwalten, etwa die Privileged-Identity-Management-Suite von Cyber-Ark. Mit solchen Systemen lassen sich Administrator-Accounts zentral verwalten und überwachen.
Regelmäßig Passwörter ändern
Zur Lösungssuite gehört der Enterprise Password Vault, der die geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern ermöglicht. Dass selbst Administratoren (die es eigentlich besser wissen müssten) häufig immer dieselben Passwörter verwenden und diese nicht ändern, ist ein offenes Geheimnis.
Das macht es für »neugierige« Naturen deutlich einfacher, sich mit Admin-Rechten auf Servern oder Management-Systemen einzuloggen.
Weiterer Lösungsbestandteil der Lösung von Cyber-Ark ist der »Privileged Session Manager« (PSM). Mit ihm lassen sich privilegierte Zugänge nicht nur im Hinblick auf das »Wer«, sondern auch auf das »Was« überwachen und sichern.
Die Verbindung zum Zielsystem wird dabei über einen »Sprungbrett-Server« aufgebaut, der eine komplette Aufzeichnung einer Admin-Session ermöglicht. Weiterer Vorteil: Nur der PSM »kennt« die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden - so bekommt der Administrator zu keiner Zeit Passwörter zu Gesicht.
Lesen Sie mehr zum Thema
