Österreich

Die IT ausgelagert – und „trotzdem“
nach ISO 27001 zertifiziert?

 

Warum Unternehmen zertifizierte Informationssicherheit einführen, auch wenn die
IT ausgelagert wurde, erklärt CIS-Geschäftsführer Erich Scheiber im Interview.

(NL Sept. 2011)


Erich Scheiber portrait - mrHerr Scheiber, wird mit dem Auslagern der IT oftmals auch das Security-Bewusstsein „ausgelagert“? Welche Gefahren sehen Sie hier?
In der Praxis sehen wir ein geringes Security-Bewusstsein im oberen Management, wenn die IT zum großteil oder gänzlich ausgelagert wurde. Ohne IT-Affinität gibt es meist auch wenig Security-Affinität. Nach dem Motto: „Unser Provider trägt die Verantwortung für IT-Ausfälle und Datenpannen.“ Tatsächlich ist es aber so, dass laut Datenschutzgesetz der Auftraggeber für die Auswahl seines Outsourcing-Partners voll haftet und Nachweise verlangen muss, dass dieser die gesetzliche Sorgfaltspflicht in Bezug auf Datensicherheit erfüllt. Oft sind es höchst sensible Daten etwa aus der Forschung und Produktentwicklung, Patentinformationen, Investitionsdaten bis hin zu Personal- und Kundendaten, die auf den Servern der IT-Dienstleister liegen.

 

Heißt das, bei Datenpannen haftet ein Unternehmen für Fehler seines IT-Partners?
Wenn keine entsprechenden Nachweise von dem Partner eingeholt wurden: Ja. Ist der Partner nach ISO 27001 zertifiziert, genügt in der Regel der Nachweis des Zertifikats.

 

Warum lassen sich immer mehr Unternehmen selbst nach ISO 27001 zertifizieren, obwohl sie meist an Partner ausgelagert haben, die die erforderlichen Zertifizierungen schon mitbringen?
Zwei Motive sind vorherrschend: Outsourcing ohne Risikoanalyse wäre fahrlässig. Daher gilt es zum Einen, die IT-Dienstleister und Lieferanten nach potenziellen Sicherheitsrisiken zu klassifizieren und sich entsprechend vertraglich abzusichern. Dabei hilft das Framework der ISO 27001 ganz entscheidend, während die Zertifizierung wiederum gewährleistet, dass Risikoanalysen in sinnvollen Abständen und mit der notwendigen Motivation wiederholt werden. Die Vertragsgestaltung ist ein wichtiger Legal-Compliance-Aspekt, der vielfach unterschätzt wird. Eine eigene ISO-27001-contractZertifizierung kann im Falle eines Gerichtsverfahrens gut als Nachweis der Einhaltung der gesetzlich gebotenen Sorgfalt dienen. Im Fall von Datenpannen – egal ob beim Provider oder im eigenen Haus – kann hierdurch das Risiko einer Haftung sowohl für das zertifizierte Unternehmen als auch für das verantwortliche Management wie Geschäftsführer und Prokuristen minimiert werden.

 

Und das zweite Motiv?
Zum anderen gilt es die im Haus verarbeiteten und verwendeten Informationen entsprechend zu schützen und ein Sicherheitsbewusstsein im Unternehmen zu verankern. Die IT ist nur ein Teil der Informationssicherheit, die Organisation und das Bewusstsein der andere. Dazu gehört die Erarbeitung von Policies zu relevanten Fragen: „Wie geht man mit PDAs und Notebooks um? Was darf am Schreibtisch offen liegen, welche Räume sollen für wen zugänglich sein? Welche Schutzzonen sind zu definieren? Wie ist der Eingangsbereich abzusichern?“ Ebenso sollte es ein Meldesystem für Sicherheitsvorfälle geben. All diese Maßnahmen sind für Unternehmen mit sensiblen Daten ohnehin obligatorisch. Die Zertifizierung nach ISO 27001 ermöglicht aber, diese in einem strukturierten System möglichst wirksam, rentabel und vollständig umzusetzen – und sie durch kontinuierliche Verbesserung aktuell zu halten. So wird das implementierte Security-Managementsystem zu einem Investitionsschutz für umgesetzte Sicherheitsmaßnahmen.

 

Welche Aspekte sind bei IT-Partnern laut ISO 27001 besonders zu prüfen?
In Bezug auf die Verfügbarkeit sollten auch bei einem zertifizierten Partner die meist verwendeten Standard-„Service Level Agreements“ dahin gehend geprüft werden, ob die vereinbarten Leistungen mit den tatsächlichen Anforderungen des Unternehmens übereinstimmen oder potenzielle Risiken bergen. So könnte eine vertraglich fixierte Verfügbarkeit von 99 Prozent für bestimmte Anforderungen nicht ausreichen. Wie schaut das Unternehmensrisiko und das Informationssicherheitsrisiko in Bezug auf die Leistungserbringung des Partners aus? Welche Notfallpläne treten beim Partner in Kraft? Wie viele redundante Zugänge sind vorgesehen oder erforderlich? Diese Punkte gilt es ebenfalls im Rahmen der Risikoanalyse zu bewerten und vertraglich zu fixieren.

 

Um wie viel ist der Aufwand für Informationssicherheitsmanagement geringer, wenn die IT ausgelagert wurde?
Für die die IT-affinen Aspekte bei Implementierung und Zertifizierung von Informationssicherheit nach ISO 27001 rechnet man zwischen 30 bis 50 Prozent des Zeitaufwands. Unternehmen mit Outsourcing-Partner sparen sich demnach bis zu der Hälfte des Projektumfangs.

 

(NL Sept. 2011)


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB