Bundesamt für Sicherheit in der Informationstechnik

B 1.11 Outsourcing

Logo Outsourcing

Beschreibung

Beim Outsourcing werden Arbeits- oder Geschäftsprozesse einer Institution ganz oder teilweise zu externen Dienstleistern ausgelagert. Outsourcing kann sowohl Nutzung und Betrieb von Hardware und Software, aber auch Dienstleistungen betreffen. Dabei ist es unerheblich, ob die Leistungen in den Räumlichkeiten des Auftraggebers oder in einer externen Betriebsstätte des Outsourcing-Dienstleisters erbracht werden. Typische Beispiele sind der Betrieb eines Rechenzentrums, einer Applikation, einer Webseite oder des Wachdienstes. Outsourcing ist ein Oberbegriff, der oftmals durch weitere Begriffe ergänzt wird: Mit Offshoring wird das Auslagern von Geschäfts- und Produktionsprozessen in Lokationen in einem anderem Land bezeichnet. Tasksourcing bezeichnet das Auslagern von einzelnen Aufgaben. Werden Dienstleistungen mit Bezug zur Informationssicherheit ausgelagert, wird von Security Outsourcing oder Managed Security Services gesprochen. Beispiele sind die Auslagerung des Firewall-Betriebs, die Überwachung des Netzes, Virenschutz oder der Betrieb eines Virtual Private Networks ( VPN ). Unter Application Service Provider ( ASP ) versteht man einen Dienstleister, der auf seinen eigenen Systemen einzelne Anwendungen oder Software für seine Kunden betreibt (E-Mail, SAP-Anwendungen, Archivierung, Web-Shops, Beschaffung). Auftraggeber und Dienstleister sind dabei über das Internet oder ein VPN miteinander verbunden. Beim Application Hosting ist ebenfalls der Betrieb von Anwendungen an einen Dienstleister ausgelagert, jedoch gehören im Gegensatz zum ASP-Modell die Anwendungen noch dem jeweiligen Kunden. Da die Grenzen zwischen klassischem Outsourcing und reinem ASP in der Praxis zunehmend verschwimmen, wird im Folgenden nur noch der Oberbegriff Outsourcing verwendet.

Das Auslagern und Umstrukturieren von Geschäfts- und Produktionsprozessen ist ein etablierter Bestandteil heutiger Organisationsstrategien. Der Trend zum Outsourcing scheint auch für die nächste Zukunft ungebrochen. Es gibt aber inzwischen auch publizierte Beispiele für gescheiterte Outsourcing-Projekte, wo der Auftraggeber den Outsourcing-Vertrag gekündigt hat und die ausgelagerten Geschäftsprozesse wieder in Eigenregie betreibt (Insourcing).

Die Gründe für Outsourcing sind vielfältig: die Konzentration einer Institution auf ihre Kernkompetenzen, die Möglichkeit einer Kostenersparnis ( z. B. keine Anschaffungs- oder Betriebskosten für IT-Systeme), der Zugriff auf spezialisierte Kenntnisse und Ressourcen, die Freisetzung interner Ressourcen für andere Aufgaben, die Straffung der internen Verwaltung, die verbesserte Skalierbarkeit der Geschäfts- und Produktionsprozesse, die Erhöhung der Flexibilität sowie der Wettbewerbsfähigkeit einer Institution sind nur einige Beispiele.

Beim Auslagern von IT -gestützten Geschäftsprozessen werden die IT -Systeme und Netze der auslagernden Institution und ihres Outsourcing-Dienstleisters in der Regel eng miteinander verbunden, so dass Teile von internen Geschäftsprozessen unter Leitung und Kontrolle eines externen Dienstleisters ablaufen. Ebenso findet auf personeller Ebene ein intensiver Kontakt statt.

Durch die enge Verbindung zum Dienstleister und die entstehende Abhängigkeit von der Dienstleistungsqualität ergeben sich Risiken für den Auftraggeber, durch die im schlimmsten Fall sogar die Geschäftsgrundlage des Unternehmens oder der Behörde vital gefährdet werden können. (beispielsweise könnten sensitive interne Informationen gewollt oder ungewollt nach außen preisgegeben werden. Der Betrachtung von Sicherheitsaspekten und der Gestaltung vertraglicher Regelungen zwischen Auftraggeber und Outsourcing-Dienstleister kommt im Rahmen eines Outsourcing-Vorhabens somit eine zentrale Rolle zu.

Den Schwerpunkt dieses Bausteins bilden daher Maßnahmen, die sich mit Aspekten der Informationssicherheit beim Outsourcing beschäftigen. Dazu zählen ebenfalls geeignete Maßnahmen zur Kontrolle der vertraglich vereinbarten Ziele und Leistungen sowie der Sicherheitsmaßnahmen.

Gefährdungslage

Die Gefährdungslage eines Outsourcing-Vorhabens ist ausgesprochen vielschichtig. Die Entscheidung über das Auslagern einer speziellen Aktivität beeinflusst nachhaltig die strategische Ausrichtung der Institution, die Definition ihrer Kernkompetenzen, die Ausgestaltung der Wertschöpfungskette und betrifft viele weitere wesentliche Belange eines Organisationsmanagements. Es sollten daher alle Anstrengungen unternommen werden, um Fehlentwicklungen des Unternehmens oder der Behörde frühzeitig zu erkennen und zu verhindern.

Die Gefährdungen können parallel auf physikalischer, technischer und auch menschlicher Ebene existieren und sind nachfolgend in den einzelnen Gefährdungskatalogen aufgeführt. Um die jeweils existierenden Risiken quantitativ bewerten zu können, müssen zuvor die institutionseigenen Werte und Informationen entsprechend ihrer strategischen Bedeutung für die Institution beurteilt und klassifiziert werden.

Höhere Gewalt

G 1.10 Ausfall eines Weitverkehrsnetzes

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
G 2.47 Ungesicherter Akten- und Datenträgertransport
G 2.66 Unzureichendes Sicherheitsmanagement
G 2.67 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten
G 2.83 Fehlerhafte Outsourcing-Strategie
G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister
G 2.85 Unzureichende Regelungen für das Ende eines Outsourcing- oder eines Cloud-Nutzungs-Vorhabens
G 2.86 Abhängigkeit von einem Outsourcing- oder Cloud-Dienstleister
G 2.88 Störung des Betriebsklimas durch ein Outsourcing-Vorhaben
G 2.89 Mangelhafte Informationssicherheit in der Outsourcing-Einführungsphase
G 2.93 Unzureichendes Notfallvorsorgekonzept bei Outsourcing oder Cloud-Nutzung

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.105 Ungenehmigte Nutzung von externen Dienstleistungen

Technisches Versagen

G 4.33 Schlechte oder fehlende Authentikationsverfahren und -mechanismen
G 4.34 Ausfall eines Kryptomoduls
G 4.48 Ausfall der Systeme eines Outsourcing-Dienstleisters
G 4.97 Schwachstellen bei der Anbindung an einen Outsourcing- oder Cloud-Dienstleister

Vorsätzliche Handlungen

G 5.10 Missbrauch von Fernwartungszugängen
G 5.20 Missbrauch von Administratorrechten
G 5.42 Social Engineering
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
G 5.85 Integritätsverlust schützenswerter Informationen
G 5.107 Weitergabe von Daten an Dritte durch den Outsourcing-Dienstleister

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Ein ausgelagerter Geschäftsprozess oder Informationsverbund kann sowohl aus Komponenten bestehen, die sich ausschließlich im Einflussbereich des Outsourcing-Dienstleisters befinden, als auch aus Komponenten beim Auftraggeber. In der Regel gibt es in diesem Fall Schnittstellen zur Verbindung der Systeme. Für jedes Teilsystem und für die Schnittstellenfunktionen muss IT-Grundschutz gewährleistet sein.

Ein Outsourcing-Vorhaben besteht aus mehreren Phasen, die im Folgenden kurz dargestellt sind.

Phase 1: Strategische Planung des Outsourcing-Vorhabens

Schon im Rahmen der strategischen Entscheidung, ob und in welcher Form ein Outsourcing-Vorhaben umgesetzt wird, müssen die sicherheitsrelevanten Gesichtspunkte herausgearbeitet werden. In der Maßnahme M 2.250 Festlegung einer Outsourcing-Strategie werden die wesentlichen Punkte vorgestellt, die zu beachten sind.

Phase 2: Definition der wesentlichen Sicherheitsanforderungen

Wenn die Entscheidung zum Outsourcing gefallen ist, müssen die wesentlichen übergeordneten Sicherheitsanforderungen für das Outsourcing-Vorhaben festgelegt werden. Diese Sicherheitsanforderungen sind die Basis für das Ausschreibungsverfahren (siehe M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ).

Phase 3: Auswahl des Outsourcing-Dienstleisters

Der Wahl des Outsourcing-Dienstleisters kommt eine besondere Bedeutung zu (siehe M 2.252 Wahl eines geeigneten Outsourcing-Dienstleisters ).

Phase 4: Vertragsgestaltung

Auf Basis des Pflichtenheftes muss nun ein Vertrag mit dem Partner ausgehandelt werden, der die gewünschten Leistungen inklusive Qualitätsstandards und Fristen im Einklang mit der vorhandenen Gesetzgebung festschreibt. Diese Verträge werden häufig als Service Level Agreements ( SLA ) bezeichnet. In diesem Vertrag müssen auch die genauen Modalitäten der Zusammenarbeit geklärt sein: Ansprechpartner, Reaktionszeiten, IT-Anbindung, Kontrolle der Leistungen, Ausgestaltung der Sicherheitsvorkehrungen, Umgang mit vertraulichen Informationen, Verwertungsrechte, Weitergabe von Information an Dritte etc. (siehe hierzu M 2.253 Vertragsgestaltung mit dem Outsourcing-Dienstleister ).

Phase 5: Erstellung eines Sicherheitskonzepts für den ausgelagerten Informationsverbund

In enger Zusammenarbeit müssen Auftraggeber und Outsourcing-Dienstleister ein detailliertes Sicherheitskonzept (M 2.254 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben ), das ein Notfallvorsorgekonzept (M 6.83 Notfallvorsorge beim Outsourcing ) enthält, erstellen.

Phase 5 wird in der Regel erst nach Beendigung der Migrationsphase abgeschlossen werden können, weil sich während der Migration der IT-Systeme und Anwendungen immer wieder neue Erkenntnisse ergeben, die in das Sicherheitskonzept eingearbeitet werden müssen.

Phase 6: Migrationsphase

Besonders sicherheitskritisch ist die Migrations- oder Übergangsphase, die deshalb einer sorgfältigen Planung bedarf (siehe M 2.255 Sichere Migration bei Outsourcing-Vorhaben ).

Phase 7: Planung und Sicherstellen des laufenden Betriebs

Wenn der Outsourcing-Dienstleister die Systeme bzw. Geschäftsprozesse übernommen hat, sind verschiedene Maßnahmen, wie regelmäßige Kontrollen und Durchführung von Systemwartungen, zur Aufrechterhaltung der Informationssicherheit im laufenden Betrieb notwendig (siehe M 2.256 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb ). Diese müssen im Vorfeld entsprechend geplant werden. Notfall- und Eskalationsszenarien müssen unbedingt in der Planung mit berücksichtigt werden.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Outsourcing" vorgestellt.

Planung und Konzeption

M 2.40 (A) Rechtzeitige Beteiligung des Personal-/Betriebsrates
M 2.42 (A) Festlegung der möglichen Kommunikationspartner
M 2.221 (A) Änderungsmanagement
M 2.226 (A) Regelungen für den Einsatz von Fremdpersonal
M 2.250 (A) Festlegung einer Outsourcing-Strategie
M 2.251 (A) Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben
M 2.254 (A) Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben

Beschaffung

M 2.252 (A) Wahl eines geeigneten Outsourcing-Dienstleisters

Umsetzung

M 2.253 (A) Vertragsgestaltung mit dem Outsourcing-Dienstleister
M 2.255 (A) Sichere Migration bei Outsourcing-Vorhaben
M 2.460 (C) Geregelte Nutzung von externen Dienstleistungen
M 3.33 (Z) Sicherheitsüberprüfung von Mitarbeitern
M 5.87 (C) Vereinbarung über die Anbindung an Netze Dritter
M 5.88 (C) Vereinbarung über Datenaustausch mit Dritten

Betrieb

M 2.256 (A) Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb

Aussonderung

M 2.307 (A) Geordnete Beendigung eines Outsourcing- oder Cloud-Nutzungs-Verhältnisses

Notfallvorsorge

M 6.83 (A) Notfallvorsorge beim Outsourcing

Stand: 14. EL Stand 2014