Bundesamt für Sicherheit in der Informationstechnik

G 2.89 Mangelhafte Informationssicherheit in der Outsourcing-Einführungsphase

Ein Outsourcing-Vorhaben wird in der Regel in mehreren Schritten umgesetzt. Die Einführungsphase geht meist mit drastischen internen Veränderungen auf Seiten des Auftraggebers einher. Zusätzlich wird ein Outsourcing-Vorhaben von stringenten terminlichen und finanziellen Randbedingungen begleitet. Oft bleibt keine Zeit für regelmäßige Sicherheitskontrollen und Audits. Um Termine und Budgets während der Einführungsphase einzuhalten, leidet oftmals die Arbeitsqualität und Sicherheitskonzepte werden vernachlässigt. Dies hat jedoch gravierenden Einfluss auf die Informationssicherheit. Mögliche weitere Gefährdungen der Informationssicherheit sind unter anderem:

  • Der Betrieb von Übergangslösungen erfolgt unter geringen Sicherheitsstandards. Dabei wird häufig argumentiert: "Hauptsache, es läuft!" Oft werden solche Übergangslösungen dann jedoch aus verschiedenen Gründen auf Jahre hin weiterbetrieben.
  • Aus Zeit- und Ressourcengründen werden "Altsysteme" vernachlässigt, während an den neuen Systemen gearbeitet wird.

Ausgelöst durch die hohe Arbeitsbelastung und den Zeitdruck werden die Probleme durch bewusste oder unbewusste Nachlässigkeiten oder Fehler verstärkt. Gründe können sein:

  • Während der Einführungsphase muss ein Parallelbetrieb der von der Auslagerung betroffenen Systeme erfolgen.
  • Durch die Anbindung an den Outsourcing-Dienstleister entstehen viele neue organisatorische und technische Schnittstellen.
  • Mitarbeiter müssen in neue Aufgaben eingearbeitet werden, so dass zusätzlich Ressourcen gebunden sind.
  • Ein Outsourcing-Vorhaben geht einher mit dem Einsatz neuer Soft- und Hardware. Gefahren resultieren dabei aus fehlerhaften oder gänzlich fehlenden Tests, aus Unerfahrenheit mit neuen Sicherheitsmechanismen, aus Installations- und Administrationsfehlern oder aber aus Softwarefehlern.

Sicherheitsmängel können sich jedoch auch aus organisatorischen Schwächen während der Einführungsphase ergeben. Die Gründe können beispielsweise folgende sein:

  • Die Zusammenarbeit zwischen den Mitarbeitern des Auftraggebers und denen des Outsourcing-Dienstleister oder externer Berater funktioniert nicht richtig. Ursachen können etwa Kommunikationsprobleme technischer oder persönlicher Art sein. Da am Anfang auch die Ansprechpartner der Gegenseite noch unbekannt sind, können in dieser Phase außerdem Angriffe über "Social Engineering" besonders leicht erfolgreich sein.
  • Entscheidungshierarchien funktionieren noch nicht oder Ansprechpartner und Zuständigkeiten sind noch nicht geklärt oder wechseln häufig. Als Folge werden Entscheidungen gar nicht oder nur sehr zögerlich getroffen. Das führt dann unter Umständen dazu, dass Sicherheitsvorschriften nicht eingehalten, umgangen oder nicht kontrolliert werden.

Diese Gesamtproblematik führte beispielsweise auch für ein namhaftes Finanzinstitut zu Problemen: Während an der Einrichtung eines neuen Webservers gearbeitet wurde, wurde das "Altsystem" nicht mehr ausreichend gewartet und war Ziel eines Angriffes, bei dem Kundendaten kompromittiert wurden. Das Ereignis wurde durch die Medien einem Millionenpublikum bekannt gemacht.

Stand: Stand 2005

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK