Bundesamt für Sicherheit in der Informationstechnik

M 2.252 Wahl eines geeigneten Outsourcing-Dienstleisters

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Bei der Wahl eines geeigneten Outsourcing-Dienstleisters sind ein möglichst detailliertes Anforderungsprofil und ein darauf basierendes Pflichtenheft entscheidende Erfolgsfaktoren. Nur so kann eine bedarfsgerechte Ausschreibung erfolgen, auf die sich auch geeignete Dienstleister bewerben.

Die Ausschreibung sollte die

  • Beschreibung des Outsourcing-Vorhabens (Aufgabenbeschreibung und Aufgabenteilung) sowie
  • Beschreibungen zum geforderten Qualitätsniveau, welches nicht zwangsläufig dem Niveau des Auftraggebers entsprechen muss, enthalten.

Weiterhin müssen den potenziellen Dienstleistern auch möglichst detailliert

  • die Anforderungen an Informationssicherheit und
  • die Kriterien zur Messung von Servicequalität und Sicherheit

mitgeteilt werden (siehe M 2.251 Festlegung der Sicherheitsanforderungen für Outsourcing-Vorhaben ). In Einzelfällen kann es notwendig sein, die Detailanforderungen bezüglich Sicherheit nur gegen eine Vertraulichkeitsvereinbarung (Non-Disclosure-Agreement) an Dienstleister herauszugeben, da sich daraus Hinweise auf existierende oder geplante Sicherheitsmechanismen ableiten lassen.

Das Anforderungsprofil hängt stark von der Art des Outsourcing-Vorhabens ab. Als wichtige grundsätzliche Bewertungskriterien für Dienstleister und dessen Personal können gelten:

Anforderungen an Outsourcing-Dienstleister

  • Bei ausländischen Dienstleistern müssen besondere Aspekte bedacht werden. Dazu gehören beispielsweise: fremde Gesetzgebung, andere Haftungsregelungen, Spionagerisiko, andere Sicherheitskultur, im Partnerunternehmen bzw. durch die landesspezifische Gesetzgebung zugelassene und verwendbare Sicherheitsmechanismen.
  • Die Größe des Dienstleisters kann bei der Auswahl ein Argument sein. Bei kleinen Unternehmen könnte das Insolvenzrisiko höher sein. Bei großen Unternehmen ist zu bedenken, dass diese sehr viele Auftraggeber und Projekte haben, so dass ein einzelner Auftraggeber nur einer unter vielen ist und keine bevorzugte Stellung einnimmt.
  • Der Dienstleister sollte Referenzen für ähnliche Outsourcing-Vorhaben aufweisen können. Dabei ist auf Interessenskonflikte durch Geschäftsbeziehungen zu Konkurrenten des Auftraggebers und auf die Unabhängigkeit von bestimmten Herstellern (z. B. Zulieferer, die Konkurrenten des Auftraggebers sind) zu achten.
  • Die Referenzen sollten zumindest stichprobenartig auch hinterfragt werden. Es sollte also bei den aus den Referenzen erkennbaren Ansprechpartnern aus vergleichbaren Projekten Auskünfte über den Projektverlauf aus Sicht der Kunden eingeholt werden.
  • Die Organisationsform eines Dienstleisters kann in Betracht gezogen werden, da dies z. B. die Haftungsgrenzen beeinflussen kann. Die Eigentümerstruktur sollte recherchiert werden, um mögliche Einflussfaktoren im Vorfeld abzuklären.
  • Die Kundenstruktur sollte beachtet werden, da dies darauf hinweist, in welchem Wirtschaftssektor der Anbieter seine Stärken hat.
  • Ein Qualitätsnachweis bzw. eine Zertifizierung, z. B. nach ISO 27001 auf Basis von IT-Grundschutz oder ISO 9000, ist eine sinnvolle Forderung.
  • Auskünfte über die aktuelle wirtschaftliche Lage sowie Erwartungen an die zukünftige Geschäftsentwicklung der Dienstleister sollten eingeholt werden.

Anforderungen an Mitarbeiter

Auch an die Mitarbeiter eines Dienstleisters sind diverse Anforderungen zu stellen (siehe auch M 2.226 Regelungen für den Einsatz von Fremdpersonal und M 3.33 Sicherheitsüberprüfung von Mitarbeitern ).

  • Die Qualifikation der Mitarbeiter muss in die Bewertung der Angebote einfließen. Es ist nach der Projektvergabe darauf zu achten, dass die im Angebot genannten Mitarbeiter auch später tatsächlich eingesetzt werden.
  • Die Anzahl der verfügbaren Mitarbeiter muss bewertet werden. Dabei sollten auch die Vertretungsregelungen und die Arbeitszeiten hinterfragt werden.
  • Bei der Wahl ausländischer Partner muss eine gemeinsame Sprache für die Kommunikation zwischen den eigenen Mitarbeiter und denen des Dienstleisters festgelegt werden. Hierbei sollte auch hinterfragt werden, ob die vorhandenen Sprachkenntnisse für die Klärung von Detailproblemen ausreichen. Die Erfahrungen zeigen, dass viele Personen aus Angst, sich zu blamieren, lieber zu wichtigen Fragen schweigen, wenn sie ihre Sprachfähigkeiten als nicht perfekt einschätzen.
  • Entsprechend dem erforderlichen Sicherheitsniveau für das Outsourcing-Vorhaben sollte in die Bewertung der Angebote mit aufgenommen werden, ob eine Sicherheitsüberprüfung der Mitarbeiter vorliegt bzw. eine solche durchgeführt werden kann.

Prüffragen:

  • Existiert zur Auswahl des Outsourcing-Dienstleisters ein Anforderungsprofil, das die Sicherheitsanforderungen für das Outsourcing-Vorhaben enthält?

  • Sind Bewertungskriterien für den Outsourcing-Dienstleister und dessen Personal, basierend auf den Sicherheitsanforderungen des Outsourcing-Vorhabens, festgelegt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK