Bundesamt für Sicherheit in der Informationstechnik

M 2.255 Sichere Migration bei Outsourcing-Vorhaben

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Nach Beauftragung des Outsourcing-Dienstleisters muss zunächst ein vorläufiges Sicherheitskonzept entwickelt werden, in dem auch die Test- und Einführungsphase als Teilaspekt des Outsourcing-Vorhabens betrachtet wird. Zum einen sind in dieser Phase zahlreiche Betriebsfremde involviert, zum anderen müssen Abläufe etabliert, Aufgaben übertragen und Systeme neu eingerichtet bzw. angepasst werden. Einem sorgfältigen Testbetrieb kommt daher eine hohe Bedeutung zu. Besonders zu Testzwecken und in Phasen großer Arbeitsbelastung werden gerne "flexible" und "unkomplizierte" Lösungen gewählt, die selten sehr sicher sind. Es ist daher beispielsweise sicherzustellen, dass produktive Daten nicht ohne besonderen Schutz als Testdaten verwendet werden. Dies muss durch das Sicherheitskonzept ausgeschlossen werden.

Vor der Erstellung eines Migrationskonzepts als Teil des Sicherheitskonzeptes für ein Outsourcing-Vorhaben muss ein Sicherheitsmanagement-Team speziell für die Migrationsphase beim Auftraggeber eingerichtet worden sein. Dieses muss während der Migrationsphase auf Sicherheitsbelange achten und durch geeignete Maßnahmen auch schon im Vorfeld der Migration dafür sorgen, dass ein sicherer IT-Betrieb während der Migration gewährleistet ist. Die Größe des Sicherheitsmanagement-Teams hängt dabei von Art und Größe des Outsourcing-Vorhabens ab, als Minimum kann es aus einem Sicherheitsexperten bestehen.

Dem Sicherheitsmanagement-Team kommen dabei folgende Aufgaben zu, aus denen sich Regelungen und Vorgaben ableiten, die im Migrationskonzept zu erfassen sind:

  • Es ist ein gemischtes Team aus Mitarbeitern des Auftraggebers und des Outsourcing-Dienstleisters zu bilden. Dieses kann auch durch externe Experten verstärkt werden, um spezielles Know-how verfügbar zu machen.
  • Für die Migrationsphase muss eine Sicherheitskonzeption erstellt werden.
  • Die Verantwortlichkeiten und Hierarchien für die Migrationsphase sind festzulegen. Dabei ist es wichtig, dass klare Führungsstrukturen geschaffen und auf beiden Seiten eindeutige Ansprechpartner definiert werden. Zusätzlich ist darauf zu achten, dass auf beiden Seiten Verantwortlichkeiten auch auf hohen Ebenen definiert werden. Nur so kann sichergestellt werden, dass im Zweifelsfall mit entsprechendem Nachdruck gehandelt werden kann.
  • Die erforderlichen Tests müssen geplant und durchgeführt werden, Abnahmeprozeduren erarbeitet und die Produktionseinführung geplant werden.
  • Es sind geeignete interne Mitarbeiter für die Test-, Einführungsphase und den späteren Betrieb auszuwählen. Vertraglich kann sich ein Auftraggeber natürlich auch ein Mitspracherecht bei der Personalauswahl des Outsourcing-Dienstleisters einräumen lassen.
  • Die Mitarbeiter des Auftraggebers sind zum Verhalten während und nach der Migrationsphase zu schulen. In der Regel sind die Mitarbeiter dabei mit neuen und unbekannten Ansprechpartnern konfrontiert. Dies birgt die Gefahr des Social Engineering (z. B. Anruf eines vermeintlichen Mitarbeiters des Sicherheitsteams des Dienstleisters).
  • Der Dienstleister muss die relevanten Abläufe, Applikationen und IT-Systeme des Auftraggebers genau kennen lernen und dahingehend eingewiesen werden.
  • Der störungsfreie Betrieb ist durch genaue Ressourcenplanung und Tests sicherzustellen. Die produktiven Systeme dürfen dabei nicht vernachlässigt werden. Dazu ist im Vorfeld zu überprüfen, ob die vorgesehenen Mitarbeiter zur Verfügung stehen. Zusätzlich müssen Störungen durch notwendige Tests einkalkuliert werden.
  • Anwendungen und IT-Systeme, die der Dienstleister übernehmen soll, müssen ausreichend dokumentiert sein. Die Prüfung der Dokumentation auf Vollständigkeit muss dabei ebenso bedacht werden wie das Anpassen der vorhandenen Dokumentation auf die veränderten Randbedingungen durch das Outsourcing-Vorhaben. Die Dokumentation neuer Systeme oder Teilsysteme muss dabei ebenfalls sichergestellt sein.
  • Während der Migration muss ständig überprüft werden, ob die SLAs oder die vorgesehenen Sicherheitsmaßnahmen angepasst werden müssen.

In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. Bis sich bei allen Beteiligten die notwendige Routine, beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat, sind verstärkt Mitarbeiter zu Bereitschaftsdiensten zu verpflichten.

Nach Abschluss der Migration muss sichergestellt werden, dass das Sicherheitskonzept aktualisiert wird, da sich erfahrungsgemäß während der Migrationsphase immer Änderungen ergeben. Dies bedeutet insbesondere:

  • Alle Sicherheitsmaßnahmen müssen konkretisiert werden.
  • Ansprechpartner und Zuständigkeiten werden mit Namen und notwendigen Kontaktdaten (Telefon, Zeiten der Erreichbarkeit, eventuell erforderliche Zuordnungsbegriffe wie Kundennummern) dokumentiert.
  • Die Systemkonfigurationen ist zu dokumentieren, wobei auch die eingestellten sicherheitsrelevanten Parameter zu erfassen sind.
  • Das Personal ist durch Schulungsmaßnahmen auf den Regelbetrieb vorzubereiten.

Als letzte Aufgabe muss das Outsourcing-Vorhaben nach der Migrationsphase in den sicheren Regelbetrieb (siehe M 2.256 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb ) überführt werden. Dabei ist vor allem darauf zu achten, dass alle Ausnahmeregelungen, die während der Migrationsphase notwendig waren, wie z. B. erweiterte Zugriffsrechte, aufgehoben werden.

Prüffragen:

  • Ist ein Sicherheitskonzept für die Migrationsphase erarbeitet, in dem auch die Test- und Einführungsphase betrachtet werden?

  • Ist sichergestellt, dass produktive Daten in der Migrationsphase nicht ungeschützt als Testdaten verwendet werden?

  • Sind die Mitarbeiter des Auftraggebers wie auch des Outsourcing-Dienstleisters auf die Migration vorbereitet?

  • Werden alle Änderungen nach Abschluss der Migrationsphase im Sicherheitskonzept erfasst?

  • Ist sichergestellt, dass alle Ausnahmeregelungen am Ende der Migrationsphase aufgehoben werden?

Stand: 13. EL Stand 2013