DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Die hohe Schule des IT-Outsourcings

Nur mit einer gut funk­tio­nie­renden und fle­xiblen IT-Infra­­struktur lassen sich die Auf­gaben eines Unter­nehmens bewäl­tigen. Die IT ist zu einem ent­schei­denden Erfolgs­faktor geworden, denn jede Störung wirkt sich unmit­telbar auf die Pro­duk­ti­vität aus. Gleich­zeitig führen die zunehmend digi­ta­li­sierten Arbeits­ab­läufe zu einer hohen Kom­ple­xität, sodass es immer auf­wen­diger wird ent­spre­chendes Fach­wissen und aus­rei­chend Kapa­zi­täten vor­zu­halten, um die Systeme zu managen.

IT-Out­­sourcing: Eine Alternative?

Spä­testens zum Zeit­punkt einer Neu­in­ves­tition stellt sich die zen­trale Frage: „Make or buy?” Betreiben Sie Ihre IT wei­terhin selbst oder über­lassen Sie dies externen Spe­zia­listen, die Sie von den zuneh­menden IT-Risiken entlasten?
Bei den stra­te­gi­schen Über­le­gungen gilt es besonders die Aspekte Per­­sonal- und Kapi­tal­bindung, wie auch das poten­zielle Risiko abzu­wägen und den Alter­na­tiven eines IT-Out­­sour­cings gegenüberzustellen.

Heute exis­tieren fein abge­stufte Mög­lich­keiten, um Stö­rungen, Aus­fällen und Daten­ver­lusten vor­zu­beugen, bei­spiels­weise der Einsatz von red­un­danten Sys­temen, leis­tungs­fä­higen Daten­si­che­rungen oder Vir­tua­li­sie­rungs­lö­sungen. Neben der Ver­bes­serung der Ver­füg­barkeit gelingt beim Einsatz der rich­tigen Tech­no­logien auch die effi­zi­entere Aus­lastung der Ressourcen.

Gute Planung als Basis für ein erfolg­reiches IT-Outsourcing

Die Vor­teile liegen auf der Hand: Kos­ten­ein­spa­rungen und Kos­ten­trans­parenz,  fle­xible Ver­füg­barkeit von Res­sourcen, Fokus­sierung auf das Kern­ge­schäft usw.

Bevor sich ein Unter­nehmen für das Out­sourcing ent­scheidet, sind ein paar grund­le­gende Aspekte im Vorfeld zu beachten:

Bedarf ana­ly­sieren und Ziele definieren

Welche IT-Bereiche wollen Sie aus­lagern? Was muss im Unter­nehmen bleiben? Welche Kri­terien sind für Sie wichtig? (Kon­troll­verlust, Schutz von geschäfts­kri­ti­schem Know-how,  Nähe zum Geschäft, Daten­schutz etc.).

IT-Infra­­stru­k­­turen oder Teil­auf­gaben wie Daten­si­cherung, E‑Mail- und Internet-Schutz eignen sich eher als Appli­ka­tionen. Letztere tragen bei vielen mit­tel­stän­di­schen Unter­nehmen einen wesent­lichen Anteil an der Wert­schöpfung bei und kommen aus Wett­be­werbs­gründen und Know-how-Schutz für eine Aus­la­gerung wohl eher nicht in Betracht.

Prüfen Sie Ihre IT-Pro­­­zesse auf Effi­zienz und die Abläufe auf Opti­mie­rungs­po­ten­ziale.  Führen Sie eine umfas­sende Kos­ten­analyse für die Ent­schei­dungs­findung durch.

Daten­schutz — Out­sourcing ist Vertrauenssache

Je mehr Sie aus­lagern, umso wich­tiger ist der Partner, dem Sie sich anver­trauen! Com­­pliance-Anfor­­derung und ins­be­sondere daten­schutz­recht­liche Rege­lungen sind zu beachten bzw. ein­zu­halten. Dies betrifft sowohl den ver­trau­ens­vollen Umgang mit den Daten, die der Anbieter im Auftrag seiner Kunden ver­ar­beitet und spei­chert, wie auch das Ver­trauen in die Zuver­läs­sigkeit des Angebots.

Der Schutz der Unter­­nehmens- und Kun­den­daten muss höchste Prio­rität haben. Auch beim Out­sourcing bleiben Sie für die Ihnen anver­trauten Daten ver­ant­wortlich und tragen das Haf­tungs­risiko. Um die Ein­sicht­nahme Dritter auf die über­tra­genen Daten zu ver­hindern, müssen Ver­­­schlüs­­se­­lungs- und Kom­pri­mie­rungs­me­cha­nismen  durch­ge­führt werden und es muss ein spe­zi­eller Ver­bin­dungs­schutz zwi­schen dem Unter­nehmen und dem Out­­sourcing-Anbieter zur Ver­fügung stehen.

Pro­fes­sio­nelle Anbieter lassen ihre Pro­zesse und Mecha­nismen Ihrer  Server und Rechen­zentren von externen Spe­zia­listen prüfen und können die Sicher­heits­aspekte mit ent­spre­chenden Zer­ti­fi­katen nach­weisen. Ebenso sind Ihre Mitt­ar­beiter hin­sichtlich Daten­schutz­vor­schriften sen­si­bi­li­siert und auf das Daten­ge­heimnis verpflichtet.

Qua­lität und Umfang der IT-Ser­­vice­­­leis­­tungen sind letzt­endlich ausschlaggebend
dafür, ob eine Aus­la­gerung zu den gewünschten Effekten im Unter­nehmen führt. Admi­nis­tration, Instal­la­­tions- und War­tungs­ar­beiten, Stö­rungs­be­sei­tigung und Service müssen schnell und rei­bungslos ver­laufen und auf­ein­ander abge­stimmt sein. Der Partner muss seine Erreich­barkeit sicher­stellen und über aus­rei­chend qua­li­fi­ziertes Fach­per­sonal ver­fügen. Für den Fall einer Kün­digung ist eine feste Regelung zur Unter­stützung durch den IT-Partner bei Rück­führung oder Übergabe der IT auf einen neuen Partner zu empfehlen. 

Die Ver­ein­ba­rungen beim IT-Out­­sourcing müssen klar hin­sichtlich Ihrer Ziele defi­niert werden (z.B. Ver­füg­barkeit inkl. Not­fallplan, Daten­schutz, Kos­ten­trans­parenz, Service, etc.). Im IT-Out­­sourcing werden die Rege­lungen meist über Service Level Agree­ments (SLAs) fest gehalten. Nur wenn sämt­liche Kri­terien ein­deutig und ver­traglich doku­men­tiert sind, können Sie im Scha­densfall Ansprüche geltend machen.

Bei der Umsetzung einer Out­­sourcing-Maß­­nahme sind die Mit­ar­beiter früh­zeitig offen und umfassend ein­zu­binden. Nur so können mög­liche Ängsten  und Vor­ur­teile ver­mieden werden, die eine erfolg­reiche Umsetzung gefährden könnten.

Fazit:

IT-Out­­sourcing ist eine Alter­native um Kosten zu mini­mieren und Abläufe zu ver­bessern. Dies trifft meiner Meinung nach vor allem für Unter­nehmen zu, die mehr als 25 Mit­ar­beiter beschäf­tigen und stän­digen Anpas­sungs­pro­zessen aus­ge­setzt sind. IT-Out­­sourcing stellt aber auch eine kom­plexe Aufgabe für die Unter­nehmen dar. Auf der einen Seite stehen die Angst vor Kon­troll­verlust und Abhän­gigkeit von Dritten sowie die Ver­ant­wort­lichkeit für die Ein­haltung von Com­­pliance-Anfor­­de­­rungen. Auf der anderen Seite die Erfor­der­nisse, sich von unnö­tigen „Ballast“ zu befreien, um wett­be­werbs­fähig zu bleiben. Letzt­endlich liegt es beim Unter­nehmen selbst dies abzu­wägen und eine Ent­scheidung zu treffen. Je mehr sich ein Unter­nehmen im Vorfeld mit den Chancen und Risiken eines  IT-Out­­sourcing aus­ein­an­der­setzt und seine sicher­heits­re­le­vanten und geschäfts­kri­ti­schen Vor­gaben dabei ein­be­zieht, umso besser sind die Chancen für eine erfolg­reiche Umsetzung.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Stefan Brandl, DATEV eG

Stefan Brandl ist seit 1994 bei der DATEV eG in Nürnberg tätig. In der Kom­mu­ni­kation und Ver­marktung des Bereichs IT-Lösungen und Security ist er ver­ant­wortlich für den DATEV Sicher­heits­check und DATEV-Ansprech­partner für das Hand­lungs­ver­sprechen „Start­hilfe Sicherheit für den Mit­tel­stand” vom Verein Deutschland sicher in Netz e.V. (DsiN). U.a. ist er Co-Autor der DsiN-Sicher­heits­mo­nitore „Sicher­heitslage im Mit­tel­stand 2011/2012/2013 und 2014”. Seit 2012 betreut er zudem den DsiN-Blog.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.