Risikokontrolle beim Outsourcing

Ordnungsmerkmale

erschienen in: <kes> 2003^#4, Seite 71

Zusammenfassung: IT-Outsourcing-Projekte bergen neben den erhofften Vorteilen für ein Unternehmen zahlreiche Unsicherheiten. Eine Partnerschaft sollte daher sowohl im Vorfeld genau geprüft als auch während der Vertragslaufzeit regelmäßig kontrolliert werden. Ein interner oder externer IT-Revisor kann dabei dem Management zur Seite stehen.

Wenn ein externer Partner Zugriff auf hochsensitive Daten hat und gleichzeitig das Unternehmen in gewisser Weise abhängig vom Outsourcing-Anbieter ist, dann gilt in besonderem Maße "Vertrauen ist gut, Kontrolle ist besser". Wesentliche Komponente beim Outsourcing-Projekt ist die detaillierte Vertragsgestaltung, in der Regel in Form eines Service Level Agreements (SLA). Dieses enthält alle Leistungsmerkmale bezüglich der Qualität und Quantität der Leistungserbringung. Rechte und Pflichten der Vertragsparteien müssen klar aus dem Vertrag hervorgehen. Weitere wichtige Bestandteile sind die Entlohnung, Kündigungsfristen sowie Schadensersatz und gegebenenfalls Konventionalstrafen. Das Angebot sollte zudem auf versteckte Kosten untersucht werden.

Je nach Ausmaß des Projekts sollte sich der Auftraggeber aber auch vertraglich zusichern lassen, in regelmäßigen Abständen eine IT-Revision beim externen Leistungserbringer durchführen zu dürfen. Auf diese Weise lässt sich objektiv überprüfen, ob vertraglich vereinbarte Leistungs-, Qualitäts- und Sicherheitsstandards eingehalten werden. Zur Vertragspflege und als Ansprechpartner für den externen Partner ist ein verantwortlicher Mitarbeiter zu benennen. Diesem obliegt das Aushandeln der Bedingungen und ihre Aktualisierung. Darüber hinaus muss er die Konformität der erbrachten Leistung mit der Spezifikation überwachen und bei Bedarf Sanktionen einleiten.

Man sollte bereits im Vorfeld einen genauen Blick auf die Leistungsqualität und die Referenzen eines Outsourcing-Anbieters werfen. Im Idealfall machen sich Management und IT-Revision gemeinsam vor Ort ein Bild von den vorhandenen Kompetenzen. Um zu gewährleisten, dass die versprochene Leistung auch tatsächlich im vereinbarten Umfang erbracht werden kann, ist zusätzlich die Leistungskapazität des potenziellen Outsourcing-Partners zu überprüfen.

Besonders sensitive Punkte im Rahmen von Outsourcing-Projekten sind IT-Sicherheit und Datenschutz. Nach einer Studie von Forrester Research planen immer mehr Unternehmen, ihre IT-Sicherheit auszulagern. Der Markt für Managed IT-Security wächst danach von derzeit 0,96 Mrd. € auf prognostizierte 4,6 Mrd. € im Jahr 2008.

Unternehmen und Outsourcing-Partner sollten sich unbedingt auf gemeinsame Sicherheitsstandards einigen und vertraglich eine für beide Seiten verbindliche Sicherheits-Policy festlegen. Als Standardwerke für die Entwicklung einer solchen Vereinbarung können die Control Objectives for Information and related Technology (COBIT), der britische Code of Practise for Information Security Management (BS 7799) oder das Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) hinzugezogen werden. Zur Sicherheits-Policy gehört auch eine geeignete Katastrophen-Vorsorge beim Outsourcing-Anbieter, der unter anderem durch Alarm-Konzepte und Hardware-Backups sicherstellen muss, die vereinbarte Leistung kontinuierlich liefern zu können. Hinzu kommen detaillierte Vereinbarungen zum Datenschutz und über Zugangsregelungen zu sensitiven Daten.

Und auch bei einer gut laufenden Outsourcing-Partnerschaft sollte man stets auf ein vorzeitiges Ende der Geschäftsbeziehungen vorbereitet sein: Ein regelmäßig aktualisierter Wiederaufnahme-Plan und ein gut geführtes Archiv mit Software-Kopien, Lizenzen und einer möglichst lückenlosen Dokumentation sorgen auch in unerwarteten Situationen für einen reibungslosen Ablauf der Unternehmens-IT. (Oliver Bükow)

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2003^#4, Seite 71