Challenges in IT outsourcing

Handelszeitung - 19.05.2022

Effective cyber risk management is part of good corporate governance - even when IT is outsourced.

Article in German

Was macht ein effektives Cyber-Risk-Management aus?

Die  Auslagerung  der  IT  schützt  nicht vor Cyberangriffen. Unternehmen können nach wie vor Opfer von Cyberangriffen werden. Folglich bestehen weiterhin Cyberrisiken, die vom Unternehmen gemanagt werden müssen. Ein effektives Cyber-Risk-Management  berücksichtigt  neben den  Aktivitäten  des  eigenen  Unternehmens auch die Tätigkeit der beauftragten Dienstleister und  stellt  sicher,  dass  die Dienstleister entsprechend einer Risikobeurteilung ausgewählt, instruiert und überwacht werden. Für IT-Dienstleister sollten konkrete  Sicherheitsanforderungen definiert und die Einhaltung  dieser  Sicherheitsanforderungen überwacht werden.

Hohe Anforderungen an das Cyber-Risk-Management.

Die  Anforderungen  an  ein  effektives Cyber-Risk-Management sind hoch. Das Aufgabengebiet  ist  komplex und ändert sich mit dem Technologiefortschritt stetig. Es benötigt deshalb qualifizierte Mitarbeitende mit einem ausreichenden IT-Know-how. Viele Unternehmen  haben  bereits lokale Information Security Officer. Kleinere Unternehmen können Outsourcing nutzen, um das IT-Know-how bei Bedarf beizuziehen.

Gibt es gesetzliche Mindestsicherheitsanforderungen für IT-Dienstleister?

Für IT-Dienstleister gibt es keine spezifischen Zulassungskriterien und keine verpflichtende Prüfung zur Cybersicherheit. IT-Dienstleister benötigen auch keine staatliche Zulassung, um ihre Dienste regulierten Unternehmen, wie zum Beispiel Banken oder Versicherungen, anzubieten. Jedes auslagernde Unternehmen muss seine IT-Risiken selbst analysieren und  entscheiden, ob der gewählte IT-Dienstleister sicher genug ist, um mit ihm Daten über ein öffentliches Netz auszutauschen und um diesen mit der Verwaltung vertraulicher Daten zu betrauen.

Kann man sich bei der Definition von Sicherheitsanforderungen an Standards orientieren?

Auslagernde  Unternehmen  können sich beim Cyberrisikomanagement an Industriestandards  orientieren,  zum  Beispiel am Cybersecurity Framework des US National Institute of Standards and Technology (NIST). Für einige Unternehmen gibt es gesetzliche beziehungsweise aufsichtsrechtliche  Vorgaben  zur  Cybersicherheit.  Diese  Vorgaben  sind  primär von den betroffenen Unternehmen (zum Beispiel Banken) einzuhalten, können jedoch auch von anderen Unternehmen berücksichtigt werden. Eine freiwillige Berücksichtigung kann sinnvoll sein, um von Erfahrungen zu profitieren.

Mittlerweile gibt es auch eine verstärkte öffentlich-private Zusammenarbeit im Bereich Cybersicherheit. In der Schweiz wurde beispielsweise kürzlich der Verein Swiss Financial Sector Cyber Security Centre  gegründet. Der Verein hat zum Ziel,  die Zusammenarbeit  zwischen Finanzinstituten und Behörden im Kampf gegen Cyberbedrohungen zu  stärken und die Widerstandsfähigkeit des Finanzsektors zu erhöhen.

Wie kann man die Einhaltung von Sicherheitsanforderungen bei einem IT-Dienstleister überwachen?

Für die Überwachung von Dienstleistern können zum Beispiel eigene «On-Site Visits» beim Dienstleister durchgeführt werden. Alternativ kann die Überwachung anhand  von  Kontrollberichten  erfolgen. Eine Herausforderung ist, dass die ausgelagerte IT-Infrastruktur und die Services immer komplexer werden. Vermehrt wird beim  IT-Outsourcing  mit  Subdienstleistern gearbeitet. Die gesamte Kette der Auslagerung ist möglicherweise nicht leicht nachvollziehbar. Zudem bestehen gegebenenfalls  keine  vertraglichen  Rechte, um selbst eigene Prüfungen bei Subdienstleistern vornehmen zu können.

Immer  mehr  Dienstleister  erstellen deshalb Kontrollberichte, die von auslagernden Unternehmen zur Überwachung genutzt werden können. Hierbei handelt es sich um formelle  Berichte von Wirtschaftsprüfern nach  international anerkannten Assurance-Standards. Solche Berichte berücksichtigen auch wesentliche Subdienstleister. Bekannt sind insbesondere die europäischen Berichte ISAE 3402 und  ISAE  3000 und die amerikanischen Berichte SOC 1 und SOC 2.

Kontrollberichte können die Überwachung von IT-Dienstleistern erleichtern. Allerdings müssen diese Berichte auch gelesen und inhaltlich gewürdigt werden. Die Tatsache, dass beim Dienstleister eine Prüfung stattgefunden hat, ist noch kein Nachweis, dass die Prüfung auch erfolgreich war und der Dienstleister die an ihn gestellten Sicherheitsanforderungen erfüllt. Etwaige Fragen aus der Durchsicht des Kontrollberichts sollten mit dem Dienstleister besprochen werden. Viele Dienstleister bieten entsprechende Gesprächstermine zur Klärung von Fragen an.

Want to know more?