Challenges in IT outsourcing
Effective cyber risk management is part of good corporate governance - even when IT is outsourced.
Article in German
Was macht ein effektives Cyber-Risk-Management aus?
Die Auslagerung der IT schützt nicht vor Cyberangriffen. Unternehmen können nach wie vor Opfer von Cyberangriffen werden. Folglich bestehen weiterhin Cyberrisiken, die vom Unternehmen gemanagt werden müssen. Ein effektives Cyber-Risk-Management berücksichtigt neben den Aktivitäten des eigenen Unternehmens auch die Tätigkeit der beauftragten Dienstleister und stellt sicher, dass die Dienstleister entsprechend einer Risikobeurteilung ausgewählt, instruiert und überwacht werden. Für IT-Dienstleister sollten konkrete Sicherheitsanforderungen definiert und die Einhaltung dieser Sicherheitsanforderungen überwacht werden.
Hohe Anforderungen an das Cyber-Risk-Management.
Die Anforderungen an ein effektives Cyber-Risk-Management sind hoch. Das Aufgabengebiet ist komplex und ändert sich mit dem Technologiefortschritt stetig. Es benötigt deshalb qualifizierte Mitarbeitende mit einem ausreichenden IT-Know-how. Viele Unternehmen haben bereits lokale Information Security Officer. Kleinere Unternehmen können Outsourcing nutzen, um das IT-Know-how bei Bedarf beizuziehen.
Gibt es gesetzliche Mindestsicherheitsanforderungen für IT-Dienstleister?
Für IT-Dienstleister gibt es keine spezifischen Zulassungskriterien und keine verpflichtende Prüfung zur Cybersicherheit. IT-Dienstleister benötigen auch keine staatliche Zulassung, um ihre Dienste regulierten Unternehmen, wie zum Beispiel Banken oder Versicherungen, anzubieten. Jedes auslagernde Unternehmen muss seine IT-Risiken selbst analysieren und entscheiden, ob der gewählte IT-Dienstleister sicher genug ist, um mit ihm Daten über ein öffentliches Netz auszutauschen und um diesen mit der Verwaltung vertraulicher Daten zu betrauen.
Kann man sich bei der Definition von Sicherheitsanforderungen an Standards orientieren?
Auslagernde Unternehmen können sich beim Cyberrisikomanagement an Industriestandards orientieren, zum Beispiel am Cybersecurity Framework des US National Institute of Standards and Technology (NIST). Für einige Unternehmen gibt es gesetzliche beziehungsweise aufsichtsrechtliche Vorgaben zur Cybersicherheit. Diese Vorgaben sind primär von den betroffenen Unternehmen (zum Beispiel Banken) einzuhalten, können jedoch auch von anderen Unternehmen berücksichtigt werden. Eine freiwillige Berücksichtigung kann sinnvoll sein, um von Erfahrungen zu profitieren.
Mittlerweile gibt es auch eine verstärkte öffentlich-private Zusammenarbeit im Bereich Cybersicherheit. In der Schweiz wurde beispielsweise kürzlich der Verein Swiss Financial Sector Cyber Security Centre gegründet. Der Verein hat zum Ziel, die Zusammenarbeit zwischen Finanzinstituten und Behörden im Kampf gegen Cyberbedrohungen zu stärken und die Widerstandsfähigkeit des Finanzsektors zu erhöhen.
Wie kann man die Einhaltung von Sicherheitsanforderungen bei einem IT-Dienstleister überwachen?
Für die Überwachung von Dienstleistern können zum Beispiel eigene «On-Site Visits» beim Dienstleister durchgeführt werden. Alternativ kann die Überwachung anhand von Kontrollberichten erfolgen. Eine Herausforderung ist, dass die ausgelagerte IT-Infrastruktur und die Services immer komplexer werden. Vermehrt wird beim IT-Outsourcing mit Subdienstleistern gearbeitet. Die gesamte Kette der Auslagerung ist möglicherweise nicht leicht nachvollziehbar. Zudem bestehen gegebenenfalls keine vertraglichen Rechte, um selbst eigene Prüfungen bei Subdienstleistern vornehmen zu können.
Immer mehr Dienstleister erstellen deshalb Kontrollberichte, die von auslagernden Unternehmen zur Überwachung genutzt werden können. Hierbei handelt es sich um formelle Berichte von Wirtschaftsprüfern nach international anerkannten Assurance-Standards. Solche Berichte berücksichtigen auch wesentliche Subdienstleister. Bekannt sind insbesondere die europäischen Berichte ISAE 3402 und ISAE 3000 und die amerikanischen Berichte SOC 1 und SOC 2.
Kontrollberichte können die Überwachung von IT-Dienstleistern erleichtern. Allerdings müssen diese Berichte auch gelesen und inhaltlich gewürdigt werden. Die Tatsache, dass beim Dienstleister eine Prüfung stattgefunden hat, ist noch kein Nachweis, dass die Prüfung auch erfolgreich war und der Dienstleister die an ihn gestellten Sicherheitsanforderungen erfüllt. Etwaige Fragen aus der Durchsicht des Kontrollberichts sollten mit dem Dienstleister besprochen werden. Viele Dienstleister bieten entsprechende Gesprächstermine zur Klärung von Fragen an.