Informationssicherheit / Cloud / Outsourcing

Das Thema Outsourcing ist nicht neu. Auch die Cloud, eine spezielle Form von Outsourcing, ist inzwischen weit verbreitet. Beim Einkauf von Services eines Dienstleisters muss immer die Informationssicherheit im Auge behalten werden. Fast jedes KMU hat einen IT-Dienstleister und fast jedes KMU benutzt einen Cloud-Service (Bsp. E-Mail-System).

Der Gang in die Cloud ist oft schnell erledigt, die Lieferanten und Hersteller machen das Onboarding zum Kinderspiel. Doch bevor man externe Services einkauft und bezieht, sollte man sich einige grundlegende Gedanken dazu machen und sich nicht blauäugig in diese Thematik hineinstürzen. Dabei sollte neben dem häufigsten Faktor "Kosten" die Informationssicherheit nicht vergessen gehen.

Welche Ziele verfolge ich mit dem Outsourcing?

Man muss sich selbst genau im Klaren sein und definieren, was man auslagern will und weshalb. Dabei gibt es verschiedene Motivationen und Ziele für das Outsourcing:

• Konzentration aufs Kerngeschäft
• Kosten / Wirtschaftlichkeit
• Reduktion von Risiken / Compliance-Aufwand bei mir im Unternehmen
• Einkauf fehlendes Know-How / Spezialisten

Wichtig: Nicht das Kerngeschäft auslagern.

Herausforderungen

Beim Outsourcing und der Cloud gibt es einige Herausforderungen.

Wie und welchen Anbieter wähle ich aus?

Eine detaillierte Prüfung oder gar selbst ein Audit bei einem möglichen Anbieter durchzuführen ist für ein KMU nicht praktikabel. Dennoch gibt es Hilfestellungen, welche beigezogen werden können. So können Zertifikate (Bsp. ISO 27001:20xx) eine Quelle sein. Hier immer genau den Scope beachten. Leider gibt es hier sehr offen und breit formulierte Scopes, welche nicht wirklich aussagen, was genau auditiert wurde. Der Scope muss mindestens das beinhalten, was meine Dienstleistung betrifft, den sonst ist das Zertifikat für mich nicht relevant. Relevant ist es nicht nur das Zertifikat anzuschauen, sondern auch die Gültigkeit, das Statement of Applicability zu verlangen und e.v. den letzten Audit-Bericht einzufordern und zu studieren. Bei diesen Berichten gilt es immer zwischen den Zeilen zu lesen, oft ist nicht das, was geschrieben ist das Interessante, sondern eben, dass was nicht geschrieben ist. Unbedingt gilt es auch den Sales-Pitch mit der Realität zu vergleichen und kritisch zu hinterfragen. Referenzen können hier helfen.

Datenschutz

Vor der Auslagerung müssen die gesetzlichen Rahmenbedingungen, welche mein Unternehmen betreffen, analysiert werden. Im Zentrum steht die Frage von Datenschutzvorgaben. Darf ich mit diesen Daten in die Cloud? Und wenn ja, wohin?

Hier gilt es auch immer die Eigentumsverhältnisse des Dienstleisters zu prüfen. Je nach dem kommen hier andere Überlegungen ins Spiel (Bsp. US Cloud Act -> Zugriff auf Daten in der Cloud durch US-Behörden).

Business-Continuity

Ein anderer Indikator, welcher bei der Auswahl helfen kann, ist das Analysieren des letzten grösseren Incidents, welcher beim Dienstleister aufgetreten ist. Wie und wurde transparent kommuniziert? Gibt es Anzeichen von Datenabflüssen? Wie schnell waren die Systeme wieder verfügbar? Ob man diese Informationen bekommt, hängt vom Anbieter ab.

Exit-Strategie

Die Exit-Strategie muss man sich unbedingt vor dem Outsourcing, vor dem Gang in die Cloud überlegen. Wie komme ich wieder weg?

Entweder, weil ich mit der Leistung nicht mehr zufrieden bin oder weil der Dienstleister mir den Vertrag kündigt. Hier gilt es vorab bestimmte Punkte zu beachten. Wie lange sind die Vertragsfristen? In der Regel sind diese immer viel zu kurz. Bsp. 6 Monate reichen in der Regel nicht, um einen neuen Anbieter zu evaluieren, die Migration zu planen, zu testen, die Mitarbeiter zu schulen, etc. Zudem muss vorab definiert werden, was mit meinen Daten nach Vertragsauflösung geschieht.

Kosten / Wirtschaftlichkeit

Oft lockt das Outsourcing mit besserer Wirtschaftlichkeit. Dabei gilt es aber auch die Transitionskosten zum Dienstleister, aber viel wichtiger die Transitionskosten vom Dienstleister weg zu berücksichtigen.

Shared Responsibility bei der Cloud

Je nach Cloud Modell, welches ich beziehe (Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service(SaaS), Function-as-a-Service (FaaS, aka Serverless)), teile ich die einzelnen Verantwortlichkeiten mit dem Anbieter. Hier muss man sich genau im Klaren sein, was ist jetzt wirklich meine Aufgabe und was macht der Dienstleister. Gerade beim Thema Datensicherung, sehen wir hier oft Diskrepanzen zwischen dem Verständnis des Kunden und was der Dienstleister wirklich macht. Die Daten sind in der Cloud, somit gibt es auch ein Backup. Ist das so? Bsp. S3 ist ein Block-Storage, aber gibt es davon wirklich ein Backup?

Risikobetrachtung

Am besten integriert man das Outsourcing / den Gang in die Cloud ins Risikomanagement des Unternehmens. Bestimmte Risiken, können minimiert werden. Es kommen jedoch auch neue Risiken hinzu:

• Konkurs des Dienstleisters
• Dienstleister kann vertraglich zugesicherte Leistungen nicht liefern
• Sanktionierung Dienstleister
• Kontrollverlust
• Vertragskündigung / Exit

Das Outsourcing muss man sich in jedem Fall genau überlegen, den Verantwortung ist nicht delegierbar, auch nicht bei der Informationssicherheit.