Veröffentlicht am: 12. März 2025
Autor: Thomas Federer
Das Thema Outsourcing ist nicht neu. Auch die Cloud, eine spezielle Form von Outsourcing, ist inzwischen weit verbreitet. Beim Einkauf von Services eines Dienstleisters muss immer die Informationssicherheit im Auge behalten werden. Fast jedes KMU hat einen IT-Dienstleister und fast jedes KMU benutzt einen Cloud-Service (Bsp. E-Mail-System).
Der Gang in die Cloud ist oft schnell erledigt, die Lieferanten und Hersteller machen das Onboarding zum Kinderspiel. Doch bevor man externe Services einkauft und bezieht, sollte man sich einige grundlegende Gedanken dazu machen und sich nicht blauäugig in diese Thematik hineinstürzen. Dabei sollte neben dem häufigsten Faktor "Kosten" die Informationssicherheit nicht vergessen gehen.
Man muss sich selbst genau im Klaren sein und definieren, was man auslagern will und weshalb. Dabei gibt es verschiedene Motivationen und Ziele für das Outsourcing:
Wichtig: Nicht das Kerngeschäft auslagern.
Beim Outsourcing und der Cloud gibt es einige Herausforderungen.
Eine detaillierte Prüfung oder gar selbst ein Audit bei einem möglichen Anbieter durchzuführen ist für ein KMU nicht praktikabel. Dennoch gibt es Hilfestellungen, welche beigezogen werden können. So können Zertifikate (Bsp. ISO 27001:20xx) eine Quelle sein. Hier immer genau den Scope beachten. Leider gibt es hier sehr offen und breit formulierte Scopes, welche nicht wirklich aussagen, was genau auditiert wurde. Der Scope muss mindestens das beinhalten, was meine Dienstleistung betrifft, den sonst ist das Zertifikat für mich nicht relevant. Relevant ist es nicht nur das Zertifikat anzuschauen, sondern auch die Gültigkeit, das Statement of Applicability zu verlangen und e.v. den letzten Audit-Bericht einzufordern und zu studieren. Bei diesen Berichten gilt es immer zwischen den Zeilen zu lesen, oft ist nicht das, was geschrieben ist das Interessante, sondern eben, dass was nicht geschrieben ist. Unbedingt gilt es auch den Sales-Pitch mit der Realität zu vergleichen und kritisch zu hinterfragen. Referenzen können hier helfen.
Vor der Auslagerung müssen die gesetzlichen Rahmenbedingungen, welche mein Unternehmen betreffen, analysiert werden. Im Zentrum steht die Frage von Datenschutzvorgaben. Darf ich mit diesen Daten in die Cloud? Und wenn ja, wohin?
Hier gilt es auch immer die Eigentumsverhältnisse des Dienstleisters zu prüfen. Je nach dem kommen hier andere Überlegungen ins Spiel (Bsp. US Cloud Act -> Zugriff auf Daten in der Cloud durch US-Behörden).
Ein anderer Indikator, welcher bei der Auswahl helfen kann, ist das Analysieren des letzten grösseren Incidents, welcher beim Dienstleister aufgetreten ist. Wie und wurde transparent kommuniziert? Gibt es Anzeichen von Datenabflüssen? Wie schnell waren die Systeme wieder verfügbar? Ob man diese Informationen bekommt, hängt vom Anbieter ab.
Die Exit-Strategie muss man sich unbedingt vor dem Outsourcing, vor dem Gang in die Cloud überlegen. Wie komme ich wieder weg?
Entweder, weil ich mit der Leistung nicht mehr zufrieden bin oder weil der Dienstleister mir den Vertrag kündigt. Hier gilt es vorab bestimmte Punkte zu beachten. Wie lange sind die Vertragsfristen? In der Regel sind diese immer viel zu kurz. Bsp. 6 Monate reichen in der Regel nicht, um einen neuen Anbieter zu evaluieren, die Migration zu planen, zu testen, die Mitarbeiter zu schulen, etc. Zudem muss vorab definiert werden, was mit meinen Daten nach Vertragsauflösung geschieht.
Oft lockt das Outsourcing mit besserer Wirtschaftlichkeit. Dabei gilt es aber auch die Transitionskosten zum Dienstleister, aber viel wichtiger die Transitionskosten vom Dienstleister weg zu berücksichtigen.
Je nach Cloud Modell, welches ich beziehe (Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service(SaaS), Function-as-a-Service (FaaS, aka Serverless)), teile ich die einzelnen Verantwortlichkeiten mit dem Anbieter. Hier muss man sich genau im Klaren sein, was ist jetzt wirklich meine Aufgabe und was macht der Dienstleister. Gerade beim Thema Datensicherung, sehen wir hier oft Diskrepanzen zwischen dem Verständnis des Kunden und was der Dienstleister wirklich macht. Die Daten sind in der Cloud, somit gibt es auch ein Backup. Ist das so? Bsp. S3 ist ein Block-Storage, aber gibt es davon wirklich ein Backup?
Am besten integriert man das Outsourcing / den Gang in die Cloud ins Risikomanagement des Unternehmens. Bestimmte Risiken, können minimiert werden. Es kommen jedoch auch neue Risiken hinzu:
Das Outsourcing muss man sich in jedem Fall genau überlegen, den Verantwortung ist nicht delegierbar, auch nicht bei der Informationssicherheit.
Haben Sie Fragen zu Outsourcing, der Auswahl eines Cloud-Anbieters oder eines IT-Dienstleisters?
Folgende Blog-Beiträge könnten Sie interessieren:
Ein 8-stelliges Passwort mit Nummern, Gross- und Kleinbuchstaben und Sonderzeichen kann in unter einer Stunde geknackt werden.
Quelle: Hive Systems
X
Haben Sie Fragen zu Outsourcing, der Auswahl eines Cloud-Anbieters oder eines IT-Dienstleisters?
Kontaktieren Sie uns unverbindlich:
Kathrin Müller freut sich auf Ihre Kontaktaufnahme und organisiert je nach Bedürfnis gerne ein Meeting.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon
Impressum| Datenschutz| © Codepurple 2025. Alle Rechte vorbehalten