Security-Tipps vom Managed-Hosting-Anbieter Acht Grundregeln für Daten- und IT-Sicherheit beim Outsourcing

Redakteur: Stephan Augsten

Angesichts der aktuellen Wirtschaftslage kann es sich für Unternehmen auszahlen, bestimmte Bereiche der IT auszulagern. Gleichzeitig profitiert der Auftraggeber vom Know-how des Dienstleisters. Doch bei allen Vorteilen darf die IT-Sicherheit nicht zu kurz kommen. Deshalb nennt der Managed-Hosting-Anbieter NTT Europe Online acht Grundregeln für erfolgreiche Outsourcing-Projekte.

Firmen zum Thema

Das Auslagern bestimmter IT-Aufgaben erfordert ein stimmiges Sicherheitskonzept seitens Auftraggeber und Dienstleister.
Das Auslagern bestimmter IT-Aufgaben erfordert ein stimmiges Sicherheitskonzept seitens Auftraggeber und Dienstleister.
( Archiv: Vogel Business Media )

Entscheidet sich ein Unternehmen aufgrund von Kostenvorteilen oder aus anderen Gründen dafür, bestimmte IT-Bereiche auszulagern, sollte eines klar sein: Kosteneinsparungen sind nicht alles. Nur ein zuverlässiger und vertrauenswürdiger Managed-Hosting-Anbieter sollte bestimmte IT-Aufgaben wie den Betrieb des E-Mail-Systems übertragen bekommen.

Bedenken hinsichtlich der Verfügbarkeit und Performance einer Outsourcing-Lösung sind mittlerweile weitestgehend ausgeräumt. Denn Rechenleistung und Speicherkapazität stellen heutzutage kein Problem mehr dar. Über Sicherheitsfragen wird dagegen immer wieder diskutiert.

Insbesondere stellt sich bei der IT-Sicherheit zunächst einmal die Frage, ob das Outsourcing tatsächlich einen Sicherheitszuwachs oder doch eher weitere Gefahren mit sich bringt. Oliver Harmel, Sales und Marketing Direktor Central Europe bei NTT Europe Online in Frankfurt/Main, stellt in diesem Zusammenhang fest. „Wer klar strukturierte Sicherheitsprozesse implementiert, erreicht bei der Auslagerung von Applikationen ein höheres Maß an Security, als dies mit internen Mitteln möglich ist.“

Erfolgreiche Projekte zeichnen sich also dadurch aus, dass Auftraggeber und Managed-Hosting-Provider bestimmte Grundregeln der IT-Sicherheit einhalten. NTT Europe Online nennt insgesamt acht Punkte, die es beim Outsourcing zu beachten gilt.

Seite 2: Security-Grundregeln – Von der Daten- bis zur Prozess-Sicherheit

Security-Grundregeln – Von der Daten- bis zur Prozess-Sicherheit

Die acht Grundregeln für Sicherheit beim Managed Hosting lauten:

1. Schlüssiger IT-Sicherheitsplan: Sowohl der Auftraggeber als auch der Managed-Hosting-Provider müssen für ihre jeweiligen Bereiche ein IT-Sicherheitskonzept formulieren und umsetzen. Bei dem Unternehmen, das IT-Aufgaben auslagert, muss es klare Sicherheitsvorschriften dafür geben, wer intern welche Daten lesen, ändern und nach außen verschicken darf. Komplett wird IT-Security erst durch einen Plan, der die Konzepte von Auftraggeber und Managed-Hosting-Provider zusammenführt.

2. Lückenlose Sicherheit in der Prozesskette: Die gesamte Prozesskette des Datenaustausches vom Kunden bis zum Managed-Hosting-Provider muss klar strukturiert und perfekt organisiert sein, weil auch kleinste Schwachstellen in den komplexen Abläufen zum GAU führen können.

3. Verschlüsselung der Daten: Auf technischer Ebene müssen die Daten auf dem gesamten Weg verschlüsselt sein. Nur der Absender beim Auftraggeber und der berechtigte Empfänger (der Kunde oder Lieferant des Unternehmens) dürfen Daten im Klartext zu Gesicht bekommen.

4. Sicherheit der Prozessorganisation: Es muss sichergestellt sein, dass auch mit den verschlüsselten Daten nur autorisiertes Personal in Kontakt kommt – unabhängig davon, auf welchem Wege der Datentransport erfolgt. Auch innerhalb des Rechenzentrums und auf den Servern des Managed-Hosting-Providers müssen die Daten immer verschlüsselt sein.

5. Zugriffsrechte für Daten und Systeme: Der Auftraggeber muss festlegen, welche Zugriffsrechte auf die Daten er einem Managed-Hosting-Provider einräumt. Dazu gehört beispielsweise, dass die Mitarbeiter im Rechenzentrum des Managed-Hosting-Providers die Daten auf keinen Fall unbefugt an Dritte weiterleiten können. Um dies zu verhindern, muss der Managed-Hosting-Provider entsprechende Sicherheitsmaßnahmen implementieren.

6. Physische Datensicherheit: Der Managed-Hosting-Provider ist für die physische Sicherheit der Daten seiner Kunden im Rechenzentrum verantwortlich. Er muss leistungsstarke Security- und Versorgungssysteme aufbauen, um die Daten der Kunden gegen physische Einflüsse wie Feuer oder Wasser zu schützen. Erforderlich sind neben einer regelmäßigen Datensicherung auch strenge Zugangskontrollen und diverse Alarmeinrichtungen.

7. Sicherheitszertifikate: Der Managed-Hosting-Provider muss für alle Sicherheitsanforderungen qualifiziert sein und diese auch mit einem Zertifikat wie bspw. ISO 27001 für Informationssicherheits-Management nachweisen. Werden gar vertrauliche Kreditkartendaten verarbeitet, wird auch die Unterstützung des Payment Card Industry Data Security Standards (PCI DSS) zunehmend wichtiger. PCI ist für alle Handelsunternehmen und Dienstleister relevant, die Kreditkarten-Transaktionen übermitteln, abwickeln und speichern. Was Sicherheitszertifikate angeht, muss der Managed-Hosting-Provider ein überprüfbares Qualitäts- und Sicherheitsmanagement eingeführt haben und sich jährlich rezertifizieren lassen.

8. Kontinuierliche Überprüfung der Security-Maßnahmen: Die Erstellung von IT-Sicherheitsanforderungen ist ein iterativer Prozess, dessen Wirksamkeit in regelmäßigen Abständen - mindestens ein bis zwei Mal pro Jahr - überprüft werden muss. Strukturierte Prozesse, klare Verantwortlichkeiten und die Fähigkeit, sich rasch an neue Sicherheitsanforderungen anpassen zu können, sind für Managed-Hosting-Provider ein absolutes Muss.

(ID:2042376)