Auslagern? Aber sicher! - Bei der Outsourcing-Planung die Datensicherheit im Auge behalten

Auslagern? Aber sicher! - Bei der Outsourcing- Planung die Datensicherheit im Auge behalten Vorsorge ist besser als Nachsicht. Wer schon bei der Outsourcing- Planung die Datensicherheit im Auge behält, kann sein Unternehmen vor bösen Überraschungen bewahren Von Olaf Siemens, Leiter Research und Development, Utimaco – The Data Security Company Wie genau nehmen es Mitarbeiter in ausgelagerten Firmenbereichen eigentlich mit der Datensicherheit? Und was passiert, wenn der freie Mitarbeiter beim Outsourcing-Partner auf die Idee kommt, brisante Firmendaten an die Konkurrenz zu verscherbeln? In firmeneigenen Büros lässt sich die Datensicherheit mit Zugangskontrollen regulieren: Wer keinen Zugriff zu vertraulichen Daten haben soll, wird ausgesperrt. Doch wenn es um das Auslagern von ausgewählten Unternehmensbereichen geht, treten die Sicherheitsrisiken bei vielen Firmen erst einmal in den Hintergrund und tauchen erst dann wieder auf, wenn der Vertrag mit den ausgelagerten Services schon unter Dach und Fach ist. Doppelt hält besser: Organisatorische und technische Absicherung Das Thema Datensicherheit gehört also schon zu Beginn der Outsourcing- Verhandlungen auf die Agenda. Unterschieden werden kann hier zwischen der organisatorischen und der technischen Absicherung. Erstere regelt vertraglich, wie mit sensiblen Daten umgegangen werden muss und welche Strafen im Schadensfall oder bei Vertrauensbruch anstehen. Darüber hinaus werden häufig besonders kritische Informationen wie Finanzdaten gar nicht erst ausgelagert. Der technische Schutz ist beim Einsatz einer qualitativ hochwertigen Verschlüsselungssoftware aber gewährleistet. Hierdurch behält ein Unternehmen die Schlüsselhoheit und somit die Kontrolle über den Inhalt und die Verwendung seiner Daten. Denn Vorsorge liegt im Sinne von Outsourcer und Dienstleister: Sickern doch einmal brisante Daten nach außen, kann über das Auditing-Login nachgewiesen werden, wer wann auf welche Daten Zugriff hatte, oder dass die Daten für bestimmte Personen nie zugänglich waren. In punkto Datensicherheit liegt Indien noch im Dornröschenschlaf Wahre Schauergeschichten über Verstöße gegen die Datensicherheit lassen sich vor allem und immer wieder aus dem Outsourcing-Mekka Indien vernehmen. Für das kommende Jahr erwarten die indischen Marktforscher der National Association of Software and Service Companies zwar ein Wachstum von 27 bis 30 Prozent auf 29 bis 31 Milliarden Dollar. Die Kehrseite der Medaille ist aber, dass die Themen Sicherheit und Datenschutz für viele indische IT-Firmen Fremdworte sind. Die kürzlich veröffentlichte internationale Studie „The Global State of Information Security“ kommt sogar zu dem Ergebnis, dass es in jedem fünften Unternehmen auf dem Subkontinent bereits zu Betrug oder dem Diebstahl geistigen Eigentums gekommen ist. Diese Szenarien führen zu dem Schluss: Drum prüfe, wer sich an einen Outsourcingpartner bindet! Sicherheitsthemen bei der Planung nicht vergessen! Doch auch in Europa steht die Auslagerung von Geschäfts- oder IT- Prozessen vielerorts unter keinem guten Sicherheitsstern. So musste das britische Scotland Yard erst Mitte November einräumen, über einen Dienstleister drei Laptops mit Gehälterdaten verloren zu haben. In Österreich ersteigerte Mitte 2006 ein Journalist eine formatierte und entsorgte Festplatte des Technologieministeriums im Internet – vertrauliche Finanzdaten konnten rekonstruiert werden. Theoretisch starten viele Outsourcing-Projekte zwar mit der Vorgabe, dass nur „geschäftsunkritische“ Daten ausgelagert werden dürften. Doch in der Praxis stellt sich oftmals heraus: Jede Fachabteilung beurteilt die eigenen Dokumente als wichtig und schützenswert. Fast alle Daten können zum Nachteil der Organisation verwendet werden oder zu großem finanziellen Schaden führen, wenn sie in die falschen Hände fallen. Bei vielen Outsourcing-Projekten werden Sicherheitsaspekte jedoch aufgrund des Kostendrucks ignoriert. Hochverfügbarkeit, Redundanz, Kosteneffizienz, Stromversorgung und andere Themen stehen als erstes im Zentrum des Interesses. Eine effektive Verschlüsselungssoftware kann die Spirale der Befürchtungen und Bedenken schon zu Beginn der Outsourcingpläne stoppen: Das eigene Unternehmen behält von Anfang an die volle Kontrolle und entscheidet, wer was sehen darf. Worauf ist bei der Auswahl zu achten? Kryptografie muss sicher sein und sollte auf anerkannten, erprobten und harten Verschlüsselungsalgorithmen wie AES beruhen, dem derzeit gängigsten Algorithmus. Des Weiteren sollten keine bekannten Angriffe auf den Algorithmus existieren und die Schlüssellängen sollten groß genug sein, damit Daten nicht durch Brute Force Angriffe eingesehen werden können. Die Mindestlänge für Schlüssel ist größer als 100bit. Der AES mit bis zu 256bit bietet aufgrund seiner Schlüssellänge noch für lange Zeit ausreichend Sicherheit. Nach Möglichkeit sollte eine Verschlüsselungslösung mit zertifikatsbasierender Authentisierung arbeiten, besser noch mit Chipkarten oder mit vergleichbar sicheren USB- Token. Bei der Nutzung von Passwort-basierender Authentisierung ist darauf zu achten, dass die Software Angriffen wie Dictionary Attacks vorbeugt. Unbefugte Nutzer sitzen vor dem Datensalat Teilweise wird sogar die gesamte Systemadministration ausgelagert. Bei Backups oder anderen typisch administrativen Vorgängen ist zwar ein physischer jedoch kein logischer Datenzugang nötig und möglich. Markterprobte Sicherheitslösungen gewähren den Netzwerk-Administratoren – egal ob im eigenen Unternehmen oder beim ausgelagerten Dienstleister – keinen Zugriff auf brisante Informationen. Sie sehen lediglich einen verschlüsselten „Datensalat“ auf dem Bildschirm. Die Infrastruktur kann jedoch uneingeschränkt, effizient und kostengünstig verwaltet werden. Des Weiteren ist zu beachten, dass Backups aus gesetzlichen Gründen oft jahrelang aufgehoben werden müssen. Bei einigen Sicherheitslösungen befinden sich die Verschlüsselungsinformationen zumeist in einer versteckten Datei, dem so genannten Envelope, der an einer anderen Stelle im System abgelegt ist. Dieser Envelope muss beim Backup mitgesichert werden, damit keine wertvollen Informationen über verschlüsselte Dateien verloren gehen. Im schlimmsten Fall können die Dateien nie wieder entschlüsselt werden, da der passende Schlüssel beim Backup verloren gegangen ist. Diesem Problem wirken Verschlüsselungslösungen entgegen, die mit einem File-Header- Konzept arbeiten. Diese Kryptographie-Software hängt vor die verschlüsselten Daten einen Header, der als lesbaren Text wichtige Verschlüsselungsinformationen zur entsprechenden Datei enthält. Transparenz und Effektivität sind das A und O Ein Verschlüsselungsprodukt muss transparent für den Benutzer sein, das heißt er muss selbst keine Handlungen ausführen. Die Verschlüsselung geschieht automatisch und nach vorgegebenen Regeln. Der ausgelagerte Dienstleister und der Outsourcer müssen die Infrastruktur ungehindert und unbeschränkt administrieren können. Hochwertige Verschlüsselungslösungen helfen, diese Vorgaben übersichtlich und effektiv zu realisieren. Empfehlenswert ist darüber hinaus eine Trennung der Sicherheits- und Speicherfunktionen. Der Security Officer setzt hier unabhängig von der Datenspeicherung die Sicherheitsrichtlinien der Organisation um. Somit entspricht er voll den Sicherheitsanforderungen beim Outsourcing. Nach Möglichkeit soll die Software Gewaltenteilung von IT- und Security- Administration unterstützen, damit gewährleistet wird, dass nur befugte Personen Zugriff auf bestimmte Daten haben. Integrierte IT- Sicherheitskonzepte gepaart mit professionellen und umfassenden Sicherheitslösungen ermöglichen die Sicherung aller Daten entlang ihres Lebenszyklus – beim Speichern, bei der Übertragung und während der Bearbeitung – sowie eine gruppenbezogene und individuelle Verschlüsselung. Wer diese Überlegungen schon in die Planung mit einbezieht, stellt das Auslagerungsprojekt auf ein solides und sicheres Fundament.