Sie war der Digitalisierungstreiber schlechthin: Die weltweite Pandemie zwang viele Unternehmen in Europa dazu essentielle IT-Dienste und -Funktionen sprichwörtliche von heute auf morgen auszulagern. Das stellte nicht nur die (Kunden-)Unternehmen vor enormen Herausforderungen, auch IT-Dienstleister mussten sich mit höchster Geschwindigkeit dem enormen Leistungsdruck stellen. Glücklicherweise waren dafür ideale Technologien, wie skalierbare Cloud-Umgebungen, Orchestrierungs- und Automatisierungsmöglichkeiten vorhanden. Noch vor zehn Jahren hätte die Pandemie in dieser Form zu umfassenden, wirtschaftlich kaum erträglichen Konsequenzen geführt. Man könnte glauben mit einem blauen Auge davon gekommen zu sein. Doch die in Kauf genommene Vernachlässigung der Cyber-Security hat Folgen.
Zweifellos: Eine schnelle Erhöhung des Digitalisierungsgrades und der erzwungene Wechsel in die Remote-Arbeit hätte mit der erlebten Geschwindigkeit nicht vollbracht werden können, hätte man daraus aufwändige IT-Projekte mit umfassenden Sicherheitsprüfungen gemacht. Eine pragmatische, risikoorientierte Reaktion auf die Umstände war unumgänglich und unter vielen Gesichtspunkten auch vertretbar. Die Sicherheit darf dennoch nicht zu kurz kommen, „technische Schulden“, sowohl auf der IT-Dienstleister-Seite, als auch auf der Kundenseite müssen nun nachträglich behoben werden. Cyber-Risiken stellen eine der bedeutendsten Risiken für moderne Unternehmen dar.
3rd Party Risk Management
Eine angemessen Dienstleistersteuerung ist tatsächlich kein Hexenwerk. Methoden, Metriken und Mechanismen gibt es schon lange. Der Aufwand kann graduell mit den Anforderungen begrenzt werden. und IT-Dienstleister können mit den Anforderungen der Kunden wachsen. Legt man ein adäquates Risikomanagement zu Grunde und macht man IT-Dienstleister die Erwartungen und Anforderungen transparent, geht die Cyber-Security auch deutlich über die grundlegenden Maßnahmen zur Wahrung des Datenschutzes hinaus. Oft konzentrieren sich IT-Dienstleister ausschließlich auf die juristischen Merkmale des Datenschutzes, doch unabhängig der Branchen erkennen immer mehr Unternehmen, dass dies unzureichend ist. Eine Standardvertragsklausel zur Auftragsverarbeitung (früher Auftragsdatenverarbeitung nach BDSG) kann nie und nimmer ein angemessenes Cyber-Security-Konzept ersetzen.
Auslagerung bedeutet Compliance
So bequem die Nutzung externer IT-Dienstleistungen sich auch darstellt, die (juristische) Verantwortung verbleibt zu einem Großteil weiterhin beim Auftraggeber. IT-Betrieb, Wartungen, Probleme und weitere operative Tätigkeiten verlagern sich selbstverständlich zum gewählten IT-Dienstleister, dieser benötigt jedoch Kenntnisse über die Kundenanforderungen. Gleichgültig ob Datenschutz, Geschäftsgeheimnisschutz oder die simple Aufrechterhaltung kritischer Unternehmensprozesse: Ermöglicht wird all dies (und mehr) durch Informationssicherheit – geeignete Vorgaben und Kontrollen sind elementare Instrumente eines 3rd Party Risk Managements und können Jahr für Jahr verfeinert, angepasst und damit zu einem festen Bestandteil einer Dienstleistersteuerung sein.
Weiterführende Links:
Deutsche Wirtschaft: Corona-Pandemie hat Digitalisierung vorangebracht (rnd.de)