Vertraulichkeitsvereinbarungen mit externen Dienstleistern gibt es bei 55 Prozent der Unternehmen, aber 40 Prozent haben keine Informationssicherheitsvereinbarungen. Sicherheitsvorkehrungen im Outsourcing-Umfeld werden von 33 Prozent nur unregelmäßig durchgeführt oder überwacht.
Im sensiblen Bereich, wie im Outsourcing von Dienstleistungen, mangelt es vielfach an soliden Vereinbarungen im Vertragsbereich. Zu diesem Ergebnis kommt eine aktuelle Befragung zum Thema „Informationssicherheitsvereinbarungen in Outsourcing- und Dienstleisterverträgen“ des Beratungsunternehmens RÜHLCONSULTING. Nur sechs Personen gaben demnach an, dass es in ihrem Unternehmen keine Form des Outsourcings gibt. Alle anderen Unternehmen betreiben Outsourcing, bei dem schützenswerte Informationen ausgetauscht werden. Hierzu gehören unter anderem personenbezogene Daten (31 Prozent) oder Produktinformationen (23 Prozent). Hinzu kommen beispielsweise Finanzdaten des Unternehmens (16 Prozent) sowie Ergebnisse aus Forschung und Entwicklung mit 13 Prozent. „Somit ist Outsourcing fester Bestandteil der Mehrheit der befragten Unternehmen“, erklärt Uwe Rühl, Geschäftsführer von RÜHLCONSULTING und Initiator der Befragung.
Die Befragung kommt zu dem Ergebnis, dass 55 Prozent der teilnehmenden Unternehmen Vertraulichkeitsvereinbarungen mit externen Dienstleistern festlegen, aber nur etwas mehr als neun Prozent vertragliche Verschwiegenheitsverpflichtungen als Anforderungen bei Outsourcing-Projekten nennen. Zudem vereinbaren lediglich zehn Prozent der Teilnehmer konkrete Maßnahmen zum Schutz der ausgetauschten Informationen mit den Outsourcing-Partnern. 40 Prozent der Befragten vereinbaren überhaupt keine Maßnahmen. Andere nutzen zumindest Service-Level-Agreements oder definieren ihre Maßnahmen frei. Die Befragung zeigt, dass die Unternehmen überwiegend eine zu passive Haltung einnehmen, wenn es um die Überwachung der Einhaltung von Informationssicherheitsvereinbarungen geht. „In diesem Kontext besteht die Gefahr, dass wesentliche Maßnahmenvereinbarungen nicht getroffen und deshalb wichtige Maßnahmen zum Schutz der Informationen nicht ergriffen werden“, warnt Uwe Rühl. Gleiches zähle seiner Meinung nach für den Bereich der Überwachungsmethoden. So ist es bezeichnend, dass Sicherheitsvorkehrungen im Outsourcing-Umfeld von 33 Prozent der Befragten nicht geordnet und nur unregelmäßig überprüft oder überwacht werden.
Um Risiken bei Informationssicherheitsvereinbarungen in Outsourcing- und Dienstleisterverträgen besser zu steuern und aktiv sowie vorausschauend auf den Gesamtprozess einzuwirken, ist ein möglicher Lösungsansatz, die vorhandene Struktur der ISO/IEC 27001:2013 Anhang A zu verwenden. Uwe Rühl: „Um einen sinnstiftenden Beitrag zur Steuerung von Informationssicherheitsrisiken beim Outsourcing zu leisten, bietet die ISO/IEC 27001:2013 samt Controls aus dem Anhang A eine gute Basis.“ Und er resümiert: „Denkbar ist, diese als Katalog für die Vereinbarung von Maßnahmen zum Schutz von Informationen zu verwenden.“