IT-Outsourcing: Einhaltung von Verträgen und Norm-Vorgaben

Lieferantenaudits bei IT-Dienstleistern

Von unseren Gastautoren Robert Kuhlig und Thomas Neeff

[datensicherheit.de, 17.02.2014] Im IT-Dienstleistungsbereich ist die vollständige oder teilweise Vergabe von Dienstleistungen üblich. Unternehmen versprechen sich davon eine Konzentration auf ihre Kernkompetenzen, indem sie einzelne Elemente der IT-Wertschöpfungskette – beispielsweise den Rechenzentrumsbetrieb oder ganze Services wie z.B. die Rechnungsarchivierung – an spezialisierte Dienstleister vergeben. Auch Kostenvorteile werden als Grund für solche Auftragsvergaben angeführt.

Kann man Verantwortung auslagern?

In Bezug auf die Verantwortung für das Handeln der jeweiligen Dienstleister ist die Meinung weit verbreitet, dass der Dienstleister neben der operativen Durchführung der Dienstleistung auch vollumfänglich die Verantwortung vor allem für die Sicherheit der Informationen hinsichtlich der ausgelagerten Dienstleistung übernimmt. Dies trifft jedoch nicht zu; grundsätzlich verbleibt die Verantwortung für die Datenverarbeitung immer beim Auftraggeber, denn Verantwortung kann nicht ausgelagert werden. Begründungen und Argumente hierfür finden sich in praktisch allen regulatorischen und gesetzlichen Vorgaben (einige Beispiele: Bundesdatenschutzgesetzt für die Verarbeitung personenbezogene Daten, Kreditwesengesetz für die Auslagerung im Banken- und Finanzdienstleistungsumfeld,  Regularien der US-amerikanischen FDA (Food & Drug Administration)), in denen auf die Auslagerung von IT-Dienstleistungen Bezug genommen wird.

Praxistipp: Lassen Sie sich bereits bei der Auftragsvergabe ein regelmäßiges Recht zur Auditierung der Abläufe beim Dienstleister schriftlich zusichern und definieren Sie Kriterien, nach denen in regelmäßigen Abständen (zeitliche Komponente) und bei außerordentlichen Ereignissen (z.B. Service Level Verletzungen, Security Incidents, Veränderung der Services) Überprüfungen durch Audits durchgeführt werden sollen.

Rechtfertigung für einen Lieferantaudit

Grundsätzlich obliegt es daher dem Auftraggeber einer Dienstleistung, sich regelmäßig in angemessenen Abständen, bei Bedarf und mittels entsprechender Vorgehensweisen – zum Beispiel mittels eines risikobasierten Ansatzes – von der Ordnungsmäßigkeit (so wie vereinbart) der Abläufe beim Dienstleister zu überzeugen. Das kann mittels qualifizierter Nachweise von Dritten erfolgen, indem beispielsweise eine sach- und fachkundige Partei Überprüfungs-Audits beim Dienstleister durchführt. Solchen Audits liegt oft ein konkreter Anlass zu Grunde, wobei grundsätzlich in einschlägigen Normen wie der IT Service Management-Norm ISO20000 oder auch der IT Security Management Normenreihe ISO27000 eine solche regelmäßige Überprüfung gefordert wird. Die Erfüllung dieser Forderung sichert nicht nur die Qualität und Sicherheit der eingekauften IT-Dienstleistung, sondern hilft auch, das Verhältnis zwischen Kunde und Lieferant langfristig zu erhalten und auf ein für beide Parteien akzeptiertes Niveau zu heben.

Vorgehen beim Audit

Im Rahmen eines Lieferanten-Audits erfolgen Prüfungshandlungen üblicherweise sowohl auf Seiten des Auftraggebers als auch beim Auftragnehmer einer IT-Dienstleistung. Auf Seiten des Auftraggebers wird mindestens überprüft, welche Vorgaben (Lieferanten Policy) für die Aussteuerung des Lieferantenverhältnisses vorhanden sind und ob beispielsweise die IT-Sicherheitsvorgaben für Lieferanten den eigenen Vorschriften entsprechen. Bei der Überprüfung des Lieferanten, die den Hauptumfang der Prüfungshandlungen darstellt, dreht sich die Untersuchung schwerpunktmäßig um die Frage, ob die Vereinbarungen hinsichtlich der Dienstgüte (Service Level – SL) eingehalten werden. Dabei wird im Bereich IT-Sicherheit meist intensiver geprüft als in den anderen Disziplinen. Ebenso ist es möglich, besondere Schwerpunkte aus branchenspezifischen Anforderungen und spezielle in den SLA vereinbarte Aspekte mit in die Analyse einzubeziehen.

Was wird nach einem Audit geliefert?

Die Untersuchungsergebnisse werden in einem Audit Report festgehalten. Dieses Dokument zeigt nicht nur die beim Audit gemachten Beobachtungen auf, sondern gibt auch konkrete Empfehlungen anhand eines priorisierten Maßnahmenkataloges , wie und in welcher Reihenfolge die identifizierten Punkte einer Lösung zugeführt werden müssen. Auf Basis dieser Dokumente können Auftraggeber und Dienstleister gemeinsam die Abarbeitung der Themen planen, welche dann im Rahmen von Nachbetrachtungen erneut überprüft werden.

Praxistipp: Ein qualifizierter Audit Report stellt einen angemessenen Nachweis dar, mit dem sich die Verantwortung des Auftraggebers (auslagerndes Unternehmen) für die Datenverarbeitung gegenüber Dritten nachweisen lässt. Insbesondere im Fall von Uneinigkeiten zwischen den Parteien und etwaigen folgenden Auseinandersetzungen hinsichtlich des Auftragsgegenstands ist ein solches Dokument ein hilfreiches Beweisstück von erheblicher Aussagekraft.

Ist ein Lieferanten Audit rentabel?

Meist ergibt sich durch ein solches extern durchgeführtes Lieferanten-Audit ein erhebliches Verbesserungspotential in der Zusammenarbeit zwischen Auftraggeber und Auftragnehmer. Darüber hinaus liegen die Vorteile auch kostenseitig auf der Hand: Die Ausgaben für eine solche externe Auditierung sind, verglichen mit dem Wert eines IT-Dienstleistungsvertrags, meist sehr gering. In der Mehrzahl der Fälle ergibt sich aus einem solchen Audit ein erhebliches Kostensenkungspotential, weil

1. Entweder festgestellt wird, dass eine vertraglich zugesicherte Leistung nicht oder nicht in der vereinbarten Dienstgüte geliefert wird und daher Rückforderungen möglich sind oder
2. ein Leistungsumfang bezogen wird, der gar nicht notwendig ist – (Teil)Kündigung möglich je nach Vertragslaufzeit bzw. Umwidmung

Fazit:

Auf Basis des Ergebnisberichts lassen sich kurz-, mittel- und langfristige  Optimierungsmaßnahmen hinsichtlich der Gestaltung der Lieferantenbeziehung aufsetzen. Als positiver Effekt lässt sich eine steigende Servicequalität bei sinkenden Kosten beobachten.
Praxistipp: Steuern Sie Ihre externen Dienstleister auch unterjährig, indem Sie regelmäßige Service Review Meetings durchführen und aktiv die Beziehung zum Dienstleister gestalten. Im Rahmen solcher Service Review Meetings sollten die vereinbarten Service Level Agreements besprochen und Kennzahlen der Betrachtungsperiode gemeinsam besprochen werden. Auch der Status der bereits vereinbarten Verbesserungsmaßnahmen sollte Gegenstand des Meetings sein

Die Autoren:

© mITSM

Robert Kuhlig

Robert Kuhlig ist Gründer und Geschäftsführer des mITSM Munich Institute for IT Service Management und Experte auf den Gebieten IT Service- und Security Management.

© mITSM

Thomas Neeff ist IT Management-Experte und beschäftigt sich seit mehreren Jahren mit den Themen IT Service Management, Security Management und Datenschutz.

Das mITSM bietet Schulungen in ITIL, ISO27000, ISO20000 und COBIT an und berät Firmen in allen Fragen rund um Service- und Security Management. Zum Leistungsumfang gehört auch die Durchführung aller Arten von IT-Audits, sowohl intern bei Kunden als auch bei deren Dienstleistern.

Weitere Informationen zum Thema:

mITSM MUNICH INSTITUTE FOR IT SERVICE MANAGEMENT
Lieferantenaudit bei IT Dienstleistern