isss Logo Bericht über die Herbsttagung in Bern zum Thema "Informationssicherheit beim Outsourcing: Chance oder Risiko" vom 23. November 1998

Die Veranstaltung, an der rund 250 Persönlichkeiten aus Wirtschaft und Verwaltung teilgenommen haben, hatte zum Ziel, das Thema Outsourcing von Informationssicherheit kontrovers zu diskutieren und verschiedene Standpunkte darzustellen. Namhafte Referenten aus der Wirtschaft und seitens Bundesbehörden haben diesen Faden aufgenommen und das Thema aus ihrer Sicht besprochen und gewertet. Es war absehbar und erklärtes Ziel der Veranstaltung, dass weder unter den Referenten noch anlässlich der Paneldiskussion Einigkeit darüber erzielt musste, ob generell Outsourcing aber auch Outsourcing von Informationssicherheit im Wesentlichen Chancen oder eben Risiken birgt.

Als Fazit der Veranstaltung kann jedoch festgehalten werden, dass bezüglich der folgenden Punkte zwar prinzipiell Einigkeit herrschte, das Ausmass des Outsourcings der Informationssicherheit, respektive anderer Bereiche jedoch im Einzelfall zu diskutieren ist:

Prof. Dr. CA Zehnder, ETH Zürich, äussert sich im Einführungsreferat prägnant zum Thema "Stellenwert der Informationssicherheit" und stellt seine Ausführungen anhand von vier Thesen dar:

Dr. J. Poschet, ehem. Leiter Zentrale Informatik der Ciba AG, berichtet anhand seiner konkreten Erfahrungen im Outsourcing der Informatik von Chancen, Problemen und Risiken im Outsourcing. Der Vortrag ist in die Bereiche "Problemstellung", "Outsourcing Prozess" und "die Rolle der Mitarbeiter" gegliedert. Dr. Poschet weist eindringlich darauf hin, dass Outsourcing zum reinen Abenteuer verkommt, wenn nicht der Entscheid nicht durch eine klare und wie sich später zeigt klar kommunizierte Unternehmensstrategie untermauert ist. Der Prozessablauf ist eine klare Ausgangslage im Sinne von klaren Anforderungen und verbindlichen Antworten haben, wiewohl der Referent immer wieder darauf hinweist, dass es schlicht unmöglich ist, alles und jedes Detail im voraus zu regeln. Eine entscheidende Rolle zum Gelingen des Vorhabens Outsourcing sieht Dr. Poschet im Einbinden der Mitarbeiter. Spielen diese nicht mit, so ist das Projekt mit hoher Wahrscheinlichkeit zum Scheitern verurteilt. Abhilfe schafft eine offene Information, die sich auf den Einzelnen und seine Situation auszurichten hat.

Im Referat von Herrn D. Syz, Direktor des Bundesamtes für Informatik a.i., werden die Chancen des Outsourcings, insbesondere auch des Outsourcings der Informationssicherheit, betont. Aufgrund seiner mehrjährigen Industrieerfahrung belegt der Referent eindrücklich, dass selbst Grosskonzerne zum Outsourcing verdammt sind, da sie keinesfalls mehr die Kraft aufbringen, in allen Bereichen entsprechende Kompetenzen aufzubauen (z.Bsp. Automobilindustrie). Ob es um das Outsourcing von Informatik, von Informationssicherheit oder eben um das Outsourcen von bestimmten Teilen der Fertigungskette geht, die wesentlichen Treiber sind und bleiben die anzustrebende Effizienz, Effektivität und Sicherheit der Geschäftsprozesse. Der Referent grenzt jedoch Bereiche aus, die nach seiner Ansicht nicht an Dritte übergeben werden können und nennt insbesondere die Leistungsbezüger der Informatik (das Core-Business), die strategische Steuerung der Informatik (CIO) sowie die Kontroll- und Auditinstanzen (Revision, Inspektorat). Der Referent ist der Meinung, dass sich die Informatik und damit die Informationssicherheit in den meisten Unternehmen und Behörden als Outsourcingkandidat eignet.

Im Referat spricht Dr. H.P. Nägeli, Direktor UBS, zu den Risiken des Outsourcings. Der Referent ist nicht generell gegen ein Outsourcing - für ihn keine JA/NEIN-Entscheidung - hingegen spricht er dem differenzierten Outsourcing der IT das Wort. Aus seinem Unternehmenshintergrund verweist der Referent auf die unterschiedlichen Philosophen der beiden zur UBS verschmolzenen Banken (rel. geringes Outsourcing in der SBG, hoher Outsourcinganteil beim SBV), die grundsätzlich beide zum Ziel führen können. Ein wegweisender Gedanke behandelt das Sourcing von Leistungen, das in graduell abgestuften Schritten erzielt werden kann (alles inhouse, prinzipiell inhouse aber mit externen Aufträgen, Eingehen von Partnerschaften und Allianzen sowie das eigentliche Outsourcen). Der Stellenwert der IT sollte der Taktgeber für die Sourcingoptionen darstellen, wo insbesondere mehr oder minder frei verfügbare Leistungen (Commodities) eindeutig als Kandidaten für Outsourcing in Frage kommen. Wo sich der Stellenwert der IT durch einen hohen Beitrag zum Unternehmenserfolg (added value) sowie eine hohe strategische Bedeutung auszeichnet, sieht der Referent wenig Raum und Sinn für Outsourcing. Weitere Problempunkte sieht der Referent in der relativ hohen Anzahl von Neuverhandlungen von Outsourcing deals, ökonomischen Risiken für den Kunden, in hohen Kosten und ungenügendem Service, technischen und betrieblichen sowie strategischen Risiken.

In der juristischen Würdigung des Outsourcings ist Prof. Dr. R.H. Weber mit Schwergewicht auf die Situation der öffentlichen Verwaltungen eingegangen, mit ergänzenden Ausführungen für den Bereich der Privatwirtschaft. Der Referent kommt zum Schluss, dass auch Behörden die Möglichkeit besitzen, IT-Anwendungen durch eine verwaltungs-interne oder auch verwaltungs-externe Stelle durchführen zu lassen, sofern die gesetzlichen Rahmenbedingungen, insbesondere das Legalitätsprinzip, beachtet werden. Im Bereich der administrativen Hilfstätigkeiten (sog. "Bedarfsverwaltung") ist ein Outsourcing von Informatikleistungen nach überwiegender Meinung der Rechtslehre auch ohne ausdrückliche gesetzliche Grundlage zulässig. In diesem Zusammenhang ist zu beachten, dass Daten als solche keine "hoheitlichen Qualitäten" aufweisen dürfen. Das Outsourcing findet im öffentlichen Bereich seine Grenzen dort, wo nicht administrative Hilfstätigkeiten, sondern eigentliche staatliche Funktionen der sogenannten "Eingriffs- und Leistungsverwaltung" auf Dritte übertragen werden sollen. Eine derartige Wahrnehmung staatlicher Aufgaben durch Dritte bedarf zweifellos einer entsprechenden Rechtsgrundlage. Im Bereich der öffentlichen Verwaltung ist im Zusammenhang mit dem Outsourcing auch der Grundsatz der strikten Funktionstrennung zu beachten: Danach muss der Zugriff auf die Daten über den Bürger zwingend auf den Bereich der funktionell zuständigen Amtsstelle beschränkt werden. Das Outsourcing darf somit nicht zu einer Zusammenführung oder Vermischung von Daten funktionell unterschiedlicher Verwaltungsbereiche führen und die Anforderungen an den Datenschutz und das Amtsgeheimnis müssen zwingend gewährleistet sein. Diese können durch entsprechende vertragliche Regelungen sichergestellt werden und sollten zudem insbesondere Gegenstand, Umfang und Zweck des Outsourcing präzise festlegen, die Geheimhaltungspflicht regeln, organisatorische und technische Massnahmen zur Gewährleistung der Informationssicherheit aufstellen, die Ansprüche aus dem Datenschutz (Recht auf Auskunft, Einsicht und Berichtigung der betroffenen Personen) gewährleisten, dem Auftraggeber angemessene Kontrollrechte einräumen und auch Regeln über die Rückgabe/Archivierung der Daten bei Ablauf der Vereinbarung enthalten. Entsprechende Überlegungen gelten sinngemäss für das Outsourcing im Bereich der Privatwirtschaft, wo Art. 14 des Datenschutzgesetzes grundsätzlich die Übertragung der Datenverarbeitung durch vertragliche Abrede auf einen Dritten zulässt, wobei allerdings besondere gesetzliche Geheimhaltungspflichten (z.Bsp. Arzt-, Bank- oder Anwaltsgeheimnis) zu beachten sind.

In der abschliessenden Podiumsdiskussion fühlt Prof. Zehnder den Referenten nochmals auf den Zahn und arbeitet gekonnt die Nuancen der einzelnen Beurteilungen der Chancen und Risiken im Outsourcing der Informationssicherheit auf.

Thomas Kohler