Oft kommt es zwischen IT-Dienstleister und Kunden zum Streit, was als vertraglich vereinbarte Leistung zählt und was nicht. Sebastian Rohr erklärt, was gute Verträge und regelmäßige Audits für IT-Sicherheit leisten.

»Wenn wir das gewusst hätten, dann…« – diese oder ähnliche Halbsätze gibt es immer wieder zu hören, wenn sich Kunden mit ihrem IT-Dienstleister über bestimmte Anforderungen aus dem gerade erst kürzlich geschlossenen Mehrjahres-Vertrag zum Outsourcing, zur Wartung, Pflege oder zur Erstellung von Software und Anwendungen unterhalten. Oder wäre »streiten« das bessere Wort?

Offensichtlich kommt es immer wieder zum Dissens darüber, was denn nun als im Vertrag vereinbarte Leistung gilt, und was nicht dazu gehört und folglich als Sonderleistung extra bezahlt werden muss. Nur allzu oft scheint der Kunde hier bei den Sicherheitsaspekten auf eine klare Regelung zu verzichten, im guten Glauben der Dienstleister erledige diese Aufgabe schließlich professionell und deshalb wäre dessen Ansatz von Grund auf besser als die bisherige »Flickschusterei« der internen IT – wozu hätte man sonst eine Auslagerung der Dienste erwogen!

Diese Argumentation – so einleuchtend sie auf den ersten Blick zu sein scheint – weist eine Vielzahl an Lücken und Schwächen auf, denen wir uns in den nächsten Zeilen widmen wollen.

Falsche Annahmen

Nur weil ein Dienstleister mit der Erbringung einer spezifischen Dienstleistung sein Geld verdient, bedeutet das noch lange nicht, dass er diese auch gut erbringt. Natürlich ist ein vertrauensvoller Umgang miteinander wichtig, jedoch sollte man sich nicht blenden lassen – auch Dienstleister kochen nur mit Wasser und der Kostendruck ist immens! Wo soll die große Differenz zwischen den Kosten der Eigenerbringung und der Fremdleistung herkommen? Höhere Effizienz und geringere Lohnnebenkosten allein reichen nicht immer aus, um die Einsparungsziele der Kunden zu erreichen.

Die Erbringung der Leistungen im eigenen Hause kann nicht 1:1 mit der Fremderbringung verglichen werden. Zum einen sind die Abläufe der Diensterbringung und deren Organisation anders, zum anderen ist der Dienstleister oft für mehrere ähnliche oder gleiche Systeme parallel zuständig. Daraus ergeben sich zwangsläufig auch andere Anforderungen hinsichtlich des Betriebs und insbesondere hinsichtlich der Sicherheit – und falls diese nicht ordentlich im Vorwege kommuniziert werden, kommt es im Laufe der Nachverhandlungen zu bösen Überraschungen.

Vertrauen in Zertifizierungen und SLAs

Natürlich geben Zertifizierungen der Dienstleister einen ersten Eindruck darüber, ob im betreffenden Unternehmen eine bestimmte Arbeitsweise, ein bestimmter Prozess oder ein bestimmtes System bekannt ist und befolgt wird. Über die tatsächliche Anwendung im Rahmen der spezifischen Dienstleistung sagt ein solches Zertifikat leider nicht viel aus. Der Autor selbst befürwortet die Zertifizierung etwa nach ITIL, nach BSI Grundschutz oder auf Basis der ISO 27000er Reihe – jedoch sollte diesen nicht blind Vertrauen geschenkt werden. Auch das neuerdings beliebte »abbügeln« spezifischer Anforderungen durch den Dienstleister mit Verweis auf das Zertifikat zählt zu den eher unangemessen Praktiken – hier lohnt sich ein besonders genauer Blick hinter die Kulissen! Falls der Dienstleister in einem professionellen Angebot selbst verbindliche SLAs anbietet, so sind diese ebenfalls gut zu prüfen. Die verwendeten Parameter oder Indikatoren sind oftmals eher irreführend, bestenfalls ohne Aussage.

Vertrauen in Referenzen

Aus Sicht des Autors zeigen Referenzen eines Dienstleister lediglich, dass im Vertrieb gut gearbeitet wurde – eine Aussage zur Qualität der Dienstleistung ist eher schwer abzuleiten. Interessanter sind Berichte über tatsächliche Vertragsverlängerungen oder Erweiterungen, die sich inhaltlich eng an das eigene Projekt anlehnen. Kann der Dienstleister eine hohe »Verbleibsquote« vorweisen, ist das ein gutes Anzeichen.

Worauf sollte geachtet werden?

Zunächst sollte in jeder sich anbahnenden Geschäftsbeziehung eine Arbeitsgrundlage geschaffen werden, die auf umfassender Verschwiegenheit nach außen basiert. Die Zeichnung eines entsprechenden Geheimhaltungsabkommens (Non-Disclosure Agreement, NDA) oder einer adaptierten Absichtserklärung (Letter of Intent, LoI) ist hierfür eine gute Ausgangslage, es sei denn man schreibt öffentlich aus.

Je früher der Dienstleister auf die eigenen Sicherheitsanforderungen aufmerksam gemacht wird, desto besser. Schon in den ersten nach außen kommunizierten Dokumenten – etwa den Ausschreibungsunterlagen (Request for Proposal, RfP) beziheungsweise den voran gehenden Informationsanfragen (Request for Information, RfI) – sind die allgemeinen und besonderen Auflagen und Rahmenbedingungen zu benennen, unter denen man gewillt ist einen Vertrag einzugehen. Hierbei ist insbesondere auf solche externen Faktoren einzugehen, denen man sich selbst verpflichtet fühlt oder an die man gebunden ist (etwa Branchenvorgaben, Richtlinien oder spezifische Gesetze). Es sollten unbedingt auch die Vorgaben explizit benannt werden, die als allgemein bekannt und in Branche üblich bezeichnet werden – der Dienstleister entstammt aus einem anderen Umfeld!

Der erforderliche Detailgrad in dem man die (Sicherheits-)Anforderungen spezifiziert, richtet sich immer nach der Stufe: RfI -> RfP -> (Rahmen-)Vertrag -> Anlagen zum Vertrag -> Einzelvereinbarung.

Zudem ist natürlich die Art der Dienstleistung zu berücksichtigen, da ein Entwicklungsdienstleister – zum Beispiel hinsichtlich des Datenschutzes – komplett andere Anforderungen einzuhalten hat, als ein Betriebsdienstleister. Einen Sonderfall stellen hierbei immer noch die neuen Cloud-Dienste dar, da hier die etablierten Abgrenzungen und Definitionen nicht immer voll übertragbar sind.
Neben der Übermittlung der Anforderungen sollten zudem Audits geplant und ausgeführt werden, deren Auswertung auch zu handfesten Maßnahmen und – bei Verstoß – auch zu festgelegten Strafen führen sollten.

Die geschlossenen SLAs sind ebenfalls regelmäßig zu prüfen und – auch oder gerade bei dauerhafter Einhaltung – anzupassen und zu modernisieren. Eventuell bietet sich auch eine eigene Messung der stets als »im Rahmen der SLA« befindlichen Werte an, um einen besseren Einblick zu erhalten.

Gute Kommunikation zwischen Kunde und Dienstleister stellt jedoch den Hauptteil der Erfolgsfaktoren, denn nur ein stetiger und intensiver Austausch über die Dienste an sich, deren Qualität und der Weiterentwicklung kann langfristig zum gemeinsamen Erfolg führen. Hierfür bietet sich ein regelmäßiger Austausch im Rahmen eines Security Gremiums an.