Nutzen und Grenzen

Der Autor ist Geschäftsführer und Inhaber der Schweizer aspectra AG, die als Hoster IT-Umgebungen für geschäftskritische Anwendungen betreibt und überwacht. Der Druck auf IT-Verantwortliche wächst, denn die IT durchdringt immer mehr Geschäftsbereiche. Ausfälle führen zu Betriebsunterbrüchen und Umsatzausfällen. Die Folge: Unternehmen verlangen von ihren IT-Abteilungen und -Lieferanten Zertifizierungen und Audits. Allein damit lässt sich Sicherheit aber nicht garantieren. Vor allem Banken müssen zurzeit den Spagat machen: Ihre IT-Abteilungen schrumpfen, während die Komplexität wächst. In der Folge lagern immer mehr Institute Teile ihrer IT aus. Weil die staatlichen Sicherheitsanforderungen zugleich strenger werden, wird auch die Kont­rolle von Compliance- und Sicherheitsanforderungen immer öfter an externe Prüfer delegiert. Die Nachfrage nach Zertifikaten und Audits steigt. Der Markt für Zertifikate ist jedoch sehr breit aufgestellt. Wer sich nicht auskennt, verliert schnell den Überblick. Dabei sind die Unterschiede zwischen den verschiedenen Richtlinien zum Teil recht gross: Während sich ISO 27001, ISAE 3402 oder ITIL zertifizieren lassen, können die Finma-Richtlinien nur auditiert werden (vgl. Textbox links unten). Wer weder über eine Zertifizierung noch über ein Audit verfügt, bezeichnet seine eigene Arbeitsweise als «konform». Dies gibt dem Kunden zwar ein gewisses Sicherheitsgefühl, ist aber eben keine Garantie.

Zertifizierungen bedeuten für die Anbieter von IT-Outsourcing eine intensive Prüfung. Die erste Analyse vergleicht die Vorgaben mit den bestehenden operativen Prozessen und organisatorischen Strukturen. Je nach Abweichung zur erstrebten Zertifizierung können die Anpassungen an die geforderten Spezifikationen mehrere Jahre in Anspruch nehmen. Erst danach beginnt die eigentliche Zertifizierung. Zuerst werden durch den Prüfer die vorhandenen Dokumente und Prozesse beurteilt. Ein paar Monate später findet das Audit über die Einhaltung der Vorgaben statt. Vor allem in der zweiten Phase bedingt dies ein grosses Engagement für alle involvierten Mitarbeiter. Der externe Aufwand für eine Zertifizierung bewegt sich dabei um die 100000 Franken. Nächste Seite: Verantwortung bleibt beim Kunden

Für Kunden von IT-Outsourcing gibt die Zertifizierung zwar einen Hinweis auf die Professionalität eines Dienstleisters. Der Kunde bleibt aber in der Verantwortung und muss sicherstellen, dass der Anbieter auch für genau jene Bereiche zertifiziert ist, die für das Projekt ausschlaggebend sind. Bei Zertifizierungen zur IT-Sicherheit bestehen zum Beispiel grosse Unterschiede zwischen den Providern. Ein Zertifikat kann auch niemals alleiniges Argument für die Wahl eines Anbieters sein. Ebenso wichtig sind Kompetenz, Preis-Leistungs-Verhältnis, vorhandene Ressourcen und Kompatibilität. Vorteile bieten Zertifizierungen vor allem auch Firmen, die selbst Richtlinien unterstehen, beispielsweise Banken oder Versicherungen. Anbieter und Kunde sprechen dann dank der Zertifizierung dieselbe Sprache. Vorgaben und Kontrollen lassen sich so einfacher definieren.

Zertifizierung bedeutet immer auch Kontrolle. Die Definition und Durchführung zweckmässiger Kontrollen ist kompliziert und erfordert eine intensive Auseinandersetzung mit der technischen Materie. Der Mitarbeiter hat deshalb oft einen Informationsvorsprung gegenüber dem Kontrolleur. Und weil Kontrollen immer nur in Stichproben stattfinden, sind Schwachstellen nie ganz zu eliminieren. Es lässt sich also nicht umgehen, Kompetenzen und Verantwortungen an Mitarbeiter oder Lieferanten zu übertragen. Ausserdem können Kontrollen auch kontraproduktiv sein: Sie verunsichern Mitarbeiter und schränken im schlimmsten Fall sogar ihre Leistungsbereitschaft ein. IT-Spezialisten sind gut ausgebildete Fachkräfte mit grossem Berufsstolz. Sie sind es gewohnt, die an sie heran­getragenen Aufgaben mit einer hohen Auftragstreue zu erledigen. Arbeiten nach Kochbuch führen sie ungern aus. Zertifikate bürgen für das Einhalten von Standards. Sie sind ein Merkmal für die Sicherheit einer IT-Infrastruktur oder Dienstleistung. Grösstmögliche Sicherheit erlangt aber nur, wer Nähe und Vertrauen zu Mitarbeitern oder Lieferanten pflegt. Nächste Seite: IT-Outsourcing - die Zertifizierungen und Richtlinien im Überblick

IT-Outsourcing: Zertifizierungen und Richtlinien

Für die Qualitätssicherung von IT-Outsourcing-Dienstleistungen sind aktuell vier Richtlinien relevant:
- ISO 27001
- ISAE 3402
- ITIL
- Finma/EBK-Richtlinien
- RS 08/7

Nicht jede Richtlinie kann auch zerti­fiziert werden. Die Begriffe «Zertifizierung», «Audit» und «konform» beschreiben unterschiedlich strenge Prüfungen.

1. Zertifizierung Eine Zertifizierung ist eine durch eine unabhängige, akkreditierte Stelle durchgeführte Prüfung eines Lieferanten. Sie ist meist mehrere Jahre gültig und wird mit einem Zertifikat bestätigt. Die Akkreditierungsstellen werden in der Schweiz vom Seco geprüft und gelistet. Die Ini­tialprüfung wird in den
Folgejahren durch ein Wie­der­holungs-Audit bestätigt. 2. Audit Die abgeschwächte Form der Zertifizierung ist das Audit. Dabei untersucht eine unabhängige Stelle, ob ein Anbieter tatsächlich gemäss dem gegebenen Standard arbeitet. Diese Prüfung wird mit einem Bericht beschrieben, der dem Anbieter und meist auch seinen Kunden zur Verfügung steht. Audits werden mit Vorteil von einem in der Branche anerkannten Prüfer durchgeführt. Sie beziehen sich meist auf eine vergangene Jahresperiode. 3. «Konform» Wer weder über eine Zertifizierung noch über ein Audit verfügt, bezeichnet seine eigene Arbeitsweise als «konform». Dies gibt dem Kunden einen Hinweis auf die Regelkonformität des Anbieters, überprüfen lässt sich dies jedoch nur schwer.