Risikomanagement im IT-Providermanagement ist unerlässlich, um die Risiken beim und nach dem Outsourcing von IT-Services zu minimieren und einen reibungslosen Service-Betrieb zu gewährleisten. In der heutigen digitalen Welt wächst für Unternehmen die Abhängigkeit des Kerngeschäfts von IT-Services stetig und Erfolg oder Misserfolg des Unternehmens wird zunehmend durch Effizienz und Qualität der IT-Services mitbestimmt.
Wir zeigen im Folgenden auf, wie beim Outsourcing und insbesondere in der Betriebsphase im Rahmen des Providermanagements Risikomanagement für IT-Services gehandhabt werden kann.
Risikomanagement im IT-Providermanagement – Einführung in die Risiko-Handhabung bei IT-Outsourcing
Das Management von Outsourcing-Risiken ist von großer Bedeutung, da es Unternehmen dabei hilft, die Stabilität, Sicherheit und Integrität ihrer IT-Systeme und Daten sicherzustellen. Zudem trägt es dazu bei, die Compliance mit ihren gesetzlichen und regulatorischen Anforderungen zu gewährleisten. Das Ziel des Risikomanagement im IT-Providermanagement ist es, Risiken, die sich aus dem Einsatz von Service-Providern ergeben, zu identifizieren, zu bewerten und Maßnahmen zu ergreifen, um diese Risiken zu minimieren.
Wichtig ist dabei, Risikomanagement in allen Phasen des Outsourcing Life Cycle aktiv zu betreiben:
Abbildung 1: Risikomanagement und Outsourcing-Lebenszyklus
In der Phase „Strategie“ werden Risiken untersucht, welche mit der Entscheidung zum Outsourcen auftreten können. In der Konzept-Phase, d.h. der Konzeption der auszusourcenden Services, werden nur Alternativen mit tragbaren Risiken berücksichtigt. In der Request-for-Proposal- (RFP-) Phase werden Providereigenschaften abgefragt und analysiert, die Rückschlüsse auf Risiken zulassen. Die Vergabe an einen Service-Provider erfolgt dann bei einem angemessenen Verhältnis von (vertretbaren) Risiken zu angestrebtem Nutzen. Notwendige Maßnahmen zur Begegnung wesentlicher Risiken sind im Vertrag mit dem Service-Provider aufzunehmen. In der Transitionsphase wird Risikomanagement im Rahmen des Projektmanagements geleistet. Zum Abschluss des Transitionsprojekts übergeben Projektmanager:innen das Risikomanagement an die Linienorganisation, damit dieses in der Betriebsphase fortgesetzt wird.
Risikomanagement im IT-Providermanagement – Gesetzliche und regulatorische Anforderungen
Insbesondere für regulierte Branchen wie den Finanzsektor, Versicherungen und Betreiber kritischer Infrastrukturen (KRITIS) gibt es Richtlinien und gesetzliche Vorgaben zum Risikomanagement bei IT-Outsourcing, deren Einhaltung sichergestellt werden muss. Die dort oft nur generell formulierten Vorgaben sind in konkrete Verfahren und Prozesse im jeweiligen Unternehmen umzusetzen. Beispiele für derartige Vorgaben sind unter anderem:
Finanzsektor
- Kreditwesengesetz (KWG), §25b
- EBA Leitlinien zu Auslagerungen (EBA/GL/2019/02)
- Mindestanforderungen an das Risiko-Management (MaRisk) – AT 9
- Bankaufsichtliche Anforderungen an die IT (BAIT)
Versicherungssektor
- Das Versicherungsaufsichtsgesetz (VAG), §32
- EIOPA Leitlinien zu Sicherheit und Governance im Bereich der Informations- und Kommunikationstechnologie (EIOPA-BoS-20/600)
- Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) – §13
- Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
KRITIS-Sektor
- BSI-Standard 200-3: Risikomanagement
- BMI – Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement · Leitfaden für Unternehmen und Behörden
- IT-Sicherheitsgesetz 2.0
- ISO/IEC 27001
Risikomanagement im IT-Providermanagement – Risiko-Identifikation und -analyse bei outzusourcenden IT-Services
Das Risikomanagement bei outzusourcenden IT-Services kann in zwei Phasen unterteilt werden, nämlich vor dem Outsourcing und nach dem Outsourcing (siehe Abbildung 2). Vor dem Outsourcing ist der Auftraggeber für die Durchführung des Risikomanagements allein verantwortlich und zuständig.
Nach dem Outsourcing können die Risiken in drei Gruppen unterteilt werden: Auftraggeber-Risiken, Provider-Risiken und Schnittstellen-Risiken. Auftraggeber-Risiken sind IT-bezogene Risiken, die bei dem Auftraggeber verbleiben. Es entstehen durch das Outsourcing auch neue Risiken, die vom Auftraggeber zusätzlich gemanagt werden müssen. Provider-Risiken sind Provider- und Service-bezogene Risiken, letztere werden zum Teil vom Auftraggeber an den Provider verlagert. Sie sind vom Provider zu managen. Jedoch ist der Auftragsgeber weiterhin für diese Risiken verantwortlich und muss sicherstellen, dass der Provider seinen Pflichten angemessen nachkommt. Zwischen Auftraggeber und Provider werden im Rahmen des Outsourcings organisatorische und technische Schnittstellen geschaffen, die auch Schnittstellenrisiken mit sich bringen. Eine klare Definition und Zuordnung der Zuständigkeiten bezüglich des Risikomanagements sind hier notwendig.
Abbildung 2: Risikomanagement vor und nach dem Outsourcing
Es ist auch wichtig, die verschiedenen Kategorien von Risiken im Zusammenhang mit IT-Outsourcing zu identifizieren. Die Risiko-Kategorien unterstützen bei der Einordnung von erkannten Risiken und helfen zudem bei der Überprüfung der Vollständigkeit der erfassten Risiken. Folgende können insbesondere auftreten*:
- Strategisches Risiko: tritt auf, wenn die Entscheidungen und Handlungen eines Service Providers nicht mit den strategischen Zielen des Unternehmens vereinbar sind
- Betriebsrisiko: bezieht sich auf das Verlustrisiko, das sich aus ineffektiven oder fehlerhaften Prozessen, Mitarbeitern, Kontrollen oder Systemen eines Service Providers ergibt
- Risiko der Geschäftskontinuität: tritt auf, wenn ein externes Ereignis die Fähigkeit des Service Providers beeinträchtigt, den IT-Betrieb fortzuführen, mit entsprechenden Auswirkungen auf den Auftraggeber
- Compliance- und regulatorisches Risiko: entsteht aus der potenziellen Nichteinhaltung von Gesetzen und Vorschriften durch einen Service-Provider
- Informationssicherheitsrisiko: bezieht sich im Wesentlichen auf Cyberangriffe und Datenschutzverletzungen, die aufgrund von Sicherheitslücken bei Providern entstehen können
- Finanz- und Kreditrisiko: bezieht sich direkt auf eine kritische finanzielle Situation des Service-Providers, in der er seinen vertraglichen Verpflichtungen nicht mehr nachkommen, d.h. Produkte und Dienstleistungen nicht wie vereinbart bereitstellen kann
- Reputationsrisiko: umfasst jede der zahlreichen Möglichkeiten, wie der Service- Provider den Ruf, die Marke oder den Namen des Auftragsgebers direkt oder indirekt schädigen könnte
- Konzentrationsrisiko: tritt auf, wenn das Unternehmen zu viele risikoreiche oder kritische Dienste von einem einzigen Service-Provider bezieht oder es nur einen Provider auf dem Markt gibt, der für den Auftragsgeber kritische Produkte und Dienstleistungen anbietet
- Geopolitisches Risiko: kann auftreten, wenn sich der Sitz des Service-Providers in einem Land befindet, das anfällig für Probleme wie politische Unruhen, Korruption oder Menschenrechtsverletzungen ist
- Umwelt-Risiko: umfasst politische Veränderungen, Naturkatastrophen und andere gesellschaftliche Belange, die sich auf die Dienstleistungserbringung des Service- Providers auswirken können
* https://www.venminder.com/blog/types-vendor-risks-monitor
Diese Liste hat keinen Anspruch auf Vollständigkeit. Die aufgrund der Risikokategorien sind in einem Risikoregister aufzunehmen und angemessen zu managen, d.h. sie sind sorgfältig zu bewerten und es sind geeignete Maßnahmen zu planen und zu ergreifen.
Risikomanagement im IT-Providermanagement – Beispielhafte Maßnahmen zur Risikominimierung
Für ausgewählte Risikokategorien werden im Folgenden Beispiele für Maßnahmen aufgezeigt:
Betriebsrisiko:
- Klare Definition von Verantwortlichkeiten und Zuständigkeiten, um das Risiko von Missverständnissen, Verwechslungen und Verzögerungen bei der Durchführung von Aufgaben zu minimieren
- Klare Spezifikation der Service Level – Leistungskennzahlen (KPIs) und Zielwerte – in der Strategie- und Konzeptions-Phase, um das Risiko unklarer Erwartungen und Ziele zwischen dem Auftraggeber und dem Service-Provider zu minimieren
Compliance- und regulatorisches Risiko:
- Forderungen nach Standards und Zertifizierungen sowie Sicherheits-Systemen und -Technologien bei der Providerauswahl
- Implementierung von Kontrollen und Prozessen, um sicherzustellen, dass der Service- Provider die gesetzlichen Anforderungen und Vorschriften einhält
- Festlegung von KPIs und Zielwerten zur Messung der Compliance sowie Etablierung eines regelmäßigen Reporting und dessen Prüfung
Risiko der Geschäftskontinuität:
- Implementierung eines Business Continuity Plan (BCP) durch den Service-Provider, um im Falle eines externen Ereignisses die Fortsetzung des IT-Betriebs sicherzustellen
- Regelmäßige Überprüfung und Aktualisierung des BCP, um sicherzustellen, dass er den aktuellen Bedürfnissen und Anforderungen entspricht
- Regelmäßiges Testen des BCP, um sicherzustellen, dass er im Ernstfall effektiv funktioniert
Risikomanagement im IT-Providermanagement – Schlussfolgerung
Zusammenfassend lässt sich sagen, dass das Risikomanagement im IT-Providermanagement von großer Bedeutung ist, um die Stabilität, Sicherheit und Integrität von IT-Systemen und -Daten zu gewährleisten. Insbesondere in regulierten Branchen wie dem Finanz- und Versicherungssektor, sowie im KRITIS-Sektor müssen die Unternehmen enge regulatorische Vorgaben einhalten, indem sie angemessene Verfahren und Prozesse für das Risikomanagement etablieren.
Das Risikomanagement ist in allen Phasen des Outsourcing-Life-Cycle zu berücksichtigen und muss alle relevanten Risiko-Kategorien umfassen. Bei Outsourcing sind zwischen Auftragsgeber-Risiken, Provider-Risiken und Schnittstellen-Risiken zu unterscheiden, die risikobezogene Gesamtverantwortung verbleibt aber beim Auftraggeber. Daher ist es wichtig, dass Unternehmen klare Zuständigkeiten definieren, um Risiken zu managen, die sich aus der Zusammenarbeit mit Service-Providern ergeben.
