G 2.90 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister
Die Durchführung eines Outsourcing-Vorhabens verlangt in aller Regel den Zugriff des Dienstleisters auf interne Ressourcen des Auftraggebers. Dies wird häufig durch eine gegenseitige Anbindung von Teilen der jeweiligen IT-Infrastruktur realisiert. Zum beschleunigten Informationsaustausch zwischen Auftraggeber und Auftragnehmer werden möglicherweise spezielle Informationskanäle (z. B. dedizierte Standleitungen, VPN-Verbindungen, Zugänge für die Remote-Wartung) eingerichtet.
Ist diese Anbindung nicht gesichert oder treten bei der Absicherung Schwachstellen auf, so ergeben sich zwangsläufig eine Reihe von Gefährdungen:
- Die Vertraulichkeit der Kommunikation kann gefährdet sein.
- Die Integrität von übermittelten Datensätzen ist nicht mehr garantiert.
- Der Empfang von übermittelten Informationen und Nachrichten könnte abgestritten werden.
- Es wird Externen ein für die tatsächlichen Bedürfnisse des Dienstleisters zu umfassender Einblick in Interna des Auftraggebers gegeben.
- Es entstehen zusätzliche Zugangsmöglichkeiten für Außenstehende zum Intranet der Organisation und damit Gefahrenquellen.
- Bei offenen oder schlecht gesicherten IT-Zugängen ergeben sich Manipulationsmöglichkeiten.
- Es könnten vertrauliche Informationen und geistiges Eigentum an Außenstehende weitergegeben werden.
- Externe Systemzugriffe werden unter Umständen nicht ausreichend kontrolliert.
Die IT-Anbindung zwischen auslagernder Organisation und Outsourcing-Dienstleister kann auch komplett ausfallen. Dabei können Daten, deren Übertragung vor dem Ausfall noch nicht vollständig abgeschlossen war, zerstört oder inkonsistent werden. In Abhängigkeit von der Dauer und Art des Ausfalles können die Konsequenzen auch existenzbedrohend sein. Diese Gefahr wird verstärkt, wenn kein Notfallvorsorgekonzept (siehe G 2.93 Unzureichendes Notfallvorsorgekonzept beim Outsourcing) existiert.