M 2.255 Sichere Migration bei Outsourcing-Vorhaben

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Nach Beauftragung des Outsourcing-Dienstleisters muss zunächst ein vorläufiges Sicherheitskonzept entwickelt werden, in dem auch die Test- und Einführungsphase als Teilaspekt des Outsourcing-Vorhabens betrachtet wird. Zum einen sind in dieser Phase zahlreiche Betriebsfremde involviert, zum anderen müssen Abläufe etabliert, Aufgaben übertragen und Systeme neu eingerichtet bzw. angepasst werden. Einem sorgfältigen Testbetrieb kommt daher eine hohe Bedeutung zu. Besonders zu Testzwecken und in Phasen großer Arbeitsbelastung werden gerne "flexible" und "unkomplizierte" Lösungen gewählt, die selten sehr sicher sind. Es ist daher beispielsweise sicherzustellen, dass produktive Daten nicht ohne besonderen Schutz als Testdaten verwendet werden. Dies muss durch das Sicherheitskonzept ausgeschlossen werden.

Vor der Erstellung eines Migrationskonzepts als Teil des Sicherheitskonzeptes für ein Outsourcing-Vorhaben muss ein Sicherheitsmanagement-Team speziell für die Migrationsphase beim Auftraggeber eingerichtet worden sein. Dieses muss während der Migrationsphase auf Sicherheitsbelange achten und durch geeignete Maßnahmen auch schon im Vorfeld der Migration dafür sorgen, dass ein sicherer IT-Betrieb während der Migration gewährleistet ist. Die Größe des Sicherheitsmanagement-Teams hängt dabei von Art und Größe des Outsourcing-Vorhabens ab, als Minimum kann es aus einem Sicherheitsexperten bestehen.

Dem Sicherheitsmanagement-Team kommen dabei folgende Aufgaben zu, aus denen sich Regelungen und Vorgaben ableiten, die im Migrationskonzept zu erfassen sind:

In der Einführungsphase des Outsourcing-Vorhabens und der ersten Zeit des Betriebs muss dem Notfallkonzept besondere Aufmerksamkeit geschenkt werden. Bis sich bei allen Beteiligten die notwendige Routine, beispielsweise in der Behandlung von Fehlfunktionen und sicherheitsrelevanten Vorkommnissen eingestellt hat, sind verstärkt Mitarbeiter zu Bereitschaftsdiensten zu verpflichten.

Nach Abschluss der Migration muss sichergestellt werden, dass das Sicherheitskonzept aktualisiert wird, da sich erfahrungsgemäß während der Migrationsphase immer Änderungen ergeben. Dies bedeutet insbesondere:

Als letzte Aufgabe muss das Outsourcing-Vorhaben nach der Migrationsphase in den sicheren Regelbetrieb (siehe M 2.256 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb) überführt werden. Dabei ist vor allem darauf zu achten, dass alle Ausnahmeregelungen, die während der Migrationsphase notwendig waren, wie z. B. erweiterte Zugriffsrechte, aufgehoben werden.

Prüffragen: