„Vertrauen ist gut, Kontrolle ist besser“

Lieferantenbewertung mit Mehrwert

Starke Verflechtungen prägen unser Geschäftsleben. So werden immer öfter Services an Externe ausgelagert. Von der Lohnabrechnung über Cloud- und weitere IT-Dienstleistungen bis hin zum Outsourcing von Entwicklungsarbeiten. Alle Auslagerungen haben eins gemeinsam: Wer sich eines externen Dritten bedient, muss sich über dessen Verlässlichkeit und Leistungsfähigkeit bei der Datenverarbeitung sicher sein; egal ob durch die Datenschutzgrundverordnung, durch einen Auftraggeber oder intrinsisch motiviert. Schließlich kann der Verlust vertraulicher Daten verheerende Konsequenzen für das eigene Unternehmen haben. Ganz nach dem Motto „Vertrauen ist gut, Kontrolle ist besser“ sollte eine eingehende und regelmäßige Prüfung stattfinden. „Es kann schnell zu hohe Strafsummen kommen, wenn ein Unternehmen nachweisbar gegen Datenschutzpflichten verstößt oder zum Verlust von Aufträgen, wenn Dienstleister nicht sorgfältig ausgewählt werden“, erklärt Dr. Jörn Voßbein. Doch nach welchem Maßstab und welcher Methodik sollte man hier vorgehen?

Die internationale Norm ISO 27001 beschreibt ein Informationssicherheits-Managementsystem (ISMS). Ein Managementsystem besteht aus Leit- und Richtlinien, Prozessen und Verfahren, Dokumenten und Aufzeichnungen, Kontrollmechanismen und Leistungsbewertungen, sowie aus Maßnahmenzielen und Maßnahmen. Die ISO 27001 ist hierbei ein weltweit anerkannter Maßstab für das effektive Management der Informationssicherheit. Diese Norm kann einerseits dafür genutzt werden, eigene Prozesse sicherer zu gestalten; andererseits fordert die Norm aber auch, die Regeln des eigenen Hauses auf Lieferanten (sprich o. g. Dienstleister) zu übertragen, so dass die Norm auch für die Prüfung dieser genutzt werden kann.

Hierbei stellt sich dann oftmals die Frage: Wie mache ich es? Neben der fachlichen Expertise, dem methodischen Know-how und den Kapazitäten kommen zum Teil auch politische Aspekte hinzu, warum Unternehmen sich mit einer Lieferentenbewertung im Sinne eines Informationssicherheits-Audits schwertun. Hier können spezialisierte Dienstleister aushelfen. „Ein erfahrener Auditor unterstützt im gesamten Prozess und prüft routiniert die Dienstleister, wodurch oftmals auch die Qualität der erbrachten Dienstleistung verbessert wird. Nebenbei kommen Sie Ihrer gesetzlichen Rechenschaftspflicht (DSGVO) und den Vorgaben an ein Informationssicherheits-Managementsystem auf effiziente Weise nach.“ berichtet der lizenzierte Lead-Auditor Dr. Jörn Voßbein von der UIMCert GmbH.

Externe Auditoren können eine solche Auditierung aufgrund langjähriger Erfahrungen oftmals wesentlich effektiver und routinierter durchführen. Sie haben hierbei beim Lieferanten auch oftmals eine erhöhte „Autorität“ als der Auftraggeber selbst. Dies verbessert die Akzeptanz der Befragung und Ergebnisse; auch beim Dienstleister selbst. „Wir als für den Standard ISO 27001 von der Deutschen Akkreditierungsstelle akkreditierte Zertifizierer sammeln immer wieder die Erfahrung, dass wir nur als Fachleute, sondern auch als neutraler wahrgenommen werden. Ich bin der festen Überzeugung, dass Audits auf diese Weise reibungsloser durchgeführt werden können und zu valideren Ergebnissen führen.“ so Dr. Voßbein weiter.
Durch eine standardisierte Durchführung, können verschiedene Dienstleister auch miteinander verglichen werden. Zum Teil bieten verschiedene Lieferanten die gleichen Services an. Da kann die Qualität der Sicherheitsmaßnahmen im Auswahlprozess eine entscheidende Rolle spielen, so dass ein Benchmarking in der Informationssicherheit ein sinnvoller Beitrag für eine seriöse Dienstleister-Auswahl sein kann.