Ein echtes Killerargument gegen die Vergabe von Aufträgen nach Asien oder Osteuropa ist ja der Hinweis auf die Datensicherheit. Jede auch noch so ausgeklügelte Vorgehensweise, die vorsichtigste Kalkulation, der raffinierteste Notfallplan kann durch eine einfach Bemerkung gekippt werden: Wie ist es um die Datensicherheit bestellt ? "Sie wissen ja", sagen die Datenschützer, gucken listig und wollen ja nur unser Bestes, "wer Daten aus der EU... ". Wenn jetzt noch das Wort "personenbezogen" fällt, ist es meist aus mit dem schönen Projekt. Extrarunden über Vorstand und Rechtsabteilung sind zu drehen, der Projektstart wird auf den St. Nimmerleinstag verschoben. Der gebuchte Anbieter geht solange den Wettbewerb bedienen.
Das Thema Datenschutz und Datensicherheit ist hierzulande brisant. Um nur ja nichts falsch zu machen, verfällt mancher Verantwortliche in eine Handlungs- und Entscheidungsstarre und tut lieber gar nichts. Um es nun ganz deutlich zu sagen: Wir haben die strengsten Datenschutzgesetze der Welt, und das ist gut so. Unser Verständnis davon, wem Daten gehören und wer was mit welchen Daten tun darf, unterscheidet sich ganz grundsätzlich von dem unserer amerikanischen Freunde. Grob vereinfacht ausgedrückt gehören Daten hier demjenigen, den die Daten betreffen – dort gehören sie dem, der sie gesammelt hat. Dieses unterschiedliche Verständnis begreifen nach und nach auch die globalen IT-Anbieter, die sich heuer verstärkt dem europäischen Markt zuwenden und feststellen, dass es sich hier nicht um eine zweite Auflage des US-Marktes handelt. Es gelten hier ganz andere marktliche Gegebenheiten, und ein Aspekt davon ist eben der Umgang mit Daten. [Ein Offshoring-Schnelltest: Fragen Sie doch mal ihren Anbieter in Indien, wie er die aktuellen europäischen Datenschutzrichtlinien in der Arbeit mit europäischen Kunden umsetzt . Hat er eine wirklich schlüssige Antwort? Gut. Dann darf er ihr Anbieter bleiben. Sie wollen ja nicht auf einer Zeitbombe sitzen.]
Worauf ist zu achten, wenn anlässlich einer anstehenden Vergabe von IT-Aufträgen nach Offshore der Aspekt der Datensicherheit eines Offshore-Anbieters überprüft werden soll?
1. Bleiben Sie auf dem Boden. Grundsätzlich bestehen dieselben Risiken wie zu Hause auch: Diebstahl durch Mitarbeiter oder Einbrecher, Wirtschaftsspionage, oder Daten, die verschlampt oder verloren werden. Vor dem komplexeren rechtlichen Hintergrund, den jede internationale Komponente mit sich bringt, ist zusätzliche Aufmerksamkeit geboten. Ebenso unter dem Aspekt der höheren Aufmerksamkeit, die jede Offshore-Vergabe mit sich bringt.
2. Andere Länder, andere Sitten. Die Unterteilung der Welt in "Inland" und "Ausland" ist nicht hinreichend. Gartner hat beispielsweise in einer Reihe von Papieren letzten Herbst dargestellt, dass hinsichtlich des Schutzes von Daten und geistigem Eigentum Indien "gut" ist, China "schlecht", Brasilien "ganz okay" und Mexiko "sehr gut". Und: Der Abstand zwischen dem Buchstaben des Gesetzes und seiner Umsetzung und Anwendbarkeit im Tagesgeschäft kann immens sein. Produktfälschungen und Plagiate sind in China übrigens genauso verboten wie hier. Sie verstehen.
3. Sicherheitszertifikate für Unternehmen wie bspw. ISO 27001 sind gut, sie zeigen, bei aller gebotenen Skepsis, doch zumindest einmal, dass ein Lieferant das Thema Datensicherheit an sich erkannt hat. Wer hat das Zertifikat ausgestellt ? Welche weiteren Unternehmen wurden vom selben Aussteller zertifiziert ? Sind die Umsetzungen der Sicherheitsstandards nicht nur in den Standard Operating Procedures, sondern vor allem in den täglichen Routine-Abläufen tatsächlich zu sehen?
4. Falls eine Weitergabe von Daten an Partnerfirmen und Subunternehmen im Rahmen der Auftragserfüllung erlaubt sein soll, sind diese selbstverständlich mit der selben Sorgfalt zu prüfen, wie der eigentliche Lieferant selbst.
5. Auch im technischen Bereich gibt es eine Reihe von Ansatzpunkten: Welche Testdaten werden zum Zweck der Funktions- und Abnahmetests übergeben ? Sind sie wirklich unwiederherstellbar anonymisiert worden ? Oder wurden, noch besser, gänzlich erfundene Daten verwendet ? Werden alle Daten durch eine intelligent ausgestaltete Zugangs-und Zugriffskontrolle geschützt? Besteht ein ordentliches Nutzer-/Gruppen-Management für Berechtigungen und eine tatsächliche, physikalische Trennung der Daten verschiedener Kunden? Werden alle Manipulationen und Zugriffe entfernt, aber zentral protokolliert?
Eine umfassende Aufzählung von Sicherheitsaspekten müsste Fragen der Datenverschlüsselung behandeln, müsste Verantwortlichkeiten und Anreizsysteme, Best-Practices und die Vor- und Nachteile von Security-Audits beleuchten, und vieles mehr. Kern der Sache ist: Der Schutz von Unternehmensdaten erfordert eine hohe Aufmerksamkeit und ein solides Verständnis davon, was zu schützen ist, woher die Bedrohungen kommen und welcher Schutz von Unternehmensdaten daher angemessen ist. Das gilt im eigenen Serverraum ebenso wie auf dem Laptop irgendwo in Indien.
Falls Sie Fragen haben, was eine Firma in Indien, China, Südostasien oder Osteuropa für Sie und Ihre IT tun kann: Klicken Sie hier. (Bestätigen Sie aber bitte um Himmels Willen vor dem Absenden, dass sie die Datenschutzerklärung gelesen haben. Wegen der Zeitbombe. Sie verstehen schon. Vielen Dank.)
Schönes Wochenende!
