Vendor Risk Management ᐅ Risikominimierung bei Dienstleistungen

Vendor Risk Management

Arbeiten Sie auch mit externen Dienstleistern zusammen? Dann stellen Sie sich bestimmt die Frage, wie Sie die Risiken, die sich durch die Zusammenarbeit ergeben, minimieren können? Wie kann die Leistung Ihrer Zulieferer optimiert, die Beziehung effektiver gestaltet und die negativen Effekte, die sich im Tagesgeschäft ergeben können, überwacht werden? Konkret, wie kann ich Vendor Risk Management betreiben?

Dieser Beitrag beantwortet Ihnen die wichtigsten Fragen: Was ist Vendor Risk Management? Warum ist es nötig? Welche unterschiedlichen Phasen müssen beachtet werden?

Inhalt:

  1. Definition und Grundlagen von Vendor Risk Management
  2. Ihre Vorteile des Vendor Risk Managements
  3. Phasen des Vendor Risk Managements

Definition und Grundlagen von Vendor Risk Management

Das Risiko Management einer Organisation managed u.a. die Risiken, die sich durch den Einsatz von externen Dienstleistern ergeben. An diese werden Prozesse und Dienstleistungen ausgelagert, wenn z. B. intern das entsprechende Know-how oder die erforderlichen personellen Ressourcen fehlen. Bei Vendor Risk Management geht es darum die s.g. Outsourcing-Partner aus Informationssicherheitssicht zu betrachten und die damit verbunden Risiken zu identifizieren. Die Dokumentation, Bewertung und Behandlung sind weitere notwendige Schritte des Vendor Risk Managements. Interne Regeln und Maßnahmen sollen auch von externen Dienstleistern entsprechend umgesetzt werden, um einen einheitlichen Standard an Informationssicherheit für den gesamten Prozess zu gewährleisten.

Outsourcing kann auch als Strategie bzw. Option zur eigenen Risikobehandlung gewählt werden. Wenn Risiko verlagert wird, sollte nie vergessen werden, dass die Verantwortung für den ausgelagerten Prozess und damit auch für die Informationssicherheit in der eigenen Organisation bleibt.

Vorteile, wenn Sie Vendor Risk Management betreiben

  • Sie haben Ihre Risiken vollumfänglich im Blick. So verschaffen Sie sich auch einen Überblick über die Risiken, die von der Inanspruchnahme des Dienstleisters ausgehen und oft „im Verborgenen“ bleiben.
  • Der Austausch und das Verhältnis zum Dienstleister wird gefördert und verbessert. Neben einer klaren Abgrenzung und Definition von Schnittstellen werden Kriterien für die Messung der Servicequalität festgelegt.
  • Die eigenen Regeln und Standards einer Organisation werden auf Aktualität und Angemessenheit überprüft. Um relevante Maßnahmen an den Vendor weiterzugeben, müssen diese zunächst intern identifiziert und in regelmäßigen Abständen hinterfragt werden.
  • Verträge werden auf die tatsächlichen Gegebenheiten und dadurch exakter abgestimmt. So sollte die Pflicht zur Mitwirkung, Auskunft und das Recht auf Audit vertraglich festgesetzt sein.
Dirk Lather

Dirk Lather

Vertriebsbeauftragter
1845

Sie möchten detaillierte Infromationen zum Thema Informationssicherheitsmanagementsysteme? Dann sprechen Sie uns einfach an.
Wir beraten Sie gerne.

Übersicht der Phasen des Vendor Risk Managements

Idealerweise greift das Vendor Risk Management vor dem Zustandekommen einer externen Dienstleistung ein, um zu überprüfen, welche Risikoauswirkungen die Inanspruchnahme mit sich führt. Am Beispiel einer Auslagerung (Outsourcing) wollen wir verschiedene Phasen und deren Aspekte für das Vendor Risk Management illustrieren.

  1. Planung: Bereits bei der Planung eines Outsourcing-Vorhabens muss man sich Gedanken machen, ob eine Auslagerung überhaupt möglich ist und als sinnvoll erachtet wird. Was sind die Vor- und Nachteile und welche Risiken bringt dieses Vorgehen mit sich?
  2. Dienstleisterauswahl: Erfüllt der Dienstleister die nötigen Voraussetzungen und kann er das auch belegen (z.B. Zertifikate)? Wie gestaltet sich die Migration bei dem Outsourcing-Vorhaben? Führt der Dienstleister seinen Dienst selbstständig aus oder setzt auch er externe Dienstleister (s.g. Sub-Contractor) ein. Hinter Software as a Service (SaaS) Diensten steckt meist eine Technologie eines großen Unternehmens, wie etwa die Cloud-Hosting Dienstleister Amazon Web Service (AWS) oder Microsoft Azure. Deshalb ist bei der Vertragsgestaltung und der Auswahl der Dienstleister auf die Sub-Contractor-Kette zu achten und diese speziellen Abhängigkeiten zu durchleuchten.
  3. Einbindung in den Betrieb: Ein eindeutiger Ansprechpartner auf Seiten des Vendors ist unerlässlich, um eine schnelle und koordinierte Kommunikation zu garantieren. Im laufenden Betrieb sind der Vendor und sein Service einem kontinuierlichen Monitoring und regelmäßigen Kontrollen zu unterziehen. So lassen sich z.B. in regelmäßigen und definierten Abständen Gap Analysen durchführen, die den Ist-Soll-Zustand der Umsetzung der geforderten Maßnahmen ermittelt und dokumentiert. Auch in bestehende Konzepte, wie das Notfallmanagement, muss der Dienstleister integriert werden.
  4. Beendigung des Outsourcing-Prozesses: Selbst bei der Beendigung der Inanspruchnahme einer externen Dienstleistung sind entsprechende Maßnahmen und Strategien für den sicheren Weiterbetrieb (Rückgabe von Daten, Klärung von Eigentumsrechten, notarielle Hinterlegung von Quell-Code, etc.) zu beachten.

Eine brauchbare Sammlung von Anforderungen und Maßnahmen findet sich in den etablierten Methoden und Standards für ein Informationssicherheitsmanagementsystem (ISMS) wie im Baustein „B 1.8 Outsourcing“ des ISIS12-Maßnahmenkatalogs oder im Anhang der ISO27001 Norm unter „A.15 Supplier Relationships“.

Ansprechpartner

Sebastian Heun

Sebastian Heun

Berater für Informationssicherheit
1966

Unsere Beratungsleistungen

Jetzt informieren

Fazit von Vendor Risk Management

  • Vendor Risk Management regelt und betrachtet die Risiken, die sich aus dem Einsatz eines externen Dienstleisters ergeben.
  • Trotz dem Outsourcing von Geschäftsprozessen trägt die eigene Organisation die Verantwortung für Informationssicherheit.
  • Relevante Regeln, Maßnahmen und gesetzliche Anforderungen sind in dem Vertrag mit dem Outsourcing-Partner festzulegen.
  • Auch Sub-Contractor sind in dem Dienstleistungsverhältnis zu betrachten.
  • Die Umsetzung bzw. Einhaltung der Anforderungen und Maßnahmen ist entsprechend zu kontrollieren.