Home » Fachbeiträge » Security Management » Verantwortung lässt sich nicht auslagern

IT-Outsourcing-Management nach DORA: Verantwortung lässt sich nicht auslagern

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) ändern sich die Spielregeln für die Auslagerung von IT-Dienstleistungen grundlegend. Auch Unternehmen, die bisher keiner behördlichen Aufsicht unterlagen, müssen ihr IT-Outsourcing künftig genauer unter die Lupe nehmen. Unser Autor beschreibt die wichtigsten Neuerungen.

9 Min. Lesezeit
Digitale Technologie
Foto: ©AdobeStock/ipopba

Ausgliederungen, Auslagerungen, Fremdbezüge oder Outsourcing – synonyme Begriffe, die seit der Globalisierung und Digitalisierung zunehmend an Bedeutung gewonnen haben. Grundsätzlich beschreiben sie den Vorgang, Betriebsprozesse oder Funktionen aus dem eigenen Unternehmen an einen Dienstleister zu verlagern. Geprägt durch die umfangreichen EDV-Auslagerungen von General Motors in den 1980-er Jahren wird der Begriff seit Beginn der 2000-er Jahre auch in anderen Unternehmensbereichen verwendet.

Die Hintergründe für Ausgliederungen sind vielfältig: Einsparpotenziale, höhere Flexibilität und Planbarkeit sowie direkter Zugriff auf Fachexperten. Wo früher aufwendige Mainframe-Architekturen mit selbst entwickelten Anwendungen eine hohe monetäre Barriere zur Prozessdigitalisierung darstellten, ist diese Kostenbarriere dank flexibler Cloud-Infrastrukturen und einer Palette von Plug-and-Play-Software-Anwendungen oder Software-as-a-Service-(SaaS)-Lösungen in der heutigen Zeit deutlich niedriger.

Das Sortiment an Hard- und Softwareangeboten ist einigermaßen unüberschaubar und bietet für nahezu jeden Anwendungsfall eine Lösung – häufig in Kombination mit Wartungsverträgen und der direkten Implementierung in die Bestandsarchitektur des Kunden. Dies bietet auf den ersten Blick enorm viele Vorteile und hohen Nutzerkomfort – quasi IT-on-Demand.

Die Komfortfreude kann jedoch schnell getrübt werden, sobald ein oder mehrere Dienstleister ihre Leistungsversprechen nicht mehr einhalten und/oder möglicherweise ganz vom Markt verschwinden. Die Abhängigkeit von IT-Dienstleistern stellt in der Tat ein zunehmendes Risiko für jedes ausgliedernde Unternehmen dar. Insbesondere sehr datenabhängige Unternehmen wie beispielsweise der Finanzsektor sind von derartigen Ausfällen stark betroffen, welche sich unter Umständen auch auf die gesamte Marktwirtschaft auswirken können.

Die folgenden Ausführungen beziehen sich auf die regulatorischen Anforderungen an das „Informations- und Kommunikationstechnik (IKT)“- Drittparteienrisikomanagement (Digital Operational Resilience Act (DORA), Kapitel V, Abschnitt I, Art. 28–30).

Dora

Der Digital Operational Resilience Act, die am 16. Januar 2023 in Kraft getretene EU-Verordnung, verfolgt das Ziel, die digitale Widerstandsfähigkeit des europäischen Binnenmarktes durch ein länderübergreifendes regulatorisches Rahmenwerk zu verstärken. Nicht zuletzt die Finanzkrise im Jahr 2008 verdeutlichte die systemische Relevanz des Finanzsektors für die gesamte Binnenwirtschaft (und darüber hinaus).

Hinzu kommt die seit Jahren zunehmende Bedrohung durch Cyberangriffe – insbesondere der Finanzsektor ist – unter anderem auch nach Auffassung des Basler Komitees – aufgrund der hohen Abhängigkeit von intakten Datenlieferstrecken und digitaler Leistungsfähigkeit ein populäres Angriffsziel. Zwar unterliegt der Finanzsektor innerhalb der EU einem einheitlichen Regelwerk und einer europäischen Finanzaufsicht, besondere Regelungen zur operationellen digitalen Widerstandsfähigkeit, der IKT-Sicherheit und der IKT-Drittparteienüberwachung und -steuerung waren bislang recht inkonsistent, teilweise auf Länderebene geregelt und ähneln eher einem regulatorischen Flickenteppich.

Auf nationaler Ebene ist das IT-Ausgliederungsmanagement in branchenspezifischen und allgemeinen Rahmenwerken, Gesetzen und Bilanzierungsregelwerken geregelt. So setzen sich die Anforderungen zum Beispiel für die Versicherungsbranche im Wesentlichen aus den Anforderungen an die IT (VAIT), den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) und dem Versicherungsaufsichtsgesetz (VAG) zusammen.

Je nach Ausgliederungssachverhalt werden diese noch durch weitere Regelungen wie beispielsweise die Datenschutzgrundverordnung (DSGVO) ergänzt. Ob DORA die bestehenden sektoralen Regelwerke in Teilen ergänzt oder die Position einer Single-Source-of-Truth für das Ausgliederungsmanagement einnimmt, ist bislang nicht abschließend geklärt. Ungeklärt ist auch, ob die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Rolle des Aufsichtsorgans für DORA in Deutschland übernehmen wird.

Regulatorische Anforderungen an das IT-Ausgliederungsmanagement

Die Auslegung, was eine IT-Ausgliederung charakterisiert und definiert, ist nach DORA recht weit gefasst: „Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben …“ (Art. 28 Abs. 1). Demzufolge wäre DORA auch für Unternehmen anwendbar, die als IKT-Dienstleister selbst nicht dem Finanzsektor zugeordnet werden können, jedoch für den Finanzsektor IKT-Dienstleistungen erbringen. Diese haben – zumindest für die an Finanzunternehmen erbrachten IKT-Dienstleistungen – die Vorgaben der DORA umzusetzen und sicherzustellen. Das gilt auch mit Blick auf die Einbindung weiterer (Sub-)Dienstleister (vgl. Art. 2 Abs. 1).7

Es ist zu beachten, dass die zeitliche Dauer, die Nutzungsintensität oder die Wesentlichkeit eines Dienstleistungsverhältnisses für die Bestimmung, ob es sich um ein Ausgliederungsverhältnis im Sinne der Verordnung handelt, unerheblich ist. DORA unterscheidet lediglich zwischen „normalen“, wichtigen und kritischen Ausgliederungen, wobei die Bestimmung der Wichtigkeit und Kritikalität inhaltlich von der Wesentlichkeitsbestimmung abweicht (vgl. beispielsweise MaRisk AT9 oder VAG).

Gemessen werden die Wichtigkeit und Kritikalität einer Funktion an den Auswirkungen, die ein Leistungsabfall oder -ausfall der Dienstleistung nach sich zieht (Art. 3 Abs. 22 und Art. 29 Abs. 1). Dementsprechend sind für wichtige und kritische IKT-Dienstleistungen erweiterte Compliance-Anforderungen zu berücksichtigen.

Aufbauorganisatorische Anforderungen

Getreu dem aufsichtlichen Grundsatz „Verantwortung kann nicht ausgelagert werden“ stehen regulierte Unternehmen in der Pflicht, sich kritisch mit ausgegliederten IKT-Dienstleistungen, den Dienstleistungserbringern und den damit einhergehenden Risiken auseinanderzusetzen. Demnach liegt es in der Verantwortung der Geschäftsführung, den strategischen Umgang mit IT-Ausgliederungen sowie den organisatorischen Aufbau- und Ablauf des IT-Ausgliederungsmanagements über den gesamten Lebenszyklus innerhalb einer Richtlinie zu definieren.

Eine wesentliche, aufbauorganisatorische Komponente für ein effektives und effizientes IT-Ausgliederungsmanagement ist die klare und transparente Regelung von Verantwortlichkeiten und Aufgabentrennung zur Vermeidung von Interessenkonflikten und diffuser Aufgabenwahrnehmung. Die Aufgabentrennung sollte bis auf Geschäftsführungs-/Vorstandsebene geregelt werden, wobei risikotragende und überwachende beziehungsweise kontrollierende Bereiche zu trennen sind.

Demnach sollte eine Ausgliederung durch die jeweilige ausgliedernde Fachabteilung initiiert, ausgeführt und gesteuert werden. Der operative Prozess sollte durch eine nicht-risikotragende, governance-gebende Überwachungsfunktion innerhalb der zweiten Verteidigungslinie definiert und regelmäßig die Prozesskontrollen auf ihre Effektivität hin überprüft werden. Dies kann beispielsweise in der Funktion eines zentralen Ausgliederungsbeauftragten liegen.

Ablauforganisatorische Anforderungen

Ablauforganisatorisch empfiehlt sich eine Unterteilung der Prozessaktivitäten, die auf dem Ausgliederungslebenszyklus basieren – kurzum, was vor, während und nach einem Ausgliederungsverhältnis zu tun ist. Im nächsten Abschnitt wird der Lebenszyklus in vier Phasen unterteilt und die zugehörigen Compliance-Aktivitäten werden beschrieben. Dies dient der Orientierung und Übersichtlichkeit – jedes Unternehmen sollte die Aktivitäten den jeweiligen Phasen eigenständig zuordnen, da sie nicht für jedes Ausgliederungsvorhaben und jede Unternehmensorganisation in gleicher Weise ausgestaltet werden. Einige Compliance-Aktivitäten sind dabei mehreren Phasen zuzuordnen beziehungsweise müssen über den Lebenszyklus hinweg mehrmals bearbeitet werden.

Vorbereitungsphase

Während der Vorbereitungsphase wird ein Ausgliederungsvorhaben im Detail definiert, die Auswahl des Dienstleisters getroffen und Verträge werden verhandelt beziehungsweise abgeschlossen. Ein wesentlicher Bestandteil der Vorbereitung ist die Risikoanalyse. Sie dient als Entscheidungsgrundlage für das Management unter Berücksichtigung der Risikotragfähigkeit und des Risikoappetits eines Unternehmens, ist Grundlage für die Vertragsgestaltung und legt die Überwachungs- und Steuerungsintensität während der Vertragslaufzeit fest. Gemäß Art. 28 Abs. 4 (DORA) muss im Rahmen der Risikoanalyse beurteilt werden, ob

  • (a) das Ausgliederungsvorhaben eine kritische oder wichtige Funktion unterstützt,
  • (b) aufsichtliche Bedingungen für eine mögliche Auftragsvergabe erfüllt sind,
  • (c) alle relevanten Risiken ermittelt und bewertet werden – dies beinhaltet auch mögliche Konzentrations- oder Klumpenrisiken,
  • (d) die potenziellen Dienstleister der Sorgfaltspflicht nachkommen sowie grundsätzlich geeignet sind und ob
  • (e) mögliche Interessenkonflikte durch ein Vertragsverhältnis entstehen können.

Die Durchführung der Risikoanalyse sollte die ausgliedernde Einheit unter Einbeziehung von Querschnitts- oder Prüffunktionen (zum Beispiel Datenschutzbeauftragter, Informationssicherheitsbeauftragter) verantworten. So ist gewährleistet, dass sowohl die prozess- oder funktionsinhärenten Risiken durch die Prozess- oder Funktionsverantwortlichen als auch weitere potenzielle Risiken wie beispielsweise Datenschutzverstöße oder Verletzungen des Informationsschutzes durch die jeweiligen Prüffunktionen berücksichtigt werden.

Die Prüfung sollte man so genau wie möglich durchführen, da nur bekannte und konkret definierte Risiken angemessen behandelt werden können, beispielsweise durch entsprechende Vertragsklauseln. Sämtliche in diesem Prozess erstellten Dokumente sind einem zentralen IKT-Informationsregister zuzuführen – es empfiehlt sich, bei der Ausgestaltung auf ein gewisses Maß an Ordnung und ergonomischer Handhabung zu achten, da auf Verlangen der Aufsicht entweder Teile oder das gesamte Register bereitgestellt werden müssen (Art. 28 Abs. 3).

Darüber hinaus sind Ausgliederungsvorhaben von wichtigen oder kritischen Funktionen beziehungsweise unterstützende Prozesse wichtiger oder kritischer Funktionen zeitnah der zuständigen Aufsichtsbehörde zu melden (Art. 28 Abs. 3).

Es mag zunächst widersprüchlich erscheinen, aber im Rahmen der Ausgliederungsvorbereitung sollten die Verantwortlichen zumindest grobe Exit-Strategien erarbeiten. Dabei werden alternative Dienstleister oder auch die Möglichkeit einer Rückverlagerung ermittelt, Szenarien und/oder Kriterien definiert, welche Auslöser für die Aufkündigung eines bestehenden Vertragsverhältnisses sein könnten. Wird das Dienstleistungsverhältnis als wichtig oder kritisch eingestuft, so ist eine ausführliche Exit-Planung und deren regelmäßige Erprobung verpflichtend (Art. 28 Abs. 8) mit dem Ziel, eine Übertragung an einen anderen Dienstleister oder eine Reintegration ohne Unterbrechung der Geschäftstätigkeit zu gewährleisten.

Aufbauphase

Die Aufbauphase bezeichnet den zeitlichen Abschnitt zwischen Vertragsverhandlungen beziehungsweise Vertragsabschluss und der organisatorischen und technischen Vorbereitung für den operativen Betrieb. Hierzu gehört insbesondere die Schaffung von Governance- und Leitungsgremien, des Berichtswesens, Eskalationsschritten, des Dienstleisterüberwachungs- und Steuerungsprozesses sowie der Prüfungsplanung.

Als Grundlage dient hier maßgeblich der im Rahmen der vorangegangenen Risikoanalyse identifizierte Risikogehalt des jeweiligen Ausgliederungsvorhabens. So sind riskantere Vorhaben deutlich engmaschiger zu überwachen und in kürzeren Berichtsintervallen den definierten Gremien beziehungsweise der Geschäftsleitung zu berichten. Eine effektive Überwachung und Steuerung setzt die Vereinbarung geeigneter, messbarer quantitativer und qualitativer Leistungsparameter (Key Performance Indicators, KPI) zwischen Dienstleister und ausgliederndem Unternehmen voraus. Basierend auf den Leistungsparametern sollten Schwellwerte definiert werden, die Anlass für eine erneute, in diesem Fall anlassbezogene, Durchführung der Risikoanalyse sind (Art. 28 Abs. 3).

Nutzungsphase

Mit Abschluss des Vertrags und der Einrichtung der organisatorischen sowie technischen Voraussetzungen beginnt in der Regel die tatsächliche Leistungserbringung und der Übergang in die Nutzungsphase. Je nach Art der Dienstleistungen werden währenddessen Änderungen, Erweiterungen oder Anpassungen durchgeführt.

Obgleich der aktive Teil der Leistungserbringung beim Dienstleister liegt, ist dem ausgliedernden Unternehmen von einer passiven Haltung abzuraten. Vielmehr sind nun die definierten Überwachungs- und Steuerungsprozesse sowie geplanten Dienstleisterprüfungen durch die interne Revision (oder Gruppenprüfungen) zu operationalisieren (Art. 28 Abs. 6).

Neben der zuvor genannten anlassbezogenen, wiederholten Durchführung der Risikoanalyse, welche durch die Überschreitung von Schwellwerten ausgelöst wird, ist zudem eine turnusmäßige Risikoanalyse durchzuführen. Dies soll verhindern, dass Risiken, die nicht direkt leistungsbezogen und unmittelbar messbar sind, über längere Zeit unentdeckt bleiben. Dazu gehört beispielsweise eine veränderte (erhöhte) Wichtigkeit oder Kritikalität der ausgegliederten Funktion, welche der Meldepflicht an die zuständige Aufsichtsbehörde (Art. 28 Abs. 3) und erweiterten Compliance-Maßnahmen, wie zum Beispiel der regelmäßigen Erprobung der Exit-Pläne (Art. 28 Abs. 8), unterliegt.

Vertragsbeendigung

Eine Vertragsbeendigung basiert entweder auf einer vertraglich vereinbarten Vertragslaufzeit oder auf einer ordentlichen beziehungsweise außerordentlichen Kündigung durch die Vertragsparteien. Im Fall einer vorher vereinbarten Vertragslaufzeit haben die Vertragspartner üblicherweise ausreichend Zeit eingeplant, um eine sichere, ungestörte Reintegration in das ausgliedernde Unternehmen oder auf einen anderen Dienstleister zu gewährleisten.

Sollte es jedoch aufgrund von Leistungsverschlechterungen oder anderen Vertragsverstößen zu einer ordentlichen beziehungsweise in schweren Fällen zu einer außerordentlichen Kündigung durch eine der Vertragsparteien kommen, so gilt es, möglichst rasch und koordiniert die Exit-Pläne in die Tat umzusetzen, um eine möglichst reibungslose Abwicklung zu gewährleisten.

Fazit

Zusammenfassend zeigt sich, dass IT-Ausgliederungen im Zuge der zunehmenden Digitalisierung und Globalisierung für Unternehmen von großer Bedeutung sind, jedoch auch erhebliche Risiken bergen. Der Digital Operational Resilience Act setzt hier an, indem er einheitliche regulatorische Rahmenbedingungen schafft, um die digitale Widerstandsfähigkeit insbesondere im Finanzsektor zu stärken. DORA erweitert bestehende Vorschriften und macht deutlich, dass Verantwortung für ausgelagerte IT-Dienstleistungen nicht delegiert werden kann.

Betroffene Unternehmen müssen sich intensiv mit den Risiken auseinandersetzen, die mit IT-Ausgliederungen verbunden sind und entsprechende organisatorische Maßnahmen treffen. Eine klare Regelung von Verantwortlichkeiten, regelmäßige Risikoanalysen und die sorgfältige Planung von Exit-Strategien sind unerlässlich, um die Stabilität und Sicherheit der IT-Infrastrukturen zu gewährleisten.

Der Weg hin zu einer robusten digitalen Resilienz erfordert also nicht nur die Anpassung an neue regulatorische Anforderungen, sondern auch eine strategische, ganzheitliche Betrachtung der IT-Ausgliederungen über deren gesamten Lebenszyklus hinweg.

Porträt Hagen Ohm

Hagen Ohm ist als Berater für „Governance, Risk & Compliance“ bei Capgemini Invent tätig. Sein Schwerpunkt liegt im Bereich des IT-Ausgliederungsmanagements bei regulierten Finanzdienstleistern gemäß aufsichtlicher Anforderungen. Er ist außerdem Lehrbeauftragter an der Technischen Hochschule Augsburg.

Andere interessante Fachbeiträge

Digitales Schild

So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder en...

Abstrakte Collage zu KI und Gesetzen

KI und IT-Governance: Was Unternehmen wissen müssen

Künstliche Intelligenz (KI) ist bereits heute ein unverzichtbares Werkzeug für Unternehmen, die ihre Wettbewerbsfähigkeit stärken und neue technologische Möglichkeiten ausschöpfen ...

Cybercrime

Auf der Jagd nach Sicherheitslücken in TLS-Bibliotheken

TLS ist der wichtigste kryptografische Standard für digitale Kommunikation im Internet. Durch Implementierungsfehler entstehen jedoch immer wieder Sicherheitslücken, die für komple...