Management

Sicherheitsrisiko „externe Dienstleister“ - Management Externer Ressourcen

30.08.2013 - Fachkräftemangel einerseits und fehlende wirtschaftliche Flexibilität bei der Gestaltung von Personal­kapazitäten andererseits - das ist wohl einer der wichtigsten zu ­meisternden ...

Fachkräftemangel einerseits und fehlende wirtschaftliche Flexibilität bei der Gestaltung von Personal­kapazitäten andererseits - das ist wohl einer der wichtigsten zu ­meisternden Gegensätze für viele Unternehmen. Unabhängig davon ob es sich um ausgelagerte IT-Dienstleistungen oder einfach um die ­Kollegin vom Empfang handelt - der Einsatz externer Mitarbeiter von ­Personaldienstleistern ist nicht zuletzt aus Sicherheitsgründen ein viel diskutiertes Thema. Die Heraus­forderung für Sicherheitsverantwortliche, Datenschützer und die ­Revision liegt dabei vor allem in der Einhaltung gesetzlicher Vorgaben und deren technischer Umsetzung. Ein Beitrag von Sebastian Rohr, ­technischer Geschäftsführer, ­accessec GmbH.

Die zunehmende Spezialisierung der Unternehmen und die Konzentration auf ihre jeweilige Kernkompetenz haben zu einer deutlichen Zunahme der Einbindung externer Ressourcen in interne Geschäftsprozesse geführt. Insbesondere bei der Durchführung von Projekten bedienen sich sowohl Mittelstand als auch Großkonzerne der Unterstützung von spezialisierten Dienstleistern, strategischen Beratern oder auch Zeitarbeitsfirmen. Doch wie kann die Vielzahl externer Ressourcen sinnvoll ausgewählt, schnell eingegliedert und effizient verwaltet werden? Es gilt, einen insgesamt sicheren und dennoch effizienten Prozess zu schaffen - der in der Regel im Einkauf und nicht in der Fachabteilung beginnt. Ein durchgängiges elektronisches Verfahren zur Erhebung und Verarbeitung der Daten hat sich dabei für alle am Prozess beteiligten Parteien als mehrwertig erwiesen.

Daten und Notwendigkeiten
Allein die Frage nach den notwendigen Informationen, die über einen Geschäftspartner und Lieferanten bekannt sein müssen, bringt in der Praxis die unterschiedlichsten Antworten hervor. Am Beispiel eines externen Dienstleisters, der Beratungs- und Serviceleistungen innerhalb der Organisation anbietet und dessen Mitarbeiter tiefer in die jeweilige Abteilung oder das Projekt eingegliedert sind, wird der Bedarf an einer vollständigen Informationsgrundlage schnell deutlich. Insbesondere der Einsatzzeitraum des externen Mitarbeiters muss bekannt sein, denn ohne ein Anfangs- und ein geplantes Enddatum sind viele nachgelagerte Prozesse aus Sicherheitsperspektive nicht abzuarbeiten.

Gleiches gilt im Übrigen für die grundlegenden Unternehmensinformationen über den externen Dienstleister: Die Stammdaten eines Lieferanten umfassen generell die Adresse(n), allgemeine Kontaktinformationen, die Steuernummer, Handelsregisternummer und Bankverbindung(en) sowie vierstellige Nummern zur Einordnung des Unternehmens nach dem Statistischem Bundesamt. Einige Einkaufsorganisationen legen Wert auf die sogenannte DUNS (Data Universal Numbering System) von Dun & Bradstreet, mit der sich Unternehmen eindeutig identifizieren lassen. Nach einer Prüfung und internen Freigabe wird üblicherweise noch eine intern eindeutige ID vergeben, unter der der mögliche Lieferant geführt wird - zu einem Zeitpunkt, wo weder ein Angebot oder gar ein Auftrag vorliegen.

Die Divergenz der Datenerfassungen zeigt, dass bei der Festlegung von Notwendigkeiten vorliegender Informationen in vielen Unternehmen noch weitreichendes Handlungspotenzial besteht. Auch für die Auftragnehmer: Insbesondere für „Personallastige" Dienstleister sind die eigenen Mitarbeiter das zu vermittelnde „Produkt". Folglich müssen jene als potenzielle Dienstleister bekannt gemacht werden - was wiederum die Erhebung von Personen-Stammdaten erfordert. Neben Vor- und Nachname sowie Geburtsdatum und Staatsangehörigkeit werden hierzu natürlich auch bestimmte Kompetenzen, Qualifikationen und Zertifikate erfasst.

Externe Ressourcen sicher eingliedern
Gerüstet mit einer eindeutigen ID aus dem Einkaufsportal und vollständigen Informationen zu dem beauftragten Unternehmen und den zugehörigen Mitarbeitern ist aus Auftraggebersicht ein wichtiger Grundstein für eine sichere Zusammenarbeit gelegt. Idealerweise kann eine anfordernde Abteilung über eben diese ID und die DUNS Nummer sowie das vorliegende Angebot eine Beschaffungsmeldung an den Einkauf absetzen, um den Bedarf für die spezifische Dienstleistung anzuzeigen. Dann sind die Mitarbeiter im Einkauf gefragt: Aus dem künftigen (externen) Mitarbeiter mit seiner Portal ID muss ein gelisteter Lieferant werden, der nach Beauftragung eine aktive Lieferanten-ID benötigt. Zudem sollten auf jeden Fall im Rahmen der Registrierung im Lieferantenportal auch organisatorische Voraussetzungen wie etwa Datenschutz- und Geheimhaltungsvereinbarungen sowie - im Bedarfsfall - Auftragsdatenverarbeitungsvereinbarungen hinterlegt sein. Das Vorhandensein dieser und anderer wichtiger Unterlagen wie beispielsweise Zertifikate oder beglaubigte Bescheinigungen können durch einen geregelten Prozess mit der Rechtsabteilung einmalig validiert und im Bedarfsfall regelmäßig überprüft werden.

Im Idealfall kann die Fachabteilung direkt nach Bestätigung durch den Einkauf eine geeignete Ressource des Dienstleisters auswählen. Das setzt voraus, dass auf Basis der Stammdaten des Mitarbeiters in einem internen Verzeichnisdienst eine Rumpfidentität angelegt wurde. Diese sollte - ähnlich wie das Unternehmen selbst - mit einer eindeutigen Kennung versehen sein, etwa einer sogenannten Unique ID (UID), oder Globally Unique ID (GUID), die den externen Mitarbeiter über seinen ganzen Lebenszyklus hinweg begleitet und unveränderlich sein sollte. Der ausgewählte externe Mitarbeiter kann dann über einen internen Paten „adoptiert" werden, so dass die Rumpfidentität mit den Attributen der adoptierenden Organisation/Abteilung ergänzt werden kann. Die Experten der accessec GmbH haben in größeren Organisationen festgestellt, dass sich hierfür die Erstellung von Meta-Identitäten bewährt hat, die unterhalb der GUID angesiedelt werden und jeweils das aktive Vertragsverhältnis abbilden. Mit diesem hierarchischen Modell lassen sich übrigens auch komplexe interne Strukturen visualisieren, in denen Mitarbeiter der Konzernmutter auch Aufgaben und Funktionen in Tochtergesellschaften wahrnehmen.

Und die Berechtigungen?
Um eine wirklich effiziente Verwaltung nicht nur der Identitäten sondern auch der Berechtigungen zu erreichen, hilft eine automatische Provisionierung von Standardrollen. Diese können sowohl für interne als auch externe Kräfte auf Basis ihrer Organisationszugehörigkeit, ihres Status (Angestellter, Berater, etc.) sowie ihrer Abteilung und Aufgabe vorbereitet werden - eine klassische Aufgabe des IT-Identity Managements. Darüber hinaus ist es sinnvoll, die gleichzeitige Ausweiserstellung für Zutritt und Zugriff (falls vorhanden) einzubinden, da die verzögerte Ausgabe von Ausweisen den produktiven Einsatz eines externen Kollegen erheblich beeinträchtigen kann. Das jeweilige Start- und Enddatum der Beauftragungen dient als Grundlage für die zeitliche Eingrenzung der Berechtigungen für Zutritt und Zugriff - eine ebenfalls automatisch angestoßene Re-Zertifizierung durch den Paten erleichtert die zeitnahe Deaktivierung oder Verlängerung, falls das Mandat fortgeführt wird.

Fazit
Nicht nur gesetzliche Vorgaben, sondern auch wirtschaftliche Gründe bewegen Unternehmen jeder Größe zu kontrolliertem und vor allem sicherem Onboarding externer Mitarbeiter. Dabei stellen insbesondere große Unternehmen einen hohen Handlungsbedarf fest, da die bestehenden Prozesse nicht immer durchgängig sind und Automatisierung derzeit noch eine untergeordnete Rolle spielt. Insbesondere sensible Unternehmensdaten gilt es in Zeiten flexibler Integration der unterschiedlichsten Dienstleister zu schützen, ohne deren wertvolle Zeit durch die unnötige Verzögerung bei der Berechtigungsvergabe zu verschwenden. Mit der einheitlichen Erfassung aller notwendigen Daten und deren automatisierter interner Verarbeitung schaffen Organisationen einen wichtigen Schritt, ihre internen Sicherheitsexperten zu unterstützen und gleichzeitig externe Ressourcen optimal zu nutzen.

 

Kontakt

accessec GmbH

Marktstr. 47-49
64401 Groß-Bieberau

+49 6162 80042 0