michael emmer, Internetprovider, SpaceNet, Produktion

Michael Emmer, SpaceNet: "Meist ist es der effizienteste Weg, die wirklich geschäftskritischen IT-Prozesse in ein ISO-zertifiziertes Rechenzentrum auszulagern.“

Ein IT-Audit dient dazu, Schwachstellen in der IT-Struktur aufzudecken, um Schaden vorzubeugen. Selbst geplant, beauftragt und durchgeführt ist es eine Sicherheitsvorkehrung, die ein Unternehmen mit Zeit und Einsatzbereitschaft stemmen kann. Problematisch wird es, wenn etwa ein Auftraggeber ein Audit fordert und im Unternehmen Ressourcen, Zeit und Know-how fehlen, um die Prüfung entsprechend vorzubereiten. Betroffene Firmen können massiv unter Druck geraten, wenn sie ihre IT sicherheitstechnisch auf neusten Stand bringen müssen. IT-Provider wie SpaceNet können helfen, damit das Audit bestanden wird.

Seit gut zehn Jahren beliefert der mittelständische Sitzbezügehersteller bereits seinen Kunden, einen großen Münchener Automobilhersteller, zuverlässig und reibungslos. Völlig überraschend flattert eines Tages ein Selbst-Auskunftsbogen ins Haus: Der Auftraggeber kündigt ein IT-Audit an, das heißt die IT-Struktur und die IT-Prozesse des Zulieferers werden abgefragt und überprüft. Die Unsicherheit ist groß. Was da gefordert wird, vor allem an Datenschutz- und Datensicherheitsmaßnahmen, war noch nie ein Thema und ist mit der aktuellen IT-Mannschaft auch nicht zu leisten. Aber ohne bestandenes Audit fallen die Kundenaufträge weg. Was also tun?

IT-Audits sind keine Schikane. Sie haben ganz konkrete Ziele. Allen voran den Geschäftsbetrieb in Krisensituationen sicherzustellen, sodass die Lieferkette nicht unterbrochen wird - etwa bei Stromausfällen oder Hackerangriffen. Weiter ist das Thema Datenschutz ein Schwerpunkt aller Audits. Dieser beinhaltet eine Vielzahl von technischen und organisatorischen Maßnahmen (TOM) wie etwa das professionelle Management von Zugriffsrechten.

Besonders in mittelständischen Unternehmen, in denen die IT nur als Arbeitsmittel dient (Hauptsache sie funktioniert), kann ein Audit ein großes Problem sein: Es fordert strukturelle Anpassungen der IT-Infrastruktur, die fundiertes und spezialisiertes IT-Know-how umfassen, das nicht in jedem IT-Team vorhanden ist. Um das Audit gut über die Bühne zu bringen, ist die Unterstützung durch einen Dienstleister, dem man vertrauen kann, eine schnelle und gute Lösung. "Meist ist es der effizienteste Weg, die wirklich geschäftskritischen IT-Prozesse in ein ISO-zertifiziertes Rechenzentrum auszulagern", sagt Michael Emmer, Prokurist bei SpaceNet. Denn grundsätzlich liegt die Verantwortung zwar weiterhin beim jeweiligen Unternehmen, aber es kann sämtliche operativen IT-Aufgaben einem zertifizierten und zuverlässigen Partner übergeben, dem es vertraut. Somit können Teile des Audits im professionellen Rechenzentrum stattfinden oder erübrigen sich idealerweise, falls der Dienstleister ein ISO-27001-Zertifikat hat. Denn eine Zertifizierung gewährleistet bereits viele sicherheitstechnische Anforderungen was Vertraulichkeit, Verfügbarkeit und Integrität betrifft.

"Für viele Unternehmer ist die Pflege der IT und der IT-Prozesse ähnlich attraktiv wie eine Wurzelbehandlung. Da diese Aufgabe mit dem Kerngeschäft nichts zu tun hat, fällt sie oft hinten runter. Dies deckt ein Audit auf und zeigt, wo sich das Unternehmen auf dünnes Eis begibt", so Emmer. "Da gibt es zwei Möglichkeiten: Mehr Zeit und Geld in die eigene IT-Kompetenz zu investieren oder Teile der IT an einen zuverlässigen, zertifizierten Dienstleister auszulagern, um sich auf sein eigentliches Geschäft konzentrieren zu können."