Grünes Licht für IT-Dienstleister
Wie ein Versicherungskonzern mit uns Klarheit im Dienstleister-Dschungel schafft und sich widerstandsfähiger gegen IT-Risiken aufstellt.
Die Kette ist nur so stark wie ihr schwächstes Glied
Wer IT- oder auch KI-Anwendungen an einen Dienstleister outsourct, bekommt in der Regel eine fertig programmierte Anwendung sowie professionelle Unterstützung bei der Integration in bestehende IT-Systeme. Die Zusammenarbeit mit Drittunternehmen birgt allerdings auch Risiken. Arbeitet ein Dienstleister zum Beispiel fehlerhaft, hat einen Systemausfall oder wird Opfer eines Hackerangriffs, fällt das auf das beauftragende Unternehmen zurück. Ein Versicherungskonzern optimiert mit metafinanz weiter seine Prozesse in diesem Bereich. Gemeinsam wurde ein smarter Prozess eingeführt, mit dem Risiken von IT-Dienstleistern frühzeitig erkannt und auch in Zukunft vermieden werden können.
Risiken bei der Zusammenarbeit mit Drittanbietern erkennen
Kaum ein Unternehmen kommt heutzutage ohne IT-Dienstleister aus. Viele technologische Anwendungen wie Smartphone-Apps, aber auch ganze IT-Systeme werden an externe Dienstleister outgesourct, die auf die Programmierung und Einführung spezialisiert sind. Dabei entstehen auch Abhängigkeiten, die erhebliche finanzielle oder reputative Schäden für beauftragende Unternehmen verursachen können. Smartes Risikomanagement hilft, die Zusammenarbeit mit IT-Dienstleistern zu standardisieren und sichere Outsourcing-Strategien zu entwickeln.
Am Anfang steht die Analyse
Konzerne haben Unmengen an Verträgen mit Dienstleistern. Um bei unserem Kunden Transparenz über Verträge, Informationen, Risiken und Datenmengen zu schaffen, haben wir das sogenannte Informationsregister weiterentwickelt. Darin sind alle IT-Dienstleister, mit denen bereits Verträge geschlossen wurden, strukturiert mit den jeweiligen Dokumenten und Schriftstücken erfasst. In Zukunft werden auch neue Dienstleister in dieses Register standardisiert aufgenommen. Das hilft unserem Kunden, den Überblick über seine Outsourcing-Aktivitäten und im Dienstleister-Dschungel zu behalten.
Arbeitspakete schnüren, bestehende Strukturen hinterfragen
Wie immer stecken hinter neuen Prozessen auch jede Menge Arbeit und ein starkes Team. Neben den Prozessen rund um die Risikoanalyse mussten wir bei dem Projekt auch bürokratische Vorgaben einhalten und effizient umsetzen. Dazu haben wir die Richtlinien unseres Kunden angepasst. Hier sind in Abstimmung mit dem Vorstand und der IT-Leitung alle Regeln festgelegt, wie mit IT-Dienstleistern umzugehen ist. Damit das integrierte Risikomanagement auch in Zukunft funktioniert, haben wir außerdem einzelne Abteilungen unter die Lupe genommen und berechnet, wie viel zusätzliche Personal-Power künftig für dieses Thema notwendig sein wird. Die Stellen wurden auf unsere Empfehlung hin geschaffen und sind inzwischen besetzt.
Auf Herz und Nieren geprüft
Woran erkennt man, wie sicher ein IT-Dienstleister arbeitet? Ganz einfach: Wir haben die Anbieter, mit denen unser Kunde zusammenarbeitet, einmal genau unter die Lupe genommen. Dabei wurde geprüft, welche Sicherheitsstandards bei den einzelnen Unternehmen gelten, welche Zertifizierungen vorliegen, wie es wirtschaftlich um sie bestellt ist und ob es bereits Cyber-Incidents gab. Ein Rundum-Check in puncto Compliance, Finanzielles und Informationssicherheit also. Bei neuen Dienstleistern soll dieser Risiko-Check künftig auch in einem eigens entwickelten Tool durchgeführt werden.
Die Ampel entscheidet
Das Ergebnis unserer Risikoanalyse ist eine Landkarte. Hier ist für unseren Kunden jeder Dienstleister in seinem Gesamtportfolio abgebildet. Dabei ist jedem eine der drei Ampelfarben zugewiesen. Grün bedeutet, dass der Anbieter voraussichtlich sicher ist und es unwahrscheinlich ist, dass es in der Zusammenarbeit zu Schäden durch Cyberangriffe kommt. Bei den orangefarbenen ist die Wahrscheinlichkeit von Sicherheitsrisiken etwas höher. Bei den rot markierten Dienstleistern ist bereits klar: Die Cyberrisiken sind sehr hoch und bei einigen gab es schon Incidents im Bereich der Informations- oder Datensicherheit.
Zukunftsorientierte Entscheidungen treffen
Unser integriertes Risikomanagement unterstützt den Versicherer künftig bei der Entscheidung, welchen IT-Dienstleister er beauftragen sollte. Außerdem kann er dadurch zukunftsfähige Outsourcing- und IT-Strategien aufsetzen. Ein weiterer Vorteil: Durch unseren standardisierten Prozess hält unser Kunde auch regulatorische Anforderungen wie VAIT und zukünftig DORA effizienter ein. Dies kommt nicht nur dem Unternehmen, sondern auch seinen Kunden, Mitarbeitenden und sogar der gesamten Lieferkette zugute. Auch KI-Lösungen sollen zukünftig eingesetzt werden, um schnellere Entscheidungen zu ermöglichen und Standardprozesse effizienter zu gestalten.
Über sich hinauswachsen
Wir haben für den Kunden eine komplett neue Lösung geschaffen – und unseren Projektansatz dabei weiterentwickelt. Kreative Ansätze und Verantwortung übernehmen war ein Leitbild in dem Projekt. Jedes Teammitglied war für sein eigenes Teilprojekt verantwortlich und hat seine Ergebnisse den Abteilungs- und Bereichsleitenden des Kunden eigenständig vorgestellt und vertreten. So fand ein offener Austausch auf Augenhöhe statt und alle konnten ihre Erfahrungen und Lösungen bestmöglich für den Kunden einbringen. So wurde der Erfolg für den Kunden sichergestellt, jedes Teammitglied konnte sich frei entfalten und fachlich wie persönlich über sich hinauswachsen.
„Vielen Dank an das metafinanz-Team, wir sind immer wieder geflasht von eurer Leistung.“
Kontakt
Schreiben Sie uns!
Florian Lorenz
Experte für IT Governance, Risk & Outsourcing
Leider ist etwas schief gelaufen. Bitte versuchen Sie es später nochmal.
Danke für Ihre Nachricht
Wir melden uns so schnell wie möglich bei Ihnen
