Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.


19.05.2006

Sicherheitsrisiko Offshoring

Nicht in allen Ländern gilt Datenklau als Straftat.

Durch das Auslagern von Unternehmensfunktionen oder kompletten Geschäftsbereichen in Niedriglohnländer können Firmen erhebliche Kosten einsparen. Allerdings sind damit auch Risiken verbunden. Vor allem der Faktor Sicherheit und die geltende Rechtslage im Offshore-Land werden von vielen Anwendern nicht berücksichtigt.

Das Beispiel Solidworks liegt zwar schon einige Jahre zurück, ist aber nach Informationen des FBI nach wie vor aktuell: Der US-amerikanische CAD/CAM-Hersteller hatte einen indischen Outsourcer mit dem Debuggen seines Quellcodes beauftragt. Um sich gegen eine Weitergabe von Informationen abzusichern, ließ Solidworks die Beschäftigten des Outsourcers ein Non-Disclosure-Abkommen (NDA) unterzeichnen. Kurz darauf stahl ein Mitarbeiter des IT-Dienstleisters eine Kopie des Codes.

Nach Ansicht von FBI-Spezialagentin Nenette Day hat Solidworks versäumt, sich ausführlich über die rechtliche Situation in Indien zu informieren. "Es nützt nichts, das amerikanische Recht zu kennen", mahnt die Expertin für Computerkriminalität. So bezögen sich die in Indien geltenden Gesetze in erster Linie auf Copyright-Verletzungen, nicht aber auf Diebstähle.

Auch bei dem anschließenden Versuch, den Dieb in Indien zu verfolgen, half das NDA wenig. "Das Abkommen war das Papier nicht wert, auf dem es geschrieben war", so Day. "Gesetze und Vereinbarungen bringen nichts, wenn die Polizei die Verstöße nicht verfolgt." Inzwischen habe sich die Lage gebessert. So habe das FBI nach dem Solidworks-Vorfall enorme Unterstützung von Seiten des indischen Geheimdiensts erhalten. Schließlich gelang es der indischen Polizei auch, den Quellcode-Dieb zu überführen, als er versuchte, eine Kopie für 250000 Dollar an die Undercover-Agentin zu verkaufen. Laut Day hat Solidworks großes Glück gehabt: Der Originalcode ließ sich wiederherstellen, und es seien keine Kopien in Umlauf gebracht worden.

Aus Sorge, ausländische Firmen könnten im Hinblick auf die Sicherheit nicht mehr nach Indien auslagern, haben indische Entwickler zudem eine Lobby gegründet, die für einen besseren Schutz von geistigem Eigentum in ihrem Land eintritt. Auch die Outsourcing-Anbieter des Subkontinents haben ihre Security-Richtlinien in den vergangenen Jahren verschärft, hat FBI-Agentin Day beobachtet. Grundsätzlich mahnt sie Outsourcing-willige Unternehmen jedoch zur Vorsicht: "Wir raten nicht vom Offshoring ab. Aber man muss die Risiken unbedingt vorher gründlich analysieren."

Dazu zähle die Frage, ob das Unternehmen den Verlust entsprechender Daten riskieren kann und wer dann die Haftung übernimmt. Wichtig sei auch zu klären, in welchen Fällen der Betroffene Anzeige erstatten muss, und ob sich der Outsourcer an der Verfolgung von Straftaten beteiligt. Eine entscheidende Rolle spielen zudem die Ausgaben für einen mög- licherweise längeren Rechtsstreit: "Es kann passieren, dass die Kosten die erzielten Out- sourcing-Einsparungen vollständig auffressen", warnt die Expertin. (sp)