Die IT ist für mittelständische Unternehmen ein wichtiger Faktor für den Geschäftserfolg. Allerdings übersteigen oft die Anforderungen an die IT-Abteilung die internen Ressourcen. Standardisierung oder Nutzung externer IT-Services können ein Ausweg aus diesem Dilemma sein.
Auch IT-Verantwortliche in mittelständischen Unternehmen müssen ihr Augenmerk auf eine Optimierung des IT-Betriebs richten: Wichtige Business-Prozesse müssen an die Anforderungen der Digitalisierung angepasst werden, um die Zukunftsfähigkeit, auch in Anbetracht eines globalisierten Wettbewerbes, zu sichern.
Dabei stellen Geschäftsführer und IT-Verantwortliche häufig fest, dass eine Auslagerung der IT, ob in Teilen oder als Full-Outsourcing, Ressourcen spart und interne Kräfte freisetzt. Deshalb ist IT-Outsourcing aktueller denn je.
Studienergebnisse: IT-Sourcing-Berater erwarten eine zunehmende Standardisierung von IT-Services. Foto: Lünendonk
Einer Studie des Beratungshauses Lündendonk zufolge hält der Trend zur Auslagerung von Services an. 40 Prozent der in der Studie befragten IT-Sourcing-Experten bestätigen darüber hinaus die These "IT-Dienstleistungen werden künftig deutlich standardisierter sein als heute". Weitere 56 Prozent stimmten leicht abgeschwächt zu. Ein wichtiger Grund für den Bedarf an standardisierten IT-Services ist die zunehmende Komplexität der Unternehmens-IT.
Komplexität von IT treibt Standardisierung voran
Die Anforderungen an die IT haben sich in Unternehmen in den vergangenen Jahren stark verändert. Die schnell veränderbaren Märkte verlangen heute eine hohe Flexibilität mit sehr kurzen Time-To-Market-Zyklen. Das stellt Anforderungen sowohl an die Bereitstellung neuer IT-Services als auch an den Betrieb bestehender Services: Stabilität und Verfügbarkeit sind Kern-Anforderungen an die IT, um reibungslose Geschäftsprozesse zu garantieren. Von den Kommunikationssystemen über das Warenwirtschaftssystem bis hin zu den Produktionsanlagen sind heute nahezu sämtliche Unternehmensprozesse IT-gestützt. Unter einer fehlerhaften IT leidet daher stets der Unternehmenserfolg.
Ebenso erfolgskritisch ist die Sicherheit der Unternehmens-IT: Benutzerfehler oder Sabotage, Daten-Diebstahl und sogar Wirtschaftsspionage bedrohen die mittelständischen Unternehmen in Deutschland.
Services
9 Basisanforderungen an einen Cloud-Vertrag Die Entscheidung Cloud-Services zu nutzen, bedingt aus Sicht von IDC daher grundsätzlich, dass die Nutzung des jeweiligen Cloud-Service dem Unternehmen einen höheren Level in Bezug auf IT Sicherheit und Ausfallsicherheit bietet als vorher. Die folgenden Punkte zählt IDC zu Basisanforderungen in Vertragsverhandlungen.
1. Zugangsrechte Cloud-Services-Anbieter müssen in der Lage sein zu demonstrieren, dass die Kontrolle über Einstellungen, Aufsicht, Zugang des internen Personals jederzeit ausgeübt wird, damit Zuverlässigkeit und Integrität der internen Mitarbeiter sichergestellt ist. Ein Cloud-Anbieter sollte deshalb immer Identifikation und Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern.
2. Gesetzliche Compliance Es bestehen nach wie vor große Unsicherheiten, welche Daten extern in welche Cloud-Variante verschoben werden dürfen. Deshalb sind "Datenspeicherung in Deutschland" (50 Prozent) sowie "Verträge nach deutschem Recht" (48 Prozent) aktuell die beiden wichtigsten Sicherheitsanforderungen der befragten IT-Entscheider an Hosted und Public Cloud-Anbieter. Obwohl schlussendlich immer der Kunde für die Einhaltung der gesetzlichen Compliance verantwortlich ist, sollte aber die Verantwortung für die Einhaltung der konsistenten Qualität der Arbeitsvorgänge seitens der Anbieter eingehalten werden. Die Verteilung der Haftung zwischen Cloud-Provider und Kunde muss eindeutig geklärt sein und in rechtlich-bindenden Verträgen festgehalten werden. Unabhängige Audits müssen beschrieben werden und die Lösung von widersprüchlichen Anforderungen muss definiert werden. Nur so erreicht man Transparenz.
3. Anwendungszertifikate Rechtsgültige Zertifikate sind ebenso eine Grundvoraussetzung für Cloud-Services, da diese bestätigen, dass das Unternehmen, welches für die Domain oder den Server verantwortlich ist, auch tatsächlich existiert. Nach Beobachtung von IDC steigt der Stellenwert von Standards und Zertifizierungen weiter stark an, denn sie schaffen Vertrauen und die Einhaltung von gesetzlichen Regularien lässt sich nachweisen.
4. Datenursprung Insbesondere in Deutschland sind die Datenschutzrechte stark ausgeprägt. Zudem werden die Cyberattacken nicht nur hartnäckiger sondern sie sind auch wesentlich raffinierter. Die Verträge müssen somit auch die Einhaltung der vielfältigen lokalen Datenschutzanforderungen sicherstellen, welchen außerdem einem konstanten Wandel unterliegen.
5. Datentrennung Da Public-Cloud-Services mandantenfähig sind und auf demselben Server oder Software-System mehrere Kunden bedienen, ist es essenziell, dass der Cloud-Hosting-Anbieter die Sicherheit zu jeder Zeit garantiert. Der Anbieter muss daher akzeptable Maßnahmen für das kontinuierliche Monitoring der Datenverarbeitung aufzeigen.
6. Datenwiederherstellung (Recovery) Für den Fall einer Störung oder Katastrophe muss der Anbieter in der Lage sein, die Daten wiederherstellen zu können. Auch dies sollte immer Vertragsbestandteil sein und sogar die maximale Ausfallzeit für verschiedene Vorfälle regeln.
7. Transfer der Applikationen Um Cloud-Services in die bestehende IT Landschaft zu integrieren und durchgängige Prozesse zu ermöglichen, sind in der Regel einige lokale Modifikationen notwendig. Dadurch können in der Regel Kosteneinsparungen erreicht werden. Gleichzeitig kann dies aber auch ein Hindernis für einen eventuellen Rücktransfer der Applikation darstellen. Es ist wichtig, vor allem auf die Interoperabilität der Lösungen auch vertraglich wert zu legen. Dies ist technisch gesehen ein anspruchsvoller Aspekt bei der Migration von Public-Cloud-Lösungen. Für die Befragten ist eine einfache Rückholung der Daten (35 Prozent) sowie die gesetzeskonforme und nachgewiesene Löschung aller Daten nach Anbieterwechsel (32 Prozent) besonders wichtig.
8. Business Continuity Unternehmen reorganisieren sich, schließen sich mit anderen zusammen und Rechenzentren werden konsolidiert. Cloud-Services Verträge sollten daher den Transfer der Daten zwischen verschiedenen Rechenzentren klar regeln, um den Betrieb auch bei großen Veränderungen jederzeit sicherzustellen.
9. Monitoring und Reporting ieser Aspekt kann insbesondere bei der Nutzung von Public-Cloud-Services komplex werden. Vor allem dann, wenn verschiedene Ansprechpartner die legale Verantwortung und die Kosten im Unternehmen dafür tragen. Die IT Abteilung sollte das Monitoring und Reporting idealerweise zentral übernehmen, um Synergien zu heben und Kosten zu senken.
Eine weitere zentrale Anforderung an jede Unternehmens-IT ist Kosteneffizienz. Und die Bedeutung der Kosteneffizienz steigt mit dem Umfang einer Unternehmens-IT: also beständig. Das haben IT-Dienstleister erkannt und deshalb standardisieren und modularisieren sie ihre IT-Services ständig. Denn standardisiert erbrachte IT-Services erlauben es Unternehmen, volles Augenmerk auf das wertschöpfende Kerngeschäft zu legen.
Durch die Standardisierung wird Bereitstellungszeit signifikant reduziert und eine pünktliche "Auslieferung" sowie eine transparente Abrechnung erreicht: Die Standardisierung der IT-Prozesse ermöglicht die Einführung von Kenn- und Sollwerten in Form von Service Level Agreements und Key Performance Indicators. Die Qualität der IT wird somit messbar und der Return-on-Investment für den mittelständischen Unternehmer sichtbar. Gleichzeitig gewährleisten nach ISO 27001 auf Basis von IT-Grundschutz zertifizierte IT-Services einen sicheren Betrieb.
Den passenden Outsourcing-Partner finden
Eben jene ISO-Zertifizierung ist neben ISO 20000, der höchstmöglichen Norm für professionelles IT-Service-Management, ein gutes Indiz für einen qualitätsbewussten Outsourcing-Partner. Weiterhin sollten Geschäftsführer und IT-Verantwortliche darauf achten, wie "nahbar" ein IT-Dienstleister ist. Ist er für das Unternehmen erreichbar, bringt er die nötige Flexibilität mit, um auf sich schnell ändernde Anforderungen zu reagieren und versteht er das Business?
Services
IT Outsourcing Satisfaction Survey Die Managementberater Horvath & Partners haben gemeinsam mit der Universität Bayreuth eine Studie über die Zufriedenheit der Unternehmen mit ihren Outsourcing-Projekten durchgeführt. Allerdings basiert die Studie auf Angaben von lediglich 85 Befragten. Diese können laut Studienautoren als "Experten im IT-Outsourcing" gelten.
Grad der Zielerreichung (allgemein) Sechs von zehn Befragten geben an, mindestens eines ihrer Outsourcing-Ziele nicht erreicht zu haben.
Ziele beim Auslagern Wer mit externen Dienstleistern arbeitet, will in erster Linie die Qualität der Services steigern.
Grad der Zielerreichung (Detail) Bei den anspruchsvolleren Zielen (Erhöhung der Servicequalität, IT-Modernisierung) lieferte das Outsourcing oft schlechtere Ergebnisse als erwartet.
Zufriedenheit mit dem Dienstleister Wer seine Ziele erreicht, gibt dem Service Provider insgesamt bessere Noten. Allerdings: als "sehr zufrieden" bezeichnet sich noch nicht einmal jeder Zehnte.
Sourcing-Anteile Vor allem Services rund um Wide Area Networks und Rechenzentren werden ausgelagert.
Sourcing-Strategie Die Sourcing-Strategie hat wenig Einfluss auf den Erfolg von Auslagerungs-Projekten.
Größe des Outsourcing-Volumens Je größer das Volumen, das ein Unternehmen für IT-Outsourcing bereitstellt, umso geringer die Zielerreichung.
Hier liegt einer der größten Stolpersteine auf dem Weg zur Standardisierung: Unternehmen unterscheiden sich nicht nur in der Art ihrer Erzeugnisse, Produkte oder Dienstleistungen, sondern auch in Organisation und Rahmenbedingungen der IT. Insbesondere mittelständische Unternehmen fühlen sich in der Anonymität von Großkonzernen nicht gut aufgehoben, da diese die spezifischen Bedürfnisse von Unternehmen mittelständischer Prägung selten verstehen.
Bei aller Standardisierung ist es deshalb unabdingbar, dass ein individueller Spielraum bleibt, der es erlaubt, die IT-Services auf die Bedürfnisse eines jeden Unternehmens abzustimmen. Die Leitfragen für IT-Entscheider sollten hier lauten: "Wie werden Prozesse in der IT-Leistungserbringung neuen Anforderungen angepasst? Hat der IT-Service-Provider Prozesse definiert, die eine Anpassung der IT an geänderte Anforderungen beschreibt und damit binnen kürzester Zeit umsetzbar macht?"
Selbstverständlich ist auch die sogenannte "Mund-zu-Mund-Propaganda" ein probates Mittel, um den passenden IT-Dienstleister zu finden. Geschäftsführer und IT-Verantwortliche holen in ihrem eigenen Netzwerk Referenzen ein, tauschen Erfahrungen aus und können so beurteilen, welcher IT-Dienstleister geeignet ist, ein sensibles Projekt wie das IT-Outsourcing durchzuführen. Wenn die Voraussetzungen stimmen, steht einer langjährigen, mehrwertbringenden Partnerschaft zwischen Unternehmen und IT-Dienstleister nichts mehr im Wege. (hal)