ITK-Dienstleister in Deutschland auf dem Vormarsch
Der wichtige Schritt vom Besitz zum Service
Sprach-/Daten-Konvergenz, gewachsene Security-Aufgaben, Integration neuer Techniken wie Funk, verschärfte rechtliche Auflagen und einiges mehr hat für einen enormen Anstieg der Komplexität von IT-/TK-Jobs gesorgt. Die Dienstleister haben ihre Chance erkannt und reagieren mit immer filigraneren und flexibleren Services. Laut IDC erreichte der deutsche IT-Servicemarkt 2004 ein Volumen von knapp 29 Millionen Dollar. Für dieses Jahr erwartet IDC ein moderates Wachstum.
In vielen Bereichen steht Deutschland nicht wirklich im Ruf, auffällig servicefreundlich zu
sein. Besonders im Endverbrauchermarkt scheint der Begriff "Servicewüste" nach wie vor oft
zutreffend. In der IT indes hat offenbar die Not in der Tat erfinderisch gemacht. Das Angebot an
Dienstleistungen jedenfalls nimmt deutlich zu. Die "Not" besteht für die Unternehmen inzwischen aus
dermaßen komplexen IT- und TK-Aufgaben, dass das angestammte IT-Personal diese oft nicht mehr
bewältigen kann. Im Bereich der klassischen Netzwerktechnik beispielsweise erwies sich die
Integration von Echtzeitdiensten wie Sprache und Video in einstmals für reine Datenservices
ausgelegte Netze im Detail als weitaus kniffliger als zunächst erwartet. Für Wartung und
Troubleshooting solch konvergenter Netze ist zudem sowohl auf physikalischer Ebene als auch für die
Protokollanalyse neue Messtechnik nötig, deren Kauf sich für Anwenderunternehmen meist nicht
rechnet. Und der Besitz allein reicht noch lange nicht – vielmehr ist auch entsprechend komplexes
Know-how gefragt, um produktiv damit umzugehen.
Genau daran hapert es aber an erster Stelle, denn die entsprechende Aus- und Weiterbildung steht
bei den Unternehmen schon seit längerem sehr weit unten auf der Prioritätenliste. Diese
Wissensausdünnung betrifft fast alle IT-Bereiche. Die Erklärung liegt allerdings auf der Hand: Vor
allem viele kleine und mittelständische Unternehmen können es sich heute schlicht nicht mehr
leisten, für jede IT-Disziplin immer mehr und immer höher qualifiziertere Mitarbeiter zu
beschäftigen und diese durch häufige Schulungen auch noch auf dem neuesten Stand zu halten. Hier
liegt sicher einer der Kernpunkte, die für den Einsatz externer IT- und TK-Dienstleister
sprechen.
Security-Services nach wie vor Spitzenreiter
Ein typisches Beispiel sind Sicherheitsaufgaben. Experten gehen mittlerweile davon aus, dass
Security-Know-how zum Teil nur noch eine Halbwertzeit von sechs Monaten hat. Dementsprechend
vertrauen hier inzwischen 52 Prozent der Unternehmen auf die Expertise externer Dienstleister. Zu
diesem Ergebnis kommt zumindest eine aktuelle Studie von Watchguard unter 296 Geschäftsführern und
IT-Managern in Deutschland und Großbritannien. Der Expertenrat ist den Unternehmen besonders bei
der Implementierung einer neuen Sicherheitslösung (70 Prozent) sowie bei der Anschaffung neuer
IT-Produkte (60 Prozent) wichtig. Des Weiteren finden die befragten Unternehmen eine Investition in
externe Dienstleister für Systemwartung (30 Prozent) sowie für Analysen und IT-Security-Konzepte
(29 Prozent) sinnvoll.
Zu den klassischen Aufgaben wie Schwachstellenanalyse, Sicherheitskonzeption, Einrichtung und
Pflege der technischen Security-Einrichtungen wie Firewalls,
Intrusion-Detection-/Prevention-Systeme (IDS/IPS), Virenschutz, Verschlüsselung, Schutz der
Websites etc. gesellen sich neue Aufgaben. Diese leiten sich aus gesetzlichen Auflagen gemäß
Sarbanes Oxley, Kontrag, Basel II und einigen weiteren, meist branchenspezifischen Vorschriften ab.
Wichtige Themen hier sind die Sicherung der Echtheit elektronische Dokumente (digitale Signatur),
die Einhaltung der Aufbewahrungsfristen und die Art der Speicherung bis hin zu gebäudetechnischen
Sicherheitsmaßnahmen. Hinzu kommen aber vor allem organisatorische Aspekte und Risikomanagement –
Maßnahmen, die einen erheblichen Einfluss auf die betrieblichen Strukturen und Abläufe haben.
Gerade in Sachen Rechtskonformität (Compliance) zeigen die Dienstleister in Deutschland noch
erhebliche Defizite. Ein Grund liegt sicher in der Tatsache, dass dort zwar kompetente Strategen
und Techniker beschäftigt sind, aber in der Regel keine Anwälte. Das Risiko, hier in eine ruinöse
Falle zu tappen, ist sehr hoch. Deswegen beschränken sich viele Dienstleister an dieser Stelle auf
organisatorische und technische Beratung und Hilfestellung bei der Erarbeitung einer
unternehmensweiten Sicherheitsrichtlinie (Security Policy). Dazu sind dem Service-Provider
allerdings umfangreiche Einblicke in die Kernprozesse des Unternehmens zu gewähren, denn deren
Schutz steht dabei im Mittelpunkt. Einige Dienstleister, die das Thema Compliance im Portfolio
führen, wie beispielsweise Computacenter, offerieren auch eine Zertifizierung des Unternehmens nach
den Kriterien des British Standard BS 7799 (entsprechend ISO 17799).
Ansonsten setzen Managed-Security-Anbieter wie Arxes NCC im Moment sehr stark auf die
Echtzeitüberwachung der Sicherheitseinrichtungen. Ziel ist es, mögliche Angriffe wie zum Beispiel
E-Mails mit schädlichen Attachments von vornherein zu unterbinden. Das Problem, das die Anbieter
hier angehen: Wie jede Netzwerkkomponente schreiben auch Security-Geräte wie Firewalls oder
Malware-Schutzsysteme umfangreiche Log-Dateien, aus denen sehr genau hervorgeht, welche Ereignisse
wann stattgefunden haben. Sehr oft aber bleiben diese wertvollen Informationen ungenutzt, weil
niemand sie sieht, geschweige denn auswertet.
Schnell sind die entsprechenden Datenmengen so umfangreich, dass eine permanente Beobachtung und
Bewertung aus Kapazitätsgründen nicht möglich ist. Nur wenn im System definierte Ereignisse einen
Alarm auslösen, weckt das die Aufmerksamkeit des Administrators. Im Rahmen seiner
Managed-Security-Services betreibt beispielsweise Symantec seit kurzem weltweit verteilte Security
Operation Centers (SOCs). Sie fassen Daten aus Sicherheits-Logs und -Benachrichtigungen zusammen,
die die überall im Unternehmen bestehenden Einrichtungen erzeugen. In den SOCs werden diese
Informationen standardisiert und interpretiert. So sollen einfach verwertbare
Sicherheitsinformationen rund um die Uhr in Echtzeit zur Verfügung stehen. Über ein
Sicherheitsportal lassen sich die Informationen zu Sicherheitsvorfällen, Empfehlungen und Tools
abrufen.
Auch andere Antivirenhersteller bieten ein Portfolio von Services – allerdings meist eben auf
genau diese Thematik beschränkt. Genügend Potenzial scheint vorhanden, denn schon allein eine
vergleichsweise einfache Aufgabe wie Schutz vor Schadprogrammen überfordert viele kleine
Unternehmen beziehungsweise auch kleine Außenbüros größerer Unternehmen. Mit Managed Virus-Scan
offeriert etwa McAfee einen speziell auf diese Zielgruppe zugeschnittenen Dienst. Er umfasst
insbesondere die aufwändige Verwaltung von Remote- und Mobile-Anwendern, dezentralen Büros und
Geschäftspartnern. McAfee betreibt ihn komplett über das Internet, webbasierte Reportingfunktionen
sind inklusive. Einen ähnlichen Service, allerdings für global operierende Unternehmen, bietet
beispielsweise Equant mit seiner Messaging Protection Suite (EMPS).
Managed-Communication-Services
Einer der am stärksten boomenden Outsourcing-Bereiche sind Kommunikationsdienste. Als
Managed-Communication-Services (MCS) liegen der Betrieb, die Instandhaltung und die Wartung der
Hard- und Software für die Kommunikationsinfrastruktur ganz oder teilweise bei einem externen
Diensteanbieter. Einer aktuellen Studie der Unternehmensberatung Frost & Sullivan zufolge hat
der europäische Markt für ausgelagerte Telefondienstleistungen ein potenzielles Wachstum von über
90 Prozent jährlich. Im Jahr 2003 lag der Umsatz bereits bei 45,8 Millionen Euro.
Managed-Communication-Services reichen von Daten- und Sprachtransport bis zu Applikationen wie
E-Mail-/PIM-Zugang (Personal Information Manager, also Smart Phones und PDAs), Messaging,
öffentliche und unternehmensinterne Telefonverzeichnisse, Voice-VPN-Applikationen und
Multimediakonferenzen. Besonderes Augenmerk liegt derzeit auf der Konvergenz von Sprache, Daten und
Video als Hosted-Services – zum Beispiel in Form eines IP-Centrex-Dienstes, also eines Outsourcings
der IP-TK-Anlage. Sowohl Internet-Service-Provider als auch TK-Unternehmen bieten MCS an.
Telekommunikationsbetreiber mit ihren umfassenden Netzkenntnissen gelten jedoch in der Regel als
die kompetenteren Anbieter.
Neue Techniken wie Dual-Mode-Telefone mit GSM-/WiFi-Endgeräten und neue gesetzliche Regelungen,
die Betreiber virtueller Mobilnetze (MVNOs) begünstigen, führen dazu, dass Fest- und
Mobilnetzbetreiber miteinander konkurrieren, um die Kommunikationsdienste von Unternehmen für ihr
jeweiliges Netz zu gewinnen. MCS sind dabei ein immer bedeutenderes Differenzierungskriterium. Um
hier erfolgreich zu sein, kooperieren die Betreiber oft sehr eng mit den einschlägigen
TK-Ausrüstern, die im scharfen Wettbewerb um die Gunst der Betreiber ihrerseits entsprechende
Beratungsdienste ins Feld führen. Alcatel beispielsweise unterstützt die Betreiber durch Beratung
bei der Definition von Marketingpaketen, Geschäftsmodellen und Produktparametern. Ziel ist es, den
Betreiber in die Lage zu versetzen, seine Dienste schneller und effizienter einzuführen, um einen
schnelleren Investitionsgewinn (RoI) zu erzielen. Was Alcatel mit dem Corporate Mobility Manager im
Rahmen seiner Mobile-Office-Lösung anbietet, kommt etwa von Siemens in ähnlicher Intention mit den
Openscape-Lösungen im Rahmen ihres Lifeworks-Konzepts.
WAN-Outsourcing
Mit zu den prominentesten Outsourcing-Diensten gehört die Bereitstellung der WAN-Kommunikation.
Fast die Hälfte der Unternehmen kümmert sich darum nicht mehr selbst, sondern überlässt das einem
externen Provider. Zu diesem Ergebnis kommt zumindest eine Studie, die Equant im ersten Halbjahr
dieses Jahres bei 206 CIOs (Chief Information Officer, IT-Leiter) großer deutscher,
österreichischer und schweizer Unternehmen durchgeführt hat. Die Kostensenkung ist bei über der
Hälfte der Befragten der Hauptgrund für das Outsourcing. Interessanterweise sind in diesem
Zusammenhang offenbar vor allem die steuerlichen Vorteile ein wichtiger Faktor. Diesen Punkt
führten ein Drittel der Befragten an. Gerade große Unternehmen setzen auf die Vorteile von
Outsourcing – wenig verwunderlich, denn diese sind oft multinational aufgestellt und haben von
daher den höchsten und am schwierigsten zu organisierenden WAN-Kommunikationsbedarf.
Unter dem Stichwort LAN-VPN integrieren Provider wie Equant das Weitverkehrs- und lokale Netze
ihrer Kunden. Für diesen Ansatz sprechen vor allem zwei entscheidende Faktoren: Zum einen ist das
Netzwerkmanagement in multinationalen Unternehmen in der Regel komplex und entsprechend teuer. Ein
Service aus einer Hand, der sowohl das LAN als auch das WAN umfasst, sorgt für geringere
Gesamtbetriebskosten, höhere Verfügbarkeit und homogenes Qualitätsmanagement. Zudem lassen sich
extern bezogene Dienstleistungen zeitnah dem aktuellen Bedarf anpassen. Die Anschaffung eigenen
Equipments ist nicht erforderlich, weil der Provider es stellt. Das Unternehmen kauft nur den
Service, der pro Monat abgerechnet wird.
Wenn Unternehmen selbst die IT-Infrastruktur in ihren Niederlassungen rund um den Globus
aufbauen, beschränken sie sich aus Kostengründen in der Regel auf ein oder zwei Techniken. Dieser
Zwang zur Homogenisierung entfällt mit einem externen Provider, denn ihm obliegt in diesem Fall die
Verwaltung der heterogenen Netzwerke in einer einzigen, individualisierten
Kommunikationsinfrastruktur. Bei den WAN-Optionen beispielsweise lassen sich MPLS-VPN, Frame Relay,
ATM, Internet und IPSec verknüpfen, während bei den Zugangsarten Standleitungen, DSL,
Breitbandkabel, Internet/IPSec, Ethernet und Satelliten-Zugang sowie eine Reihe an mobilen
Zugangslösungen wie GPRS/3G und Wi-Fi möglich sind.
Auch Vanco erlebt als Provider mit starkem Fokus auf WAN-Services seit längerem einen deutlichen
Aufschwung. Der Virtual Network Provider (VNO, also Provider ohne eigenes Netz) sieht den Markt der
Netzwerkdienstleistungen am Wendepunkt: "Kunden fragen heute verstärkt nach einer umfangreichen
Palette von Dienstleistungen zur Verwaltung von globalen End-to-End-Kommunikationslösungen mit nur
einem Ansprechpartner", so Marc Bruchhäuser, Operations Manager bei Vanco Deutschland. "In Zukunft
wollen Unternehmen nur noch einen Vertrag, einen Ansprechpartner und ein homogenes Service Level
Agreement für alle Niederlassungen und in allen Ländern." Um dies bieten zu können, wählt Vanco in
jedem Land bestimmte Provider aus, deren Netze hauseigene Managementzentren im Sinne einer stabilen
Ende-zu-Ende-Verbindung aufeinander abstimmen. Diesen Service vertreibt Vanco inzwischen auch über
Partner. In diesem Jahr sind Arinc und Swisscom Solutions eine solche Partnerschaft
eingegangen.
Stark im kommen sind im WAN auch Managed-Ethernet-Services. Unterstützung bekommen diese Dienste
derzeit von Cisco. Der Netzwerkprimus hat gerade ein neues Ethernet-QoS-Zertifikat (Quality of
Service) eingeführt. Unternehmen, die zuverlässige Hochgeschwindigkeitsverbindungen für ihre
Echtzeitapplikationen benötigen, sollen anhand dieses Gütesiegels einschätzen können, inwieweit die
Managed-Ethernet-Dienste eines Service-Providers diesen Ansprüchen gerecht werden. Als erster
Provider in Deutschland erhielt kürzlich Colt Telecom diese Auszeichnung.
SLAs spielen eine zentrale Rolle
Eine zentrale Komponente im Verhältnis zwischen Dienstleister und Nutzer sind die
Service-Level-Agreements (SLAs, Serviceverträge), die mit einer möglichst exakten
Leistungsbeschreibung eine Basis für die Bewertung von Dienstleistungen bilden. Technische
Service-Levels beschreiben dabei die Leistungen der zugrunde liegenden Techniken, im WAN zum
Beispiel die Backbone- oder Leitungsverfügbarkeit, Paketumlaufzeiten und Anteile verlorener
Datenpakete. Prozessorientierte Service-Levels dagegen kennzeichnen die Leistungen des Anbieters,
die auf den Netzbetrieb abzielen.
Verpflichtet ein Unternehmen mehrere Outsourcing-Partner, liegen SLA-Reports häufig zu
verschiedenen Zeitpunkten und in unterschiedlichen Formaten vor. Trendanalysen erfordern daher
erheblichen manuellen Aufwand. Hier fehlen vergleichbare Leistungsbewertungen auf Basis objektiv
ermittelter Qualitätsaussagen. Eine Lösung könnte die Definition eines Kennzahlensystems mit
Key-Performance-Indikatoren (KPIs) sein, wie es zum Beispiel das Communication Consulting bei
Siemens vorschlägt. Darin werden Daten als Abbild von komplexen Systemen und Beziehungen
dargestellt. Der Ansatz umfasst einen zyklischen Vergleich von Ist- mit Soll-Werten für die
entscheidungsrelevanten Kennzahlen sowie eine summarische Bewertung der Situation über
Aggregationsstufen anhand von wenigen Spitzenkennzahlen. Dadurch soll eine objektive Bewertung das
heute oft vorherrschende "Bauchgefühl" bei der Bewertung von IT-Outsourcing-Maßnahmen ablösen.
Lesen Sie mehr zum Thema
