Selbst rechnen oder rechnen lassen?
Selbst rechnen oder rechnen lassen? Der ökonomische Sinn einer externen Vergabe von RZ-Leistungen hängt in erster Linie von den eigenen Forderungen nach einem unterbrechungsfreien Geschäftsbetrieb ab.
Besonders wenn es um die Sicherung eines unterbrechungsfreien Geschäftsbetriebs und damit um die Rechenzentrumsleistung geht, stellt sich sehr schnell die Frage nach IT-Outsourcing-Diensten. Schließlich hängt vom einwandfreien Funktionieren des Rechenzentrums nicht selten der Erfolg, manchmal sogar das Überleben des Unternehmens ab. Eine eventuelle Auslagerung von Geschäfts- und Produktionsprozessen, gekoppelt mit den gesamten Rechenzentrumsleistungen oder Teilbereichen, will also wohl überlegt sein.
Varianten der externen Vergabe prüfen Welche Möglichkeiten gibt es für das Unternehmen? Man unterscheidet grundsätzlich zwischen Outsourcing und Outtasking. Beim Outtasking werden anders als bei vollständigem Outsourcing einem externen Partner genau festgelegte Teilaufgaben übertragen. Eine weitere Unterscheidung ist die Auslagerung an einen externen Anbieter und das Inhouse-Outsourcing, bei dem eine eigene Abteilung gebildet wird, die wirtschaftlich eigenständig ist. Zu verschiedenen Kategorien gehören auch das Hosting, bei dem der Dienstleister die Administration der gesamten IT übernimmt, und das Housing, bei dem die Unternehmen RZ-Fläche anmieten, die Server aber selbst verwalten und die Abhängigkeitsverhältnisse auf diese Weise reduzieren.
Vor- und Nachteile der externen Vergabe Für eine Auslagerung spricht in der Tat einiges: Das Unternehmen kann sich auf seine Kernkompetenzen konzentrieren, die Verfügbarkeit von Ressourcen kann vertraglich geregelt und mangelnde Leistung mit Strafgeldern belegt werden. Daneben kann von einer – allerdings eher geringfügigen – Verringerung des hauseigenen IT-Personals ausgegangen werden, Büroflächen werden frei, die interne Administration kann gestrafft und überhaupt die Wettbewerbsfähigkeit durch Kostenreduzierung gestärkt werden. Aber Outsourcing kann auch Nachteile mit sich bringen: Es entsteht eine deutliche Abhängigkeit von einem Dienstleister und damit einhergehend die Abgabe von eigenem Wissen. Gerade bei sehr sensiblen Bereichen – und hier ist Rechenzentrumsleistung an erster Stelle zu nennen – ist sehr sorgfältig abzuwägen, ob eine solche Abhängigkeit akzeptabel ist. Besonders schwer wiegt die Tatsache, dass eine Auslagerung gerade im Rechenzentrumsbereich auf Grund der anderen Rechnerkonfigurationen nur sehr schwer rückgängig gemacht werden kann. Des Weiteren sollte im Blick behalten werden, dass bei hohen Verfügbarkeitsansprüchen auch die Kosten gewaltig steigen, seien es die für die RZ-Fläche, die hohen Datentransfer- und Übertragungskosten, steigende Kosten durch neue Applikationen oder auch der Aufwand für die Prüfung, ob die vertraglich zugesagte Verfügbarkeit von Hardware, Software, Gebäuden, technischer Infrastruktur, Betriebsorganisation und Notfallplanung auch eingehalten wird. Auf die Bereitstellung eigenen IT-Personals kann trotz Auslagerung nicht verzichtet werden, da das gerade bei einer Auslagerung sorgfältig zu schützende LAN-WAN-Netz weiter gewartet werden muss. Hält der Provider die festgelegten Verfügbarkeitsansprüche nicht ein, so können zwar vertraglich geregelte Regressansprüche geltend gemacht werden, die Sekundärkosten – allen voran Imageschäden – lassen sich aber nur schwer ermitteln. Bei einem Konkurs des Providers ist sogar das Überleben des eigenen Unternehmens infrage gestellt.
Unterbrechungsfreier Geschäftsbetrieb Eine generelle Antwort, ob sich die Auslagerung für ein Unternehmen lohnt, ist dennoch nicht möglich. Zu unterschiedlich sind die Voraussetzungen und Anforderungen in den Unternehmen, zu individuell ist der Verfügbarkeitsanspruch. Eine entscheidende Rolle bei der Beantwortung der Frage spielen die Ansprüche bei der Sicherung eines kontinuierlichen Geschäftsbetriebs. Die grundsätzliche Frage lautet also: Kann der Dienstleister wirklich einen störungsfreien Betrieb mit hoher Verfügbarkeit garantieren und kann er das wirtschaftlicher als es das Unternehmen im Eigenbetrieb könnte. Da einiges von der richtigen Beantwortung dieser Frage abhängt, empfiehlt es sich, einen neutralen RZ-Spezialisten hinzuzuziehen. Dieser Spezialist sollte nach einer etwaigen Entscheidung für die externe Vergabe in der Lage sein, die Erstellung des Anforderungskatalogs unterstützend zu begleiten, bei der Auswahl des Providers zu beraten und bei der Festlegung der Leistungsvereinbarungen sowie der Notfall- und Katastrophenplanung Hilfestellung zu leisten. Unterstützung beim Auswahlprozess Das Auslagern steht immer in engem Zusammenhang mit der strategischen Ausrichtung der Organisation. Durch die Auslagerung können sich Gefährdungen physikalischer, technischer und menschlicher Natur ergeben. Es geht darum, diese Gefährdungslagen auf ein für das Unternehmen akzeptables Minimum zu reduzieren. In verschiedenen Schritten führt der Spezialist zusammen mit dem Unternehmen den Outsourcing-Prozess durch. Im ersten Schritt geht es um die Festlegung der Outsourcing-Strategie. Wird ausgelagert – ja oder nein? Wenn ja, in welcher Form wird auslagert, wie wird der Einflussbereich des Providers und wie der Einflussbereich des Kunden definiert? Eine Wirtschaftlichkeitsbetrachtung, bei der einerseits der Verfügbarkeitsanspruch des Unternehmens, andererseits die Art der Datenanbindung zum Anbieter im Mittelpunkt steht, liefert wichtige Vorgaben für die Definition der Strategie. Deren Aufgabe ist es, die sicherheitsrelevanten Punkte herauszuarbeiten, die zu beachten sind. Danach erfolgt im zweiten Schritt die Bestimmung der wesentlichen Sicherheitsanforderungen, die als Grundlage für das Ausschreibungsverfahren dienen. Die wichtigsten Parameter sind die Verfügbarkeit der Systeme und des Providernetzwerks, die Integrität der Datenbestände – sprich der Schutz vor unbefugtem Zugriff – sowie die Authentizität der Datenbestände, also ihr Schutz vor Verfälschung. Schritt drei ist die Auswahl des externen Dienstleisters. Neben Kostengesichtspunkten und dem Erfüllen der wesentlichen Sicherheitsanforderungen müssen weitere Aspekte berücksichtigt werden: Wie steht es um die finanzielle Solidität des Providers, welche Referenzen kann er vorweisen, gibt es bekannt gewordene Fälle von Missmanagement?
Ausstiegsszenario definieren Sind diese Punkte geklärt und ist ein Dienstleister gewählt, kommt es im vierten Schritt zur Vertragsgestaltung. Hier ist eine unabhängige Beratungsleistung besonders wichtig. Bei der Definition dieser Vereinbarungen geht es um Ansprechpartner, Betriebszeiten, Reports, Benachrichtigungen im Fehlerfall, Reaktions- und Lösungszeiten, die maximale Dauer eines Störfalls, den Umgang mit vertraulichen Informationen, die Ausgestaltung der IT-Sicherheitsvorkehrungen, das Messaging Configuration Management und das Messaging Backup and Restore. Bereits in dieser Phase sollten Regelungen für eine Beendigung des Vertragsverhältnisses getroffen werden. Wird ein neuer Provider gewählt, ist in der Regel nicht mit einem großen Entgegenkommen des früheren Dienstleisters zu rechnen. Umso zentraler ist die genaue vertragliche Fixierung des Vorgehens bei einem Wechsel.
Bewältigung von Störfällen Die Erstellung eines Sicherheitskonzepts für den auszulagernden IT-Verbund ist der nächste Schritt. Dabei ist eine klare Trennung zum nachfolgenden Schritt, der sogenannten Migrationsphase, nicht möglich, da sich wichtige Einsichten für das IT-Sicherheitskonzept erst im Laufe dieser Phase einstellen. An erster Stelle ist hierbei das Vorgehen bei Stör- und Notfällen zu nennen. Neben der Formulierung einer Restaurierungsstrategie nach den Grundsätzen eines unterbrechungsfreien Geschäftsbetriebs geht es um eine explizite Notfallplanung mit klaren Handlungsanweisungen im Falle verschiedener Szenarien. Nach der besonders kritischen und exakt zu kalkulierenden Migrationsphase im laufenden Betrieb und ohne Störung der Geschäftsprozesse erfolgen schließlich im siebten und letzten Schritt das regelmäßige Controlling und Systemwartungen ebenfalls im laufenden Betrieb. Eine regelmäßige Prüfung des IT-Betriebs ist wichtig, um festzustellen, ob und in welcher Weise der Dienstleister seinen vertraglichen Verpflichtungen nachkommt. Die entsprechenden Maßnahmen müssen bereits in der Planungsphase berücksichtigt werden.
Neutraler Berater Wie schon gesagt: eine grundsätzliche Empfehlung für oder gegen Outsourcing kann nicht gegeben werden. Dafür sind die Voraussetzungen und Verfügbarkeitsansprüche der Unternehmen zu unterschiedlich. Ein neutraler Berater kann helfen, saubere Verträge mit möglichst genau definierten Leistungserwartungen abzufassen, ein durchführbares Ausstiegsszenario in den Vertrag zu integrieren und Regressansprüche vertraglich zu formulieren, die sich im Falle eines Falles (und der ist öfter als geplant) auch durchsetzen lassen.
Ralf Dahmer ist Geschäftsführer der Litcos GmbH & Co. KG
