IT / KommunikationDi, 18.11.2008 10:56

Outsourcing ist wieder in aller Munde

Von: Michael Junk, Novell Deutschland GmbH; Joachim Miszori, AtosOrigin GmbH

Die Auslagerung von einzelnen Geschäfts-prozessen kann viele Vorteile mit sich bringen. Allerdings gibt es auch gerade beim Outsourcing von IT-Bereichen vieles zu beachten, um typische Fehler zu vermeiden.

Der Gesetzgeber verpflichtet Ihr Unternehmen zur umfassenden und dauerhaften Einhaltung von IT Sicherheitsbestimmungen und –standards (Zur Vergrößerung klicken Sie bitte auf die Grafik).

Der Gesetzgeber verpflichtet Ihr Unternehmen zur umfassenden und dauerhaften Einhaltung von IT Sicherheitsbestimmungen und –standards (Zur Vergrößerung klicken Sie bitte auf die Grafik).

In vielen IT-Anwendungsbereichen regiert wieder der Rotstift. Die aktuelle Krise an den Finanzmärkten schlägt inzwischen auf die reale Wirtschaft durch. Führende Wirtschaftsinstitute und Notenbanken haben ihre Wachstumsprognosen für 2009 nach unten korrigiert. Rezessionsangst macht sich breit.

Diesbezüglich ist kaum ein Thema solch ein Dauerbrenner wie das Outsourcing: In Boomzeiten, um Zugang zu neuen Technologien und Ressourcen zu bekommen und in der Rezession als Kostensenker. Kaum ein Thema ist allerdings auch so umstritten - und kaum ein Thema hat so große gesellschaftspolitische Implikationen wie das Outsourcing.

Zahlreiche gesetzliche Vorschriften und zunehmender Druck von Finanzmärkten stellen Führungskräfte aus der Wirtschaft vor neue Herausforderungen, denn die IT-Systeme und Geschäftsprozesse in den Unternehmen müssen den komplexen rechtlichen Rahmenbedingungen (Gesetze, Verordnungen, behördliche Vorgaben und Bekanntmachungen, aufsichtsrechtlicher Anforderungen, Richtlinien und Standards) entsprechen. Neue Anforderungen an Corporate Governance und Compliance machen auch um Outsourcing-Dienstleistungen keinen Bogen. Welche Outsourcingform in Betracht kommt hängt vom Unternehmen ab, jedoch sind die folgenden Fragen für Kunden und Anbieter von Outsourcing-Services gleichermaßen aktuell:

  • Welche gesetzlichen Regelungen und Richtlinien sind bei IT-Outsourcing-Projekten zu beachten?
  • Welche Standards oder Zertifikate haben sich auf dem Markt durchgesetzt?
  • Welche Referenzmodelle bieten Orientierungen?
  • Wie sollten sich die neuen Anforderungen in einem Outsourcing-Vertrag widerspiegeln?
  • Wie setze ich als Verantwortlicher im Unternehmen diese Richtlinien praktisch um?

Ein häufig auftretender Fehler bei der Frage ob Teile des Geschäftes ausgelagert werden sollen oder nicht, liegt in einer kurzfristigen Betrachtungsweise. Oft stehen temporäre Kapazitätsengpässe oder Kostenprobleme im Fokus der Überlegungen.

Hierbei werden informationstechnische unternehmerische Risken wie z.B. Mangelnde Stabilität, Sicherheit, Funktionalität, Verfügbarkeit, Zuverlässigkeit, Flexibilität oder ungenügende Pflege von Informationssystemen und Daten, wie z. B. Missbrauch oder Sabotage von IT-Systemen nur zum Teil oder gar nicht berücksichtigt.

Daneben sollten folgenden Risiken beachtet werden:

  • Umweltbedrohungen (Feuer, Wasser, Erdbeben, Tornados)
  • Ausfall von Mitarbeiter (Pandemie, Schlüsselressourcen)
  • Öffentliche Infrastruktur (Energieversorgung, Transport und Verkehr)
  • Externe Abhängigkeiten (Kommunikation, Externe Dienstleister)
  • Bedrohung durch Verbrechen (Anschläge, Hacker, Sabotage und Diebstähle)
  • IT-Infrastruktur Bedrohungen (Defekte Datenspeicher, Rechnerausfälle und Netzausfälle)

Natürlich sollten die kritischen Bereiche im Sicherheitsprozess genauestens unter die Lupe genommen und dokumentiert werden. Dieses ist gerade im Outsourcing ein wichtiger Bestandteil und für spätere Aktivitäten sehr hilfreich.

Auch das Thema IT-Compliance und die Einhaltung von gesetzlichen Regelungen, die nach Art des Unternehmens abweichen können, sollten beim Outsourcing berücksichtigt werden.

Gerade im Outsorcing-Prozess sollte man nach dem PDCA-Verfahren (Plan, Do, Check, Act) vorgehen:
Plan:

  • Definition des Geltungsbereiches
  • Definition der Informationssicherheitspolitik (IS – Politik)
  • Definition eines systematischen Ansatzes für den Umgang mit Risiken Risikomanagement
  • Auswahl der IS–Ziele und –Maßnahmen zur Risikobehandlung
  • Erstellen einer „Erklärung zur Anwendbarkeit“
  • Übernahme der Restrisiken durch das Management und Freigabe der Einführung und des Betrieb des ISMS

Do:

  • Definition und Implementierung eines Risikobehandlungsplans, der Aktionen, Verantwortungen, Rollen und Prioritäten in Bezug auf IS-Risiken beschreibt
  • Praktische Umsetzung der ausgewählten IS-Maßnahmen
  • Praktische Umsetzung der Trainings- und Awareness-Programme
  • Management des ISMS-Betriebs und der Ressourcen
  • Implementierung von Verfahren und Maßnahmen zur Entdeckung und Behandlung von sicherheitsrelevanten Vorfällen

Check:

  • Ausführung der Überwachungsverfahren und –Maßnahmen
  • Regelmäßige Überprüfung der Effektivität des ISMS unter Berücksichtigung der Ergebnisse von Sicherheitsaudits, -vorfällen, Empfehlungen u. Feedback.
  • Überprüfung des Niveaus von Restrisiken und tragbaren Risiken, unter Berücksichtigung evtl. Änderungen
  • Durchführung interner ISMS-Audits in geplanten Abständen
  • Durchführung von Management-Reviews (min.1x pro Jahr)
  • Durchführung von Aufzeichnungen über sicherheitsrelevante Aktivitäten und Ereignisse

Act:

  • Definition, Implementierung und Überwachung von Korrektur- und Vorbeugungsmaßnahmen
  • Definition, Implementierung und Überwachung von Verbesserung des ISMS
  • Anwendung der Erkenntnisse aus Sicherheitsvorfällen der eigenen oder fremden Organisationen
  • Kommunikation der eigenen ISMS-Aktivitäten und –Ergebnisse; regelmäßiger Austausch mit allen Beteiligten.

Ein anderer häufig zu findender Fehler entsteht bei der Kostenanalyse. In der Regel werden hier nur die Produktionskosten für einen ausgelagerten Prozess verglichen. Vergessen wird jedoch, dass auch Punkte wie Qualitätsunterschiede, Fragen der Arbeitszufriedenheit in der Belegschaft und der langfristigen Unternehmensstrategie in die Kostenvergleichsrechnung mit einfließen müssen.

Zu beachten ist auch, dass die Qualität der ausgelagerten Prozesse nur indirekt durch den Auftraggeber beeinflusst werden kann. Die sorgfältige Auswahl des Dienstleisters sollte hohe Priorität haben. Je nach dem welche Prozesse ausgelagert werden, kann nicht nur die weitere Arbeit im Unternehmen, sondern auch das Image nach außen betroffen sein. In diesem Zusammenhang muss auch die Wahrung des eigenen Know-Hows sichergestellt sein. Damit ist nicht nur die Möglichkeit der Weitergabe des Wissens an Dritte gemeint. Werden einzelne Prozesse ausgelagert, so kann das auch die interne Kommunikation über mögliche Verbesserungen stören.

Sicher der wichtigste Punkt während eines Auslagerungs-Prozesses ist die zeitnahe und offene Kommunikation mit den betroffenen Mitarbeitern. Werden diese nicht umfassend und zeitnah informiert, kann dies zu Gerüchten und Szenarien führen, welche die Umsetzung des Vorhabens erschweren oder gefährden können. Change Management und Interne Kommunikation müssen also gut geplant und umgesetzt werden.

Vorteile:
Sie können sich auf die Kernkompetenzen Ihres Unternehmens konzentrieren und ersparen sich das Kopfzerbrechen über mangelndes Know-how und unqualifizierte Mitarbeiter. Geschäftsprozesse werden rationeller und Prozesse werden einfacher. Die Gesamtbetriebskosten sinken und lassen sich besser kalkulieren. Auslagerungen machen Ihr Unternehmen zudem flexibler und mobiler. Es kann schneller auf Veränderungen reagieren und schneller wachsen. Wichtig außerdem: Es werden keine Mittel durch Investitionen gebunden und das Kreditrating verbessert sich.

Nachteile:
Vor allem das Outsourcing von Schlüsselprozessen birgt Risiken durch entstehende Abhängigkeiten, z.B. wenn ein externer Zulieferer sich als nicht zuverlässig genug erweist. Wichtiges Know-how kann verloren gehen. Auch die Abgrenzung vom Mitbewerber, der auf denselben Dienstleister zurückgreifen kann, wird schwieriger. Die erwarteten Kostenvorteile treffen zudem mittel- und langfristig nicht immer ein.

Über die Autoren:
Michael Junk ist IT-Security & Compliance  Manager bei der Novell Deutschland GmbH. Seit 10 Jahren ist er im Bereich IT-Security tätig, davon 8 Jahre im Banken-und Versicherungs-Umfeld. Schwerpunkt seiner Tätigkeit sind IT-Sicherheits-Audits und IT-Sicherheitsberatung sowie Mitwirkung bei IT-Sicherheitsprojekten und Aufbau von IT-Architekturlandschaften auf verschiedenen ISO-Normen unter Berücksichtigung gesetzlichen Rahmenbedingungen. Er ist zertifiziert bei ITIL, T.I.S.P, CISA.

Joachim Miszori ist Director Strategic Business Development bei der AtosOrigin GmbH und verantwortlich für den Aufbau des Finanzdienstleistungsbereiches und neuer strategischer Market Offerings wie SAP for Banking und IT Security and Risk Management. Zuvor war er 12 Jahre in der Unternehmensberatung bei den Big 5-Unternehmen tätig, spezialisiert auf den Finanzdienstleistungssektor. Auch weißt Joachim Miszori 4 Jahre Erfahrung in der Private Equity Branche auf.