Sicherheitslösungen für Unternehmen – kaum ein Thema wird so vernachlässigt

Pressemitteilung. 21. März 2017

Geisenheim, 21.03.2017. Hannover steht im Zeichen der Cebit. Auf der weltweit größten Computermesse gehören Sicherheitslösungen für Unternehmen zu den Topthemen. Dort geht es vor allem um IT-Lösungen, die Unternehmen vor immer massiveren Cyber-Attacken schützen. Doch die Technik ist nur das letzte Glied in der Kette der Sicherheitsmaßnahmen in Unternehmen, sagt Dr. Frank Imhoff, IT-Security- und Compliance-Experte bei der Managementberatung Insentis.

Herr Dr. Imhoff, nun erfahren wir bald vielleicht über die Wikileaks-Veröffentlichungen aus CIA-Kreisen, wie Hackerangriffe wirkungsvoll ausgeführt werden. Wird das Datenleck bei der CIA Unternehmen sensibilisieren, das Thema Sicherheit ernst zu nehmen?

Dr. Imhoff: Die Frage ist berechtigt. Die Wahrnehmung von IT-Security als unternehmenskritischem Faktor ist in Unternehmerkreisen bei weitem zu gering. Das Thema wird schlicht nicht ernst genommen, schnell als paranoid abgestempelt oder der IT-Abteilung überlassen.

Unternehmer investieren aber doch in IT-Security und in ihre IT-Abteilungen, aber das reicht aus Ihrer Perspektive nicht?

Bei weitem nicht. Das ist sogar häufig am Ziel komplett vorbei geschossen. IT-Sicherheit ist ein höchstsensibles Feld, das in der Chefetage aufgehängt und ein wesentlicher Bestandteil der Compliance-Strategie sein muss, und auf diese Weise engstens in die gesamte Unternehmenskultur eingebunden ist. Schon deswegen, weil Vorstände und Geschäftsführer auch persönlich haften, wenn das Unternehmen durch vernachlässigte Schutzmaßnahmen zu Schaden kommt oder beispielsweise heikle Kundendaten abhandenkommen.

Was also raten Sie Unternehmen?

Wenn wir Kunden aus dem oberen Mittelstand bis hin zu DAX-Unternehmen beraten, konzentrieren wir uns vor allem auf organisatorische Aspekte ohne dabei die wirtschaftliche Seite außer Acht zu lassen. Daraus resultiert in fast allen Fällen ein umfassender Maßnahmenkatalog, der von Sourcing-Fragen über Standardisierung, Dokumentation zu Prozessthemen reicht. Beispielsweise ist - entgegen der immer noch weit verbreiteten Ansicht, Cloud Computing sei nicht sicher - die Möglichkeit zu prüfen, Unternehmensdaten Cloud-Anbietern in Rechenzentren innerhalb Deutschlands anzuvertrauen. Dort sind sie in aller Regel bei weitem sicherer als im Keller des Unternehmens, auf ein paar Rechnern im eigenen Rechenzentrum geparkt.

Gibt es denn dieses Szenario überhaupt noch?

Und ob. Viele Unternehmen – selbst aus dem IT-Umfeld – sind beim Thema Sicherheit noch nicht einmal in der 1.0-Welt angekommen. Sie haben gerade mal eine Firewall, die allenfalls noch Angriffe aus dem Hacker-Grundkurs der Volkshochschule aufhält. Darüber hinaus fehlt es häufig an Sicherheitsmechanismen gegen Angriffe von innen, Redundanz-Mechanismen, Disaster-Recovery-Vorbereitungen, hochverfügbaren Plattformen und vielem anderen mehr. Dagegen sind Cloud-Anbieter mit ihren Redundanzen, professionell betriebenen Sicherheitsmechanismen, ihrer Perimeter Security etc. absolute Hochsicherheitstrakte. Doch auch das alleine reicht selbstverständlich nicht aus.

Wo sehen Sie weiteren Verbesserungsbedarf?

Sicherheitsrisiko Nummer eins sind die eigenen Mitarbeiter – bis hin zum Chef selbst. Devices werden aus dem Unternehmen mit nach Hause genommen und private Mobiles und Tablets am Arbeitsplatz genutzt, Bluetooth- und WLAN-Schnittstellen offen mit sich herumgetragen, öffentliche WLAN-Hotspots werden genutzt, Mitarbeiter installieren selbst – bewusst oder unbewusst – Software, Fremdfirmen docken ihre Laptops in der Unternehmens-IT-Infrastruktur an und so weiter. Was für die persönliche Bewegungsfreiheit, den Komfort oder die Arbeitsprozesse ein Segen sein mag, ist für die Unternehmens-IT der Dolchstoß.

Ist das nicht für die allermeisten Unternehmen ein übertrieben hoher Sicherheitsanspruch?

Professionelle Angriffe werden heute nicht nur gezielt auf vermeintlich besonders lohnenswerte Ziele wie die Rüstungsindustrie oder Regierungsstellen geführt, sondern häufig mit der Gießkanne. Ist der Angreifer erst mal „drin“, kann er sich in aller Ruhe abwägen, ob und welche Daten des Unternehmens er beispielsweise auswerten, weiterverkaufen oder verändern will. Werden diese Angriffe gut und professionell durchgeführt, fallen sie im Unternehmen erst auf, wenn es zu spät ist. Die Angreifer bedienen sich dabei beispielsweise einer möglichst großen Zahl von weit verteilten Rechnern, um diese Angriffe möglichst lange unentdeckt zu lassen. Diese Rechner benötigen nicht mal eine große Rechenleistung oder professionelle Internet-Zugänge, sondern können aufgrund ihre großen Zahl schon immensen Schaden anrichten. Die kürzlich aufgetretene Fehlfunktion tausender DSL-Router im Netz der Deutschen Telekom ist sehr wahrscheinlich der Anfang eines solchen Angriffs gewesen. der glücklicherweise schiefgegangen ist. Das rasant wachsende „Internet der Dinge“ wird dieses Angriffsszenario aber nochmals dramatisch verschärfen.

teaser sicherheitsloesung

Das Internet der Dinge wird für Unternehmen zum Sicherheitsrisiko?

Auf jeden Fall. Die Angriffsfläche, aber auch die Varianz der Angriffsmöglichkeiten wird dadurch potenziert. Das ganze Ausmaß ist noch gar nicht abzuschätzen, selbst dann nicht, wenn Unternehmen sich selbst noch eine Zeit lang von IoT fernhalten. Wenn erst mal Millionen Einzelgeräte vom Kühlschrank über Armbanduhren bis zum Babyphone aufgrund bescheidener Sicherheitshürden gekapert und als Katapult für Angriffe verwendet werden, gibt es noch ganz andere Möglichkeiten und Folgen als bisher.

An welchen Schrauben also müssen Unternehmer weiter drehen?

Es gibt keine Pauschalrezepte. Ein Unternehmen mit höchst sensiblen Kundendaten wie Kontoinformationen wird anders vorgehen müssen als der Automobilzulieferer, der vor allem großen Wert auf Verfügbarkeit und Integrität legen muss. Die Technik ist da in jedem Fall aber nur ganz am Ende der Kette und zumeist den Angreifern mindestens einen Schritt hinterher. Mindestens ebenso wichtig ist daher, dass organisatorische Maßnahmen definiert und umgesetzt werden müssen. Beispielsweise das Rechtemanagement: Welche Abteilung im Unternehmen darf welche Daten sehen und bearbeiten? Oft sind die Rechte historisch gewachsen und nach ein paar Jahren und Jahrzehnten darf jeder alles. Oder das Thema Kundendaten: Mitarbeiter schicken ohne lange nachzudenken Kundendaten per Mail-Attachment zu den Kollegen in der Auslandsniederlassung. Dabei werden in der aller Regel auch innerhalb eines Konzerns schon Datenschutzthemen, Patentschutzfragen oder steuerrechtliche Grenzen überschritten, die zu erheblichen Strafen oder hohen Schadenersatzansprüchen führen können. Helfen kann hier schon, ausschließlich Links statt Attachments zu erlauben und zuvor zu definieren, wer den Link öffnen darf.

Das klingt trivial.

Ist es im Einzelfall auch. Erst die Gesamtheit der notwendigen Maßnahmen macht IT-Sicherheit zu einem komplexen Prozess, der immer und immer wieder überprüft, überarbeitet und geeignet dokumentiert werden muss. Auch dafür müssen Mechanismen etabliert werden. Hinzu kommt, dass Unternehmen z.B. Cyberangriffe frühzeitig erkennen und gut vorbereitet darauf reagieren müssen, um sich nicht dem Vorwurf grober Fahrlässigkeit auszusetzen oder einen womöglich existenzbedrohenden Imageschaden zu riskieren. Doch selbst das übersteigt gängige Sicherheitsstandards in Unternehmen oft um Längen. Hinzu kommt, dass die meisten Unternehmen selbst dann noch nicht öffentlich reagieren, wenn es zum Ernstfall gekommen ist. Der Image-Schaden wäre zu groß. Der Gesetzgeber ist diesem Umstand zwar schon auf der Spur und hat durch entsprechende Gesetze und Verordnungen inzwischen eine Meldepflicht zumindest für Betreiber kritischer Infrastrukturen eingeführt, aber die meisten Unternehmen laufen diesen Vorgaben hinterher und zahlen lieber hinter verschlossenen Türen. Das trifft selbst dort zu, wo die Bundesnetzagentur, die Bankenaufsicht oder das BSI teilweise bereits seit Jahren Maßstäbe setzen.

Der Gesetzgeber, die BaFin, die Bundesnetzagentur und das BSI sind beim Thema Sicherheit schneller als die Unternehmen?

Aber sicher. Betreiber sicherheitskritischer Infrastrukturen oder Finanzdienstleister stehen unter besonderen gesetzlichen Anforderungen und sind deswegen zum Aufbau einer umfassenden Sicherheitsarchitektur und zur Dokumentation gezwungen. Das sind Schritte in die richtige Richtung, jedoch noch lange nicht genug. Alle anderen sind davon aber Lichtjahre entfernt. Der eine weniger, der andere mehr. Ganz finster wird es da häufig in kleinen und mittelständischen Unternehmen. Hier regiert häufig noch die Methode: Bisher ist es noch immer gutgegangen. Dabei ist längst davon auszugehen, dass kein nennenswertes Unternehmen, keine Behörde mehr von erfolgreichen Angriffen verschont geblieben ist. Realität ist, dass Angreifer auch ohne große Professionalität oder kriminelle Motivation längst Zugänge gefunden haben und jederzeit ausnutzen können.

Werden da nicht die Existenzgrundlagen von Unternehmen und der verantwortungsbewusste Umgang mit Kundendaten fahrlässig verspielt?

Definitiv. Vielen Unternehmern ist nicht bewusst, auf welchem Pulverfass sie sitzen – nicht nur hinsichtlich ihrer persönlichen Haftung für Schäden durch Cyberangriffe und Datenschutzverletzungen. Es wird Zeit für eine großangelegte, strategische Sicherheitsoffensive in Unternehmen und zwar unternehmensweit, nicht nur in den IT-Abteilungen. Das wird ganz nebenbei auch ein immer größerer Wettbewerbsvorteil.

Pressearchiv

Trends im Print-und Output-Bereich! – ECMguide.de - 2013/7

Trends im Print-und Output-Bereich!

ECMguide.de - 2013/7

Interview mit Robert Duisberg

 

weiterlesen   pfeil

Business-Case-Modell für das Cloud-Sourcing

Business-Case-Modell für das Cloud-Sourcing

Management Summary, September 2015

Ein modulares Business-Case-Modell schafft Transparenz für die Entscheider

Die Nutzenpotenziale alternativer Cloud-Strategien spielen heute eine wichtige Rolle in fast jeder IT-Strategie. Komplexe Gestaltungsmöglichkeiten für Cloud-Szenarien erschweren jedoch die Erarbeitung belastbarer Entscheidungswerte.

 

weiterlesen   pfeil

Aufbruch zu einer modernen Kundenkommunikation – Postmaster-Magazin - 2013/6

Aufbruch zu einer modernen Kundenkommunikation

Postmaster-Magazin - 2013/6

Robert Duisberg

 

Download als PDF   pdf

Zum Projekterfolg in sieben Kommunikationsschritten - Computerwoche 2013/1

Zum Projekterfolg in sieben Kommunikationsschritten

Computerwoche - 2013/01

Jens Maitra und Dr. Rolf Cramer

 

Download als PDF   pdf

weiterlesen  pfeil

Weniger Kosten, mehr Effizienz im Outputmanagement - BIT 2012/6

Weniger Kosten, mehr Effizienz im Outputmanagement

Zeitschrift BIT - Juni 2012

Interview mit Robert Duisberg

 

Download als PDF   pdf

 

Insentis White Paper "Skalierbarkeit von IT-Infrastrukturen" - Pressemitteilung 2011/9

Insentis White Paper "Skalierbarkeit von IT-Infrastrukturen"

Insentis Pressemitteilung, Geisenheim den 12.09.2011

Auszug aus dem Management Summary

Ein modulares Business-Case-Modell schafft Transparenz für die Entscheider

Die Nutzenpotenziale alternativer Cloud-Strategien spielen heute eine wichtige Rolle in fast jeder IT-Strategie. Komplexe Gestaltungsmöglichkeiten für Cloud-Szenarien erschweren jedoch die Erarbeitung belastbarer Entscheidungswerte.

Wir bei Insentis haben das Thema der Wirtschaftlichkeitsanalyse alternativer IT-Sourcing-Strategien – einschließlich Cloud-Szenarien – methodisch aufbereitet und mit Kunden diskutiert.

Über die Skalierbarkeit der IT-Infrastruktur wird an vielen Stellen diskutiert, auch wenn dies oftmals nicht explizit so benannt und wahrgenommen wird: Angefangen von Fragen der Rechenzentrumsoptimierung über die Ausrichtung der IT an den Geschäftsprozessen bis hin zu hochaktuellen Entwicklungen wie Cloud Computing und Pay-per-Use – immer spielt die darunterliegende IT-Infrastruktur eine maßgebliche Rolle. Wenn dieses Fundament, auf dem alle Anwendungen betrieben und Geschäftsprozesse abgebildet werden, nicht flexibel auf sich wandelnde Anforderungen reagieren kann, wird der Nutzen der IT eingeschränkt und das Geschäft behindert.

Die Industrialisierung der IT steht und fällt mit einem flexiblen, skalierbaren Unterbau in Form der IT-Infrastruktur:

Flexibilisierung

  • der Kosten durch nutzenbezogene ­Abrechnungsmodelle
  • der Kapazitäten und Kosten bei Änderung oder Rückgang der Geschäftstätigkeit
  • durch das Ersetzen der traditionellen, ­investitionsbehafteten Landschaften und langwieriger Einführungsprojekte

Geschwindigkeit

  • schnelle Reaktion auf Veränderungen im Geschäftsverlauf
  • schnelle Realisierung des geschäftlichen Nutzens einer IT-Investition
  • kurze Einführungszeiten und schnelle ­Bereitstellung

Die aktuelle Beobachtung „Die IT-Kosten konnten in der Krise nur um 10% p.a. gesenkt werden. Die Industrie hat dagegen die Produktionskosten um bis zu 30% gesenkt.“ bringt dies auf den Punkt.
Die Vorteile einer flexiblen, skalierbaren IT-Infrastruktur liegen auf der Hand – doch wie plant man eine skalierbare Infrastruktur, wie flexibilisiert man eine bestehende Infrastruktur?

Im White Paper "Skalierbarkeit von Infrastrukturen" werden die Erfahrungen von Insentis aus einer Vielzahl von Projekten gespiegelt. Chancen und Risiken sowie wesentliche Einflussfaktoren auf dem Weg zu einer flexiblen, skalierbaren Infrastruktur werden aufgezeigt. Dabei konzentrieren wir uns auf transaktionale Systeme und diskutieren an dieser Stelle nicht die Besonderheiten von batch-orientierter Verarbeitung.

Sie können das Insentis White Paper hier kostenfrei anfordern.  pfeil

Insentis White Paper "Standardisierung von IT-Services" - Pressemitteilung 2011/7

Insentis White Paper "Standardisierung von IT-Services"

Insentis Pressemitteilung, Geisenheim den 04.07.2011

Auszug aus dem Management Summary

In den Krisenjahren 2008/2009 wurden die Kosten in der direkten Wertschöpfungskette um bis zu 30% gesenkt, die IT-Kosten waren dagegen im Schnitt nur mit 10% variabel. Dies lag weitgehend in unzureichend flexiblen Provider- und Lizenzverträgen. Der Kern des Problems aber liegt in der Struktur der zu „produzierenden IT-Services". Diese weisen noch einen Individualitätsgrad auf, der Produkte vor dem Zeitalter der industrialisierten Produktion auszeichnete. Standardisierung, Normung und Reduktion der Teilevielfalt sind die Erfolgsfaktoren der modernen industriellen Fertigung. Von diesem Maß an Industrialisierung ist die IT noch weit entfernt, wenn auch die „Cloud" zumindest eine Richtung aufzeigt.

Auch die IT muss mit dem Geschäftsverlauf atmen und flexibler mit veränderten Produktionsmengen umgehen können. Die Produktionseinheiten der IT sind die Services. Die Frage lautet also, inwieweit die „Stückkosten“ der Serviceerbringung in größerem Maße als bisher bei reduzierten Abnahmemengen stabil gehalten werden können.

Das Insentis White Paper "Standardisierung von IT-Services" zeigt auf, welche Möglichkeiten sich zur Flexibilisierung von IT-Infrastrukturen bieten, in welchem Umfang die Gestaltung der Struktur von IT-Services einen Beitrag zur Flexibilisierung der IT-Kosten leisten kann und wie eine erfolgreiche Herangehensweise aussieht.

Sie können das Insentis White Paper hier kostenfrei anfordern.  pfeil

IT-Risiko im Fokus - Informationweek.de 2010/4

IT-Risiko im Fokus

Zeitschrift Informationweek.de - April 2010

Ulrich Mattner und Werner Fritsch

 

Download als PDF   pdf

 

IT-Compliance für BSN-medical nach Ablösung von Beiersdorf - manage it 2010/3

IT-Compliance für BSN-medical nach Ablösung von Beiersdorf

manage it - 2010/3

Ulrich Mattner

 

weiterlesen  pfeil

Insentis White Paper "Digitaler Vollfarbdruck und Transpromo" - Insentis Pressemitteilung 2010/2

Insentis White Paper "Digitaler Vollfarbdruck und Transpromo"

Insentis Pressemitteilung, Geisenheim den 15.02.2010

Auszug aus dem Management Summary

Die Vorteile von Digitalem Vollfarbdruck und Transpromo werden im Moment intensiv ­diskutiert – doch wie setzt man ein Migrations­projekt von klassischer Druckinfrastruktur zum ­modernen Digitalen Vollfarbdruck mit Transpromo­ ­erfolgreich um?

Unternehmen müssen die aus ihrer Geschäfts­tätigkeit mit Kunden entstehende sog. Regelkommunikation wie z.B. Auftragsbestätigungen, Rechnungen, Kontoauszüge, etc. physisch drucken­ und den Kunden als sog. Transaktionsbrief ­postalisch zustellen. Dazu bedienen sich Unternehmen ­eigener oder fremder Druckzentren.

Heutige Druckzentren mit klassischer Ausstattung haben Drucker, die Papier auf einer Rolle oder als Einzelblatt drucken können. Dabei wird zu einem großen Anteil auf bereits vorgedruckte Formulare und nur zu einem geringen Anteil auf völlig ­weißes Papier gedruckt. Dieses Verfahren hat zur Folge, dass es zu Rüstzeiten zwischen verschiedenen Druckaufträgen kommt, um das jeweils ­speziell vorgedruckte Formular als Rolle oder Einzelblatt dem entsprechenden Drucker ­zuzuführen. Die so erzeugten Druckseiten werden dann den ­Kuvertierungsmaschinen übergeben. Erst hier wird Werbematerial (z.B. Flyer, Broschüren, etc.) mechanisch zugesteuert. Die Flyer selbst werden bei externen Offset-Druckereien gedruckt und müssen „just-in-time“ angeliefert werden.

Diese logistische Herausforderung führt häufig dazu, dass zum Zeitpunkt der Kuvertierung zu viel oder – viel schlimmer – zu wenig oder gar kein Werbematerial verfügbar ist, so dass der gesamte­ Versandprozess ins Stocken kommt und wichtige Auslieferungstermine für den eigentlichen Transaktionsbrief gefährdet werden. Auch wurden schon kurze Zwischenlagerungen im Druckzentrum wenig professionell durchgeführt, so dass das Werbematerial aus verschiedenen Gründen (z.B. zu hohe Feuchtigkeit) unbrauchbar wurde. Im schlimmsten Fall muss der Transaktionsbrief ohne das Werbematerial verschickt werden und damit können dann leicht Marketinginvestitionen im sechsstelligen Euro-Bereich verpuffen. Zudem hat Offset-gedrucktes Material ein relativ hohes Gewicht, was die Portokosten für entsprechendes Druckgut in die Höhe treibt.

Vor diesem Hintergrund ist der Digitale Vollfarbdruck mit Transpromo äußerst attraktiv. Seine Vorteile liegen vor allem in zwei Kernbereichen:

1. Endlos-Druck im DIN-A4- Format – ausschließlich auf weißes Papier

2. Promotion-Material als integraler Bestand­teil des o.a. Endlosdrucks in Vollfarbe

Das Insentis White Paper "Chancen und Herausforderungen von Digitalem Vollfarbdruck und Transpromo" diskutiert Chancen und Risiken und gibt praxiserprobte Tipps für eine erfolgreiche Einführung.

 

Einsparpotentiale statt Kostenblöcke - IT-DIRECTOR 2009/10

Einsparpotentiale statt Kostenblöcke

IT-DIRECTOR - 2009/10

Guido Piech im Gespräch mit Bruno Rücker

Download als PDF   pdf

 

Outsourcing: Karrierekick oder -knick? - FAZ.Net 2006/9

Outsourcing: Karrierekick oder -knick?

FAZ.Net - 2006/09

Kostensenkung, Kernkompetenzen, Effizienz: Mit diesen Schlagworten begründen Unternehmen die Auslagerung von IT-Dienstleistungen und Infrastruktur.

Und der Outsourcing-Markt gedeiht. Allein im ersten Quartal 2006 unterzeichneten Unternehmen weltweit Verträge mit einem Wert von mehr als 18 Milliarden Euro. Manager freuen sich über Sparmöglichkeiten von über 20 Prozent ? Mitarbeiter sehen jedoch ihre Tätigkeit oder gar ihren ganzen Arbeitsplatz in Gefahr.

Doch im Gegensatz zu Fusionen und Übernahmen, wo schnell ganze Abteilungen überflüssig werden, ist das Personalthema beim Outsourcing weniger brisant. In der Regel gehen fast alle Mitarbeiter zum Dienstleister nach Paragraph 613a des Bürgerlichen Gesetzbuchs über; sie wechseln ihren Arbeitgeber ? was für den Einzelnen freilich einen enormen Einschnitt bedeutet: ein neues Unternehmen, damit eine neue Kultur, möglicherweise ein neuer Arbeitsort und eine neue Tätigkeit. Hinzu kommt, daß die gesetzlich festgelegte Besitzstandswahrung, die eine Kündigung wegen eines Betriebsübergangs verhindert, nur für ein Jahr gilt.

Aufstieg zum Experten unter Experten

Auch wenn es abwegig klingen mag: Gerade durch den Wechsel ergeben sich neue Chancen und Möglichkeiten zur beruflichen Entfaltung. In vielen Fällen können IT-Experten ihre Fähigkeiten in einem auslagernden Unternehmen gar nicht richtig ausspielen, ganz zu Schweigen davon, daß ihre Arbeit nur im Ansatz gewürdigt würde, weil sie keiner wirklich beurteilen kann. Wenn diese Experten nun zum künftigen IT-Dienstleister ihres bisherigen Arbeitgebers wechseln, steigen sie zum Experten unter Experten auf.

Der Wechsel zu einem Outsourcing-Unternehmen bedeutet auch den Wechsel in ein Unternehmen, in dem die IT das Kerngeschäft darstellt. Die Wertschätzung für den IT-Bereich ist dort naturgemäß wesentlich höher. Die IT-Bereiche sind vielfältiger und es bieten sich deshalb auch mehr Aufstiegschancen. Es gibt zahlreiche Top-Manager von großen Outsourcing-Anbietern, die ihre Karriere dem Umstand zu verdanken haben, daß ihr ursprüngliches Unternehmen sich für die Auslagerung der IT entschieden hatte. Aber auch diejenigen, die keine Ambitionen auf das Top-Management haben, kommen bei den neuen Arbeitgebern gut unter; diese benötigen schlicht die Kräfte, um ihre Aufträge erfüllen zu können. Mit einer Einschränkung: Mitarbeiter, die für den reinen Betrieb von Systemen zuständig waren, stehen auch beim Outsourcer unter dem Druck des globalen Wettbewerbs.

Gefragt ist Dienstleistungsmentalität

Für ihre neue Tätigkeit müssen IT-Experten neben fachlichem Können, die Bereitschaft mitbringen, für einen Dienstleister zu arbeiten. Das ist vor allem eine Frage der Mentalität, in die viele Menschen erst hineinwachsen müssen. Die Outsourcing-Anbieter sind in der Regel in ihren Abläufen straffer organisiert und die Ausrichtung an den vereinbarten Service-Levels machen Leistungen des Teams nachvollziehbar.

Ein Beispiel für andere Abläufe („Sitten und Gebräuche“) ist das stringente Reporting. Quasi jede Stunde seiner Arbeitszeit zu dokumentieren, ist für viele Mitarbeiter, die übergehen, zunächst ein Kulturschock und es „riecht“ nach Überwachung. Dabei sind solche Maßnahmen erforderlich, damit der Dienstleister die Leistungen seinen Kunden aufwandsgerecht und korrekt berechnen kann.

Neben den Mitarbeitern, die zu dem Outsourcer wechseln, bleibt ein kleiner Teil (je nach Deal etwa zehn Prozent) beim Arbeitgeber, um den Dienstleister im Tagesgeschäft zu organisieren und zu kontrollieren. Das sind diejenigen, die sich nicht nur in der IT auskennen, sondern auch fit sind in Fragen des Managements, der Vertragsgestaltung und vor allem auch in der Kommunikation nach innen und außen, einer Disziplin, in der sich erfahrungsgemäß so mancher IT'ler sehr schwer tut. Sie kümmern sich innerhalb der sogenannten Retained Organisation darum, daß der Dienstleister die vertraglich zugesicherten Leistungen auch einhält, der Vertrag insgesamt mit Leben gefüllt und idealerweise die Zukunftsfähigkeit des auslagernden Unternehmens sichergestellt wird.

Bruno Rücker ist Geschäftsführer der Insentis GmbH, eine Managementberatung, die auf die Konzeption und Umsetzung von IT-getriebenen Unternehmensstrategien spezialisiert ist.

Bruno Rücker

Zum Artikel  pfeil

IT als Werttreiber – Verpasste Chancen - 2008/10

IT als Werttreiber – Verpasste Chancen

manage it - 2008/10

Robert Duisberg

 

Download als PDF   pdf

 

We(a)nn die IT zählt - manage it 2008/04

We(a)nn die IT zählt

manage it - 2008/04

Bruno Rücker

Download als PDF   pdf

weiterlesen  pfeil

Startschuss per Workshop - Informationweek.de 2008/2

Startschuss per Workshop

Informationweek.de - 2008/02

Dr. Rolf Cramer, Werner Fritsch

Download als PDF   pdf

 

Klare Sprache beim Outsourcing – Interne Kommunikation bei LSG SKY CHEFS - CIO 2007/8

Klare Sprache beim Outsourcing – Interne Kommunikation bei LSG SKY CHEFS

CIO - 2007/08
 

Start auf dem Tanker oder im Schnellboot? - Computerwoche.de 2006/8

Start auf dem Tanker oder im Schnellboot?

Computerwoche.de - 2006/08

Marc Voland

Jeder, der in einer Unternehmensberatung arbeiten möchte, sollte sich die Frage, ob er in einen Konzern oder bei einem Mittelständler tätig sein will, genau überlegen. Die Unterschiede können nämlich erheblich sein.

Robert Duisberg hat beide Seiten kennen gelernt. Nach seinem Studium der Wirtschaftswissenschaften und anschließender Tätigkeit in der Zentrale der Deutschen Bank kletterte der heute 45-Jährige bei einem großen, internationalen Beratungsunternehmen die Karriereleiter bis zum Partner hoch, bis er nach 15 Jahren Zugehörigkeit kurzfristig die Leitung eines Familienbetriebs übernehmen musste.

Vorteile einer kleinen Beratung

Heute nun arbeitet Duisberg wieder im Consulting-Geschäft - bei der Insentis GmbH, einer zwölf Mann starken Management-Beratung in Geisenheim bei Frankfurt am Main. Er verantwortet dort unter anderem den Bereich Prozess-Management. Dass er sich jetzt für eine kleine Unternehmensberatung entschieden hat, hängt vor allem mit der Unmittelbarkeit der Arbeit zusammen: "Ich habe mir überlegt, zurück zu einem großen Beratungshaus zu gehen. Aber mir hat etwas gefehlt. Mit zunehmendem Aufstieg entfernt man sich von der eigentlichen Tätigkeit. Und das, obwohl man durch zunehmende Praxis aus einen immer größeren Erfahrungsschatz schöpfen kann", so Duisberg.

Wer nach seinem Hochschulstudium oder nach einigen Jahren Berufstätigkeit in die Beratung wechseln möchte, steht zwangsläufig vor der Entscheidung: große oder kleine Firma. Von den 14 000 Beratungsunternehmen in Deutschland (15 700 Unternehmen, zählt man beratungsnahe Dienstleistungen wie IT-Integration oder Outsourcing dazu) setzen 50 Firmen 45 Millionen Euro und mehr um, 12 000 Firmen bewegen sich bei bis zu einer Millionen Euro Umsatz, wie eine aktuelle Studie des Bundesverbands Deutscher Unternehmensberater (BDU) ergab. Ausgedrückt in Arbeitsplätzen: Bei den 50 großen Unternehmen arbeiten rund 22 700 Berater, bei den 12 000 kleinen rund 25 800.

Die Frage der Größe des Arbeitgebers stellte sich für Ulrike von Heinemann nach ihrem Studium nicht. Sie zog es in eine große Beratung, weil sie sich einen Überblick über die verschiedenen Berufsbilder machen wollte. "Eine kleine wäre mir zu speziell gewesen. Ich wollte schnell unterschiedliche Themen, Kunden und Industrien kennen lernen", so von Heinemann, die nun seit sechs Jahren bei dem weltweiten Management- und IT-Beratungsunternehmen Capgemini arbeitet.

"Für Berufseinsteiger ist es einfacher bei einer großen Beratung unterzukommen", so Personalexperte Hassa. Zwar halten sich die Beraterzahlen bei den großen und den kleinen Unternehmen ganz grob die Waage. "Kleine Unternehmen stellen aber kaum Berufsanfänger ein." Mitarbeiter müssen bei den Unternehmen, die sich häufig in einer Nische spezialisiert haben, mit Expertenwissen aufwarten. "Wer dorthin möchte, sollte am besten drei oder mehr Jahre Berufserfahrung mitbringen", so Hassa.

Das bedeutet nicht, dass bei großen Beratungshäusern keine Experten arbeiten. "Vor allem Beratungen, die auch die Umsetzung übernehmen, legen großen Wert auf erfahrene Mitarbeiter. So bringen bei Capgemini etwa 60 Prozent der Neuzugänge Berufspraxis mit. Und sie kanalisieren ihren eigenen Nachwuchs, der reichlich vorhanden ist, besser. Hassa: 'Up or out' heißt die Regel, die auch heute bei vielen der großen Beratungshäuser gilt. Wer nach einer gewissen Zeit auf einer Karrierestufe stehen bleibt, muss sich nach einer neuen Stelle umschauen."

Je größer, desto mehr Regeln

Damit eine Einstellung ein Erfolg wird, müssen Bewerber und Unternehmer zueinander passen. Nicht jeder Mitarbeiter fühlt sich in einem großen Unternehmen mit einer eher reglementierten, arbeitsteiligen Corporate-Umgebung wohl. "Je größer ein Unternehmen ist, desto mehr Strukturen muss es aufbauen und pflegen", so von Heinemann. "Dafür kann es sich aber auch beispielsweise ein großes, internationales Netzwerk leisten."

Genauso ist nicht jeder für ein kleines Unternehmen geeignet. "Wer nicht lange Zeit mit dem gleichen Team zusammenarbeiten möchte, oder sich nicht daran gewöhnen mag, dass ein Berater bei einem kleinen Unternehmen schnell die Verantwortung auch für komplett neue Bereiche wie etwa das Business Development übernehmen muss, stößt schnell an seine Grenzen", sagt Duisberg. Neben der Berufserfahrung hängt die Entscheidung also vor allem von einem ab: der Persönlichkeit des Beraters.

Zum Artikel  pfeil

Strategischer Techniker oder technischer Stratege? - FAZ.Net 2006/8

Strategischer Techniker oder technischer Stratege?

FAZ.Net - 2006/08

Von Karsten Eiß

„Geschäft ist genug da“, sagt Rémi Redley, Präsident des Bundesverbands Deutscher Unternehmensberater (BDU) über den Markt für IT-Beratungen. Auch Hartmut Lüerßen, Geschäftsführer beim Marktforschungsinstitut Lünendonk sieht ein Ende der mageren Zeiten gekommen: „Von einem Boom zu sprechen wäre übertrieben, aber zumindest ein leichter Anstieg ist schon zu verzeichnen.“ Die optimistischen Vorzeichen in der Branche wirken sich auch positiv auf den Arbeitsmarkt für IT-Berater aus. Doch IT-Beratung ist nicht gleich IT-Beratung.

Je nachdem, ob sich ein Anbieter auf Strategie- und Managementberatung konzentriert oder als Dienstleister auch an der Umsetzung von Konzepten mitwirkt, unterscheidet sich das Anforderungsprofil an die Mitarbeiter. „Ob ein Kandidat gute Chancen auf dem Arbeitsmarkt hat, hängt sehr davon ab, ob er die Qualifikationen vorweisen kann, die aktuell im Markt gefragt sind“, bestätigt Joachim Domeier von der Personalberatung SCS. Auch wenn Beratung und Dienstleistung immer mehr zusammen wachsen, setzen die Anbieter unterschiedliche Schwerpunkte.

Nicht nur nach Ausbildung auch nach Erfahrung wird unterschieden

Die sd&m AG beispielsweise ist technisch orientiert und sucht daher Mitarbeiter mit einer fundierten Informatikausbildung. Das Münchner Unternehmen berät DAX-100-Unternehmen wie Daimler-Chrysler oder die Münchner Rück nicht nur bei der Integration kritischer IT-Prozesse, sondern ist in der Regel auch an der Umsetzung beteiligt. „Wir suchen eben nicht den BWL-Absolventen, der ein wenig was von Informatik versteht“, sagt Edmund Küpper, Vorstandsvorsitzender der sd&m AG. Den Schwerpunkt auf die Beratungskompetenz legt dagegen die Managementberatung Insentis.

Den Schwerpunkt auf das Consulting legt dagegen die Managementberatung Insentis. Das Unternehmen mit Sitz im Rheingau versteht sich als neutrales Strategieberatungshaus mit Umsetzungskompetenz und hilft seinen Kunden sowohl als Berater bei der Strategiefindung, als auch als Programm-Manager bei der Umsetzung von IT-Projekten, beispielsweise im Rahmen von In- und Outsourcingvorhaben. Für Bruno Rücker, Insentis-Geschäftsführer, liegt die Aufgabe darin, „mit breitem Strategieverständnis und mit tiefem technologischem Know-how“ den Kunden zu unterstützen. „Dafür benötigen Bewerber neben fundierter technologischer Kompetenz nachgewiesene Strategie- und Consultingerfahrung, sowie die Fähigkeit, komplexe Problemstellungen bewältigen zu können.“

Unterschiedliche Anforderungen stellen die Beratungshäuser aber nicht nur an die Ausbildung ihrer Mitarbeiter. „Die Mehrzahl der Einsteiger kommt direkt von den Hochschulen“, sagt Edmund Küpper. „Für IT-Beratung stellen wir aber ausschließlich Bewerber mit mehrjähriger Berufserfahrung ein.“ Auch bei IDS Scheer haben Absolventen Chancen, insbesondere wenn sie Wirtschaftsinformatik studiert haben oder gar aus dem Institut für Wirtschaftsinformatik der Universität Saarbrücken kommen, aus dem der Spezialist für Geschäftsprozeßmanagement hervorgegangen ist. Doch mehrheitlich sucht das international tätige Unternehmen nach Branchenexperten mit Berufserfahrung. Ausschließlich auf Mitarbeiter mit Berufserfahrung setzt dagegen Insentis. „Als Managementberatung kann man nicht mit Hochschulabsolventen starten“, sagt Bruno Rücker.

Auch die Größe macht einen Unterschied

Ob ein Mitarbeiter zu einem Arbeitgeber paßt, hängt nicht zuletzt auch von der Größe des Unternehmens ab. Für Rücker, dessen Unternehmen derzeit ein Dutzend Mitarbeiter beschäftigt, fühlen sich viele Berater in großen Beratungsfirmen wohler, weil sie dort im Windschatten des Brandings eines Großunternehmens mitgezogen werden. „In einem kleineren Beratungshaus an der Erarbeitung einer eigenen Marke mitzuwirken, trauen sich nur wenige zu.“

Insgesamt beobachten die Fachleute eine gesteigerte Nachfrage nach qualifizierten Beratern. Rémi Redley vom BDU sieht gar „einen zunehmenden Wettbewerb um gute Mitarbeiter.“ Sd&m beispielsweise hat 2005 bereits 140 neue Mitarbeiter eingestellt. Doch die Zahl könnte noch höher sein, aber es fehlt an geeigneten Bewerbern. Als Folge des hohen Anspruchsniveaus hat auch Insentis Schwierigkeiten, geeignetes Personal zu finden. Und auch IDS Scheer sortiert jede dritte der monatlich 500 bis 600 Bewerbungen aus, weil die Kandidaten nicht über die erforderlichen Qualifikationen verfügen, nicht zur Kultur des Unternehmens passen oder überzogene Gehaltsvorstellungen haben.

Vor allem Berufsanfänger müssen sich bescheiden

Einigkeit herrscht bei den Experten darüber, daß hochqualifizierte Kandidaten, ob technisch oder strategisch orientiert, immer gefragt sind. Im Vergleich zur Boomzeit müssen sich vor allem Berufsanfänger zwar mit einem niedrigeren Einstiegsgehalt zufrieden geben und bei den Berufserfahrenen wird kritischer geprüft, ob sie ihr Geld auch wirklich Wert sind. Wichtig ist jedoch, daß man auch wirklich zusammenpaßt.

 

Kritische Verträge - Informationweek.de 2006/8

Kritische Verträge

Informationweek.de - 2006/08

Bruno Rücker

Beim Outsourcing ist die Vertragsgestaltung genauso wichtig wie die Vorbereitung eines Projekts. Oft müssen die Verträge während der Laufzeit nachgebessert werden.

Für den Finanzdienstleister stand viel auf dem Spiel. Über 400 Millionen Euro umfasste der Outsourcing-Vertrag, der dem Unternehmen fast die Ernte verhagelt hätte. Der Grund für das Tief: Geänderte Kosten- und Deckungsbeiträge, veränderte Nachfrage nach einzelnen Leistungen sowie ein von vornherein unpassendes Preismodell.

Dieses Beispiel ist kein Einzelfall. In Fachkreisen ist bekannt, dass es kaum Deals gibt, in denen nicht ein erhebliches Risiko schlummert. Über die Hälfte der Unternehmen mit laufenden Outourcing-Projekten müssen mit dem Lieferanten noch während der Vertragslaufzeit neue Konditionen aushandeln, die oft zu Lasten der Auftraggeber gehen. Jetzt rächt sich, wenn ein Outsourcing-Vorhaben nicht von langer Hand vorbereitet wurde. Die Tücken stecken zwar im Vertrag, doch der ist nur die papiergewordene Vorbereitung von zwei Partnern.

Ausgelagerte Probleme kommen zurück

Das größte Risiko von Outsourcing-Projekten liegt darin, dass Unternehmen ihre IT einfach nur abgeben wollen. Es handelt sich dabei um eine Frage der Haltung. Die Einstellung »schnell weg damit« führt dazu, dass viele Unternehmen ihre Infrastruktur und ihre technische Ausstattung ungeordnet übergeben. Es lohnt sich, zuerst Inventur zu machen, um die Abläufe in den Griff zu bekommen. Dazu braucht man Zeit, die aber gut angelegt ist. Schlecht vorbereitete und mit Problemen behaftete Deals haben oft noch höhere Kosten und noch massivere Probleme zur Folge. Ziele, Umfang und Schwerpunkte des Outsourcings müssen deshalb möglichst weit vor Vertragsabschluss lupenrein gefasst werden.

Bei der Beschreibung des Leistungsumfangs gilt: Unternehmen stoßen heute tendenziell auf sinkende Hardwarepreise und steigende Personalkosten. Früher wurden PCs oder Server gezählt, heute setzen sich eher service-basierte Bezahlmodelle durch. Dies hat wesentlich mehr mit dem Geschäft der Kunden zu tun. Wer statt PCs samt Zubehör beispielsweise SAP-Arbeitsplätze auslagert, die gleich alle relevanten technischen Komponenten enthalten (zum Beispiel Desktop, WAN/LAN-Verbindungen, SAP Maintenance, Help Desk und womöglich noch IP-Telefonie), der findet neue Gesprächspartner im Unternehmen, die sich plötzlich für IT-Outsourcing interessieren. Die Strategen des auslagernden Unternehmens können solche Einheiten eher mit ihrer Unternehmensplanung verknüpfen. Durch solche Maßnahmen wird das Outsourcing mit dem eigentlichen Wertschöpfungsprozess des auslagernden Unternehmens verknüpft und entlastet es gleichzeitig – die eigentliche Aufgabe des Outsourcings.

Viele Unternehmen kennen freilich ihre Prozesse nicht und wissen nur unzureichend darüber Bescheid, wo bei ihnen welche Kosten anfallen. Wer aber dem Dienstleister in dieser Hinsicht keine klaren Vorgaben machen kann, öffnet ihm einen weiten Spielraum für die finanzielle Gestaltung des Vertrages.

Realistisches ­Benchmarking

Den Gegner lässt auch der in den Strafraum, der kleine, aber entscheidende Fehler bei juristischen Formulierungen – vor allem bei Preisstellung, Service Level Agreements und Benchmarking – übersieht. Unklare Formulierungen können ansonsten funktionierende Abschlüsse komplett aus dem Ruder laufen lassen. Das bedeutet aber nicht, dass am Verhandlungstisch ausschließlich Juristen sitzen dürfen: Denn denen fehlt meist das Wissen, ob die Abmachungen realistisch sind und in der IT-Praxis funktionieren können.

Unternehmen vergessen außerdem nicht selten, dass ein Vertrag auch mit der künftigen Unternehmensstrategie in Einklang gebracht werden muss. Wenn der Auftraggeber beispielsweise auf eine neue IP-Infrastruktur umsteigen möchte oder Services künftig auch mobil angeboten werden sollen, muss das mit den Verträgen vereinbar sein, ohne dass teure Erweiterungen fällig werden. Oder wenn ein Unternehmen in den kommenden Jahren auf Wachstum setzt, muss dies in den Verträgen berücksichtigt sein. Ist dies nicht der Fall, satteln die Dienstleister oft saftige Aufschläge drauf.

Steuerung der Dienstleister

In Verträge gehören auch Passagen für den Fall der Rückabwicklung sowie Regelungen, wie Auftraggeber und Auftragnehmer miteinander kommunizieren. Ohne klare Governance-Strukturen, die sich auch im Vertrag wiederfinden, kann der Auftraggeber mit dem Dienstleister nicht mithalten oder ihn gar steuern.

Mit der Auslagerung der IT ist die Arbeit bei weitem nicht abgeschlossen. Ein gutes Outsourcing-Projekt hat seinen Namen nur dann verdient, wenn der Auftraggeber die Fäden in der Hand behält und den Auftrag nicht nur verwaltet, sondern aktiv im Sinn der eigenen Strategie gestaltet. Dazu gehört eine ausgesuchte Experten-Organisation auf Auftraggeber-Seite, die ihr Pendant auf Seiten des Outsourcers braucht; nur so können Tagesaufgaben geräuschlos geregelt und technologische Neuerungen in neue Services umgesetzt werden.

Damit eine Vertrauensbasis entsteht, muss der Kunde seine IT in kompetenten Händen wissen und sicher sein, dass der Nehmer in seine Geschäftsprozesse integriert ist, gemeinsame Strategieentwicklung inklusive.

Interne Kommunikation

Gesetzt, alle Hürden sind übersprungen, dann lauert noch eine Falle im Unternehmen. Sind die Mitarbeiter rechtzeitig über das Vorhaben informiert worden, wissen sie, was auf sie zukommt? Outsourcing-Projekte werden von den Beschäftigten meist negativ aufgenommen. Schließlich steht für die Betroffenen der Arbeitgeber (Betriebsübergang), die Art der Tätigkeit oder sogar der Arbeitsplatz auf dem Spiel. Versäumt es die Unternehmensleitung, die Mitarbeiter zu überzeugen, Vertrauen zu schaffen, das System zu erklären, stößt das Vorhaben oft auf massiven Widerstand. Die Folge können Kündigung und sinkende Produktivität sein.

Risiken eines Outsourcing-Deals erkennen Unternehmen, wenn sie vier Ebenen analysieren: Die Kosten, die Prozesse, den Vertrag und den Business Case. Will man Risiken vermeiden, lohnt es sich, spezialisierte Outsourcing-Berater einzuschalten. Sie können viel Ärger ersparen, auch bei laufenden Verträgen.

 

Zum Artikel  pfeil

Karriere-Ratgeber 2006 - Computerwoche.de 2006/8

Karriere-Ratgeber 2006

Computerwoche.de - 2006/08

Robert Duisberg, Insentis

Vom 24. August bis 6. September berät Robert Duisberg von der Management-Beratung Insentis unsere Leser rund um das Thema IT-Karriere.

Duisberg hat nach dem Studium der Wirtschaftswissenschaft in Deutschland und Großbritannien seine Karriere bei der Deutsche Bank Zentrale begonnen, bevor er zu einer der großen internationalen Unternehmensberatungen wechselte. Dort war er in verschiedenen Management-Positionen und als Partner tätig. Nach einem Engagement in einem Familienunternehmen ist er als Berater in der mittelständischen Insentis Management-Beratung tätig, wo er vor allem das Thema Prozess-Management vertritt.

Insentis wurde von Bruno Rücker, ehemals Vorstand der CSC Ploenzke AG und Thorsten Wagner, Leiter des Kompetenzzentrums Netz- und System-Management der CSC Ploenzke AG, gegründet. Das Unternehmen hat es sich zur Aufgabe gemacht, Firmen- und IT-Strategien in Einklang zu bringen. Es nutzt die Möglichkeiten innovativer Technologien und Prozesse zur Konzeption und Realisierung neuer, offensiver Geschäftsmodelle. Zu den Kunden zählen neben DAX-30-Unternehmen unter anderem die DZ BANK, die Fiducia IT AG, die HUK-COBURG, die Sartorius AG und das Statistische Bundesamt.

 

Zum Artikel  pfeil

Outsourcing: Wie man Risiken begrenzt - Computerwoche Sonderdruck 19-2006

Outsourcing: Wie man Risiken begrenzt

 Computerwoche Sonderdruck 19 - 2006

Bruno Rücker

 

Download als PDF   pdf

 

Ohne Planung kein Profit - Informationweek 2006/3

Ohne Planung kein Profit

Informationweek - 2006/03

Dr. Rolf Cramer

Immer mehr Unternehmen zeigen sich bei IT-Outsourcing- Projekten enttäuscht über die erzielten Ergebnisse. Mit gründlicher Vorbereitung und professioneller Durchführung lassen sich aber unliebsame Überraschungen vermeiden, IT-Kosten einsparen und die Servicequalität verbessern. Entscheidend im Vorfeld eines solchen Projekts ist eine gezielte Total-Cost-of-Ownership-Analyse (TCO), um eine exakte Kosten- Nutzen-Kalkulation erstellen zu können. Auch der Touristikkonzern Thomas Cook bereitete durch eine systematische TCO-Analyse ein globales IT-Outsourcingprojekt vor

Die Ausgangssituation ist in vielen Unternehmen dieselbe: eine heterogene, unkontrolliert gewachsene IT-Infrastruktur. Standards in den Rechenzentren, Desktop Services und Netzwerksicherheit sind zwar vorhanden, jedoch ausschließlich lokal eingeführt und mit anderen Abteilungen nicht abgestimmt. Vereinbarungen über den Leistungsumfang mit den einzelnen Geschäftsbereichen sowie eine verbrauchsabhängige Leistungsberechnung fehlen oft ganz. Um ihre IT effizienter zu gestalten, suchen viele Unternehmen ihr Heil im Outsourcing.

Da die Auslagerung von IT-Infrastruktur aber ein komplexer Prozess ist, der viele Fallstricke bereithält, ist ein solches Projekt im Vorfeld sorgfältig zu planen. Die Auslagerung von Problemen löst erfahrungsgemäß keine Probleme. Eine Umfrage der Analysten von Gartner unter 200 Verantwortlichen in großen und mittleren Unternehmen in West Europa zeigt allerdings, dass viele Outsourcing-Projekte nur unzureichend vorbereitet werden. So haben 55 Prozent der befragten Unternehmen noch während der Vertragslaufzeit mit ihren Lieferanten nachverhandelt. 15 Prozent haben bereits in der „Honeymoon-Periode“, das heißt in den ersten zwölf Monaten ihre Verträge neu verhandelt, nur 23 Prozent der Abschlüsse erreichen ohne Anpassungen das Laufzeitende.

Bedingt durch die Firmengeschichte mit zahlreichen Fusionen und Übernahmen bestand auch bei der Thomas Cook AG eine uneinheitliche IT-Landschaft. Um die globale Infrastruktur effektiver zu gestalten, wurde ein IT-Outsourcing-Projekt initiiert. Man entschied sich zunächst für eine gezielte TCO-Analyse, um bereits im Vorfeld eine aussagefähige Gegenüberstellung von Kosten und Nutzen zu erhalten. Dabei sollte ein Überblick über die vorhandenen Kostenstrukturen gewonnen und sowohl bekannte Kostenträger, als auch versteckte Kosten identifiziert werden. Untersucht wurde dabei die gesamte IT-Infrastruktur mit Fokus auf Deutschland, Großbritannien, Frankreich, Benelux und ausgewählte osteuropäische Länder.

Schritt 1: Projektorganisation

Zu Beginn einer TCO-Analyse muss eine Projektorganisation aufgestellt werden. In dieser müssen Entscheidungsträger aus allen Bereichen vertreten sein, die einen Einfluss auf die IT-Kosten haben. Das beinhaltet nicht nur die IT-Leiter, sondern auch Ansprechpartner in den einzelnen Fachbereichen. Eine solche Organisation ist wichtig, um das Projekt auf eine breite Basis zu stellen, einen direkten Zugang zu den Organisationseinheiten zu haben und auch die IT-Kosten ausfindig zu machen, die in den Fachbereichen versteckt sind.

Schritt 2: Datenerhebung

Ziel der Datenerhebung ist es, die Gesamtkosten des operativen Betriebs zu ermitteln. Dabei muss der Wert des vorhandenen IT-Equipments ebenso berücksichtigt werden wie interne IT-Kosten, beispielsweise der Netzwerkbetrieb oder der User Help Desk, laufende Verträge mit externen IT-Dienstleistern und personalbezogene Daten wie die Anzahl und die vorhandenen Skills der Mitarbeiter. Es empfiehlt sich, die Daten in vordefinierten Strukturen zu erheben. So lassen sie sich später einfacher mit Benchmarkdaten vergleichen.

Thomas Cook teilte ein in Hard- und Softwarekosten, Kosten für Kommunikationsdienste, durch Drittanbieter und Arbeits- und Facilitykosten. Parallel dazu erfolgte eine weitere Einteilung in funktionale Bereiche: Desktop-Services, Rechenzentrums-Services und Kommunikations-Services (WAN, LAN, Netze und Telefonie).

Die Daten lassen sich sowohl Bottom-Up, als auch Top-Down erheben. Beim Bottom-Up-Ansatz fragt man die Informationen in den Bereichen ab: Welche Hardware wird eingesetzt, welche Software läuft auf welchen PCs, wieviele Microsoft- oder SAP-Lizenzen sind im Einsatz etc. Gesammelt werden auch Informationen aus den Zeiterfassungssystemen, etwa wieviel Arbeitszeit in den User-Help-Desk, den Betrieb von Netzen oder Rechenzentren investiert wird. Ein weiterer Punkt ist die Überprüfung der gesamten Verträge. Hier interessiert, inwieweit sich dadurch aktuell die Betriebskosten erhöhen und was zukünftig an Kosten zu erwarten ist. Dabei darf man nicht davon ausgehen, die gewünschten Daten auf dem Tablett präsentiert zu bekommen. Man muss sich vielmehr akribisch durch Listen und Verträge arbeiten und die Mitarbeiter eingehend befragen.

Der zweite Ansatz erfolgt Top Down. Dabei untersucht man das IT-Budget des Unternehmens und bricht es auf die tatsächlichen Kosten in den einzelnen Bereichen herunter. Neben dem Budget werden auch die Prognose für das folgende Jahr und zu erwartende Abschreibungen berücksichtigt.

Eine hunderprozentige Datenerhebung ist nie möglich, sei es weil die Informationen nicht vorhanden sind oder von den Bereichen nicht zur Verfügung gestellt werden. Wenn es aber gelingt, 80 Prozent der Daten zu ermitteln, reicht dies aus, um eine aussagefähige Analyse zu erstellen. Um den Zeitpunkt beurteilen zu können, wann ausreichend Informationen vorliegen, bedarf es des richtigen Gespürs und viel Erfahrung in Outsourcing-Projekten.

3. Schritt: Datenauswertung

Nach Abschluss der Datenerhebung werden die Informationen ausgewertet. Auch dabei ist viel Erfahrung nötig, um die Ergebnisse richtig einzuschätzen und zu gewichten. Eine Firma, die noch nie eine TCO-Analyse durchgeführt hat, ist nicht in der Lage, so ein Projekt schnell und effektiv zu bewältigen. Und selbst wenn der IT-Leiter viel Erfahrung im Outsourcing mitbringt, empfiehlt es sich unbedingt, kompetente externe Berater miteinzubeziehen. Neutrale Personen stellen leichter auch unangenehme Fragen und müssen keine Rücksicht auf interne Befindlichkeiten nehmen.

Bei der Analyse selbst vergleicht man die erhobenen Daten mit Benchmarkdaten externer Berater. Wichtig ist an diesem Punkt, die Vergleichbarkeit sicherzustellen. Wenn der Benchmark beispielsweise bei Desktop-Services auch die Kosten für die LAN-Anbindung, den lokalen Support oder Leasinggebühren berücksichtigt, müssen diese bei den eigenen Daten natürlich auch mit einbezogen werden.

Bei Thomas Cook war auffällig, dass es zwischen den untersuchten Ländern signifikante Unterschiede gab. In Deutschland kam beispielsweise ein Drucker auf 2,8 PCs, in den Niederlanden waren es 8,5 PCs, der Benchmark lag gar bei 20 Rechnern pro Drucker. Hier ließen sich entsprechend Kosten reduzieren.

Auch bei der Desktopnutzung gab es Differenzen: In Großbritannien verwendeten vergleichsweise mehr Mitarbeiter ihre Rechner nur als Terminal zur Reisebuchung, während Belgier, Niederländer und Deutsche ihre Desktops mit den üblichen Office- und Mailfunktionen nutzten. Die Unterschiede gründen in gewachsenen Strukturen und Vertriebswegen. Auf der Insel ist die Dichte an Reisebüros um einiges höher, den Mitarbeitern reicht folglich ein Thin Client. In anderen Ländern dagegen werden viele Reisen über Kataloge gebucht und von Büromitarbeitern weiterverarbeitet. Hier waren Einsparungen durch die Anpassung der Services an die Bedürfnisse der Anwender möglich. Thomas Cook teilte dazu die Mitarbeiter in folgende Benutzergruppen ein:

Büromitarbeiter, beispielsweise im Einkauf oder in der Personalabteilung. Die Mitarbeiter benötigen moderne Hardware und aufgabenspezifische Software. Die Arbeitsplätze lassen sich aber zu einem hohen Grad standardisieren.
Mitarbeiter, die nur gelegentlich Zugriff auf ein System benötigen und ähnliche Anforderungen an Hard- und Software haben, aber andere Serviceunterstützung brauchen als die Büromitarbeiter.
Reisebüromitarbeiter, denen einfache Standard-PCs mit einer Schnittstelle zu den Buchungssystemen reichen.
Mitarbeiter in der Katalogproduktion, die hohe Ansprüche an Hardware und Grafikleistung stellen.
Mitarbeiter für die Kapazitätsplanung, die leistungsfähige Hard- und Software benötigen.

Die Reisebüromitarbeiter stellten mit 64 Prozent die größte Gruppe, gefolgt von den Büromitarbeitern mit 30 Prozent. Die anderen Gruppen waren vernachlässigbar. Dadurch ließen sich die Desktopservices in einem hohen Maße standardisieren. PCs konnten so in größeren Mengen zu günstigeren Konditionen beschafft werden. Die Systeme lassen sich so schnell austauschen und Probleme oft durch Einwahl über das Netz beheben. Die Kosten für Desktop-Services, die mehr als 20 Prozent über dem niedrigsten Benchmark lagen, wurden somit deutlich gesenkt.

Im Ergebnis hat Thomas Cook durch das Outsourcing nicht nur die IT-Kosten sofort um 20 Prozent reduziert, sondern die Kosten auch transparenter und planbarer gestaltet und die Servicequalität erhöht. Dank des Abbaus von Fixkostenblöcken passen sich die IT-Kosten an den aktuellen Bedarf an. Der Grundstein für diesen Erfolg lag in einer gründlichen und professionellen Vorbereitung mit einer gezielten TCO-Analyse. Von Beginn an waren externe Berater in das Projekt involviert, stellten Benchmarkingdaten und Best-Practices-Verfahren zur Verfügung und führten durch die einzelnen Prozessschritte.

Das sollten Unternehmen im Vorfeld eines Outsourcingprojekts berücksichtigen:

Kommunikation mit allen verantwortlichen Bereichen
Klare Projektdefinition
Einbeziehung erfahrener externer Experten

Diese Fehler sind zu vermeiden:

Mangelnde Kommunikation
Keine saubere Vorbereitung
Zuwenig Zeit für die Vorbereitung

* Dr. Rolf Cramer verantwortet beim IT-Strategieberater INSENTIS das Kompetenzfeld Outsourcing. In einer früheren Tätigkeit leitete er beim Touristikunternehmen Thomas Cook ein Projekt über 400 Mio. Euro, bei dem die komplette IT-Infrastruktur ausgelagert wurde.

 

Download   pdf

 

Stratege oder Techniker? - Computerwoche.de 2005/9

Stratege oder Techniker?

Computerwoche.de - 2005/09

Analysten prognostizieren IT-Unternehmensberatungen ein moderates Wachstum. Dadurch verbessern sich auch die Jobchancen der Consultants.

„Geschäft ist genug da", sagt Rémi Redley, Präsident des Bundesverbands Deutscher Unternehmensberater (BDU), über den Markt für IT-Beratungen. „In Unternehmen existiert ein Investitionsstau bezüglich IT-Aktivitäten, der sich jetzt so langsam auflöst", so Redley weiter. Auch Hartmut Lüerßen, Geschäftsführer beim Marktforschungsinstitut Lünendonk sieht ein Ende der mageren Zeiten gekommen: „Von einem Boom zu sprechen wäre übertrieben, aber zumindest ein leichter Anstieg ist zu verzeichnen."

Der Optimismus in der Branche wirkt sich auch positiv auf den Arbeitsmarkt für IT-Berater aus. Doch IT-Beratung ist nicht gleich IT-Beratung. Je nachdem, ob sich ein Anbieter auf Strategie- und Managementberatung konzentriert oder als Dienstleister auch an der Umsetzung von Konzepten mitwirkt, unterscheiden sich die Anforderungen an die Mitarbeiter. „Die Frage nach dem Arbeitsmarkt für IT-Berater lässt sich schwer allgemein beantworten", bestätigt Joachim Domeier von der Personalberatung SCS. „Ob ein Kandidat gute Chancen auf dem Arbeitsmarkt hat, hängt davon ab, ob er die Qualifikationen vorweisen kann, die aktuell gefragt sind.“ Strategieberater befassen sich konzeptionell und auf einer eher theoretischen Ebene mit einer Problemstellung und wenden wissenschaftlich fundierte Methoden an. IT-Dienstleister dagegen beschäftigen sich mehr mit der tatsächlichen Umsetzung der Konzepte. Doch Beratung und Dienstleistung wachsen mehr und mehr zusammen, der reine Programmierer ist immer weniger gefragt. „Dienstleistung ohne Consulting wird in Zukunft nicht mehr funktionieren", bestätigt BDU-Präsident Redley. Trotz der zunehmenden Annäherung von Dienstleistung und Beratung setzen die Anbieter unterschiedliche Schwerpunkte.

Informatiker oder Betriebswirt?

Die sd&m AG beispielsweise ist technisch orientiert und braucht daher Mitarbeiter mit einer fundierten Informatikausbildung. Das Münchner Unternehmen berät Konzerne wie Daimler-Chrysler oder die Münchner Rück nicht nur bei der Integration kritischer IT-Prozesse, sondern ist in der Regel auch an der Umsetzung beteiligt. „Wir suchen eben nicht den Absolventen der Betriebswirtschaft, der ein wenig Informatik versteht", sagt Edmund Küpper, Vorstandsvorsitzender der sd&m AG. „Unsere Berater müssen softwaretechnisch erstklassig sein". Den Schwerpunkt auf das Consulting legt dagegen die Management-Beratung Insentis. Das Unternehmen aus Geisenheim im Rheingau versteht sich als neutrales Strategieberatungshaus mit Umsetzungskompetenz und hilft seinen Kunden sowohl als Berater bei der Strategiefindung als auch als Programm-Manager bei der Umsetzung von IT-Projekten, beispielsweise im Rahmen von In- und Outsourcing-Vorhaben. Für Insentis-Geschäftsführer Bruno Rücker liegt die Aufgabe darin, „mit breitem Strategieverständnis und mit tiefem technologischem Know-how“ den Kunden zu unterstützen. „Dafür benötigen Bewerber neben fundierter technologischer Kompetenz nachgewiesene Strategie- und Consultingerfahrung, sowie die Fähigkeit, komplexe Problemstellungen bewältigen zu können." Sowohl technisch orientierte Berater als auch Kandidaten mit betriebswirtschaftlichem Hintergrund beschäftigt EDS. Der IT-Dienstleister, mit knapp 120 000 Mitarbeitern einer der Global Player im IT-Services-Markt, sieht sich als Bindeglied zwischen strategischer Managementberatung und operativem Geschäft. „Vom technischen Berater erwarten wir eine geringere Breite an Wissen, dafür muss er in seinem Gebiet absoluter Spezialist sein“, so Hagen Rickmann, Vice President Consulting Services Line für Zentraleuropa. Die eher betriebswirtschaftlich orientierten Berater verfügen in der Regel über kein solch tiefes IT-Fachwissen, bringen dafür aber Erfahrung in der Organisation von Prozessen mit. „Diese Mitarbeiter haben meist eine betriebswirtschaftliche oder pädagogische Ausbildung", schildert Rickmann.

Einsteiger oder alter Hase?

Unterschiedliche Anforderungen stellen die Beratungshäuser aber nicht nur an die Ausbildung ihrer Mitarbeiter. „Die Mehrzahl der Einsteiger kommt direkt von den Hochschulen“, sagt sd&m-Chef Edmund Küpper. „Für die IT-Beratung stellen wir aber ausschließlich Bewerber mit Berufserfahrung ein.“ Auch bei der IDS Scheer AG haben frisch gebackene Absolventen gute Chancen, insbesondere wenn sie Wirtschaftsinformatik studiert haben oder gar aus dem Institut für Wirtschaftsinformatik der Universität Saarbrücken kommen, aus dem der vom Lehrstuhlinhaber August-Wilhelm Scheer gegründete Spezialist für Geschäftsprozess-Mananagement hervorgegangen ist. „Sie bringen wichtige Grundlagen wie fundiertes betriebswirtschaftliches Know-how und Verständnis für Geschäftsprozesse mit und kennen unsere Aris-Produktpalette sehr gut", so Rosemarie Clarner, Personalleiterin bei IDS Scheer. Doch mehrheitlich sucht das international tätige Unternehmen nach Branchenexperten mit Berufserfahrung.

Dampfer oder Schnellboot?

Ausschließlich auf Berufserfahrene setzt Insentis. „Als Management-Beratung kann man nicht mit Hochschulabsolventen antreten", sagt Insentis-Geschäftsführer Rücker. Für Lünendonk-Geschäftsführer Lüerßen kann Berufserfahrung für die Unternehmen allerdings ein zweischneidiges Schwert sein. „Auf der einen Seite ist gerade in größeren Projekten Berufserfahrung unabdingbar, andererseits haben diese Profis Gehaltserwartungen, die beispielsweise in manchen IT-Beratungsfeldern aufgrund gesunkener Tagessätze nicht mehr durchsetzbar sind."

Ob ein Mitarbeiter zu einem Arbeitgeber passt, hängt auch von der Größe der Firma ab. Rücker, dessen Unternehmen derzeit ein Dutzend Beschäftigte hat, glaubt, dass sich viele Berater in großen Beratungsfirmen wohler fühlen, weil sie dort im Windschatten des Brandings mitgezogen werden. „In einem kleineren Beratungshaus an der Erarbeitung einer eigenen Marke mitzuwirken, trauen sich nur wenige zu." Eine, die sich dieser Aufgabe gestellt hat, ist seine Mitarbeiterin Kerstin Schulte. Die 37-jährige hat sich nach Erfahrungen in Projekten bei T-Systems und T-Mobile zum Einstieg in einen kleinen Betrieb entschlossen: „Vor meinem Eintritt bei Insentis stand ich vor der Wahl, mich für die vermeintliche Sicherheit und den bekannten Namen eines Großunternehmens zu entscheiden oder zu einer kleineren Firma zu gehen." Sie sei ein Mensch, der das kalkulierte Risiko liebt. Bei Großunternehmen stören sie das hohe Maß an Bürokratie, eine gewisse Schwerfälligkeit, starre Strukturen und ein eingegrenzter Aufgabenbereich. Ihre Entscheidung hat Schulte nicht bereut. Sie schätzt es, dass sie bei Insentis in viele Tätigkeitsfelder involviert ist. So wird sie neben dem täglichen Projektgeschäft auch in Marketing, Vertrieb und Pressearbeit eingebunden. „Es ist viel spannender, ein Unternehmen aktiv mitgestalten zu können. In einem Konzern ist man dagegen nur ein kleines Rädchen.“ Ein weiteres Plus ist für die studierte Physikerin, dass sie von der langjährigen Erfahrung ihrer Kollegen profitiert. „Ich arbeite täglich mit Kollegen zusammen, die seit vielen Jahren in verantwortungsvollen Positionen in der Branche tätig sind."

Doch nicht nur das Fachwissen spielt eine große Rolle. Unabhängig von Ausrichtung oder Größe des Unternehmens, werden verstärkt Soft Skills wie Kommunikations- und Teamfähigkeit verlangt. Dadurch, dass die Berater manchmal täglich mit unterschiedlichen Kundensituationen konfrontiert werden, ist die entsprechende soziale Kompetenz unerlässlich. „Unser Geschäft ist das Projektgeschäft. Das verlangt ein großes Kommunikationsgeschick", so Küpper von sd&m. „Dazu zählen neben allgemeinen Umgangsformen auch ein vernünftiges Maß an Konfliktfähigkeit und ein gutes Gespür für Menschen." Noch mehr gilt dies für die reinen Strategieberater mit dem Schwerpunkt auf Coaching. Für Rücker bilden soziale Kompetenzen eine Grundvoraussetzung einen Berater. „Management-Beratung ist selten konfliktfrei. Da ist Einfühlungsvermögen sowohl in die jeweilige Situation als auch in unterschiedliche Charaktere absolut notwendig". Bei international tätigen Unternehmen wie IDS Scheer und EDS sind neben Teamfähigkeit, analytisch-konzeptionellem und unternehmerischem Denken auch Mehrsprachigkeit, interkulturelle Kommunikation und Mobilität gefragt.

Insgesamt beobachtet nicht nur Lünendonk-Geschäftsführer Lüerßen eine gesteigerte Nachfrage nach qualifizierten Beratern. Auch BDU-Präsident Redley sieht „einen zunehmenden Wettbewerb um gute Mitarbeiter." sd&m beispielsweise hat 2005 bereits 140 neue Leute eingestellt. Die Zahl könnte noch höher sein, aber es fehlt an passenden Bewerbern. Als Folge des hohen Anspruchsniveaus hat auch Insentis Schwierigkeiten, geeignetes Personal zu finden. Und auch für die IDS Scheer gestaltet sich die Suche trotz monatlich 500 bis 600 Bewerbungen zunehmend schwerer. Jede dritte Bewerbung sortiert Personalerin Clarner aus, weil die Kandidaten nicht über die erforderlichen Qualifikationen verfügen, nicht zur Kultur des Unternehmens passen oder überzogene Gehaltsvorstellungen haben.

 

 

Weltweites IT-Outsourcing in weniger als sechs Monaten? - Insentis aktuell 2005/6

Weltweites IT-Outsourcing in weniger als sechs Monaten

Insentis aktuell - 2005/06

Von Dr. Rolf Cramer

Ja, das ist möglich! Welche kritischen Erfolgsfaktoren jedoch bei der Auslagerung der IT-Infrastruktur mit Betriebsübergang zu beachten sind, um die Ziele einer drastischen Kostenreduktion und einer Steigerung der Servicequalität zu erreichen – darauf gibt der folgende Beitrag Antwort.

Im Rahmen der Sanierung eines global agierenden Dienstleistungsunternehmens bestand die Notwendigkeit einer dauerhaften Optimierun4g der IT-Prozesse mit sofortiger Realisierung von mehr als 20% Einsparungen der operativen IT-Kosten bei einem Gesamtvolumen von ca. 400 Mio. € innerhalb von 6 Monaten.

Nachhaltige Transparenz und Planbarkeit der Kosten, Erhöhung und Messbarkeit der Servicequalität und damit Minimierung der Risiken sowie eine langfristige Effizienzsteigerung der in Anspruch genommenen Dienstleistungen sollten erreicht werden. Den im Rahmen des IT-Outsourcing übergehenden Mitarbeitern sollten bessere Entfaltungsmöglichkeiten geboten werden.

Ausgangssituation
Die heterogene, unkontrolliert gewachsene IT-Infrastruktur bot signifikante Kostensenkungspotenziale durch Optimierung der IT-Prozesse.

Globale Standards im Bereich der Rechenzentren, Desktop Services und Netzwerksicherheit waren vorhanden, jedoch ausschließlich lokal eingeführt. Service Level Agreements gegenüber den Geschäftsbereichen sowie eine verbrauchsabhängige Leistungsabrechnung fehlten nahezu.

Auf Basis einer vorgelagerten globalen TCO-Analyse (Total Cost of Ownership) entschied der Vorstand des Unternehmens, die Möglichkeit eines IT-Infrastruktur Outsourcings auf Basis einer Ausschreibung zu überprüfen.

Bereits ein halbes Jahr später erfolgte der „Change of Control“, die formelle Betriebsübergabe des globalen Netzwerks, der Client/Server Umgebung, der Telefonie, der Rechenzentren, aller Infrastruktur-Assets und Serviceverträge sowie der betroffenen ITMitarbeiter an einen externen IT- Dienstleister.

Die Entwicklung und Betreuung unternehmenskritischer Applikationen verblieb im Konzern, das reine Hosting ging an den Dienstleister.

Das Projekt stellte die interne IT-Abteilung vor ganz neue fachliche und kommunikative Herausforderungen, die mit Hilfe von erfahrenen Beratern gemeistert wurden.

RFP-Erstellung
Gerade in der Vorbereitungsphase zur Erstellung der Ausschreibungsunterlagen (RFP – Request for Proposal) ist es wichtig, die benötigten Ressourcen, Verantwortlichkeiten und die Projektstruktur klar zu definieren. Im Projekt werden Subteams für die Bereiche Technik, Personal, Kommunikation, Vertragsrecht, Controlling und Finanzen gebildet, die sowohl bei der RFP-Erstellung als auch bei den Vertragsverhandlungen und beim Betriebsübergang ihren Part vertreten. Regelmäßige Projekt- Teammeetings, Steering Boards und Advisory Boards mit der Konzernleitung sichern die Kommunikation untereinander und die Entscheidungsprozesse ab.

Die Kommunikation nach intern und extern besitzt eine hohe Priorität (Checkbox 1).

Checkbox 1: Kommunikation

  • Kommunikation ist das A und O im Outsourcing- Prozess. Alle betroffenen Bereiche müssen mit einbezogen werden. Im Einzelnen sind das IT Mitarbeiter, betroffene Fachbereiche (Endkunden), Dienstleister mit bestehenden Serviceverträgen, HW und SW-Lieferanten und der Outsourcing-Provider.
  • Erläuterung / Info der vertraglich vereinbarten Leistungen an Endabnehmer, sonst entsteht ein Gap zwischen Erwartungshaltung (z.B. Hey Joe-Effekt) und bereitgestellten Services.
  • Performance Management: Infos an Fachbereiche, z.B. Nutzerumfragen, Balanced Score Cards am Schwarze Brett, Intranet mit Outsourcing- Portal und FAQs
  • Info an Betriebsrat nicht vergessen.
  • Kosten für einzelne Leistungen klar kommunizieren, sonst entsteht eine Selbstbedienungsmentalität beim Endkunden, die Geldverlust zur Folge haben kann.

Auf Basis des RFPs ist ein klar definierter Business Case zu erstellen, bei dem eigene ITKosten, Kosteneinsparungen und Mengenwachstum berechnet und an die potentiellen Provider kommuniziert werden.

Schwächen hinsichtlich der Leistungsfähigkeit der eigenen IT müssen beschrieben werden, um hier Einsparungspotenziale für den neuen Provider aufzuzeigen.

Um Probleme bei der Nachbetrachtung des Business Cases zu vermeiden, sollten die Hidden Cost unbedingt beachtet werden. Hier liegen die Hauptrisiken im Outsourcingprojekt.

Mühsam und aufwendig, letztendlich aber unumgänglich, ist die Erarbeitung und sorgfältige Zusammenstellung aller Assets, Verträge, Anforderungen und Abläufe.

Um Zeit bei den Vertragsverhandlungen zu sparen, sollte man im RFP alle gewünschten Serviceleistungen bereits als Textbausteine definieren, die später auch in den Servicevertrag übernommen werden (Umfang ca. 80%). Der potentielle Provider muss sich so in einer sehr frühen Phase festlegen. Diese Methode bietet zusätzlich eine hervorragende Möglichkeit, die Leistungen zu normieren und später gegenüberzustellen und auszuwerten.

Providerselektion
Auf Basis der 80% Vorgaben aus dem RFP müssen in der Due Diligence nach Verabschiedung der Short List nur noch in Common Understandings die fehlenden 20% der Vertragsbestandteile fixiert werden.

Vorteile können in den finalen Preisverhandlungen genutzt werden. Durch die Betreuung vieler Systeme pro Kunde und weiteren Kunden mit gleichen Serviceanforderungen arbeitet der Outsourcing Anbieter kostengünstiger als die eigene IT. Bessere Auslastung und optimale Qualifikation des Personals ergeben geringe Personalkosten und insgesamt Skalierungseffekte (Economies of Scales).

Um Preise weiter nach unten zu senken, ist der Konkurrenzkampf unter den Anbietern in der Due Diligence Phase von Vorteil.

Bei den Endverhandlungen ist eine Bottom up Kalkulation beim Provider aus Zeitgründen oft nicht mehr möglich. Pauschale Preissenkungen auf alle Gewerke verursachen bei der Service- Implementierung wieder Probleme in der genauen Abrechnung der Services.

Partnerschaftlicher und fairer Umgang in der Verhandlungsphase sind ein Muss, um einen Spielraum bei Nachverhandlungen zu garantieren, denn oft werden Nachforderungen für jede minimale Mehrleistung erhoben.

In der Lieferantenpartnerschaft lebt die Symbiose, wie in der Biologie, eindeutig länger als der Parasitismus!

Als wichtiges Selektionskriterium gilt, dass sich der Provider in die Situation des Kunden einfinden kann und dessen Geschäft gut versteht. Standard-Betriebsservices sind nur bedingt einsetzbar. An dieser Stelle entsteht ein klassischer Konflikt zwischen Standardisierung und damit verbundenen niedrigen Kosten und individuellen Anforderungen, oft bedingt durch Altlasten. Wer also Funktionen und Abteilungen ausgliedern möchte, muss seine Unternehmensprozesse genauestens kennen und möglichst vor dem Outsourcing-Prozess optimieren, damit die Schnittstellen auch danach noch funktionieren.

Bei Zusammenarbeit mit mehreren Anbietern sollten Subunternehmer-Strukturen (ein Hauptund ein ihm untergeordnete Subprovider) aufgebaut werden. Dabei entstehen klare Verantwortlichkeiten und eine einfache Providersteuerung, aber ggf. erhöhte Kosten und i.d.R. erhält der Kunde keinen direkten Zugriff auf die Subunternehmen.

Zur optimalen Auswahl und Steuerung des Providers ist viel Erfahrung nötig, die nicht immer im eigenen Hause vorhanden ist. Hinzu kommt der Erfahrungsvorsprung des Outsourcers, den der Kunde nicht unterschätzen sollte. Professionelle Hilfe zahlt sich in dieser Phase besonders aus, da hier eine Hebelwirkung auf das spätere Vertragswerk entsteht.

Vertragsgestaltung
Typischerweise setzt sich der Outsourcingvertrag aus einem fixen Rahmenvertrag mit übergreifenden Vereinbarungen und juristischen Komponenten zusammen, dazu Anhänge mit Leistungsbeschreibungen und Mengengerüsten, die variabel sind. Bei diesem Aufbau lassen sich juristische und fachliche Verhandlungen und Änderungsbedarf gut separieren.

Der Scope sollte so detailliert wie möglich dargestellt werden, sonst sind Nachverhandlungen unvermeidlich. Dieser Prozess ist sehr zeitaufwendig, wird aber beschleunigt durch Aufgabenteilung und vorgefertigte Vertragstemplates, die z.B. bei INSENTIS im Rahmen einer Outsourcingberatung genutzt werden können.

Der Vertrag sollte Flexibilität zur Anpassung an geänderte Geschäftsprozesse enthalten und mit klar definierten Kostenelementen ausgestaltet sein. Sinnvoll sind Vereinbarungen mit skalierbarer Infrastruktur, die schnellere Reaktionen auf betriebsbedingte Ressourcenanforderungen bieten.

Assets, die transferiert werden, müssen im Vertrag detailliert gelistet werden. Alles, was später „gefunden“ wird, kostet zusätzliches Geld und verschlechtert den Business Case.

Je Gewerk sollte Benchmarking jederzeit eine Möglichkeit zur Überprüfung des Vertrages nach marktüblichen Preisen sein. Ausstiegsszenarien könnten an dieser Stelle als maximale Eskalationsstufe festgelegt werden. Benchmarks bieten die ideale Grundlage für zukünftige Effizienz- und Performance- Verbesserungsprogramme mit weiteren Einsparungspotenzialen.

Einmalkosten, wie z.B. Migrationskosten können nach Bedarf über die Laufzeit verteilt werden (Financial Engineering) um Preisvorteile ab dem Zeitpunkt des Change of Control sofort zu nutzen.

Ein lange Vertragslaufzeit sollte gewählt werden (7 oder 10 Jahre) mit der Möglichkeit zu Neu- bzw. Nachverhandlungen nach der Hälfte der Laufzeit. Somit werden für den Provider die besten Möglichkeiten für Kosteneinsparungen und Investitionen in Partnerschaft, Prozesse und Infrastruktur gewährt.

Reglungen für Pönale sollten im Vertrag nur bedingt integriert sein, die bei schwerwiegenden Eskalationen zum Tragen kommen. Besser sind komplette Ausstiegsmöglichkeiten je Gewerk bei extrem schlechter Leistung.

Definitionen von Bandbreiten, bei denen Servicekosten pro Stück inkl. Fixkosten gleich bleiben, vereinfachen das Vertragsmanagement und machen die Verrechnung gegenüber der Fachabteilung leichter kommunizierbar. Bei Übertreten der Bandbreite (Mehr- oder Mindermengenabnahme) sind Neuverhandlungen für dieses Gewerk empfehlenswert.

Ähnlich dem RFP sollten dem Provider proaktiv Vorgaben bereitgestellt und die rechtliche Seite, z.B. Haftungsklauseln oder Ausstiegsszenarien, von einer erfahrenen Rechtsberatung überprüft werden.

Change of Control
Aufgrund der oft kurzen Zeit von der RFPErstellung bis zum Stichtag der operationellen Übernahme (Change of Control) fehlen häufig ausführliche und granulare Beschreibungen der Serviceleistungen in Form von SLAs.

Insbesondere ist der Interessenskonflikt zwischen abgestimmten Leistungen und Kosten mit den Endkunden und einem guten Timing in den Vertragsverhandlungen zu beachten. Nach Vertragsunterzeichnung bedarf es relativ viel Kommunikationsaufwand, Teilgewerke und Teilleistungen mit den Endkunden im Fachbereich zu vereinbaren.

Das Argument, dass der Konzern insgesamt Vorteile erwirbt, der Einzelne aber manchmal Nachteile in Kauf nehmen muss, ist nach Vertragsabschluss schwer zu vermitteln. Vor allem auf internationaler Konzernebene lassen sich Nachteile für das einzelne Land, das z.B. P&Lverantwortlich ist, nicht durchsetzen.

Transition
Die Transition sollte nicht länger als 3 Monate dauern. Zu den Aktivitäten gehören der Assetund Vertragstransfer, Know-how Transfer und der Aufbau von Governance-Strukturen.

Die Assettransition erfordert die genaue Ermittlung des Buchwertes des übertragenen Equipments. Oft führt die IT eigene Inventarlisten, die nicht mit der Anlagenbuchhaltung synchron sind. Dieser Prozess kann sehr langwierig werden, wenn nach Vertragsabschluss weitere Systeme und Geräte entdeckt werden. Out-of-Scope Diskussionen sind zu diesem Zeitpunkt natürlich aufwendiger zu führen als vor der Vertragsunterzeichnung.

Dem formellen Personalübergang (nach §613s BGB in Deutschland, individuelle Lösungen international) folgt der Know-how Transfer an den Provider. Bewährt hat sich, die ehemaligen IT-Mitarbeiter erst dann physisch zum neuen Arbeitgeber zu transferieren, wenn der Know-how Transfer abgeschlossen und der Service übergeben wurde.

Die Motivation der Mitarbeiter ist groß, wenn der Provider keine Auffanggesellschaft gründet, sondern gleich eigene Arbeitsverträge anbietet. Dieser Transfer bietet den Mitarbeitern den Vorteil einer schnellen Integration in das neue Umfeld und gute Entwicklungsperspektiven für die Zukunft. Natürlich vereinfacht sich so die Transition.

In der Transition sollte der Aufbau der Retained Organisation (RO, Governance Team) so schnell wie möglich abgeschlossen werden, um das Team in den gesamten Prozess frühzeitig zu involvieren (Checkbox 2).

In der Transitionsphase des genannten Projekts wurden ca. 140 SLAs erstellt und mit den Fachbereichen abgestimmt. Hierbei waren neben Desktop SLAs und Netzwerk SLAs die mehr als 100 Applikations- SLAs von besonderem Interesse, da hier Qualität und Kosten zusammen mit den Fachbereich ausgehandelt wurden.

Aufwendige Leistungsverrechnungen gegenüber der Fachabteilung entstehen, wenn die Systeme keine Verbrauchskennzahlen pro User liefern (z.B. MIPS, TPMC, GB oder Anzahl IMACs).

Checkbox 2: Retained Organisation (RO)

  • Hohen Aufwand in der Steuerung der Partnerschaftsbeziehung beachten.
  • Management Skills und Verständnis des Business ist gefordert, jedoch nur bei wenigen Mitarbeitern vorhanden.
  • Aufgaben: * Kosten-Controlling in Verbindung mit der Servicequalität * Kapazitätsplanung in Abstimmung mit den Fachbereichen * Vertragsmanagement, Überwachung der Rechnungen, Volumina, Scope * Vermeidung von Reibungsverlusten in der Wertschöpfungskette.
  • Zentrale Schnittstelle zwischen Fachbereich, Provider und interner IT (z.B. SW-Entwicklung).
  • Governance: optimale Zusammenarbeit mit Outsourcing Dienstleister und dem Endkunden.
  • Jedes Mitglied der RO sollte das Vertragswerk sehr gut kennen. Dies ist nicht immer einfach, da der Vertrag oft sehr umfangreich ist.
  • Eigens eingerichtete Organisation beim Dienstleister als Spiegel zur RO. • Relationship Management: Regelmeetings, Newsletter, Vorträge im Fachbereich, Status Reports, Endkundeninfos.
  • Architektur, Policies und Standards festlegen und überwachen, d.h. technische Expertise neben dem betriebswirtschaftlichen Know-how für Kosten / Nutzen-Betrachtungen in der RO verfügbar machen.

Migration
Ein Jahr kann die Dauer der Migration betragen, wenn Projekte, wie Desktop Migration, Aufbau eines durchgängigen Netzwerks oder die Konsolidierung von Rechenzentren zu implementieren sind. Die Einrichtung einer transparenten Leistungsverrechnung zwischen Fachabteilung und IT auf Basis des Servicevertrags ist mit dem Übergang eines Teilgewerks in den Routinebetrieb sinnvoll.

Zu beachten ist der Know-how Transfer an den User Helpdesk, der die zu betreuenden Applikationen im Fachbereich und die Komplexität des Geschäfts kennen muss. Eine enge Zusammenarbeit mit dem Provider ist hier unerlässlich.

Service im Routinebetrieb
Laufende Überprüfungen der Servicequalität im Routinebetrieb sind auf Basis der abgeschlossenen SLAs erforderlich. Kostenmanagement, Vertragsüberprüfung und Benchmarking müssen regelmäßig durchgeführt werden.

Entwicklung und Umsetzung neuer Lösungen sollten unter Einbezug des Providers und den Fachbereichen erfolgen und in die Portfolioplanung und die strategische Planung einfließen.

Die Auslagerung hat sich bei diesem Projekt in qualitativer und finanzieller Hinsicht gelohnt. Weit mehr als 20% der ursprünglichen Betriebskosten wurden eingespart. Die Abrechnung erfolgt nur noch in wenigen Fällen auf Basis von Pauschalen.

Fazit
IT-Infrastruktur-Outsourcing ist ein komplexer Prozess mit vielen Fallstricken. Die Auslagerung von Problemen löst erfahrungsgemäß keine Probleme! (Checkbox 3)

Checkbox 3: Kritische Erfolgsfaktoren

  • Kommunikation, Kommunikation, Kommunikation
  • Klare und messbare Ziele und Leistungsbeschreibungen definieren und diese im Vertragswerk und den SLAs abbilden
  • Flexible Preismodelle mit Mengengerüsten und Einzelpreisen festlegen
  • Lieferantenpartnerschaft pflegen, von der beide Partner gleichermaßen profitieren
  • Besonderen Wert auf die Personalauswahl und Skills in der RO legen
  • Alle Prozesse zum Provider, zum Fachbereich, zur IT, zu externen Kunden und Third Party Lieferanten überprüfen und ggf. neu einrichten.
  • Risikomanagement im Outsourcing-Prozess, der Transition, Migration und Betrieb etablieren!
  • Den gesamten Prozess so kurz wie möglich abwickeln, ohne wesentliche Komponenten zu vergessen
  • Nutzung von externem Know-how, um eine steile Lernkurve des Kundenteams zu erreichen und den Outsourcing-Prozess sicher abzuwickeln

Nur wer schon im Vorfeld alles sorgfältig plant und vertraglich fixiert, erzielt nachhaltig und langfristig den gewünschten Erfolg.

Mit Hilfe erfahrener Berater wird das Fehlerrisiko reduziert und die Wahrscheinlichkeit verringert, dass der Outsourcingvertrag vorzeitig aufgelöst werden muss oder in einem Rechtsstreit endet.

Checkbox 4: Projektablauf

  • 6 Wochen RFP-Erstellung mit Versand an die Provider, Zusammenstellung des Teams, Generierung des Business Cases
  • 2 Wochen Feedback, Klärung erster Fragen der Provider
  • 4 Wochen Angebotsabgabe, Bewertung durch das Team
  • 3 Wochen Präsentation der Angebote und Auswahl (Short List)
  • 4 Wochen Due Diligence mit parallelen Vertragsverhandlungen, Finalist
  • 6 Wochen Finale Vertragsverhandlungen, Überarbeitung Business Case, Vorbereitung des Change of Controls, Einrichten der Retained Organisation

Die INSENTIS Managementberatung begleitet ihre Kunden in allen Phasen des Outsourcingprozesses. Der Erfahrungsvorsprung des Outsourcing Anbieters kann durch die unabhängige Beratung zu kompensiert und die Outsourcingfähigkeit des Nachfragers hergestellt werden.

Die Insentis Managementberatung unterstützt ihre Kunden

bei der Erstellung einer TCO-Analyse und Machbarkeitsstudie
in der IT-Prozessoptimierung
in der RFP- und Vertragsgestaltung
im Risikomanagement während des Outsourcingprozesses oder
in der Optimierung bestehender Outsourcingverträge.

Insnentis ist eine herstellerneutrale Managementberatung, die es sich zum Ziel gesetzt hat, Unternehmens- und IT-Strategien in Einklang zu bringen und mit innovativen Technologien die Realisierung neuer Geschäftskonzepte zu unterstützen. Im Fokus steht dabei ein ausgewogenes Kosten-Nutzenverhältnis.

Das Unternehmen wurde 2002 von Bruno Rücker, ehemals Vorstand der CSC Ploenzke AG und Thorsten Wagner in Geisenheim gegründet.

Schwerpunkte der Beratungsleistung liegen in der Entwicklung von IT-Strategien, der Positionierung von IT-Organisationen, dem Management komplexer Großprojekte, der Optimierung von Rechenzentren und im Outsourcing.

Zu den Kunden von Insnentis zählen unter anderen die DZ-Bank, die Fiducia AG, die HUKCoburg, die Postbank Systems, die Sartorius AG, das Statistische Bundesamt, die Westfälische Provinzial Versicherung und die Wüstenrot und Württembergische Informatik.

Anmerkungen:

Der Beitrag und die Checklisten erheben keinen Anspruch auf Vollständigkeit, sondern spiegeln die Erfahrungen des Autors wider.
Oft wichtiger als der Termin ist die Machbarkeit des Outsourcingprojekts, welches ein sehr ambitioniertes Unterfangen ist und interdisziplinäre Erfahrungen auf beiden Seiten voraussetzt

 

 

Download   pdf

 

Archivierung – Anforderungen sicher erfüllen - Insentis aktuell 2005/4

Archivierung – Anforderungen sicher erfüllen

Insentis aktuell - 2005/04

Dr. Dietmar Posseldt

Anforderungen an Archivlösungen
Die Frage, wie Unterlagen für spätere Recherchen sicher und so aufbewahrt werden können, dass ihr Originalzustand erhalten bleibt und sie anhand nachvollziehbarer Ordnungsprinzipien abgerufen werden können, ist uralt. Mit der Informationstechnik haben sich Datenmengen und –vielfalt erhöht und gleichzeitig die Möglichkeiten zugenommen, die abgelegten Daten zu manipulieren. Hieraus resultieren zwei wesentliche Forderungen an die elektronische Archivierung:

  • Gewährleistung der Lesbarkeit über Jahrzehnte hinweg trotz wesentlich kürzerer System-, Format- und Technologiewechselzyklen
  • Erhalt und Nachweis der Urheberschaft und Korrektheit der Daten

Lösungsbestimmende Fragestellungen
Welche Fragestellungen sind bei der Auswahl oder Weiterentwicklung von Archivlösungen zu beachten?

Neben den innerbetrieblichen Anforderungen bestimmen zunehmend gesetzliche Anforderungen wie die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen), welche Daten wie archiviert werden müssen. Aus Sicht GDPdU ist das Datum des 1.1.2002 entscheidend, ab dem die maschinelle Auswertbarkeit archivierter Daten sicherzustellen ist.

Für jedes Unternehmen ist es darum unerlässlich, die zu archivierenden Daten zu identifizieren und die Anforderungen an die Archivierung zu definieren, um eine sichere Auswahl einer zukunftssicheren und flexiblen Archivierungslösung vornehmen zu können.

Sind in der Historie Archivierungslösungen zumeist auf das Speichern (und die kontrollierte Freigabe nach dem Verfallsdatum) von Daten für Buchhaltungs-, Transaktions-, und Personalvorgänge zugeschnitten, so werden zunehmend Daten der verschiedensten Anwendungen aus der Briefschreibung, e-mail, Entwicklungs- und Produktionsprozessen archiviert. Hier bestehen fließende Übergänge zum Outputmanagement und zum Dokumentenmanagement eines Unternehmens.

Eine wichtige, heute häufig noch nicht realisierte Problemstellung ist der Nachweis, dass die Daten seit ihrer Abspeicherung nicht verändert wurden. Hierfür werden heute defacto nur zwei Möglichkeiten genutzt:

  • Die Speicherung auf WORM (write once, read many, d.h. nach dem Beschreiben nicht änderbar oder löschbar)
  • Die parallele Speicherung von Syslogs u.ä. auf dem archivierenden System, um bei eventuellen Zweifeln, nachweisen zu können, dass es keine Prozesse gab, die die Daten verändert haben könnten.

Der naheliegendsten Methode, der Kennzeichnung mit einer digitalen Signatur, steht ihre flächendeckende Implementierung noch bevor.

Der Problematik, dass steuerrelevante gespeicherte Daten nach GDPdU maschinell auswertbar sein müssen, wird noch nicht ausreichend Beachtung geschenkt. Unternehmen hoffen dabei gerne auf die Zugriffsart Z1 (s. Tabelle: Zugriffsarten nach GDPdU). Sie verkennen dabei, dass das Finanzamt die Zugriffsart frei bestimmen kann. Das erzeugt bei Z2 für das Unternehmen erheblichen internen Aufwand für die Zusammenstellung der gewünschten Daten. Bei Z3 müssen die Daten in maschinenlesbare Form aufbereitet werden. Viele Unternehmen verzeichnen jetzt regelmäßig Projektaktivitäten zur GDPdU-konformen Umwandlung der Daten. Dies könnte bereits im Prozess der Archivierung vorgenommen werden

Zugriffsarten nach GDPdU

Zugriffsart nach GDPdU

Quelle: Schreiben des BMF vom 16.7.2001, Bundessteuerblatt Teil1, S. 415

Z1 (Online-Zugriff)

Unmittelbarer Zugriff auf das System
des zu Prüfenden (vor Ort)

Z2 (mittelbarer Zugriff)

Der zu Prüfende wertet nach den Vorgaben des Prüfers aus und übergibt die Ergebnisse an den Prüfer

Z3 (Datenträgerüberlassung)

Überlassung der Unterlagen an den Prüfer auf maschinenlesbaren Datenträgern

Ein wichtiger Aspekt bei der Auswahl von Archivlösungen ist die Wahl des richtigen Verfügbarkeitslevels. Wegen der Brisanz der langzeitarchivierten Daten werden oft Hochverfügbarkeitslösungen implementiert. Deshalb muss nicht zwingend das gesamte System völlig redundant gehalten werden. Die Datenintegrität darf zweifellos auch durch einen eventuellen Ausfall nicht verloren gehen. Für den ständigen Zugriff auf die Daten können ausfallsbedingte Wartezeiten durchaus tolerabel sein. Bezüglich der Verfügbarkeit beim Einstellen der Daten muss ein Inputprozess existieren, der bei einem Ausfall nicht vollständig übernommene Daten erkennt und nachträglich in das Archiv übergibt.

Ein weiterhin unterschätztes Problem ist die bequeme Anzeige der Archivinhalte bei der Recherche. Viele Systeme können nur durch Zusatztools, die vom Nutzer individuell zu konfigurieren sind, die Daten außerhalb der ursprünglich produzierenden Anwendung lesbar machen. Zwei Problemstellungen sind zu beachten:

  • Die Darstellung in Standardbrowsern
  • Die korrekte Darstellung von Dokumenten aus Anwendungen historischer Release-Stände

Heute besteht oft die Möglichkeit, individuell durch den Nutzer gesteuert Dokumente (z.B. von Office-Anwendungen) zur Archivierung auszuwählen und abzulegen. Hierbei besteht ohne stringente Archivierungs-Policy (wer archiviert was und wie lange) die Gefahr eines nicht prognostizierbaren Archivwachstums.

Unterstützung durch Insentis

Die Auswahl der für die jeweilige Situation sinnvollsten Archivlösung, die Gestaltung der sich darum gruppierenden Prozesse, die Migration auf zukunftssichere Archivlösungen oder deren Weiterentwicklung ist eine Aufgabe, zu der Insentis gerne Unterstützungsleistungen anbietet. Unsere Beratungsleistungen hierzu sind:

  • Anforderungsanalyse (Dokumenten-, System-, Funktions-, Anwendungs- und Prozessanalyse)
  • Technologie- und Systemkonzeption
  • Migrations- und Betriebskonzeption
  • Sicherheitsberatung
  • Ausschreibungsmanagement
  • Projektmanagement

Download   pdf

 

Sparen Sie sich das Porto: Umbruch im Postmarkt - Insentis aktuell 2005/2

Sparen Sie sich das Porto: Umbruch im Postmarkt

Insentis aktuell - 2005/02

Von Dr. Jörg von Oertzen

Nach den Entscheidungen des Bundeskartell­amtes im Februar 2005 und des Oberlandesgerichtes Düsseldorf im April 2005 in Bezug auf den Zugang zu Teilleistungen, ergeben sich neue Dienstleistungsangebote in der Prozesskette der Briefzustellung. Die aktuelle Entwicklung bietet Unternehmen unabhängig von Branche und Sendungsvolumen erhebliche Einsparmöglichkeiten im Portobudget, insbesondere in Bezug auf die Briefprodukte Standard, Kompakt und Groß/Maxi. Dies kann zum einen durch Anpassung der eigenen Geschäftsprozesse im Versand erreicht werden, zum anderen durch Nutzen eines der derzeit neu entstehenden Unternehmen mit Dienstleistungsangeboten in der Prozesskette der Briefzustellung am Markt. Verfügbare Dienstleistungen sind zum Beispiel das Zusammenführen von Aufträgen zur Erreichung einer höheren Rabattstufe bei den Teilleistungs-Verfahren (BZA/BZE), oder ein Logistikangebot zur bundesweiten BZE-Einlieferung.

Die aktuellen Gerichtsbeschlüsse bieten den Unternehmen ausreichende Sicherheit, um die neu entstehenden Angebote ab sofort nutzen zu können, auch wenn eine Entscheidung im Hauptverfahren noch aussteht.

Dabei ist nun die besondere Herausforderung, die Vorteile der dynamischen Entwicklung zu realisieren, ohne die Steuerung oder Kontrolle auch für künftige Entwicklungen aus der Hand zu geben. Viele der im Umfeld der Briefzustellung tätigen Unternehmen lassen sich dabei völlig unproblematisch in den Briefzustellprozess einbinden. Auch die Rahmenbedingungen können individuell mit solchen Unternehmen ausgehandelt werden. Dies betrifft insbesondere die Abholzeiten.

Bei großen täglichen Sendungsvolumen nutzen viele Unternehmen schon heute die Teilleistungsangebote. Dennoch ergeben sich auch hier Einsparmöglichkeiten durch den Einsatz von Dienstleistungsunternehmen.

Kooperationsverträge mit der Deutschen Post AG werden von vielen Unternehmen auch aufgrund der Einbeziehung der manuellen Tagespost beibehalten. Auch in solchen Fällen können die neuen Angebote der Dienstleistungsunternehmen von Nutzen sein, da üblicherweise sämtliche maschinenlesbare Post verarbeitet werden kann, unabhängig von eigenen Aufbereitungsleistungen für den Zugang zu Teilleistungen.

Die Auswahl des für die jeweilige Situation sinnvollsten Anbieters ist in der aktuellen dynamischen Entwicklung eine besondere Herausforderung, bei der die Insentis gerne Unterstützung anbietet. Dies kann zum Beispiel in Form einer Ausschreibungsbegleitung oder Verhandlungsbegleitung erfolgen. Hierbei geht es nicht notwendigerweise um eine prinzipielle Outsourcingentscheidung, sondern vielmehr um die Gestaltung des Dienstleistungsverhältnisses bei der Einbindung eines neuen Elementes in die Prozesskette der Briefzustellung. In vielen Fällen besteht Unterstützungsbedarf, da die Portoverantwortung nicht unmittelbar im Bereich des Druckzentrums liegt, so dass Optimierungspotentiale nicht wahrgenommen, oder nur verzögert realisiert werden.

 

Download  pdf

 

Überleben durch Sparen – In Zeiten knapper Kassen haben Sparmodelle Hochkonjunktur (IT-Outsourcing) - IT-Mittelstand 2004/10

Überleben durch Sparen – In Zeiten knapper Kassen haben Sparmodelle Hochkonjunktur (IT-Outsourcing)

IT-Mittelstand - 2004/10

Massenhaft Projekte, brennende Probleme, zahllose Meetings, endlose Überstunden. Die IT-Chefs in mittelständischen Unternehmen sind nicht zu beneiden. Oft reicht hoffnungsloses Überziehen der normalen Wochenarbeitszeiten gar nicht aus, um der vielen Aufgaben Herr zu werden. Die Ursachen sind strukturell bedingt: gewachsene Strukturen, Angst, Vorteile im harten Wettbewerb zu verlieren und oft schlichte Zeitnot. Das bedeutet: nur suboptimale Prozesse in 80 Prozent der Fälle, darin sind sich Experten sowohl seitens der Anwender als auch der Anbieter einig.

Abhilfe schafft ein Blick über den Tellerrand: Prozessdenken, Arbeitsteilung oder Profilieren von Spezialistenwissen sind in nahezu allen Bereichen der Wirtschaft längst realisiert. Doch der Mittelstand, Aushängeschild in Sachen Innovation und Leistungsfähigkeit, hinkt ausgerechnet bei der IT seinen Möglichkeiten hinterher. Würden Firmen- und IT-Chefs auch in Sachen Datenverarbeitung innovativ agieren, wären viele ihrer Probleme gelöst - siehe ASK:
Für Stefan Liebe, Chef der ASK Kugellagerfabrik Artur Seyfert GmbH (www.askubal.de) ist Outsourcing schlicht eine Überlebensfrage: "Wir haben bei anderen Betrieben hautnah miterlebt, dass der DV-Leiter abgeworben wurde - und dann stand das Unternehmen knapp vor dem Aus." Ganz so dramatisch muss der Anlass dafür, seine EDV einem Dienstleiter zu übertragen, nicht sein. Aber viele Gründe sprechen dafür, Wohl und Wehe des IT-Betriebs zum Fixpreis auszulagern. Liebe jedenfalls kann jetzt wieder beruhigt in Urlaub fahren. Und das, so der ASK-Chef, "ist Gold wert".

Beim Unternehmen aus Korntal-Münchingen, dessen 80 Mitarbeiter im letzten Geschäftsjahr mit Gelenklager, Gelenkköpfen und Kugellagern für Maschinenbau, Fahrzeugbau und Luftfahrt 17 Mio. Euro erwirtschafteten, nutzen 30 Mitarbeiter ein komplettes SAP R/3 System im Outsourcing.

Outsourcing -Partner ist jetzt die Neckarsulmer TDS AG. Mit der Wahl des Dienstleisters im Jahr 2000 schlug Liebe gleich zwei Fliegen mit einer Klappe. Denn zuvor hatte ASK bereits einen Outsourcing-Partner allerdings den falschen.

Outsourcing-Partner müssen Erfahrung mitbringen

Auch so kann´s gehen: Im Jahre 1998 ging Liebe einem der wenigen schwarzen Schafen der Outsourcing-Branche ins Netz. Der versprach dem Mittelständler das blaue vom Himmel und ließ ihn hängen. Liebe: "Wir wussten damals noch nicht worauf wr uns einlassen. Als die uns sagten, wir seien deren SAP-Pilotkunde und sie wollten uns mit dem bestmöglichen Engagement betreuen, hätte uns eigentlich ein Licht aufgehen müssen: Das kann nicht gut gehen." Jetzt ist er schlauer: "Der Outsourcer muss sowohl in Bezug auf die Branche seines Kunden als auch in Sachen genutzter Software einiges an Erfahrung mitbringen."
So geschehen bei den Neckarsulmern. Die übernahmen im November 2000 die ganze Chose an einem einzigen Wochenende; am Montag drauf, so Liebe: haben wir weiter gearbeitet, und zwar ohne Probleme." Und das alles, inklusive Hardware-Leasing, Standleitung und 7/24-Hotline für deutlich unter 10.000 Euro im Monat.
Seitdem häufen sich in der ASK-FDV eher die Vorzüge. So fährt der Outsourcer die IT der Korntal-Münchingener rund um die Uhr im Schichtbetrieb. Früher musste der ASK-EDV-Mitarbeiter Sicherungsläufe und Systemwartungen erledigen - mit entsprechenden Überstundenzuschlägen. Gleichzeitig gibt es keine Personalprobleme mehr. Gerade bei Mittelständlern ein Problem: Der teuer ausgebildete und mit den Interna vertraute Mitarbeiter wird abgeworben und das ganze IT-Wissen ist mit einem Schlag passé. Das kann Liebe heute nicht mehr passieren.

Kundennähe als Schlüsselfaktor

Das Beispiel zeigt, dass es gerade im Mittelstand eher weiche Kriterien sind, die über "ja" oder "nein" zum Outsourcing entscheiden. Allerdings ist ASK eine Ausnahme, und zwar insofern, als dass nicht zwischen allen Gebern und Nehmern sofort eitel Sonnenschein herrscht. Also muss ein Nehmer Fragen wie: "In welche Abhängigkeiten begebe ich mich, erleide ich einen Kompetenzverlust, funktioniert das überhaupt?'' bewusst adressieren, um den Kunden entgegenzukommen. Schließlich haben mittelständische Unternehmen nicht nur erhöhten Bedarf an besserer IT, sondern auch enorme Bedenken, ob ein Außenstehender ihnen wirklich helfen kann.
Aber Vorbehalte um Kompetenzverlust lassen sich verhindern, indem Kunden an der Migration der Anwendungslandschaft und der betrieblichen Systeme aktiv teilnehmen. Bruno Rücker, Geschäftsführer der Managementberatungsgesellschaft Insentis GmbH aus Geisenheim bei Frankfurt dazu: "Das lässt sich schlicht über die Vertragsgestaltung regeln, indem bestimmte Prozesse und Prozeduren für den Technologiewechsel verdrahtet werden. Der Verdacht von Abhängigkeiten ist zerstreut, indem man schon beim Abschluss des Vertrages über Ausstiegs-Szenarien redet." "Kundennahes Outsourcing" bedeutet nach den Worten von Michael Scherf, verantwortlich für das Outsourcing-Gechäft bei der Business Technology Consulting (BTC) AG in Oldenburg, einem Kunden nicht das Gefühl zu vermitteln, seine IT auf Nimmerwiedersehen herzugeben. Vielmehr müsse eine Vertrauensbasis geschaffen werden, auf der ein Kunde seine IT in kompetenten Händen weiß und sicher sein kann, dass der Outsourcing-Nehmer integraler Bestandteil seiner Geschäftsprozesse ist, gemeinsame Strategieentwicklung inklusive. «Ein gutes Outsourcing-Projekt hat seinen Namen nur dann verdient," so Scherf, "wenn der Geber die Initiative behält und den Kontrakt über die Laufzeit nicht nur verwaltet, sondern proaktiv im Sinne der Kun-denstrategie gestaltet."

Führt Kaufen in die technologische Kostenfalle?

Und nicht vergessen werden dürfe die alte Regel, nach der Outsourcing nur dann Sinn mache, wenn durch Skaleneffekte wirklich signifikante Prozesskostenoptimierung betreibbar sei. Dazu gehöre insbesondere das Thema der Skalierbarkeit. "Wenn ich IT für eine Laufzeit von drei bis fünf Jahren kaufe, habe ich natürlich gerade Im Investiven Bereich das Problem, nicht wie ein komplett aufgestelltes Rechenzentrum skalieren zu können. Keiner kann genau sagen, mit welchem Umfang und mit welcher Verfügbarkeit er in den nächsten Jahren seine Daten speichern und sichern will. Dann steht man vor der Frage, investiere Ich in ein System, welches ich auch noch in fünf Jahren nutzen kann oder nur in eines, welches ich mir jetzt gerade leisten kann, das aber eventuell in zwei Jahren nicht mehr passt."
Noch komplexer sind Erweiterung oder gar Neueinführung eines ERP-Systems. Jeder Start eines solchen Systems bindet wichtige Kapazitäten. Oft ist die IT-Mannschaft ein bis zwei Jahre ausschließlich damit beschäftigt, ein solches Projekt zu realisieren. Dann kann man sich nicht parallel darum kümmern, so etwas wie ein Betriebsführungskonzept zu erstellen und einen professionellen Betrieb zu organisieren. Das, so Scherf, könne man durch Outsourcing gut unterlegen: "Wir können in 2-4 Wochen Systeme zur Verfügung stellen, auf denen das Projekt anfängt und dann zeitplangerecht das Produktivsystem darauf aufbauen und es entsprechend skalieren. Hinzu kommt, dass ein Projekt-Roll-out immer in Phasen läuft, dann spielt der Faktor der leichteren Skalierbarkeit beim Outsourcer wieder eine Rolle: Ich muss nicht sofort in große Maschinen investieren, auch wenn ich sie erst nur zu 10 oder 20 Prozent nutze." Der Nutzen für die Unternehmen besteht darin, dass die Fachabteilungen ihr Know-how wieder einbringen können, weil sie nicht mehr in Betriebsaufgaben gefangen sind. Vielmehr entstehen für die Mitarbeiter Freiräume fürs Wesentliche, wie das folgende Beispiel zeigt. Wer bei Getriebebau Nord ein Produkt bestellt, bekommt innerhalb weniger Minuten eine Machbarkeits- und Preiskalkulation.
Aus rund 35 Mio. Varianten wird das gewünschte Teil virtuell assembliert sowie Preis und Lieferdatum berechnet, weltweit, rund um die Uhr. Mit diesem Alleinstellungsmerkmal hat sich das Bargeteheider Unternehmen einen Wettbewerbsvorteil aufgebaut und volle Auftragsbücher gesichert. Rückgrat für die Kompetenz des Unternehmens ist eine IT-Unterstützung. die das Know-how der Schleswig-Holsteiner erst so richtig zur Geltung bringt. "Im Grunde verkaufen wir Wissen. Getriebe, Getriebemotoren und Frequenzumrichter können viele Getriebebauer bauen. Aber exakt auf Kundenwünsche zugeschnittene Produkte innerhalb kurzer Zeitfenster zu planen, zu kalkulieren und zu fertigen, erfordert optimal aufeinander abgestimmte Prozesse. Das ist unser Alleinstellungsmerkmal und das realisieren wir mit unserer IT-Lösung", betont Ulrich Mallien. Leiter der Datenverarbeitung.

Kernkompetenzen voll ausgespielt

Eine starke IT ist dabei nur die halbe Miete. Die andere Hälfte liegt in der Auslagerung des Betriebes der Standardprozesse Internes Know-how sorgt für das erforderliche Grundrauschen und Outsourcing für Einsparungen bei der Ausführung. Denn nachdem Nord seine IT an den Dienstleister BTC; ausgelagert hatte, ist nicht nur sein IT-Betrieb rund um die Uhr sichergestellt. Das Unternehmen kann sich voll auf seine Kernkompetenzen konzentrieren und parallel weiter an seinem strategischen IT-Ansatz arbeiten. Nicht zuletzt können die IT-Kollegen ihren Job im Rahmen der üblichen Arbeitszeiten erledigen.
In allen Fällen, wo ein Outsourcing auf gleicher Augenhöhe stattfindet, Geber wie Nehmer sich also genau über Chancen und Risiken des Deals im Klaren sind, sind die Projekte für die Geber gut verlaufen. Und auch im gesamten Projektverlauf sollte der lieber nach den Worten von Frank Dzierzon, Geschäftsführer der unabhängigen Outsourcing-Beratungsgesellschaft Clearview Consulting GmbH aus Frankfurt, die Zügel in der Hand halten: "Auch wenn Unternehmen ihre IT zukünftig vom Outsourcer erbringen lassen: IT-Chefs sind nach wie vor dafür verantwortlich, dass das Ergebnis so aussieht, wie ihr Unternehmen es braucht. Sachver-halte, die nicht rechtzeitig im Sinne ihres Unternehmens geregelt werden, lassen sich später kaum noch - oder nur mit zusätzlichen Kosten - durchsetzen." Nicht zuletzt weist Dzierzon auf die wichtige Rolle der Mitarbeiter hin. Von diesen werde Outsourcing häufig zunächst als Bedrohung wahrgenommen. Ein Mangel an Information verstärke diese Ablehnung zusätzlich. Also sei es notwendig, den Mitarbeitern das Outsourcing-Vorhaben so früh wie möglich vorzustellen und dies offen und regelmäßig zu kommunizieren.

Vor- und Nachteile von Outsourcing

Vorteile:

Genau skalierbare Kosten
Komplettbetreuung aus einer Hand, weniger administrativer Aufwand
Keine Abhängigkeit der IT- Infrastruktur von nur einem Mitarbeiter
Erfahrene Mitarbeiter des Dienstleisters, die Optimierungspotenzial schneller erkennen
Keine Ausfallzeiten durch Krankheit. Urlaub, etc.
Konzentration auf Kernkompetenzen
Unterstützung durch Spezialisten bei IT-technischen Entscheidungen
Qualifizierte Mitarbeiter zu finden, zu halten und weiterzubilden, entfällt
Gute Transparenz und Planbarkeit
Vorhandene Mitarbeiter können für andere Projekte eingesetzt werden, werden von Routine-Arbeiten entlastet

Nachteile:

Entstehung von Abhängigkeiten
Was tun bei Vertragsauflösung?
Datenschutz
Mangelnde Akzeptanz im Unternehmen
Verlust von Kontrolle
Schwierige Übergangsphase
Mangelnde Kommunikation
Ansprechpartner oft nicht klar definiert
Leistungsumfang strittig
Widerstand der IT-Abteilung

Modellvarianten -Outsourcing und Application Service Providing:

ASP: Der Dienstleister stellt Anwendungssoftware zur Verfügung, die IT-Organisation obliegt dem Nutzer selber Software- und Datennutzung erfolgen getrennt von deren Speicherort, die Software steht mehreren Nutzem zur Verfügung und sie wird überwiegend vom ASP-Anbieter beschafft.

Outsourcing: Der Dienstleister betreibt die IT oder Teilbereiche derselben komplett in Eigenregie, der Kunde kümmert sich um seine IT-Strategie. Outsourcing geht also in der Regel über die bloße Softwarenutzung hinaus. Outsourcinglösungen sind individuell, die Software wird überwiegend vom Nutzer selbst beschafft und im Auftrag des Kunden vom Outsourcer betrieben.

Für Stefan Liebe, Chef der ASK Kugellagerfabrik GmbH ist Outsourcing schlicht eine Überlebensfrage: "Wir haben bei anderen Betrieben hautnah miterlebt, dass der DV-Leiter abgeworben wurde - und dann stand das Unternehmen knapp vor dem Aus."

"Exakt auf Kundenwünsche zugeschnittene Produkte innerhalb kurzer Zeitfenster zu planen, zu kalkulieren und zu fertigen, erfordert optimal aufeinander abgestimmte Prozesse. Das ist unser Alleinstellungsmerkmal und das realisieren wir mit unserer IT-Lösung", betont Ulrich Mallien, Leiter der Datenverarbeitung der Getriebebau Nord.

Bruno Rücker, Geschäftsführer des Beratungsunternehmens Insentis GmbH aus Geisenheim bei Frankfurt dazu: "Der Verdacht von Abhängigkeiten ist zerstreut, indem man schon beim Abschluss des Vertrages über Ausstiegsszenarien redet."

Frank Dzierzon, Geschäftsführer der Clearview Consulting GmbH, ist sicher "Auch wenn Unternehmen ihre IT zukünftig vom Outsourcer erbringen lassen: IT-Chefs sind nach wie vor dafür verantwortlich, dass das Ergebnis so aussieht. Sachverhalte, die nicht rechtzeitig im Sinne ihres Unternehmens geregelt werden, lassen sich später kaum noch durchsetzen."

"Ein gutes Outsourcing-Projekt hat seinen Namen nur dann verdient," so Michael Scherf, verantwortlich für das Outscourcing-Geschäft bei der Business Technology Consulting (BTC) AG, "wenn der Geber die Initiative behält und den Kontrakt über die Laufzeit nicht nur verwaltet."

 

Investitionen in IT-Sicherheit mit Augenmaß - Insentis aktuell 2004/8

Investitionen in IT-Sicherheit mit Augenmaß

Insentis aktuell - 2004/08

Dr. Dietmar Posseldt

In einem Großteil der Unternehmen sind Sicherheitsmaßnahmen bereits ergriffen und orientieren sich an bewährten Vorgehensmodellen und Methoden wie zum Beispiel dem BSI-Grundschutzhandbuch. Trotzdem besteht Unsicherheit, ob damit die für das Unternehmen wichtigen Risiken abgedeckt sind und ob sich der zu betreibende Aufwand im Rahmen eines angemessenen Kosten-Nutzen-Verhältnisses bewegt.

Diese Unsicherheit zu beseitigen und zugleich den Gesamtaufwand im IT-Sicherheitsmanagement zu reduzieren, hat sich die Insentis-Managementberatung zum Ziel gesetzt.

Die Lösung besteht in einem methodischen Ansatz, der das Risikomanagement und das IT-Sicherheitsmanagement integriert, der die Redundanzen bisheriger Ansätze vermeidet und der über eine Quantifizierung von Kosten und Nutzen die Rentabilität jeder einzelnen Sicherheitsmaßnahme gewährleistet.

Aufwand reduzierend wirkt insbesondere die Möglichkeit, die Betrachtungstiefe an die Situation des jeweiligen Unternehmens anzupassen und unter Wiederverwendung bereits gewonnener Erkenntnisse die Sicherheitsstrategie und das Verhältnis zwischen Aufwand und Nutzen iterativ zu verfeinern und zu optimieren.

kosteneffizienz

Am Anfang der Analyse stehen die Geschäftsprozesse, die mit IT-Anwendungen unterstützt werden. Die Anwendungen werden in einem Schutzbedarfs-Diagramm erfasst und nach ihrem Schutzbedarf klassifiziert. Maßstab hierfür ist der Schutzbedarf des Geschäftsprozesses (Prozessansatz) und nicht der des IT-Systems. Dabei werden zur quantitativen Bewertung der Risiken die Drohverluste bestimmt, die für die denkbaren Schadensszenarien eintreten.

Als nächstes wird die Beziehungsmatrix erstellt, die den Anwendungen die IT-Systeme und –Funktionen zuordnet, die die Anwendungen betreiben. Diesen Systemen und Funktionen ist damit der Schutzbedarf der Anwendungen zugeordnet.

Die zu definierenden Schutzmaßnahmen werden im nächsten Schritt aus dem Spektrum der verfügbaren Möglichkeiten zur Risikoreduktion (Vermeiden, Vermindern, Überwälzen und Selbsttragen), beim höchsten Schutzbedarf beginnend, ausgewählt. Vorhandene (objektorientierte) Standards, wie z.B. BSI-Grundschutz, werden dabei genutzt. Da viele Maßnahmen nicht nur für ein IT-System oder eine IT-Funktion wirksam sind, vermeidet die INSENTIS-Methodik unnötige Redundanzen, indem sie die Maßnahmen jeweils nur einmal für verschiedene Objekte betrachtet.

Mit den definierten Maßnahmen können nun zwei verschiedene Ziele bedient werden:

  1. Die marginale Betrachtung hat die Aufgabe, die Differenz zwischen Soll und Ist abzuleiten und erforderliche Projektschritte zur Schließung eventueller Sicherheitslücken zu identifizieren.
  2. Die ganzheitliche Betrachtung verschiedener Handlungsoptionen dient der Identifikation eines Optimums zwischen Kosten und Nutzen durch die quantitative Gegenüberstellung der Drohverlust-Reduktion und der dafür erforderlichen investiven Maßnahmen.

Zum Schluss sind im Rahmen eines Change-Management-Prozesses die identifizierten Maßnahmen umzusetzen.

Diese Vorgehensweise kann auch für weitere Verfeinerungen oder aus Anlass veränderter Situationen wiederholt werden und dabei auf den bereits gefundenen Ergebnissen aufbauen. Sie sichert die Ausgewogenheit zwischen reduziertem Schadenspotenzial und investivem Aufwand. Durch Vermeidung von Redundanzen, durch die Betrachtung mit reduziertem Detaillierungsgrad und durch die konsequente Prozesssicht liefert sie schneller quantitativ bewertete Ergebnisse. Außerdem erfüllt sie die Anforderungen an die Transparenz bezüglich der Risiken und der Effektivität der Schutzmaßnahmen, die das heutige Risikomanagement und die Unternehmensführung fordern. Die Ergebnistypen sind vollständig kompatibel zu denen des Risikomanagements auf Unternehmensebene. Diese Durchgängigkeit liefert weitere Aufwands- und Kosteneinsparungen.

* Dr. Dietmar Posseldt ist Management Consultant der Insentis GmbH, Geisenheim.

 

Download pdf

 

IT - Benchmarking im Druck und Versand - Insentis aktuell 2004/6

IT - Benchmarking im Druck und Versand

Insentis aktuell - 2004/06

Von Dr. Jörg von Oertzen

Die Anwendung der Benchmarking-Methode ist nicht unumstritten, wenn es um den Vergleich von Kernprozessen in Unternehmen geht. Die Vernachlässigung von Diagnoseansätzen und von konzeptionellen Aussagen hat ihren Grund weniger in der methodischen Machbarkeit als vielmehr in der Befangenheit der Teilnehmer.

Anders gelagert ist die Situation in Geschäftsbereichen, die nicht notwendigerweise zum Kerngeschäft gehören. Hier kann die gesamte methodische Bandbreite des Benchmarking von der vergleichenden Analyse über die Diagnose bis hin zu konzeptionellen und strategischen Aussagen ausgeschöpft werden, da weniger rechtliche oder unternehmerische Widerstände zu überwinden sind.

Der Betrieb von Druck- und Versandzentren ist unter diesen Gesichtspunkten ein beson-ders viel versprechender Themenkomplex für eine Benchmarking-Studie. Einerseits ist die Bedeutung der Qualität und der Termingenauigkeit der Sendungen eines Unternehmens in Bezug auf die Kundenzufrieden-heit als relativ hoch anzusetzen, andererseits zeigt es sich, dass ein Verbesserungspotenzial häufig nicht wahrgenommen wird, oder dass die Motivation für eine Realisierung fehlt. Mitunter wird dieser Teil der Wertschöpfung eines Unternehmens nur als Hilfskostenstelle ohne detaillierte Leistungsverrechnung behandelt. In der Konsequenz sind dann die Kosten dieser IT-Wertschöpfung nur ungenau bestimmbar und einer aussagekräftigen Analyse nur schwer zugänglich. Es kann dann vorkommen, dass Verbesserungen keinen Effekt auf das Gesamtbudget der IT-Dienstleistung haben und der Nutzen einer Einsparung in anderen Unternehmensteilen verläuft oder aus organisatorischen Gründen nicht realisierbar ist.

Das Thema Druck und Versand ist also ein wichtiges aber oftmals unterschätztes Thema. Selbst Unternehmen, die sich auf Druck und Versand als Dienstleistung spezialisiert ha-ben, zeigen mittlerweile Interesse für den erweiterten Benchmarking-Ansatz. Auch sie können so ihren Standard verbessern, da sowohl eine Standort-bestimmung, als auch das Verbesserungspotenzial und konkrete Handlungsoptionen herausgearbeitet werden.

druckzentrum

Mit dem von der Insentis entwickelten Konzept zum Benchmarking von Druck- und Versandzentren lassen sich branchenunabhängig Prozesse, Betriebskosten und Abläufe vergleichen und optimieren. Je nach Bedarf kann eine Benchmark-Studie auf technische oder betriebswirtschaftliche Aspekte im Betrieb fokussiert werden.

Grundsätzliche Optimierungsansätze liegen im Ablauf des täglichen Geschäftes, in der Leistungsverrechnung, in der Definition von Schnittstellen und Service-Leveln oder in der strategischen Ausrichtung. Der Kern der Benchmarking-Methode von Insentis sind spezifische Kenngrößen zur Analyse des Standards und zur Erkennbarkeit eines Best-Practice-Prozesses. Das Kennzahlensystem wurde im Rahmen von Konsolidierungsprojekten von Druck- und Versandzentren erarbeitet. Namhafte Betreiber sind in die Aktualisierung des Datenmaterials eingebunden.

Die Optimierung der strategischen Aufstellung, die Aufdeckung von Einsparpotenzialen, die Verbesserung der Organisationsstruktur und der Prozessabläufe und die Erarbeitung konzeptioneller Aussagen sind die wichtigsten Merkmale des bei der Insentis entwickelten Benchmarks. Gerade in Unternehmen, in denen das Druckmanagement sehr inhomogenen Ansprüchen ausgesetzt ist, kann ein Vergleich durch eine Benchmarkstudie erhebliche Verbesserungen einleiten. Projekte in der Versiche-rungsbranche haben Verbesserungspotenziale aufgezeigt, die durchaus auf weitere Branchen übertragbar sind. In Unternehmen mit einer Aufstellung als Dienstleister zeigen sich insbesondere die Vergleiche der betriebswirtschaftlichen Aspekte als Erfolg versprechend. Durch fortlaufende weitere Erhebungen wird die Feststellung von Standards und die Ausarbeitung von Best-Practice-Strategien für beteiligte Unternehmen vereinfacht.

 

Download pdf

 

Risikomanagement – schlank und nachvollziehbar - Insentis aktuell 2004/4

Risikomanagement – schlank und nachvollziehbar

Insentis aktuell - 2004/04

Von Dr. Dietmar Posseldt

Risiken, die man kalkulieren kann, lassen der Unsicherheit keinen Raum – auch wo es um die IT-Sicherheit eines Unternehmens geht. Unternehmen, die sich in diesem Sinne den relevanten Sicherheitsaspekten stellen, bekommen ihre Sicherheitskosten unter Kontrolle, können die Risiken aktiv managen und sichern damit ihre Unternehmenswerte. Nur eine quantitative Risikobewertung eröffnet den Weg zu einem unternehmensindividuellen Optimum zwischen Risikoabdeckung einerseits und IT-Sicherheitsinvestitionen andererseits.

Viele Unternehmen – die tägliche Praxis zeigt es – sind in Sachen IT-Sicherheit nicht optimal aufgestellt; mal ist ihre Risikovorsorge unter-, mal überdimensioniert. Oft reagieren Budget-Verantwortliche beim Bekanntwerden neuer Sicherheitsbedrohungen mit der Frage: „Bei uns ist doch nichts passiert. Investieren wir etwa zuviel in die IT-Sicherheit?“ Auch Marktanalysen bestätigen, dass der Bereich IT-Sicherheit ein Krisengebiet ist.

Während TNS Emnid Ende 2003 feststellte, dass IT-Sicherheitsinstrumente wie Passwortschutz, Anti-Viren-Software und Firewalls fast überall üblich sind, räumte trotzdem jeder fünfte Befragte Gefährdungen durch unzureichende IT-Schutzvorkehrungen ein.

Darüber hinaus kam Forrester Research in 50 US-amerikanischen Großunternehmen zu dem Ergebnis, dass die Budgetierung für die IT-Sicherheit wenig Systematik und demzufolge wenig Effizienz aufweist. So konnten 28 Prozent der befragten Unternehmen ihre IT-Sicherheitsausgaben nicht näher beziffern, viele überziehen auf Grund unpräziser Planung ihre IT-Security-Budgets. Die Konsequenz hieraus ist fehlende Ausgewogenheit zwischen erreichtem Sicherheitsniveau und dem hierfür betriebenen Aufwand.

Woher kommen diese Defizite an Systematik und Effizienz? Oft besteht Unklarheit, welche der zahllosen potenziellen Gefahren für das betreffende Unternehmen relevant sind. Vielfach sind die Spezialkenntnisse bezüglich Technik und Organisation nicht vorhanden, um die komplexe Aufgabe der Identifizierung und Sicherung der Unternehmenswerte qualifiziert, zukunftssicher und bezahlbar angehen zu können. Ebenso gravierend ist aber auch der Mangel an schlanken und pragmatischen Vorgehensweisen, die mit angemessenem Kosten- und Zeitaufwand zu nachvollziehbaren Ergebnissen führen.

Grundlagen schaffen
Das Ziel eines ausgewogenen Verhältnisses zwischen den Kosten für die Sicherheitsmaßnahmen und der Reduktion der Risiken wird man nicht im ersten Anlauf und schon gar nicht für immer erreichen. Das IT-Sicherheitsmanagement ist ebenso wie das Risikomanagement ein iterativer Prozess.

Zielführend und effizient ist es, in der ersten Iteration gemäß der 80:20 Regel die wesentlichsten Risiken durch ein Bündel geeigneter IT-Sicherheitsmaßnahmen abzudecken. Empfehlenswert hierfür ist ein verkürztes Verfahren auf der Basis beispielsweise des BSI-Grundschutzhandbuches.

Es werden dabei die individuellen Risiken durch die Betrachtung pauschalierter Bedrohungen ersetzt, für die wiederum ein Standardkatalog von empfohlenen Maßnahmen besteht. So kann man durch einfachen Soll-Ist-Vergleich die grundlegenden Risiken identifizieren und begrenzen (s. Bild: 1). Da die im Grundschutzhandbuch aufgeführten Maßnahmen recht umfänglich sind, empfiehlt sich dringend eine Priorisierung. Hierfür eignen sich konsolidierte Kataloge, die die Redundanzen des Grundschutzhandbuches vermeiden und aus denen eine A-B-C-Klassifizierung hervorgeht.

bild1

Erst in späteren Iterationen können die Bewertungen verfeinert und entsprechend zukünftiger Bedrohungen aktualisiert werden. Dazu bieten sich dann Verfahren des Risikomanagements an, welche gleichzeitig den Vorteil haben, dass Risk-Manager und IT-Security-Officer nicht nur eine gemeinsame Sprache und Terminologie benutzen. Die inhaltliche Koordination der beiden Prozesse führt zu weiteren Einsparungen. Die verwendeten Begriffe entsprechen ohnehin denen, die für die Behandlung operationeller Risiken nach den gesetzlich vorgegebenen Regularien üblich sind. Zu diesen Regularien gehören Basel II, KonTraG, Sarbanes Oxley, HGB (§289, §317), AO/GDPdU und KWG §25a.

IT-Sicherheits-Entscheidungen objektivieren und quantifizieren
Wer ein Optimum anstrebt muss immer zwischen verschiedenen Handlungsoptionen auswählen können. Entsprechende Methoden und Verfahren ergänzen deshalb das traditionelle Repertoire des IT-Sicherheitsmanagements.

Um Risikopotenziale und Handlungsoptionen zu identifizieren und zu bewerten, kommen Methoden aus der Strategieplanung und des IT-Controlling zum Einsatz. Erfahrungen im Umgang mit beispielsweise der Szenariotechnik und mit betriebswirtschaftlichen Bewertungsverfahren gehören deshalb zum methodischen Rüstzeug. Natürlich ist für die realistische Bewertung der Kosten der Handlungsoptionen und der Risiken auch die Qualität der vom Controlling bereitzustellenden Datenbasis entscheidend.

Bei einem gegebenen Bedrohungspotential bestimmt die Risikobereitschaft die Höhe der IT-Sicherheitsinvestitionen. Je nach Lage der unternehmensindividuellen Risikobereitschaft kommen unterschiedliche Maßnahmen in Frage. Zur Visualisierung dieses Zusammenhanges hat sich die Methode der Aufstellung einer Riskmap (s. Bild: 2) bewährt. Sie verdeutlicht neben der Beurteilung von Wirkung und Eintrittsplausibilität des gefährdenden Ereignisses auch sehr gut die Priorität für Gegenmaßnahmen in Abhängigkeit von der Risikobereitschaft.

bild2

Für eine detailliertere Betrachtung aller Risiken, die jenseits der Risikobereitschaft liegen (s. Bild: 2) wird ein so genanntes Risikoinventar herangezogen. Es strukturiert die Risiko- und Maßnahmenbewertung, und priorisiert diejenigen Maßnahmen, die die höchste Wirkung haben. Das Risikoinventar liefert auch den Ansatzpunkt, die finanziellen Auswirkungen möglicher Sicherheitsvorfälle quantitativ zu bewerten und daraus fundierte Return-on-Investment-Betrachtungen für die IT-Sicherheitsmaßnahmen anzustellen. Dafür werden die Drohverluste vor und nach der Maßnahmenergreifung für das jeweilige Risiko bestimmt und direkt den Aufwänden der Schutzmaßnahme gegenüber gestellt (s. Bild: 3).

bild3

Damit sind die Voraussetzungen für das Erreichen des „Optimum-Sektors“ (s. Bild: 4) geschaffen. Solange die monetär bewertete Risikominderung größer als die Kosten der zugehörigen Maßnahmen ist, der Return on Security Investment (ROSI) also positiv ist, bewegt sich das Unternehmen noch auf die Zone eines ausgewogenen Kosten-Nutzen-Verhältnisses (Optimum) zu.

bild4

Sicherheit als integraler Bestandteil des Managementprozesses

IT-Sicherheit liegt in der Verantwortung der Geschäftsführung, ist aber nur dann dauerhaft, wenn jeder Mitarbeiter den dafür notwendigen Prozess als integralen Bestandteil seines Arbeitsalltages „lebt“. Dieser Prozess findet seine Nachhaltigkeit in einer klar beschriebenen Leitlinie, die Ziele, Verantwortlichkeiten und grundsätzliche Maßnahmen der IT-Sicherheit für das Unternehmen zusammenfasst. Zum anderen lebt er von einem Sicherheitsmanagement, das die Phasen Analyse, Umsetzung und Überwachung (s. Bild: 5) als Regelkreis versteht und gewährleistet.

Dieser quantitative Ansatz zur fundierten Etablierung des passenden Sicherheitslevels ist für jedes Unternehmen erreichbar. Voraussetzung ist, dass es sich die eigenen Daten und Erfahrungen nutzbar macht und darüber hinaus den externen Austausch mit anderen Fachleuten pflegt.

Die INSENTIS Managementberatung hat mit der skizzierten Vorgehensweise einen pragmatischen Ansatz entwickelt, der es Unternehmen ermöglicht, den Investitionen in die IT-Sicherheit die monetär bewertete Reduktion der Risiken gegenüber zu stellen und so die Wirtschaftlichkeit der Maßnahmen zu beurteilen. Grundlage dafür ist eine Kombination und Straffung erprobter Vorgehensmodelle des BSI-Grundschutz, des Risikomanagements und neuerer Konzepte wie ROSI (Return on Security Investment). Damit haben die Unternehmen die Möglichkeit, auf der Basis einer definierten Risikobereitschaft, zielgerichtet einen robusten Schutz gegen die wesentlichen Risiken zu erreichen, zu managen, nachzuweisen und immer mit Blick auf die Kosten anforderungsgerecht auszubauen.

* Dr. Dietmar Posseldt ist Management Consultant der Insentis GmbH, Geisenheim.

 

Download pdf