Digitalisierungsexperte Sven Depner von Cancom erläutert im Interview mit IT-Director die Herausforderungen für Unternehmen und Organisationen beim Auslagern der IT-Infrastruktur.
Sven Depner ist Vice President Portfolio, Solution Design & Architecture bei Cancom.
Cancom SE
IT-Director: Herr Depner, in welchen Unternehmensbereichen ist IT-Outsourcing möglich?
Sven Depner: Grundsätzlich halte ich eine Unterscheidung zwischen "möglich" und "sinnvoll" für angebracht. Natürlich kann ich als Unternehmen oder öffentliche Behörde meinen kompletten IT-Betrieb an einen Dienstleister übergeben, sofern regulatorische Vorgaben dies nicht einschränken. Die Sinnhaftigkeit dessen ist allerdings stark abhängig von einigen Faktoren: Zum einen stellt sich die Frage, welche konkreten Mehrwerte mit einem (Teil-) Outsourcing generiert werden. Der Fachkräftemangel ist nach wie vor ein präsentes Thema, gerade wenn es um IT-Personal geht. Und selbst, wenn sich die Arbeitsmarktsituation ändern sollte, ist es, abhängig von der Unternehmensgröße, häufig nicht sinnvoll, sämtliche Skills und Kapazitäten im eigenen Haus vorzuhalten, da die kritische Masse einfach nicht da ist. Stichwort "Economies of Scale" – wenn bspw. ein IT-Dienstleister mit 20 Mitarbeitern einen Service für 100 Unternehmen betreibt, ist das allemal ökonomischer, als wenn 100 Unternehmen jeweils einen Mitarbeiter eines spezifischen Profils beschäftigen müssen. Dies gilt insbesondere, wenn es um Commodity-Technologien geht, die sich gut mit einem Shared-Service-Ansatz bedienen lassen.
Generell eignen sich IT-Services gut zum Outsourcing, wenn der Leistungsschnitt klar gezogen werden kann. Das heißt, wenn die Verantwortlichkeiten und Zugriffsberechtigungen zwischen Auftraggeber und Auftragnehmer klar abgegrenzt werden können. Ist das nicht der Fall, ist Chaos vorprogrammiert. Zudem muss der Auftraggeber bereit sein, sich zu einem gewissen Grad auf die Betriebsstandards des Auftragnehmers einzulassen – das gilt für Technologien, Tools, Prozesse und Governance. Wird hier zu viel diktiert, d.h. ist der Individualisierungsgrad zu hoch, laufen sowohl Kunde als auch Provider Gefahr, dass die Kosten unvorhergesehen steigen und die Servicequalität leidet.
Weitere Faktoren sind branchenindividuelle Anforderungen, der Grad an Eigenentwicklungen und Customization der eingesetzten Lösungen vor der Auslagerung sowie die Qualität der vorhandenen Dokumentation. Gerade in über die Jahre gewachsenen IT-Umgebungen fehlt es Unternehmen häufig an Transparenz, was technologisch konkret vorhanden ist und wie es aufgebaut und betrieben wurde. Hier bietet sich im Zuge eines Outsourcings an, reinen Tisch zu machen und ggf. einen Technologiewechsel bzw. im Falle einer Migration eine echte Cloud-Transformation durchzuführen, statt das vorhandene Gebilde per "lift-and-shift"-Ansatz zu verlagern bzw. in eine externe Betriebsverantwortung zu übergeben. Das schafft in der Regel wenig Mehrwerte und birgt unnötige Risiken.
Wie gestaltet sich der Ablauf beim Outsourcing?
Die primäre Frage ist zunächst, was potenziell in ein Outsourcing-Modell überführt werden soll, wie, und was die Erwartungshaltung hinsichtlich Ergebniswirkung und Servicequalität ist. Außerdem spielt auch die Risikobereitschaft des Unternehmens eine Rolle. Bei der Analyse der ökonomischen Vorteile eines solchen Vorhabens ist eine realistische Total-Cost-of-Ownership-Betrachtung (TCO) ausschlaggebend. Eine Milchmädchenrechnung, in der Kosten nicht verursachergerecht umgelegt werden, ist eher irreführend und führt zu falschen Schlussfolgerungen. Außerdem müssen die zuvor genannten Aspekte hinsichtlich Risiken, regulatorischer Vorgaben sowie Einfluss auf die Produktivität beleuchtet werden. Insbesondere im Hinblick auf verfügbare Bandbreiten, Latenzen und resultierende Performance von Applikationen. Dabei reicht eine rein infrastrukturseitige Betrachtung nicht aus – bei Diensten, die den Endanwender betreffen, sind die Auswirkung auf den einzelnen Benutzer und eine spätere Verifikation der Zielvorgaben über ein User Experience Monitoring ein Muss. Im Zweifelsfall bietet es sich an, ein Beratungsunternehmen einzubeziehen, das vor der Provider-Auswahl und dem eigentlichen Projektbeginn eine objektive Sicht auf all diese Punkte gibt und bei der Sourcing-Strategie unterstützt. Dabei sind mögliche Interessenskonflikte zu berücksichtigen, damit sich der Berater "nicht selbst hinein berät". Darüber hinaus stellt sich dann noch die Frage, ob lediglich der IT-Betrieb mancher Dienste oder vollständig externalisiert werden soll, oder ob zusätzlich, wie zuvor schon geschildert, eine Migration bzw. Transformation in eine Cloud stattfinden soll. Der größte Benefit ergibt sich in der Regel durch die vollumfängliche Transformation auf Cloud-native Applikationen, inklusive Anpassung der Business-Prozesse und Arbeitsweisen. Dasselbe gilt aber auch für initiale Kosten, Dauer und Risiken. Auch hier ist wieder eine Einzelfallabwägung notwendig. Ist die grundsätzliche Outsourcing-Strategie festgelegt und der bzw. die Provider ausgewählt, so folgt eine Detailplanungsphase, in der z.B. auch das Vorgehen bei einer Migration festgelegt wird. Falls lediglich der IT-Betrieb as-is übernommen werden soll, so wird der Wissenstransfer, von Shadowing bis Reverse Shadowing der Mitarbeiter sowie die Sichtung und Übernahme der Dokumentation vorbereitet. Am Ende der jeweiligen Transition-Phasen stehen entsprechende Tests aus unterschiedlichen Blickwinkeln, wie bspw. Funktionalität, Performance bzw. User Acceptance, und Security. Erst nach erfolgreichem Abschluss der Testphase läuft der eigentliche Outsourcing-Betrieb in der Regel los und die SLAs werden scharfgeschaltet.
Welche Trends sehen Sie aktuell am Markt?
Auch wenn ich mir vorgenommen habe, Ihnen ein Buzzword-Bingo zu ersparen, so komme ich bzgl. Markt-Trends natürlich nicht um das Thema Künstliche Intelligenz (KI) herum. KI umtreibt – aus gutem Grund – die gesamte Industrie und wir stecken noch in den Kinderschuhen, was die enormen Potenziale angeht. Im Kontext "Outsourcing" ist wichtig klarzustellen, dass sich der Einsatz von KI heute noch sehr stark auf Use-Case-spezifische Fälle beschränkt. Die Skalierbarkeit wächst mit zunehmender Reife der Technologien, jedoch sind Beratung und Projektgeschäft hier aktuell wesentlich gefragter als Betriebsthemen, da der Standardisierungsgrad einfach häufig nicht gegeben ist.
Ein anderer No-Brainer ist die Auslagerung des Security-Betriebes in Form eines Security Operations Centers (SOC). Neben kostspieliger Software bedarf es hier schwer am Arbeitsmarkt zu findendem Fachpersonal. Selbstverständlich sind größere Provider mit einem entsprechenden Skalierungsgrad besser aufgestellt als kleinere. Ein dritter, stark wahrnehmbarer Trend, ist die Fokusverschiebung von Technik zu Business. Konkret heißt das, dass Outsourcing- oder generell Technologieentscheidungen immer mehr außerhalb der IT-Abteilung gefällt werden. Das zwingt die Provider sich mehr mit der Art und Weise zu beschäftigen, wie der Kunde arbeitet, wie dessen Prozesse und Wertschöpfung aussehen und damit einhergehend, sein Angebot stärker an branchenspezifischen Anforderungen auszurichten. Kurz gesagt: Vertikalisierung.
Outsourcing, Offshoring, Nearshoring – Was hilft wirklich gegen den Fachkräftemangel?
Ich versuche etwas Licht ins Terminologie-Wirrwarr zu bringen: "Outsourcing" beschreibt die Externalisierung von Leistungen, wie bspw. den IT-Betrieb, an einen Service Provider. Wie zuvor im Detail beschrieben, hilft das gegen Fachkräftemangel in vielen Anwendungsfällen, aufgrund Economies of Scale. "Offshoring" beschreibt den Trend, Ressourcen bzw. Dienstleister aus Regionen der Welt zu beschäftigen, in denen das Preisniveau niedrig und die verfügbaren Arbeitskräfte zahlreich sind. Allen voran wird Indien hier häufig als Beispiel herangezogen. "Nearshoring" hingegen beschreibt die Auslagerung in Nachbarländer, in unseren Breitengraden häufig Ost- und Südosteuropa. Der Trend resultierte v.a. aus einer Unzufriedenheit vieler Kunden, was Offshoring-Modelle angeht.
Die Offshoring-vs.-Nearshoring-Frage ist natürlich zu einem hohen Grad unternehmensabhängig. Lokale Mittelständler tun sich erfahrungsgemäß leichter mit Nearshoring-Modellen, was etliche Gründe hat, wie z.B. Kultur, Sprache, Zeitzone, Arbeitsweise etc. Wieviel davon objektiv ist, und wie viel Wahrnehmung, wage ich nicht einzuschätzen. Ich denke, das muss jedes Unternehmen für sich bewerten. Zudem halte ich nichts von Stereotypen, die Betrachtung der Vor- und Nachteile sollte möglichst faktengestützt ablaufen. Offshoring wird wiederum gerade von großen Konzernen häufig genutzt, v.a. wenn die Organisation ohnehin in verschiedenen Zeitzonen arbeitet und sich ein Follow-the-Sun-Modell anbietet. Was durchgängig gilt ist, dass wir bei der Arbeitsmarktsituation und dem Kampf um qualifiziertes Personal nicht davon ausgehen dürfen, dass sämtliche IT-Dienstleistungen dauerhaft in deutscher Sprache und erbracht aus den Ländern unserer Wahl verfügbar sind. Das ist schlicht und ergreifend nicht realistisch. Schaffe ich als Unternehmen eine Arbeitskultur, die grundsätzlich IT-Support in englischer Sprache annimmt, so bin ich meinem Wettbewerb definitiv um einige Kosten- und Skalierbarkeitsvorteile voraus.
Welche Kriterien sind bei der Auswahl eines passenden Anbieters entscheidend?
Neben allen technisch-operativen Aspekten sollte der Anbieter sowohl kulturell als auch von der Größe her zu mir als Unternehmen passen. Niemand möchte eine Nummer in der Kundenkartei sein. Zumal es mit der Betriebsübernahme nicht getan ist – mein Service-Partner sollte möglichst eng in die fortlaufende Evolution meiner IT involviert sein und als Innovationstreiber agieren. Darüber würde ich mir die Frage stellen, wie gut ein Anbieter meine eigenen Gegebenheiten und Zielsetzungen für eine IT-Auslagerung verstanden hat und über wie viel Erfahrung er in der Branche verfügt. Dazu eigenen sich Kundenreferenzen sehr gut, ggf. sogar ein Austausch mit diesen. Dasselbe gilt auch für Regulatorik. Neben offensichtlichen Zertifizierungen und einzuhaltenden Standards sollte der Anbieter auch Erfahrung im Umgang mit Kunden haben, die unter dieselben Regulatorik-Vorgaben fallen wie mein eigenes Unternehmen. Last but not least: Die Kosten. Ganz am Ende der Rechnung, nach allen Einsparungsfaktoren, Effizienz- und Sicherheitssteigerungen usw. sollte ein positiver Return on Investment (ROI) nach Zeitraum x stehen. Sonst bringt die am besten gemeinte Outsourcing-Strategie herzlich wenig.
Was müssen Unternehmen und Organisationen in streng regulierten Branchen beachten, die ihre IT in die Cloud auslagern?
Nun, die Regulatorik-Vorgaben der jeweiligen Branche. Nein, im Ernst: Mit "streng reguliert" meinen wir ja häufig, dass überhaupt eine formalisierte Vorgabe existiert, wie sie gerade für einige Branchen durch NIS2 geschaffen wird, oder durch den Digital Operational Resilience Act (DORA) für den Finanzsektor. Solch präzise Richtlinien wünschen sich viele Teile des Marktes. Das Hauptproblem sind Grauzonen, in denen Unternehmen oder öffentliche Behörden nicht klar ist, wie und wohin sie ihre Daten und Applikationen überhaupt verlagern dürfen. Niemand möchte eine 180-Gradwendung machen müssen, da ihm nachträglich verboten wird, gewisse Dienste zu nutzen. Und noch weniger möchte irgendjemand auf dem Titelblatt der Tageszeitung enden, wenn irgendetwas schief ging und der Betrieb steht, oder ein Sicherheitsvorfall entstanden ist. Daher ist es sinnvoll – und in einigen Fällen verpflichtend – für Unternehmen in Branchen, die reguliert sind, sich ausreichend beraten zu lassen und die Einhaltung der Regulatorik-Standards durch ihre Dienstleister vertraglich zu fixieren und zu überwachen. Für diejenigen, die in Branchen unterwegs sind, in denen die Regulatorik eher fragmentiert und uneindeutig ist, helfen etablierte Bewertungsmechanismen für eine Cloud-Migration.
Dabei würde ich grundsätzlich zwischen technisch, organisatorisch und rechtlich unterscheiden. Vielen Anforderungen kann durch den richtigen Technologieeinsatz sowie eine angemessene Governance- und Prozessstruktur Genüge getan werden. Das Thema "Digitale Souveränität" löse ich damit allerdings nicht. Entscheide ich mich für eine Auslagerung zu einem Provider, muss ich davon ausgehen, dass abhängig von der Legislatur in dessen Herkunftsstaat, ggf. der Umstand entstehen kann, dass dortige Behörden Zugang zu Daten der Kunden des Providers einfordern könnten. Aber um das auch klar zu sagen: Wir sollten das Risiko zwar realistisch bewerten, jedoch nicht jede Innovation durch Bedenken zerstreuen. Das hat uns gerade in Deutschland schon in der Vergangenheit viel Auftrieb bei der Digitalisierung gekostet und wirkt nicht gerade zuträglich, was unsere Wettbewerbsfähigkeit angeht.
Welche Cloud-Konzepte sind derzeit besonders gefragt?
Seit Jahren stark gefragt ist die Ablösung eigener Infrastruktur und deren Betrieb. Eigene Rechenzentren zu betreiben ist seit etlichen Jahren für die meisten Kunden im B2B- und B2G-Umfeld eher unattraktiv. Aus Housing- wurden Hosting-Modelle und aus Hosting wurde Cloud; grob untergliedert in Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS). Das ist allerdings weniger ein Trend und mehr Historie, wenn man bedenkt, dass fast alle großen Hyperscaler ihre Ursprünge in den 2000er-Jahren hatten. Software as a Service (SaaS) wurde anfangs auch stark durch die Endanwender als Schatten-IT in die Unternehmen getragen, während Infrastructure as a Service (IaaS) für viele Unternehmen der erste Schritt in die Cloud war, als virtuelle Server und Storage mit dynamischen Consumption-Modellen. Platform as a Service (PaaS) setzt sich aufgrund der höheren Mehrwerte und sinkenden Fertigungstiefe in der eigenen IT-Abteilung immer stärker durch. Sie haben es vermutlich schon geahnt, dass das Wort "Hybrid Cloud" an irgendeinem Punkt im Kontext von Trends fallen wird.
Die Begrifflichkeit selbst wird häufig sehr inflationär verwendet und ich habe manchmal das Gefühl, dass es an Verständnis fehlt, was damit eigentlich gemeint ist. Richtig ist, dass viele Unternehmen nach wie vor Applikationen und Daten On-Premises auf eigener Hardware oder bei einem Hosting-Dienstleister vorhalten. Im zweiten Falle zum Teil noch in "echten" Private Clouds, mit physisch dedizierter Infrastruktur, was aber aufgrund CAPEX-Belastung und mangelnder Flexibilität seltener wird. Hinzu kommen etliche bewusst oder schleichend eingeführte Cloud-Dienste. Eine sinnvolle, hybride Cloud-Strategie ist aus meiner Sicht v.a. die auf Basis der Anforderungen getroffene Entscheidung über das jeweilige Deployment-Modell des jeweiligen Dienstes, sprich, was beziehe ich aus einer Public Cloud und aus welcher und wo, was aus einer Private Cloud und was behalte ich aus triftigen Gründen On-Premises. Diese Dienste dann über alle Bereitstellungsmodelle effizient zu integrieren, zu betreiben und abzusichern, ist der Kernfokus.