Mittelstands-IT auf Crashkurs
Ausgerechnet bei den Schwachstellen der eigenen IT, in punkto Sicherheit und Verfügbarkeit, bestehen bei vielen KMU noch Vorbehalte gegenüber dem Outsourcing
Seriöse Outsourcing-Dienstleister und Betreiber von Rechenzentren bringen in der Regel bereits die nötigen Compliance-Zertifikate
Von Thomas Sprenger, Presse- und PR-Manager, Pironet NDH (*)
(31.05.10) - Für den Mittelstand droht 2010 ein hartes Wettbewerbsjahr zu werden. Schmerzhafte Einschnitte bei den internen Kosten sind unvermeidbar. Auf dem Prüfstand stehen dabei auch Leistungen, Ausgaben und Ausstattung von IT-Abteilungen. Zugleich wachsen die Anforderungen an die CIOs aus dem eigenen Management wie durch den Gesetzgeber. Mit unbewältigten Altlasten im Kreuz rollt auf die IT-Landschaften im Mittelstand eine Welle zu, der viele schutzlos ausgeliefert sein werden.
Der Mittelstand steht vor einem Dilemma: Einerseits beklagen Unternehmen einen beträchtlichen, durch die Finanz- und Wirtschaftskrise noch vergrößerten Investitionsstau. Andererseits gilt es in Zeiten stagnierender oder rückläufiger Auftragseingänge, Kosten zu reduzieren, um wettbewerbsfähig zu bleiben. Zu den heißen Kandidaten gehört dabei die Informationstechnik: Laut einer Umfrage der Management- und Technologieberatung Bearingpoint kürzte bereits 2009 mehr als jeder zweite Betrieb sein IT-Budget, in jedem dritten Fall gar um mehr als zehn Prozent. Inzwischen, so warnt eine Gartner-Studie, steht vielen CIOs bereits heute nur noch ein Budget auf dem Niveau von 2005 zur Verfügung, Tendenz fallend.
"Wachstum" gibt es dagegen vor allem auf der Anforderungsseite. Die Wunschliste wird dabei nicht nur im Management immer länger. Insbesondere Unternehmen, die mit persönlichen Kundendaten umgehen, müssen ihre Systeme für neue Vorschriften und Richtlinien wasserdicht machen, was besonders den Mittelstand zu schmerzhaften Investitionen in Prozesse und Technik zwingen wird.
CIOs im Mittelstand schauen also gleich auf eine ganze Reihe von Großbaustellen. Wo es in den letzten Jahren oftmals nicht richtig voranging, dringen jetzt Management, Gesetzgeber und Kunden umso mehr auf den Bauabschluss – und kürzen gleichzeitig die Budgets. Die größten Baustellen und Kostentreiber in der Mittelstands-IT sind dabei Compliance und Sicherheit, Personal sowie Konsolidierung und Modernisierung.
Compliance und Sicherheit: Herkules und Sisyphos stehen Pate
Geld- und Gesetzgeber im In- und Ausland machen ehemals organisationsinterne Geschäftsprozesse zur öffentlichen Sache. So will der deutsche Gesetzgeber mit der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) die Integrität finanzrelevanter Daten sicherstellen und etwa bei Rechnungen keine nachträglichen Veränderungen mehr zuzulassen. Entsprechend werden Aufbewahrungspflichten für Buchungsbelege, Rechnungen und andere digitale Unterlagen genau geregelt.
Für US-börsennotierte Firmen gelten zudem die strengen Vorschriften für Berichtswesen und internes Kontrollsystem, die im Sarbanes-Oxley Act (SOX) niedergelegt sind, sowie der SAS70-Standard. Er schreibt vor, dass alle Prozesse zu dokumentieren sind, die Auswirkungen auf Rechnungslegung haben. Nach der Wirtschafts- und Finanzkrise und ihrer Vorgeschichte ist davon auszugehen, dass noch weitere Regulierungen und Compliance-Regeln auf die Unternehmen zukommen werden, unabhängig davon, ob sie an der US-Börse notiert sind oder nicht.
Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)
All diese Vorschriften müssen in den IT-Systemen, allen voran in betriebswirtschaftlichen Lösungen abgebildet werden. Da der deutsche Mittelstand längst international operiert, ist das Thema Compliance auch dort zur Daueraufgabe geworden. Das Problem: Während sich Großkonzerne in Abteilungsstärke mit Compliance beschäftigen, landet sie im Mittelstand auf der To-Do-Liste der IT-Abteilung. Diese plagt sich dann mit gewachsenen Altsystemen, denen sie zum Beispiel die revisionssichere Archivierung von Dateien und E-Mails in Herkulesarbeit abringen muss. Zu den richtigen Verhaltensweisen kommen Lizenzen, Schulungen und der Aufwand für Implementierung und Betrieb von Archivlösungen, Speichersystemen und Sicherheitsvorrichtungen.
Wenn der Auditor zum zweiten Mal klingelt
Vollends zur Sisyphos-Arbeit wird das Thema Sicherheit für alle Unternehmen, die die persönlichen Daten ihrer Kunden speichern und verarbeiten. Ganz gleich, ob Kleinunternehmen, Mittelständler oder Großkonzern: Wer sich bei Datenlecks nicht Existenz bedrohenden Regressforderungen ausgeliefert sehen will, kommt um eine professionelle Zertifizierung nicht herum. International anerkannt ist beispielsweise die Sicherheitsnorm ISO/EC 27001. Sie gewährleistet, dass Betreiber von Rechenzentren über ein Information Security-Management-System (ISMS) mit Sicherheits- und Risikoprozessen sowie einem Security-Framework gemäß der Norm verfügen. Auditoren prüfen die Sicherheitsvorkehrungen wie Zugangskontrolle, Umgebungsschutz, Datensicherheit und Monitoring. Ebenso nehmen sie die Gestaltung von Netzen, Plattformen und Netzwerk-Sicherheitsarchitektur unter die Lupe, begutachten Business Continuity und Disaster Recovery. Schließlich sind auch das Personal und seine Qualifikation Teil der ISO 27001-Zertifizierung.
Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)
Die Realität in vielen mittelständischen "Rechenzentren" ist leider oft Welten von Security-Management-Systemen und -Frameworks, Disaster Recovery und Business Continuity entfernt. Um etwa Ausfallsicherheit nach einem Brand zu gewährleisten, hat sich ein Verfahren bewährt, das für die permanente Spiegelung der Daten in einem soft- und hardwaretechnisch identischen "Zwillings"-Rechenzentrum (RZ) sorgt: Während ein RZ sich immer im Produktivbetrieb befindet, ist das andere für Backup und Disaster Recovery zuständig. Doch welcher Mittelständler verfügt gleich über zwei top-ausgestattete Rechenzentren? Denn schon bei der Erstausstattung sind "Basics" wie vollklimatisierte Sicherheitsräume mit Schutz vor Gas, Wasser und Feuer, eine unterbrechungsfreie Stromversorgung (USV) durch Notstrom-Diesel-Aggregate, aktive und präventive Brandschutzmaßnahmen sowie ein umfassendes Sicherheitskonzept mit strengen Zugangskontrollen und Sicherheitskräften vor Ort schlechterdings Luxus.
Zudem ist es mit einer einmaligen Zertifizierung technischer Anlagen nicht getan. Die unabhängigen Auditoren klingeln spätestens nach zwei Jahren wieder an der Tür. Bei ihren Rundgängen durchs Unternehmen schauen sie nicht nur den Servern unter die Haube, sondern durchleuchten auch mit kritischem Blick alle Abläufe im Unternehmen, bei denen Mitarbeiter Kontakt mit oder Zugang zu sensiblen Kundendaten haben. Auch auf Kleinigkeiten achten die Auditoren: Da wird der fremde Besucher, der auf der Suche nach dem richtigen Büro des Abends durch die Flure irrt und den die hilfsbereite Reinigungskraft hereinlässt, zum Sicherheitsleck. Das Beispiel zeigt: Längst geht es nicht mehr darum, seine Server mit Firewall und Schutzsoftware gegen Angriffe von außen zu sichern. Wer Kunden- und finanzrelevante Daten und Systeme selbst vorhält und betreibt, muss seinen Serverraum zum Hochsicherheits-Rechenzentrum ausbauen. Ein Blick in manchen Serverraum oder manches "Rechenzentrum" im Mittelstand lässt erahnen, dass hier eine echte Sisyphus-Aufgabe den CIOs an den Hals gehängt wird.
Modernisierung und Konsolidierung: Ölkännchengeschäft oder Wertbeitrag?
Neben der bürokratischen Herausforderung Compliance drückt die CIOs im Mittelstand der Schuh auch beim Thema Modernisierung. Längst wird die Informationstechnik nicht mehr als reine Zuständigkeit einer einzelnen Abteilung marginalisiert. Die Fachabteilungen fordern zeitgemäße Systeme, die ihre Prozesse unterstützen. Die Geschäftsführung schaut in der IT nicht mehr nur auf die Kosten, sondern erwartet auch einen bezifferbaren Wertbeitrag.
Doch bevor sich die oftmals kleinen IT-Abteilungen überhaupt der "Kür" zuwenden können, plagen sie sich im Alltag mit ganz basalen Problemen. Die größte Angst bei mittelständischen CIOs, so eine Umfrage des Arago Instituts aus dem Januar, gilt ständig drohenden Systemausfällen. Können die Kolleginnen und Kollegen während der Fehlersuche nicht auf ihre Geschäftsanwendungen zugreifen, drohen direkte Umsatzeinbußen, ganz zu schweigen vom Imageverlust bei Kunden.
Verschärft wird die Situation dadurch, dass die meisten IT-Landschaften im Mittelstand über Jahre gewachsen sind, kaum angemessene Dokumentationen für den Ernstfall gepflegt werden. Aufgrund verschärfter Haftungsregeln für Geschäftsführer und Vorstände sollten die Verantwortlichen genau diesen Aspekt nicht unterschätzen. Insofern stehen wachsende Complianceanforderungen und Innovationsdruck im engen Wechselverhältnis. Trotzdem müssen die CIOs ein Großteil ihres IT-Budgets für die reine Bestandserhaltung aufwenden, um Ausfälle zu vermeiden. So bleibt kaum Spielraum für Investitionen in wertschöpfende IT-Aufgaben, zumal in ressourcenknappen Krisenzeiten.
Für die internen Kunden der IT-Abteilung stellt sich das Bild oft anders da. Für sie stehen nicht die Compliance-Konformität im Vordergrund, sondern moderne Systeme oder zumindest schneller Support, wenn es einmal knirscht. Sie schätzen darum die Servicebereitschaft des vielerorts betriebenen Ölkännchengeschäfts. Gibt es ein Problem, hilft der Administrator auf Zuruf, Fehler werden kreativ gelöst. Was den einzelnen freut, kostet die Unternehmen aber Unsummen und bindet wertvolles Budget. Hinzu kommt: Mit steigender Bedeutung der kritischen IT-Systeme, wachsen auch die Ansprüche an den Service. Soll die Produktion auch am Wochenende bei einem Systemfehler nicht stillstehen, brauchen IT-Abteilungen ein Serviceteam rund um die Uhr das ganze Jahr hindurch mit entsprechenden Serviceprozessen, mit denen sich Qualitätszusagen auf dem Niveau 99-prozentiger Verfügbarkeit auch tatsächlich einhalten lassen.
Angesichts solcher Aufgaben werden wichtige Investitions- und Modernisierungsvorhaben im Mittelstand auf die lange Bank geschoben. Beispiel: Der vielerorts unvermeidliche Betriebssystemwechsel von Windows XP auf Windows 7. Bereitet schon das Lizenzhandling größte Probleme, stellen auch die Auswirkungen der Windows-Migration auf andere Systeme die IT-Truppe vor kaum überschaubare Probleme.
Personal: Ausverkauf im Mittelstand
Doch mittelständischen Unternehmen fehlt nicht nur das Geld, um in eine moderne IT-Ausstattung zu investieren. Zunehmend schwerer fällt ihnen auch, das richtige Personal dafür zu bekommen oder zu halten. Die geburtenschwachen Jahrgänge machen sich bereits jetzt auf dem Personalmarkt bemerkbar. Beim Wettbewerb der Unternehmen um die besten Köpfe haben Großunternehmen den längeren Atem und locken IT-Spezialisten mit besserer Vergütung und attraktiven Arbeitsbedingungen.
Zugleich entwertet der technische Fortschritt in immer kürzrer Zeit erworbenes Wissen. Das führt zu einem Hase und Igel-Rennen zwischen Mitarbeitern und Anforderungen. Wenn zum Beispiel ein expandierendes mittelständisches Unternehmen sein ERP-System laufend optimiert, müssen die Mitarbeiter über das nötige Fachwissen verfügen. Doch für Migrationsszenarien, Implementierung neuer Module oder eine mobile ERP-Anbindung Mitarbeiter jedes Mal aufs Neue schulen zu lassen, macht IT-Alignment zum teuren Geduldsspiel.
Kosten: einen klaren Schnitt machen, bevor es zu spät ist
All diese Probleme und Großbaustellen bewirken im Mittelstand nur langsam ein Umdenken. Nach wie vor setzen kleine und mittlere Unternehmen (KMU) in Sachen IT auf die Alternative "Eigenheim". Selbst gut standardisierbare Anwendungen wie E-Mail-Systeme laufen noch zu siebzig Prozent in eigenen Serverkellern, wie eine weltweite Umfrage von Microsoft unter 3000 Mittelständlern belegt. Die Unternehmen kümmern sich lieber selbst um Hardwarekauf, Systemeinrichtung, Betrieb, Service und Datensicherung – und binden dadurch knappes Personal und Budget, das ihnen hinterher bei den zentralen Aufgaben fehlt.
Doch die Informationstechnologie gehört bei den wenigsten KMU zum Kerngeschäft. Hier kann IT-Outsourcing zum Mittel der Wahl werden. Neben den erwünschten Einsparpotenzialen, die der Branchenverband Bitkom je nach Betrieb und Form der Auslagerung auf bis zu 40 Prozent beziffert, sprechen auch technische und rechtliche Argumente für die teilweise oder komplette Übergabe an einen externen Dienstleister. Denn seriöse Outsourcing-Dienstleister und Betreiber von Rechenzentren bringen in der Regel bereits die nötigen Compliance-Zertifikate mit.
Immer stärker setzt sich im IT-Outsourcing Software-as-a-Service (SaaS) durch, besonders bei Anwendungen für verteilte virtuelle Arbeitsgruppen, Web-2.0-Programmen und Büro-Software. Hierbei nutzen Unternehmen die IT-Systeme über das Internet und zahlen dafür eine nutzungsabhängige Gebühr. Dabei entfallen sämtliche Kosten für Wartung und Lizenzen. Jüngste Studien der Marktforschungsunternehmen Gartner und IDC sagen dem SaaS-Markt sowohl in Deutschland als auch weltweit zweistellige Zuwachsraten voraus. Laut Gartner werden 2012 bereits ein Drittel der Ausgaben für Unternehmenssoftware für Miet-Software getätigt. Das weltweite SaaS-Marktvolumen bis 2013 schätzen die Marktforscher auf rund 13 Milliarden Dollar.
Grundsätzlich richten sich die Preismodelle nach der Anzahl an Nutzern in einem Betrieb (PC-Arbeitsplätze) oder nach dem Umfang der Transaktionen in einem Monat. In die Preisfindung fließt zudem die erforderliche Verfügbarkeit der Systeme ein, die in Service Level Agreements (SLA) niedergelegt werden.
Mittlerweile gibt es das Mietmodell auch für einfache IT-Ressourcen wie Speicherplatz und Rechenleistung. Entweder lassen sich heimische Anwendungen damit zeitweise über Datennetze verstärken, oder Unternehmen profitieren beim Outourcing etwa ihres ERP-Systems davon, dass sie die Ressourcenausstattung für ihre Betriebsumgebung im Rechenzentrum ihres Dienstleiters nach Bedarf ab- oder zurüsten können.
Was alle Bezugsmodelle wie Software und IT-as-a-Service oder neuerdings auch Cloud Computing verbindet, ist die Idee, den IT-Bedarf nicht nur aus fremder Hand zu beziehen, sondern zu flexibilisieren. Im Eigenbetrieb bindet jeder Lizenz- oder Hardwarekauf langfristig Kapital, gleichgültig, ob der damit verbundene Nutzen im nächsten Monat überhaupt noch benötigt wird. Spezialisierte Outsourcing-Dienstleister genießen den Vorteil, dass sie ihre Systeme für eine Vielzahl von Geschäftskunden vorhalten. Das eröffnet ihnen Spielraum beim Einkauf und große Einsparpotenziale im Betrieb, da sie Ressourcen und Lizenzen nach Bedarf zwischen den Kundensystemen disponieren können.
Die neuen Bezugsmodelle bieten mittelständischen Unternehmen die Chance, ihrer IT-Landschaft endlich zu konsolidieren und den Wildwuchs zu entflechten. Der Vorteil: Wenn sie die Migration einmal bewältigt haben, bleiben ihre IT-Systeme schlank und übersichtlich. Denn zum Outsourcing-Paket gehört mit dazu, dass der Anbieter sich um Lizenzmanagement und Aktualisierungen kümmert. Versionswechsel von einer Windowsversion auf die nächste laufen automatisiert ab, anstatt die ganz IT-Abteilung auf Monate in Atem zu halten.
Zwar sind die finanziellen Vorteile durch SaaS und IT-Outsourcing bei Marktforschern unbestritten, doch ausgerechnet bei den Schwachstellen der eigenen IT, in punkto Sicherheit und Verfügbarkeit, bestehen bei vielen KMU noch Vorbehalte gegenüber dem Outsourcing. Besonders macht den Verantwortlichen die Angst vor einem möglichen Datenverlust zu schaffen. Hinzu kommen Bedenken, ob die eigenen Unternehmensdaten im externen Rechenzentrum eines Dienstleisters auch ausreichend geschützt und für Dritte unzugänglich sind. Oft befürchten KMU auch, mit den Daten ihr ganzes Know-how abzugeben. Dabei übersehen sie jedoch, dass die eigentlichen Assets in ihren Prozessen liegen, nicht in den Daten.
Daher empfiehlt sich für KMU die fast immer die Auslagerung ihrer IT an einen zertifizierten Outsourcing-Dienstleister, da sie in aller Regel zu einem Zugewinn an Sicherheit führt. Denn dessen Kerngeschäft besteht letztlich darin, mit spezialisierten Mitarbeitern, Know-how und hard- sowie softwaretechnischer Ausstattung immer auf dem neuesten Stand in Sachen Technik, Sicherheit und Regularien zu sein. Gerade in Zeiten einer noch nicht überwundenen Wirtschafts- und Finanzkrise können KMU so einen Mühlstein loswerden, sich auf ihre Kernkompetenzen konzentrieren und gleichzeitig Kosten einsparen. (Pironet NDH: ra)
(*) Thomas Sprenger kümmert sich um die Presse- und Öffentlichkeitsarbeit bei der Pironet NDH Datacenter. Er schreibt Meldungen und Beiträge zu Lösungen, Projekten und Technologie-Trends. Auf Business-Cloud.de koordiniert er die Redaktionsarbeit, produziert Nachrichten und schreibt Interviews und Hintergrundberichte.
PIRONET NDH: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.