Ein bekanntes Szenario? Der Wirtschaftsprüfer ist im Haus und stellt mit Blick auf den Server im IKEA-Regal die Frage nach der Datensicherheit der betriebsinternen IT im Brandfall. Oder die Aufmerksamkeit des befreundeten Rechtsanwaltes fällt auf die unterschiedlichen Software-Lizenzen, die im mittelständischen Unternehmen zum Einsatz kommen, und damit auf die unsichere Rechtslage, wer an welchem Arbeitsplatz was nutzen darf. Oder bei der Überprüfung der Kreditlinien stellt die Bank konkrete Forderungen nach dem Risikomanagement für die IT des mittelständischen Unternehmens und macht die Erfüllung verschiedener Eckpunkte zur Bedingung. Diese und ähnliche Situationen können Verantwortliche in mittelständischen Unternehmen in diesen Tagen im Zuge der Finanzkrise vermehrt erleben. Denn im Rahmen der bestehenden Regularien - etwa GDPdU oder Basel II - werden sie zunehmend vor Aufgaben gestellt, die sehr spezielle Anforderungen an die IT richten.

CIOs haften für steuerrelevante Daten

Die im Unternehmen verantwortlichen Personen sind mit gesetzlichen Vorschriften wie dem KontraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) konfrontiert, das das Bestehen und den Betrieb eines Risikomanagements erfordert. Die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) bedingen das Vorliegen steuerrelevanter Daten in digitaler Form. Weiter werden vom Gesetzgeber Notfallpläne zur Sicherung und Verfügbarkeit der IT gefordert, Unbefugten muss der Zugriff auf sensible Informationen verwehrt werden, und die Daten müssen vor Manipulation, Verlust oder Zerstörung geschützt werden. Das Fehlen einer nachweisbaren Kontrolle der EDV-Strukturen führt zur strafrechtlichen Verantwortung und zur zivilrechtlichen Haftung des Managements. Noch schwieriger wird es für den Unternehmer angesichts der gestiegenen Anforderungen für die Vergabe von Krediten durch Basel II, die ganz klar eine Risikominimierung und Risikotransparenz in allen Bereichen des Unternehmens, auch in der EDV, einfordern.

Die Kapitalgeber fragen nach dem strategischen IT-Plan, wie lange das Unternehmen im Notfall ohne IT-Unterstützung auskommen kann, und ob alle Anforderungen aus rechtlichen Verpflichtungen erfüllt sind, zum Beispiel ob ein aktives Lizenz-Management betrieben wird. In dieser Situation müssen sich alle im Unternehmen Verantwortlichen - Leitung wie CIO - die Frage stellen: "Wird der Betrieb unserer IT dieser Verantwortung gerecht?" "Kann er es überhaupt?" Der Betrieb der EDV ist für die meisten mittelständischen Unternehmen nicht das Kerngeschäft, der Fokus ist nicht darauf ausgerichtet, und es werden häufig keine speziell ausgebildeten Mitarbeiter für die Betriebsthemen eingesetzt. Trotz allem muss die IT "einfach funktionieren". Im Störungsfall bringt sie erhebliche negative Einflüsse mit sich, die den Unternehmenserfolg nachhaltig schädigen können. Die wachsenden Anforderungen führen dazu, dass der Betrieb einen erheblichen Beitrag für den wirtschaftlichen Erfolg des Unternehmens leisten kann und auch sollte.

IT-Profis machen sich auch im Mittelstand bezahlt

Geht es um die Wirtschaftlichkeit, müssen sich die Verantwortlichen fragen, ob der IST-Zustand der IT angesichts dieser Anforderungen auch Nachteile für das Unternehmen bewirken kann. Schließlich ist ein immer spezielleres Fachwissen wie etwa im Bereich Lizenz-Management gefragt, über das ein mittelständisches Unternehmen üblicherweise nicht verfügt. Dies kann auf den ersten Blick nur durch erhebliche Aufrüstung in diesem Bereich - personell und technisch - kompensiert werden. Allerdings ist dieser notwendige Know-how-Transfer für den Mittelstand meist zu kostspielig und deshalb nicht leistbar. Hinzu kommt, dass zwar viele Spezialkenntnisse benötigt werden, jedoch mengenmäßig nur in eng begrenztem Umfang. Ein großes Unternehmen leistet sich ja auch nicht zum Spaß einen professionellen Helpdesk für die Mitarbeiter oder Spezialisten für Server- und Firewall-Systeme, Softwareverteilung, Datensicherung und anderes. Sehr genau kalkulierende Controller haben ermittelt, dass sich damit die Gesamtkosten des Unternehmens reduzieren lassen, da Profis für einen stabileren Betrieb sorgen können und im Fehlerfall die Ausfalldauer deutlich reduziert wird.

Der CIO verantwortet mehr als nur den IT-Betrieb

Was kann hier der Mittelstand alternativ tun? Wie kann er den wachsenden Anforderungen auch im Bereich der IT Rechnung tragen? Schließlich stehen viele Aufgaben an, deren Erfüllung dem Unternehmen unter anderem günstigere Konditionen bei Kreditzinsen bescheren: Zugriffsberechtigungen, Firewalls und Virenschutz, die Gewährleistung der Ausfallsicherheit und die Bereitstellung entsprechender IT-Management-Tools ergeben die erforderliche IT-Sicherheit. Dazu gilt es, mit den ständigen Änderungen und Neuerungen bei Hard- und Software und dem steigenden Datenaufkommen (durchschnittliche Verdopplung des Datenaufkommens alle zwölf Monate) Schritt zu halten und die Vielzahl ständig notwendiger Entscheidungen rund um die IT beherrschbar zu halten. Es wird schnell klar, dass diese Betriebsverantwortung mehr als nur funktionierende Hard- und Software und die Sicherung eines reibungslosen Betriebes umfasst. Sie muss komplexe, vielschichtige Aufgaben bewältigen. Die vom Wirtschaftsprüfer bemängelte Serversicherheit ist hierbei nur einer von vielen Punkten.

Managed Services entlasten die IT-Abteilung

Gesetzliche Entwicklungen wie auch die technischen Anforderungen erfordern also Manpower und Fachwissen - das kann selbst der beste IT-Manager nicht alleine stemmen. Ein Spezialist für jedes Fachgebiet erweist sich für den Mittelstand wiederum als zu teuer. Hier können nur für den Mittelstand maßgeschneiderte IT-Outsourcing-Lösungen und Managed Services helfen.

Das Auslagern des IT-Betriebs oder einzelner Teilleistungen (Client-, Server-, Firewall-Betrieb, etc.) schafft Abhilfe und sichert dem Unternehmen auch in Zukunft wirtschaftlichen Erfolg. Was ausgelagert werden kann, ist klar definiert: Während die strategische Entwicklung der IT eine unternehmerische Aufgabe darstellt und daher nicht sinnvoll ausgelagert werden kann, lassen sich sowohl der Betrieb einzelner Business-Applikationen wie ERP, CRM, etc. wie auch das Management der IT-Plattform - also der Server- und Client-Systeme mitsamt der notwendigen Infrastruktur - auslagern. Allerdings nur dann, wenn die Anforderungen des mittelständischen Unternehmens an den externen Dienstleister von diesem auch erfüllt werden können. Die Flexibilität, das Anpassen an kundenspezifische Erfordernisse, mittelstandsgerechte Betreiberverträge, der Einsatz modernster IT-Technologie und das Anpassen des Vertrags bei geänderten Parametern muss gewährleistet sein. Der Outsourcing-Partner muss sich auf Augenhöhe befinden.

IT-Outsourcing ist für alle da

Die gerade vom Mittelstand oft geäußerte Vermutung, das IT-Outsourcing nur etwas für große Unternehmen ist, ist falsch. Entgegen der landläufigen Meinung bedingt externer Betrieb keine hohen Anfangsinvestitionen. Modular aufgebaute Angebote, wie zum Beispiel der Teraport IT-Baukasten, der auf Grundlage der speziellen Anforderungen des Mittelstands entwickelt wurde, gewährleisten dies. Solche Module bieten punktgenaue Lösungen für den täglichen IT-Betrieb. Die Produkte werden dabei den individuellen Vorgaben des Kunden angepasst. So können sich hoch qualifizierten IT-Fachleute um werthaltige Themen kümmern, welche das Unternehmen voranbringen, während der Betrieb in die Hände externer Anbietern liegt. Neben einzelnen Managed-Service-Produkten bieten Angebote wie der Teraport-Baukasten auch eine branchenunabhängige Komplettlösung passend für jedes Mittelstandsunternehmen. Wichtig für den Kunden ist, dass er volle Rechtssicherheit, höchste Verfügbarkeit sowie umfassender Virenschutz erhält und die Kosten für die IT planbar sind.