Ein Acht-Punkte-Plan zeigt auf, was bei der Migration von IT-Systemen und -Prozessen aus einem Mutterkonzern in ein ausländisches Tochterunternehmen beachtet werden muss.
Die Qualität der IT-Systeme muss angeschoben werden. Foto: fotolia.com/Yabresse
Wer neue Märkte in China, Indien und Lateinamerika erschließen möchte, muss sich kulturellen und gesetzlichen Herausforderungen stellen. Das gilt auch ganz allgemein für den Roll-out von IT-Systemen und Softwarelösungen an neuen Standorten im Ausland. Gestiegene Anforderungen an Qualität und Sicherheit stehen dabei besonders im Vordergrund.
Ein internationaler Software-Roll-out stützt sich neben anderen auf zwei wichtige Bereiche:
Schutz vertraulicher Informationen:
Für die Prozesssteuerung, Qualitätssicherung und Logistik sind teils sehr sensible und vertrauliche Daten vonnöten. Deren Schutz ist unbedingt zu berücksichtigen. Denn nicht nur in fernöstlichen Ländern sind Wirtschafts- und Industriespionage an der Tagesordnung.
Zugriffsberechtigungen klären:
Jeder Mitarbeiter sollte über ein ausgereiftes Rollen- und Rechtekonzept nur auf die Daten zugreifen können, die er für seine Arbeit unbedingt benötigt. Der Zugriff durch Externe und die Übertragung nicht öffentlicher Daten über das Internet ist besonders in stark überwachten Ländern wie China zu vermeiden.
12 Outsourcing-Trends für 2012 Verträge und Margen schrumpfen, aber Qualitätsansprüche an Outsourcing-Dienstleister steigen dennoch. Das sind die 12 Outsourcing-Trends für 2012
1. Merger & Acquisitions Nur weil die Vorhersagen des vergangenen Jahres nicht eingetroffen sind, nach denen ein Offshore-Provider einen der großen US-Anbieter schlucken würde, heißt das nicht, dass das nicht in diesem Jahr passiert. Genau das sagt Sid Pai von TPI Indien voraus: Er rechnet damit, dass 2012 "wenigstens eine, vielleicht mehr" Großübernahmen eines westlichen Anbieters durch ein indisches Unternehmen anstehen.
2. Outsourcing-Kunden möchten es langsam Die für dieses Jahr erwartete Erholung des Outsourcing-Marktes wird sich verzögern, schätzen die Analysten. Viele Investitionsentscheidungen würden aufgrund der unsicheren ökonomischen Lage der Weltwirtschaft (erneut) verschoben. "Einer von vier Kunden wird sich deshalb von Vertragsabschlüssen abhalten lassen", schätzt Phil Fersht. Kunden, die im Markt blieben, würden zudem - mindestens im ersten Halbjahr - weniger Abschlüsse mit einfacheren Preismodellen tätigen. Im Herbst aber, mutmaßt die Everest Group, könnte die wieder wachsende wirtschaftliche Zuversicht auch für einen Aufschwung bei Outsourcing-Deals im allgemeinen und bei Offshoring-Aktivitäten im besonderen sorgen.
3. Die Wolke kommt nieder Das Jahr 2012 wird auch das Jahr sein, in dem die Cloud-Governance eine wichtige Rolle spielen wird. "Unternehmen werden beginnen, Firmen-Policies darüber zu formulieren, was in der Cloud sein darf, welche Daten in die Cloud wandern dürfen und wer für die Cloud-Services im Unternehmen verantwortlich ist", prognostiziert Adam Strichman von Sanda Partners. Zudem würden Fragen nach den rechtlichen Rahmenbedingungen zum Schutz der Privatsphäre und dem Zugriffsschutz auf Daten in den Vordergrund rücken, so der Analyst.
4. Kunden schauen nach Qualität, Anbieter auf Preise Die Kunden werden bei der Vergabe von Outsourcing-Aufträgen auch weiter aufs Geld gucken, sind sich die Analysten einig. Dessen ungeachtet werden sie in diesem Jahr aber noch mehr für ihr Geld verlangen, meint Phil Fersht, mehr Flexibilität oder bessere Technologien etwa. Das Problem dabei sei aber, dass die Anbieter das nicht mitmachen wollen. Sie schauten immer noch zu sehr darauf, wie sie für ihre Kunden Kosten reduzieren können als darauf, Prozessverbesserungen und Innovationen zu realisieren, kritisiert Fersht.
5. Outsourcing-Deals schrumpfen Früher hieß es bei den Outsourcing-Anbietern: "Go big or go home". Aber nun, nachdem sie aus den Top-100 oder -500-Unternehmen alles an Kontrakten rausgeleiert haben, was drin war, fangen auch sie mit dem Backen kleinerer Brötchen an. Das geschieht etwa durch aktive Akquise auch bei kleineren Unternehmen, notiert Shaw Helms von K&L Gates. In diesem Jahr werde die Profitrate wichtiger sein, als der bloße Umfang der Verträge, ergänze John Lytle von Compass. "Die Anbieter werden zunehmend bereit sein, ihre eigenen Umsätze mit verbrauchs- und umsatzabhängigen Preismodellen zu kannibalisieren." Das Ergebnis seien geringere Kosten bei den Kunden und eben kleinere Verträge.
6. Offshore-Anbieter übernehmen Infrastruktur-Outsourcing Lange haben Offshore-Anbieter Infrastruktur-Kapazitäten in der Hoffnung aufgebaut, dass sie einmal jenseits von Anwendungsentwicklung und Wartungsarbeiten gebraucht würden. In diesem Jahr werden sich diese Anstrengungen auszahlen. "Im Jahr 2012 wird eine ganze Reihe von Unternehmen, die bisher ihre Infrastruktur ausschließlich US-Anbietern anvertraut haben, zu Offshore-Unternehmen wechseln", meint dazu Steve Martin von Pace Harmon.
7. Viele Account-Manager werden um ihren Job bangen, oder sich ändern Ein Konflikt zwischen Anbietern und Kunden wird nach Meinung der Analysten eskalieren: Die Kunden seien müde davon, sich immer auf die Kosten zu konzentrieren, anstatt auf ihre eigentlichen Bedürfnisse, meint Phil Fersht von HfS Research. Die Anbieter müssten so darauf reagieren, dass sie das Beziehungsmanagement vor das Verkaufsmanagement setzten. Sonst werde es für viele Account Manager heißen: Tschüss, Verkäufer!
8. Backsourcing: Mehr Worte als Taten Die Outsourcing-Kunden werden sich also auch in diesem Jahr über ihre Beziehungen zum Dienstleister beschweren - und sich dann doch dagegen entscheiden, die Wartung der IT wieder selber zu machen. "Unternehmen werden das evaluieren und sogar damit beginnen, den Umzug zurück ins Haus zu planen. Aber am Ende werden diese Pläne alle in der Ablage landen", ist sich Pace Harmon's Steve Martin sicher. Die Rückgewinnung der Kontrolle und die Verbesserung der IT-Services scheinen noch attraktiv zu sein. Aber die Herausforderungen für den Aufbau eigener Rechenzentren und Helpdesks sowie die Suche nach qualifizierten Mitarbeitern wirke letztendlich aber doch abschreckend.
9. IT-Outsourcer entwickeln neue Vertriebsmodelle Der Preisdruck wird sich weiter negativ auf die Margen der Anbieter auswirken. Daher werden die Anbieter innovative - und riskante - Modelle entwickeln, schätzt die Everest-Group. Dazu würden Joint Ventures einschließlich kundenspezifischer Innovations-Labore und Kompetenzzentren zählen, so die Everest Group.
10. Anwendungsentwicklung kehrt zurück Finanzdienstleiter und andere Brachen haben in den vergangenen zehn Jahren die Pflege ihrer Programm-Codes gerne Offshore-Providern überlassen. Das wird sich 2012 ändern. "Es wird einen Rückzug der Applikationswartung aus dem Offshore-Bereich geben", meint dazu Michael Engel von HfS Research. Nicht nur große Finanzdienstleister würden erkennen, dass es billiger ist, die Wartung im eigenen Land erledigen zu lassen.
11. IT-Sicherheit gelangt ins Zentrum der Aufmerksamkeit Irgendwann in diesem Jahr wird ein großer IT-Dienstleister durch einen öffentlich gemachten Hack der Kundensysteme gedemütigt werden", sagt Ruckman von Sanda Partners voraus. "2012 wird daher das Jahr der IT-Sicherheit sein, in dem Outsourcing-Anbieter nach neuen Wegen suchen müssen, um ihre und die Daten ihrer Kunden zu beschützen."
12. Global agierende Unternehmen suchen Support außerhalb von Indien Mehr und mehr große Unternehmen werden ihren Back-Office-Support auf mehrere Schultern verteilen. Dabei geht es nicht nur darum Geld zu sparen. Globale Unternehmen mit mehreren Standorten wollen vielmehr lokales Wissen und Sprachen nutzen, um ihre Offshore-Aktivitäten in Ländern wie Brasilien, Mexiko, Südafrika oder Bulgarien abzusichern, so Fersht von HfS Research. Indien werde deswegen aber diese Geschäfte nicht verlieren, meint der Analyst, sondern "nur" mit langsamerem Wachstum umgehen müssen.
In diesem Artikel werden vor allem operative Gesichtspunkte im Rahmen des System-Roll-outs betrachtet. Die Implementierung und Kontrolle zentraler Vorgaben durch die Sicherheits- und die Qualitätsverantwortlichen werden vorausgesetzt.
Erst denken, dann handeln
Die Vermeidung des Zugriffs durch Externe auf interne Daten und deren Übertragung über öffentliche Netze ist häufig nur schwer möglich, vor allem wenn Daten innerhalb von Joint Ventures oder international tätiger Unternehmen ausgetauscht, dargestellt und miteinander kombiniert werden müssen, um Mitarbeiter in ihrer Arbeit zu unterstützen. Daher sollten IT-Verantwortliche genau überlegen, wie sie relevante Daten schützen und IT-Systeme sicher umgestalten. Andernfalls setzen sie ihr Unternehmen den Gefahren eines unbefugten Zugriffs und Datenabflusses aus. Die Konsequenz dieser Überlegungen kann in einigen Fällen auch sein, auf die Verwendung vertraulicher Informationen im Ausland zu verzichten.
Acht wichtige Punkte
Ein für den Roll-out nötiges Sicherheitskonzept lässt sich mit dem folgenden Acht-Punkte-Plan entwickeln. In der Praxis bewiesen hat sich das beschriebene Vorgehen innerhalb eines Joint Ventures, in dem ein System zur Steuerung logistischer Prozesse und präventiver Maßnahmen zur Qualitätssicherung an erweiterte Sicherheitsanforderungen angepasst wurde.
1. Verantwortlichkeiten klären
Zunächst war zu klären, wer für die verschiedenen Informationen verantwortlich ist (Data Owner) und wer das Sicherheitskonzept letztendlich abnimmt. IT-Abteilung, Fachbereiche und Management unterstützten das Projekt. Die Abteilung Konzernsicherheit und der CISO (Chief Information Security Officer) wurden früh eingebunden, um den Schutzbedarf zu definieren und geeignete Maßnahmen zu erarbeiten.
2. Team aufbauen
Ohne Team geht es nicht. Foto: Fotolia, Yuri Arcurs
Der Schutz der Daten gestaltete sich komplex, weil ein bereichsübergreifender Informationsfluss gewahrt bleiben sollte. Mit der frühzeitigen Einbindung der Data Owner, Systemeigner und Fachbereiche in die Entscheidungsprozesse wurden jedoch praktikable Lösungen gefunden. Die Bedeutung der IT-Sicherheit wurde dem Team von Beginn an klar kommuniziert, um ein besseres Bewusstsein zu schaffen. Ein besonderer Schwerpunkt lag auf der Einhaltung des "Need-to-know-Prinzips" (jeder weiß nur so viel, wie er für die Erledigung eienr bestimmten Teilaufgabe wissen muss) im Joint Venture in allen Projektphasen und im kompletten Software-Lebenszyklus.
3. Schutzbedarf analysieren
Die Fachbereiche analysierten, welche Daten als Kerninformationen anzusehen sind und auf welche Weise sie innerhalb des Prozesses benötigt werden. Die wichtigsten Fragen in diesem Kontext waren: Welche Daten müssen für den Anwender sichtbar sein? Welche Daten werden nur programmintern für die Steuerung benötigt? Welche Daten - wie Teileinformationen oder Zeichnungen - sind besonders kritisch? Auf welche Weise - beispielsweise durch Verschlüsselung und starke Authentisierung - können und müssen diese deshalb besonders geschützt werden? Zu beachten sind auch gesetzliche Regelungen: Personenbezogene Daten wie Lieferantendaten und Ansprechpartner dürfen zum Beispiel nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG) in der Regel nicht außerhalb des Europäischen Wirtschaftsraums (EWR) abgespeichert oder verarbeitet werden.
4. Daten klassifizieren
Gemeinsam mit den Dateneignern wurde eine Einstufung des Systems und der Daten in die Schutzkategorien öffentlich, intern, vertraulich und geheim vorgenommen. Anhand dieser Einstufung konnten die Projektteilnehmer weitere Maßnahmen für das Sicherheitskonzept erarbeiten. Der Lebenszyklus der Daten gab Aufschluss darüber, wann diese im System freigegeben werden konnten und welche Konsequenzen das auf die zu unterstützenden Prozesse hatte.
Es wurde festgelegt, welche vertraulichen Daten durch Daten mit geringerer Schutzanforderung zu ersetzen, zum Beispiel durch Verwendung von Pseudonymen, und welche über das Benutzerkonzept abzusichern sind. So ließen sich Produktdaten im Entwicklungsstatus durch für die Produktion freigegebene ersetzen. Im Sinne der Datenvermeidung blieben des Weiteren Detailinformationen, die nicht unmittelbar prozessrelevant waren, außen vor.
5. Technische Sicherheit analysieren
Im Rahmen einer Sicherheitsanalyse prüften die Projetbeteiligten, inwieweit im System durch einzelne Auswertungen Zusammenhänge in übergreifenden Prozessen, Organisationsstrukturen oder Erzeugnissen offenbart werden können und wie dies zu verhindern ist. Beispiele dafür sind Qualitätsaussagen, Technologien und die Teileverwendung. Um die Darstellung von Zusammenhängen nicht weiter möglich zu machen, wurde diese stark eingeschränkt. Die Sicherheit der Datenübertragung an den neuen Standort ließ sich durch eine weitere System- und Risikoanalyse bewerten. Wichtig war hier auch die Betrachtung von Schnittstellen, die ein potenzielles Risiko für unberechtigten Datenzugriff darstellen.
6. Security-Konzept entwickeln
Die fachlichen und technischen Konzepte für das Softwaresystem sollten die Anforderungen an die Verfügbarkeit der Prozesse sowie die Vertraulichkeit und Integrität der Informationen abdecken. Die wichtige Basis für eine solche Entwicklung war die einheitliche Prozessgestaltung im Mutterkonzern und in den Joint Ventures. Des Weiteren kam es darauf an, Systeme und Prozesse aufeinander abzustimmen - gerade auch, was die Terminierung von Systemanpassungen anging. Um sowohl dem Schutzbedarf der Informationen Rechnung zu tragen als auch den Aufwand der Administration in Grenzen zu halten, wurde für die Authentisierung die bereits vorhandene globale Definition der Sicherheitsvorgaben und systemgestützte Nutzerzuordnung zu einem Werk innerhalb der Konzern-Struktur verwendet.
10 Schritte zur Outsourcing-Strategie Erst Ziele definieren, dann den Ist-Zustand bei Services erheben – die RoI-Berechnung kommt fast zum Schluss. Diese Strategie legt Gartner IT-Chefs nahe.
1. Kontext und Ziele aufsetzen: Zu definieren sind laut Da Rold neben dem konzeptuellen Outsourcing-Ansatz auch die Prioritäten und Regeln sowie die Prinzipien, die die Strategie und jede folgende Entscheidung und Aktivität treiben. Ferner sollten die spezifischen geschäftlichen und technischen Ziele sowie die Service-Ziele bestimmt werden, ebenso relevante Kriterien für die Erfolgsmessung.
2. Service-Ist-Zustand bewerten: Kosten und Service-Leistung der bereits gültigen internen und externen Verträge bedürfen einer genauen Überprüfung. Genauer zu betrachten sind laut Gartner außerdem die Enterprise-Architekturen. Es gilt abzuwägen, ob und inwieweit eine Aufrüstung bei der Service-Delivery zum Erreichen der Ziele nötig ist.
3. Die Kapazitäten fürs Service- und Multisourcing-Management messen: Niveau, Situation und Reifegrad der fürs Multisourcing benötigten Ressourcen sind zu bestimmen. Kontrolliert werden muss außerdem, ob Wissen und Fertigkeiten der Mitarbeiter ausreichen, um die notwendige Menge an Service für Business-, Application- und Infrastruktur-Prozesse zu liefern.
4. Beschränkungen und Chancen evaluieren: Hier gilt es, nichts zu übersehen. Branchenspezifische und regionale Entwicklungen spielen ebenso eine Rolle wie die konjunkturelle Lage, das regulatorische Umfeld, Compliance-Anforderungen und technologische Fragen. Auch die interne Gemengelage im Unternehmen kann ein wichtiger Faktor sein – etwa die Unternehmenskultur, die Erfahrung mit Change-Prozessen oder die Risiko-Neigung. Auf dieser Grundlage sollten Risikoprofile und ein Rahmen für Risikomanagement entwickelt werden.
5. Lücken analysieren: Outsourcing plant man, weil zwischen Anforderungen und Zielen einerseits und der aktuellen Situation etwas fehlt. Gartner rät dazu, das Ausmaß der Lücke exakt zu definieren und alle denkbaren alternativen Szenarien zur Schließung der Lücke zu vergleichen.
6. Externe Märkte analysieren: Als nächster Schritt sollte der Markt für IT-Services genau unter die Lupe genommen werden – mit einem Augenmerk auf Marktdynamiken, die sich verändernde Anbieterlandschaft und Verhaltensmuster von Konkurrenten. „Kosten, Liefermodelle und Angebote wandeln sich radikal“, so Da Rold. Konkret denkt der Analyst dabei etwa an Cloud Computing und Software-as-a-Service (SaaS). Deshalb sollte nur auf Basis einer exakten Marktanalyse darüber entschieden werden, welcher Service zu welchem Zeitpunkt in Anspruch genommen wird.
7. Szenario-Planung durchführen: Risiken und Potenzial verschiedener Sourcing-Szenarien sollten in dieser Phase gegenüber gestellt werden. Und zwar unter Berücksichtigung der bisher genannten Gesichtspunkte. Als Ergebnis sollte hinterher auf valider Datengrundlage feststehen, welche Kombination aus Anbieter und Outsourcing-Modell am besten zum Unternehmen passt.
8. Risiken analysieren: Die meisten gängigen Risiken beim Sourcing und bei der Partnerauswahl sollten laut Gartner in einer detaillierten Analyse durchdekliniert werden. „Benutzen Sie Tools und Richtlinien, um Anbieter-Risiken zu gewichten und zu managen“, schreibt Da Rold. „Schneiden Sie dabei die Kriterien zur Risiko-Evaluierung genau auf die Typen von Anbietern und Produkten zu.“
9. Business Case aufstellen: Die „Total Cost of Sourcing“ (TCS) sind jetzt für alle nicht verworfenen Sourcing-Szenarien zu analysieren – unter Berücksichtigung der finanziellen Implikationen sowie geschäftlicher und qualitativer Fragen. Zu schauen ist dabei auf die Kosten für das interne IT-Outsourcing-Team, für Auswahl und Verhandlung von Projekten sowie für alle Umgestaltungsaspekte. Dabei darf die wahrscheinliche Entwicklung von Workload und Service-Anforderungen nicht vergessen werden. Ist das alles erledigt, kann alles netto berechnet werden – auch der Return on Investment.
10. Aktionsplan festlegen: Jetzt kann es auf strategisch klarer Basis fast schon losgehen. Es braucht aber noch eine Blaupause für zukünftige Multisourcing-Business-Services. Bestimmt werden muss überdies, welche Deals in welchem Zeitrahmen abgeschlossen werden sollen. Zu definieren sind ferner Veränderungen in der Governance sowie in der Organisation von Outsourcing-Management und -Beziehungen.
7. Prozesse testen
Besondere Bedeutung kam Realitäts-Checks und Tests der erforderlichen Sicherheitsprozesse zu. Wichtige Fragen konnten so besser beantwortet werden:
Ist der Schutz der Informationen in allen Prozessschritten sichergestellt oder zeigen sich Widersprüche in der Umsetzung?
Sind die im Prozess erzeugten Dokumente und Informationen in der definierten Qualität verfügbar?
Haben die zukünftigen Nutzer ausreichende, aber auch nicht zu viele Rechte, um die Daten zu bearbeiten und die für ihre Arbeit notwendigen Informationen zu erhalten (Need-to-know-Prinzip)?
Sind alle Auswertungen berücksichtigt, die eventuell Informationen offenlegen?
Sind technische Maßnahmen zur Systemsicherheit effektiv getroffen worden (Penetrationstest)?
Welche Ausnahmen gibt es, die eine gesonderte Behandlung erfordern?
8. Umsetzung in die Praxis
Um die finale Systemlandschaft realisieren zu können, erarbeitete das Projektteam ein Stufenkonzept über zwei Releases, so dass ausreichend Zeit blieb, noch vorhandene Defizite zu beseitigen. Die Änderungen wurden zunächst im Mutterkonzern ausgerollt und getestet. Erst mit dem zweiten Release-Zyklus waren sie für das Joint Venture verfügbar.
Zusammenfassung und Fazit
Um Softwaresysteme über Ländergrenzen hinweg auszurollen, ist eine eingehende Betrachtung des Schutzbedarfs der darin verarbeiteten Daten und unterstützten Prozesse notwendig. Ist die Auslagerung sensibler Daten in die betroffenen Drittländer mit gesetzlichen Vorgaben und den unternehmenseigenen Sicherheitsrichtlinien überhaupt vereinbar? Oder sind besondere Sicherheitsmaßnahmen zu treffen?
Es ist wichtig, alle unmittelbar und mittelbar Beteiligten wie Dateneigner, IT-Abteilung, Fachbereiche und Management frühzeitig mit einzubeziehen. Mit Hilfe von Realitäts- und Prozesstests lassen sich sowohl künftige Abläufe als auch Sicherheitsanforderungen bereits in einem frühen Stadium bewerten und anpassen ("Security by Design"). Die Analyse und Prüfung der Sicherheit der Daten und des Systems sollten ganzheitlich geschehen und alle relevanten Schnittstellen und Datenflüsse betrachten. Sinnvoll sind regelmäßige Sicherheitsaudits und Penetrationstests durch unabhängige Dritte. (sh)