Aus den beschriebenen Erfahrungen gibt es nur eine einzige Konsequenz: Das auslagernde Unternehmen muss seinem Outsourcer per Vertrag Kontrollmaßnahmen vorschreiben, die es vorher im Zuge einer Risikoanalyse selbst definiert hat. Die Service-Provider können in ihren Rechenzentren eine hohe Verfügbarkeit der IT-Systeme garantieren sowie mit Firewalls den Datenverkehr und -bestand gegen Hacker absichern. Doch bei welchen Prozessen ihr Kunde wirklich verletzlich ist, werden sie Mangels Einblick in die Unternehmensabläufe - wohl kaum herausfinden. Und das sollte auch gar nicht ihre Aufgabe sein, denn die Risikobewertung ist Sache des Kunden.

Die Anwenderunternehmen müssen sich spätestens dann mit dieser Frage beschäftigten, wenn sie ein Outsourcing-Projekt ausschreiben. Doch diese Erkenntnis ist hierzulande kaum verbreitet. Risiko-Management wird gern delegiert und selten in die Prozesse integriert.

Zu den Regeln für ein Vorgehen im Notfall gehören die technische Absicherung (Disaster Recovery Plan), aber auch die Klärung der Verantwortlichkeiten für die Fortführung kritischer Unternehmensprozesse und die Gestaltung der Wiederanlaufphase (Business Continuity beziehungsweise Recovery Plan). Selbstverständlich muss der Ernstfall regelmäßig geprobt werden, um häufig auftretende Pannen abzustellen. Zudem sensibilisieren solche Übungen die Mitarbeiter für die Risiken.

Auslagernde Unternehmen haben nicht nur das Recht, sondern auch die Pflicht, von ihrem Outsourcing-Partner derartige Notfallpläne und entsprechende Übungen zu verlangen. Wie oft sie stattfinden sollen, hängt davon ab, wie kritisch ein Prozess ist. Auch hier ist die Angemessenheit der Schlüssel. Darüber kann das Unternehmen aber nur urteilen, wenn es seine Risiken (in Euro) bewertet hat.

Das Gefühl von Sicherheit trügt

Keinesfalls darf ein Unternehmen erwarten, dass es über das IT-Outsourcing seine Risiken loswird - genauso wenig, wie es davon ausgehen sollte, dass sich Auslagerungen sofort rechnen. Allerdings kann richtig betriebenes Outsourcing den Anstoß dazu geben, das eigene Risiko-Management zu forcieren, um es anschließend mit dem Provider zur organisieren.