So ziehen Entscheider den Kopf aus der Schlinge

Risiko-Management in der Digitalisierung

Jürgen Städing ist COO der Noris Network AG. n
Der steigende Anteil der IT am Geschäftserfolg lässt die Verantwortung des Managements für deren Effizienz und Rechtskonformität wachsen. Wer diese Aufgaben allein lösen will, begibt sich auf dünnes Eis.
Wer das Risiko-Management vernachlässigt, bringt sich in Zeiten zunehmenden Datendiebstahls schnell in die Bredouille.
Wer das Risiko-Management vernachlässigt, bringt sich in Zeiten zunehmenden Datendiebstahls schnell in die Bredouille.
Foto: AlexLMX - shutterstock.com

Manager mittlerer oder größerer Unternehmen sehen sich dem immer gleichen Szenario gegenüber: Produktion, Logistik oder Vertrieb stellen begründete Anforderungen an die IT. Die IT-Abteilung mit ihren Budget- und Ressourcenrestriktionen versucht, diese Anforderungen zu erfüllen, stößt dabei allerdings an die Grenzen von Personal, installierter Hard- und Software oder der wachsenden Komplexität neuer IT-Architekturen. Gleichzeitig wächst der Druck auf die Geschäftsführung durch immer komplexere rechtliche oder branchenspezifische Richtlinien und persönliche Haftungsrisiken im Worst-Case-Szenario. Auf der einen Seite ist die digitale Transformation also Enabler für neue Businesskonzepte. Auf der anderen Seite ist sie ein Klotz am Bein und okkupiert Management-Ressourcen.

Unternehmen und Organisationen werden über kurz oder lang nicht mehr in der Lage sein, diese Anforderungen ohne externe Kompetenz zu erfüllen. Das eigene Rechenzentrum ist für die allermeisten Unternehmen eine Sackgasse. Was aber sind Maßgaben bei der Auswahl eines geeigneten Partners?

Outsourcing ist ein boomender Markt. Entsprechend buhlen unterschiedlichste Anbieter um die Gunst der Kunden, die mit der mangelnden Stabilität ihrer Infrastrukturen, fehlender Skalierbarkeit und den Themen Compliance, Verfügbarkeit oder Sicherheit kämpfen. Rechenleistung ist überall billiger zu haben als auf dem eigenen Campus. Ein Datacenter in Nordeuropa profitiert von erheblichen Kostenvorteilen bei Platz und Energie. Global agierende Dienstleister locken mit geringen Kosten, flexibler Skalierbarkeit und Bereitstellung zusätzlicher Services in der Public Cloud. Bei standardisierten Anwendungen wie E-Mail oder VoIP ist das reizvoll, bei Just-in-time-Verfahren wie etwa einer Warenwirtschaft stellt sich die Situation anders dar.

Billig ist keine Alternative

In der Praxis geht es vorrangig nicht darum, Rechenleistung für einfache Anwendungen billig einzukaufen, um damit die eigenen Ressourcen partiell zu entlasten. Gefordert sind vielmehr Partner, die Konzepte anbieten können, um langfristig bestehende Architekturen zu migrieren und verantwortlich zu betreiben - ohne erkennbare Brüche in der Kommunikation mit Kunden und Lieferanten.

Es gibt weitere Kriterien, die bei der Auswahl eines Outsourcing-Partners angelegt werden sollten. Letztlich muss er zum eigenen Geschäftsmodell passen. Die Ansprüche an die Verfügbarkeit unterscheiden sich fundamental zwischen IoT-Anwendungen oder Onlineshops. Datensicherheit hat im Finanzumfeld eine andere Bedeutung als bei einer Übersicht freier Parkhäuser.

Der Outsourcing-Partner sollte zum eigenen Geschäftsmodell passen.
Der Outsourcing-Partner sollte zum eigenen Geschäftsmodell passen.
Foto: SFIO CRACHO - shutterstock.com

Automotive Shift happens – sind Sie dabei?

Unverzichtbar bleiben grundlegende Anforderungen an Qualität, Effizienz und Skalierbarkeit, ohne die eine langfristige Zusammenarbeit scheitern wird. Der Partner muss fähig sein, die Migration nicht nur in technischer, sondern auch in organisatorischer Hinsicht zu begleiten. Wichtig bleibt weiterhin der Standort, sowohl in Bezug auf die Netzanbindung als auch mit Blick auf den Datenschutz. Daneben spielt die Kompetenz hinsichtlich der Sicherheit der Einrichtungen, der Netze und der Prozesse eine wichtige Rolle.

Um die Qualität eines Outsourcing-Partners zu messen, sollte auf anerkannte Institutionen mit spezifischen Testvorgaben zurückgegriffen werden. Im Rahmen kontinuierlicher Audits verleihen sie Zertifizierungen für die unterschiedlichen Aspekte des Betriebes und der Sicherheit. Unverzichtbar sind etwa die Zertifizierungen nach ISO (9001, 27001), DIN (EN50600) oder die Erfüllung der ITIL-Vorgaben für Prozesse.

Die Effizienz eines Rechenzentrums wird durch das Verhältnis von Kosten und Performance dokumentiert? Diese Betrachtung greift jedoch zu kurz. Die Zusammenarbeit mit einem Outsourcing-Partner ist naturgemäß mittel- bis langfristig angelegt. Was heute wirtschaftlich attraktiv erscheint, kann sich morgen anders darstellen. Zukunftssicherheit ist daher ein unverzichtbarer Gradmesser für die Auswahl eines Outsourcing-Partners. Dies bezieht sich auf die Fähigkeit, bei der Energieeffizienz und Sicherheitsmaßnahmen jeweils auf dem Stand der technischen Entwicklung zu sein sowie Reserven vorhalten zu können, um gemeinsam mit dem Kunden zu wachsen - dies auch im Hinblick auf gegebenenfalls steigende Sicherheitsanforderungen oder Servicebedarf.

Management in der Bredouille

Bei allen finanziellen, technischen oder organisatorischen Betrachtungen sollte den Entscheidern klar sein: Letztlich determiniert die Erfüllung der gesetzlichen Anforderungen und vielfältigen Richtlinien alles andere. Nur sie entlastet das Unternehmen in Richtung Kunden oder Partner und ist letztlich die sichere Karte hinsichtlich einer persönlichen Haftung des Managements. Wer dagegen das Risiko-Management vernachlässigt, bringt sich in Zeiten zunehmenden Datendiebstahls oder anderer Kompromittierungen schnell auch persönlich in die Bredouille.

Die gesetzlichen Vorgaben lassen wenig Raum für Fehlinterpretationen.
Die gesetzlichen Vorgaben lassen wenig Raum für Fehlinterpretationen.
Foto: 88studio - shutterstock.com

Die gesetzlichen Vorgaben sind hier vielfältig. BGB, HGB, das GmbH- und Aktiengesetz inklusive KonTraG, BilMoG, Datenschutz- und Urheberrechte sowie das Strafgesetzbuch beschäftigen sich mit Teilaspekten oder generellen Vorgaben. Hinzu kommen spezifische Standards bezüglich IT-Sicherheit und Risiko-Management je nach Branche. Für einen Geschäftsführer oder Vorstand ist es schier unmöglich, sich im Detail mit den Regelungen (und deren ständigen Veränderungen) zu beschäftigen - er bleibt aber in Verantwortung. In der Praxis wird hier oftmals der Kopf in den Sand gesteckt, als die Aufgabe offensiv anzugehen.

Seit 2018 gelten die einheitlichen Regelungen der europäischen Datenschutz-Grundverordnung (DSGVO). Sie ist keine Richtlinie, sondern muss als gültiges Gesetz in ganz Europa bis zum 25. Mai 2018 umgesetzt werden. Bei Verstößen drohen Bußgelder bis zu 20 Millionen Euro. In der Praxis scheint allerdings nur wenigen Unternehmen klar, was mit der Umsetzung verbunden ist.

Ein maßgebliches Gesetz für die Verpflichtung der Unternehmensführung zu einem umfassenden Risiko-Management ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Der Gesetzgeber verlangt hier die Einrichtung eines Systems zur Früherkennung von bestandsgefährdenden Entwicklungen sowie die Schaffung von Kommunikationsstrukturen, die ein frühes Erkennen von Risiken ermöglichen. Mit ihrer wachsenden Bedeutung für alle Unternehmensfunktionen kommt der IT hier eine besondere Rolle zu.

Die Vogel-Strauß-Strategie ist also keine Option mehr. Zumal immer mehr Kunden und Geschäftspartner sich selbst absichern und einen Nachweis für die Erfüllung der gesetzlichen Vorgaben verlangen. Der sicherste und effizienteste Weg, den Kopf aus der Schlinge zu ziehen, ist die Zusammenarbeit mit einem Dienstleistungspartner. Dieser sollte die entsprechenden Zertifizierungen, Automatismen und Einrichtungen nachweisen können, die für einen ordnungsgemäßen Umgang mit unternehmenskritischen sowie personenbezogenen Daten erforderlich sind. Hierzu zählen etwa die Zertifizierungen nach ISO, die Anwendung der ITIL-Prozesse sowie der Prinzipien der Rollenverwaltung und Gewaltenteilung.

Fazit

Die Neufassungen von KonTraG (2008), BilMoG (2009) und IT-Sicherheitsgesetz (2015) haben das Verantwortungsgebiet eines Geschäftsführers beziehungsweise Vorstands deutlich erweitert und lassen wenig Spielraum für Fehlinterpretationen. Die kommende BDSG-Novellierung und die neue EU-Datenschutz-Grundverordnung (25.05.2018) rücken diese Verantwortung weiter ins Bewusstsein der Führungskräfte. Rechtliche Konformität verlangt, dass Manager die Themen im IT-Betrieb angehen, sich um Prozesse, Nachweisbarkeiten oder Zertifizierungen kümmern. Ist diese Herausforderung für das Unternehmen zu groß, kann Outsourcing die Alternative sein.