Musings on IT-Outsourcing, or why its not necessarily a good idea

Outsourcing ist in aller Munde und es vergeht kein Tag an dem nicht mindestens irgendein Angebot meinen Schreibtisch erreicht. Die Fachpresse, allen voran die mehrheitlich werbefinanzierte ist voll des Lobes und kommt aus Wolkenkuckucksheim (Hihi – schönes Wortspiel) gar nicht mehr zurück auf den Boden. Liest man journalistisch unabhängigere Medien, dann stellt sich das ganze schon ein bisschen anders dar, aber man könnte meinen das wären ein paar Eigenbrötler, die den Schuss einfach noch nicht gehört haben.

Insofern ist es auch kein Wunder, dass ich in Kollegen- oder Freundeskreis immer wieder mit dem Thema konfrontiert werde und in Gespräche gezogen werde, die eigentlich keine Freude bereiten. Besucht man tatsächlich einmal Anwenderkonferenzen, die nicht einschlägig gesponsort wurden, für die man am Ende möglicherweise noch Geld bezahlt, dann stellt man Fest, dass es auch schon bei kleineren Unternehmen einen Trend zurück in den Qualifizierten Eigenbetrieb gibt.

Will man also wissen wie es um Cloud und Co. tatsächlich bestellt ist, sollte man statt der Computerbild und ihren Freunden vielleicht eher das Handelsblatt lesen, in dem immer wieder Kostenblöcke bei großen Unternehmen diskutiert werden, die sich zu Insourcing entschliessen und die wenige Jahre zuvor gefeierten Outsourcing Verträge kündigen und rückabwickeln. Alleine es fehlt der Titelseite große Schlagzeile.

Aber warum ist das so? Eine Analyse:

1.) Definitionsvakuum. Es weiss sowieso niemand was eine Cloud ist.

Es gibt TShirts die sagen, dass sie nicht existiert und es nur jemandes anderen Computer gäbe. Ich selbst habe einmal im Witz gesagt, dass eine Cloud die nicht abhebt Nebel bliebe, nur um Jahre später Whitepaper zum Thema Fog-Computing zu finden.

Dass diese Definitionslücke ein Problem ist hat auch das NIST, eine amerikanische Normierungs- Einrichtun, erkannt und einige Begriffe geprägt. Alles as a Service, Platform (PaaS), Software (SaaS), Infrastructure (IaaS) und so weiter, nachzulesen in The NIST Definition of Cloud Computing. Das ist zugegeben ein Anfang und jeder seriöse Anbieter sortiert sich hier zumindest ein, aber dem Anwender hilft das wie folgt nur wenig.

Das liegt IMHO daran, dass die Einordnung eigener Dienste weder festen Kriterien noch Auditierungs_ Organisationen obliegt, sondern jeder Anbeiter sich selbst in die wohlklingende Standard- Definition hinein interpretiert. Wer sagt denn, dass der Anbieter den Standard überhaupt gelesen hat? Oder verstanden? Er will ja sein Produkt marktkonform positionieren. – Über Sinn und Unsinn dieses Vorgehens denkt man am besten mal nach zwei glas Rotwein nach!

Unscharfes Vokabular ist aber erst der Anfang des Themas, viel schlimmer ist tatsächlich:

2.) Mangelndes Selbstverständnis desjenigen der Aufgaben in die Cloud verlagert.

Am Beispiel Autokauf lässt sich das recht schön plausibilisieren. Fast jeder weiß ziemlich genau was er von einem Auto erwartet und in welchem er sich wohl fühlt. Dieses stattet man sich dann mit den gewünschten Extras aus und ist dann glücklich, wenn auch zuweilen Pleite. Gewisse Einschränkungen sind hinlänglich bekannt, so dass  man sich sicher im Produktgefüge bewegt. Möchte man schwere Lasten im Gelände transportieren kauft man sich einen Pickup, möchte man gerne klassisch sportlich unterwegs sein greift man vielleicht zu einem Porsche (also würde ich persönlich, soll keine Werbung sein). So weit so klar. Will man schnell, sportlich im Gelände schwere Lasten bewegen … Nunja. Die Auswahl ist dünn – das nennt man dann Zielkonflikt.

Betrachtet man eine Unternehmens IT, unabhängig davon wie groß oder klein sie ist, dann ist diese üblicherweise voll von Zielkonflikten. Da schöne an diesen ist, es sieht sie niemand. Die wenigsten Unternehmen haben ihre IT so transparent organisiert, dass man Aufwände, Informationsströme, Anwendungszustand und pflegerischen Aufwand tatsächlich der Sache entsprechend benennen könnte. Zum Thema mittelständischem IT Management gab es vor einiger Zeit einen Post bzw. eine Veröffentlichung, die ich hier nicht wiederholen möchte.

Fakt ist, dass ich selten auf ein Thema so viel Rückmeldung hatte, wie auf dieses und die Phänomene sich auch in größeren Organisationen konsequent fortsetzen, dort aber hinter Budgets und Management Ebenen erfolgreich weg abstrahiert werden. Das bedeutet nicht dass die Ungewissheiten eliminiert wären, im Gegenteil.

Wieso ist das bei der Frage nach Outsourcing so wesentlich? Weil der Kunde dem Service Provider die Betriebsverantwortung, die Verantwortung für den erfolgreichen Betrieb und die darin enthaltenen Betriebsrisiken der IT oder zumindest eines Teiles davon überträgt. Diese Verantwortung trägt der Dienstleister gegen Entgelt und dieses wiederum beziffert er an Hand der Informationen die der Kunde zur Verfügung gestellt hat.

Weichen diese in wesentlichen Teilen von den tatsächlichen Werten oder Situationen ab, dann kann der geneigte Leser sehr schnell erahnen wohin dies führt. Ein nicht vollständiges Service Angebot, welches dann durch einen eifrigen Service- Manager angeglichen und abgerechnet wird. Den Providern ist dies durchaus bewusst, da sie erstens die Rollen der Service Manager mit pfiffigen Menschen besetzen und diese meistens nicht nur mit dem Berichten von Servicereports auslasten.

Zweitens findet man in nahezu jedem Service Vertrag Klauseln, die das Verrechnen von nicht standardisierten Service-Leistungen nach Time-and-Material oder auf anderer aber individueller Basis fest in den Vertrag integrieren. Zunächst erscheint das logisch und einleuchtend, aber auf Grund der fehlenden Transparenz wird dieser Korrekturbedarf oft drastisch unterschätzt und verteuert die gewählten Outsourcing-Angebote oft wesentlich.

Nur um ein Beispiel zu nennen, wurde mir für meinen Arbeitgeber Exchange-Outsourcing in der Azure Cloud angeboten. Vermeintlich ein sehr günstiger Preis, wenn auch nicht günstiger als mein interner Service-Preis, auf Nachfrage ergab sich jedoch, dass innerhalb Azure keine nach Deutschem Recht konforme eMail Archivierung realisierbar gewesen wäre. Eine saubere Implementierung hätte de Exchange Kosten im Outsourcing verdreifacht, und das unter erheblichen Koordinationsaufwänden, was mich direkt zum nächsten Punkt überleitet:

3.) Kommunikation zwischen Service- Organisationen und Kunden-IT. 

Der wesentliche Fakt der beim Outsourcing gerne unterschätzt wird, ist das Thema Kommunikation. Der Service Provider hat, alleine um vernünftig auch seine Dienste strukturieren, betreiben und ökonomisch anbieten zu können typischerweise eine ITSM Organisation mit entsprechenden Werkzeugen. IT-Service Management spricht für sich selbst und folgt dabei nahezu immer den ITIL Standards.

Innerhalb dieser baut er eine multimandanten-fähige Organisation auf, die Changemanagement und andere operative Prozesse betreibt, einen IT Servicekatalog entwickelt und pflegt und so weiter. Aufwände die bei einem durchschnittlichen Kunden zwar auch entstehen, aber wegen der nicht unbedingt notwendigen Mandantierung deutlich schmaler ausfallen. Diese Organisationseinheiten sprechen durch Service- Schnittstellen wie Dispatcher, Servicemanager, Teamkordinatoren und nicht zuletzt den individuellen Administrator mit ihren Kunden.

Als Kund muss man an dieser Stelle recht sorgfältig aufpassen, denn bedient man diese Serviceschnittstellen nicht gemäß den durch sie vorgegebenen Standards, funktioniert der Betrieb der angebotenen Dienstleistungen nicht wie versprochen. Man muss also selbst IT Strukturen schaffen, die geeignete Schnittstellen zum Dienstleister auf weisen, welche diesen dann steuern und kontrollieren.

Schaut man sich jetzt die vorherigen internen IT-Kostenstrukturen an waren meist ein Drittel Personalkosten, die jetzt eher steigen, da man insbesondere als Mittelständler mehr Kommunikationsaufwand betreiben muss, als es intern auf Grund typischerweise flacherer Organisation notwendig war. Meine Daumenregel für ein IT Budget ist tatsächlich 1/3 Personal, 1/3 Infrastruktur und Projekte, 1/3 Lizenzen. Das lässt dann einen recht flachen Ausblick auf das wirtschaftliche Potential eines Outsourcings zu.

Hier möchte man ja “Geld sparen” – und wo kann man das. Man hofft im Personal, was meistens eine Milchmädchenrechnung ist. Von den Lizenzen kann man absehen, die Kosten fallen auf die eine oder andere Art auch im Outsourcing an und der Hebel hier ist begrenzt.

Hinzu kommen Aufgaben die man als Outsourcing-Kunde erledigen muss, welche man bis dato gar nicht kannte. Eine ganz wesentliche ist das Sicherstellen, dass alle wesentlichen Rechtsnormen aus dem Steuerrecht und den Datenschutzgesetzen eingehalten werden. Diese Pflicht vererbt sich mitnichten auf den Dienstleister, sondern als Auftraggeber, verbleibt diese bei einem selbst. Die Einhaltung der entsprechenden Rechtsnormen obliegt demjenigen der die Datenverarbeitung initiiert und die Prüfung der selben ist nach einschlägiger Aussage von Wirtschaftsprüfern nicht deligierbar.

Man muss also den Outsourcer auf alle notwendigen Gesetze auditieren. Wie meine Recherchen zu einigen SaaS Projekten zeigen, geht das weit über eine Vereinbarung zur Auftragsdatenverarbeitung und das vorweisen eines ISO27001 Zertifikates hinaus. Statt in einem Arbeitsvertrag die Mitarbeiter auf die einschlägigen Gesetze zu verpflichten und eigene technische-organisatorische Maßnahmen zu implementieren (die auf Grund der Vernetzung auch nicht entfallen) muss man zusätzlich noch beim Dienstleister die Situation Begutachten und dokumentieren. Lässt der Dienstleister dies überhaupt zu, darf man einen Prüfungskatalog entwickeln und muss diesen auch jedes Jahr ordentlich abarbeiten. Dabei fallen Arbeitsaufwände an, die eine mittelständische IT so normalerweise noch nie gesehen hat.

Bei den Personalkosten bleibt also abzuwarten ob es irgendeinen Effekt gibt. In einer schlank aufgestellten Unternehmens-IT erwarte ich auf Grund meines bescheidenen Erfahrungsschatzes mittlerweile eher einen Anstieg der Personalkosten – auch wenn diese vielleicht nicht unmittelbar in der IT-Abteilung anfallen, sondern vielleicht in den Fachabteilungen die Tage lang in den Warteschleifen der Dienstleister hängen. …

4.) Wirtschaftlicher Betrieb von Infrastrukturen.

Bleiben die Infrastrukturkosten, von welchen man sich viel erhofft – Man möchte Skalen heben mit IT- Automatisierung und die meisten Mittelständler haben ein “Leerstands-Thema”, was so viel bedeutet, man kauft eine viel zu große Infrastruktur um über fünf Jahre hinein zu wachsen, die dann drei von den fünf Jahren zu fünfzig Prozent leer steht.

Das ist traditionell lange Zeit richtig gewesen, aber vor dem Hintergrund Outsourcing fällt auf, dass Provider auch ein Leerstandsthema haben und wenn diese ihre Wachstumsszenarien nicht auch sehr gut im Griff haben, was nicht der Fall sein muss, legen auch diese die Leerstandsrisiken wieder auf die Kunden um. Immer vorausgesetzt die Organisation ist so groß und in der Lage das Wachstum auch gut zu organisieren – besser als die Abteilung im Eigenbetrieb.

Dem gegenüber steht dann noch der oben erwähnte Service-Katalog. Bei genauer Betrachtung sind viele Verfügbarkeits- oder Leistungs-Anforderungen gar nicht unbedingt so hoch wie man dies naiverweise sieht. Bei einer genauen Systemanalyse, kann man intern also durchaus entsprechende Kompromisse eingehen und Systeme auch sehr eng entlang ihres tatsächlichen Bedarfes sizen. Der Provider arbeitet demgegenüber wieder mit dem oben erwähnten Servicekatalog, der zwar vielleicht mehrere Stufen (Silber, Gold, Platin) vor sieht, die aber in den seltensten Fällen genau den Anforderungen des Kunden entsprechen.

Da man jedoch in Betriebsrisiken eintritt und hierfür Gewährleistung bietet, bedeutet dies, man einigt sich nicht auf den nächst niedrigeren Service-Level sondern typischerweise, da der Kunde ja einen tatsächlichen Bedarf anmeldet immer auf den nächst höheren. Hatte man eben noch das Potential auf vermeintlich höher skalierende und daher preisgünstigere Technik zu setzen, kauft der normale Outsourcing Kunde nahezu immer “überprovisionierte” Technologie – mehr Leistung bzw. Qualität als er tatsächlich benötigt.

Eingangs des Abschnitts deutet sich an, dass Leerstandsoptimierung das wesentliche Einspaarpotential im Outsourcing ist und man landet zwangsläufig bei Überprovisionierung!

Darüber hinaus habe ich vor vier Jahren noch eine umfangreiche Analyse gemacht, wie sich Kosten in IT-Infrastruktur zusammen setzen und welche Größen überhaupt zeitgemäß und rentabel zu betreiben sind. Nimmt man das Beispiel einer Rechenzentrums-Infrastruktur, dann sind Rechenzentren unter 8000m2 hinsichtlich Absicherung der Stromversorgung und Klimatisierung, Zugriffs- und Brandschutz nur um die wesentlichen Elemente zu nennen, überhaupt nicht mehr Kosteneffektiv auf einem aktuellen Stand zu halten. Also schon die Basis unterhalb von Servern, Storage und Netzen, hat hier bei vielen kleineren Providern ein Effektivitäts-Thema.

Fazit. 

Aus all diesen Aspekten ergibt sich, dass die beiden wesentlichen Einspaarpotentiale für ein Outsourcing in einer mittelständischen IT nicht wirklich gegeben sind. Weder Leerstandsoptimierung in der Infrastruktur noch Einsparungen im Personal- Aufwand sind per se gegeben. Daher wäre generell die Faustregel “Finger weg von Outsourcing!”, egal was in der Presse steht.

Demgegenüber gibt es wiederum keine Regel ohne Ausnahme: Es sei denn … man wünscht sich eine artgerechte Unterbringung der eigenen Server, die man zum Beispiel bei einem hinreichend großen RZ-Anbieter auf eigenem Footprint unterstellen kann. Oder man betreibt diese eine Anwendung, die wirklich nur in den vier Wochen vor Weihnachten die zehnfache last erzeugt wie das ganze restliche Jahr. …

Es gibt sinnvolle Produkte im Outsourcing, die tatsächlich spezifische Probleme elegant lösen, ohne sich die Vielzahl der generell mit dem Outsourcing verbundenen Themen aufzuerlegen. Der einzelne Anwendungsfall darf daher tatsächlich wohlwollend geprüft werden. Allerdings sollten sich mittelständische IT-Schaffende auch mit jedem extern vergebenen Euro bewusst sein, dass sie ihr eigenes Budget kanibalisieren mit dem sie sich eine eigene Effizienz-steigernde Infrastruktur schaffen können.

Mit den Möglichkeiten aus der Server- Virtualisierung, modernen Storage-Systemen, aktuellen Netzwerktechnologien und den umfangreichen Werkzeugen, die auch die gängige Anwendungswelt mittlerweile auch kleinen Unternehmen bieten eine agile, flexible und hochgradig skalierbare Infrastrukturen zu schaffen um eine elegante private Cloud zu bauen.

In diesem Sinne KyP.F.

 

 

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.