Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

13.08.1993 - 

Der Gastkommentar

Praeventive Konzepte sind nur rudimentaer ausgebildet

Es klingt immer unheimlich verheissungsvoll: Geben Sie uns Ihre DV, und Ihre Informationsverarbeitung wird lean und billig. Da wird mit dem Traum des RZ-Leiters geworben, der durch die Zauberformel erfuellt werde: reibungsloser RZ-Betrieb zu konstanten Kosten (konstant - wie lange ?), Einsparungen und keine unnoetigen Investitionen.

Ist das nicht beeindruckend? Natuerlich ist es das. Man fragt sich bei so vielen ueberzeugenden Argumenten, warum die deutsche Industrie vom kleinen Betrieb bis zum Grosskonzern nicht laengst outgesourct hat. Sind die Unternehmen zuwenig kostenorientiert, oder begreifen sie den Erfolgsgedanken Outsourcing nicht? Oder ist ihnen vielleicht manches nicht geheuer, wofuer geworben wird?

Wenn das Letztgenannte zutrifft, dann wird vieles verstaendlich. Denn das Angebot ist vielfaeltig: von der Herausloesung nur der Hardware bis zum kompletten Exodus der gesamten Informationsverarbeitung. Von einer solchen Gross(auf)loesung war juengst in einer ueberregionalen Tageszeitung zu lesen. Sowohl Hardware als auch Anwendungsentwicklung inklusive Personal werden outgesourct, die Einsparungen belaufen sich auf 20 Millionen. Man kann fuer das ,gebende Unternehmen nur hoffen, dass in der Vorteilserrechnung und der Vertragsgestaltung saemtliche Kostenarten fuer die Management-Entscheidung transparent gemacht worden sind; sowie dass diese nicht ohne ein hinreichend exaktes "Anforderungsprofil Outsourcing" getroffen wurde. Ein solches sagt naemlich dem Management, ob das uebernehmende Unternehmen in der Lage ist, die spezifischen Anforderungen an die Verarbeitungssicherheit zu erfuellen.

Gluecklicherweise (fuer die Outsourcer) erkundigen sich bisher nur wenige Kunden danach. Offenbar stellen sie sich diese Frage nicht oder nur in seltenen Faellen. Angesichts der staendig aufs neue zitierten "zunehmenden DV-Abhaengigkeit" der Unternehmen ist der Betrachter verwundert. Solange es noch nicht gebrannt hat, scheint der Feuerloescher ueberfluessig.

Wie anders ist zu erklaeren, dass fuer Wartung und Instandhaltung technischer Anlagen enorme Summen bereitgestellt werden, wohingegen praeventive und schadensmindernde Konzepte in der Informationsverarbeitung nur rudimentaer ausgebildet sind? Dies ist zumindest im Softwarebereich erkennbar.

Die logische Bombe kann gefaehrlicher sein als die physische. In Untersuchungen wurde festgestellt, dass durch kleine, aber gezielte Modifikationen an drei Programmen in einem Anwendungssystem zehn bis fuenfzehn Millionen Mark haetten beiseitekanalisiert werden koennen, dass durch einen Code von wenigen Zeilen die Auftragsabwicklung eines Grossunternehmens fuer Wochen zum Erliegen gekommen waere, dass durch Eingriff in drei Programme die Scheckausstellung an den Fachabteilungen vorbei eine reine Freude geworden waere.

Aber so etwas passiert ja in ,unserem Unternehmen nicht. Und dann liest man von Unterschleifen in einer Groessenordnung von zweistelligen Millionenbetraegen. Als wenn das ohne DV zu bewerkstelligen waere. Dies sind Fakten, die nur selten an die Oeffentlichkeit gelangen.

Eines ist sicher: Wer seine Instandhaltung fuer technische Anlagen auf hohem (Kosten-)Niveau vorhaelt, dagegen mit seiner Software die Open-house-Politik verfolgt, der lebt wie ein Mensch in der Naehe eines Pinatobu, nur dass er es haeufig nicht weiss.

Die Outsourcer wuerden einen grossen Fehler machen, wenn sie dem uebergabewilligen Unternehmen nicht hinreichend detaillierte Anforderungen an die Verarbeitungssicherheit abverlangen wuerden. Dies klingt merkwuerdig, ist es aber nicht. Denn auf lange Sicht wird jedem Kunden klar, dass es ohne Schottungen im Verarbeitungsprozess nicht geht, die aber spezifisch fuer das jeweilige Anwendungssystem gestaltet werden muessen, um technisch realisierbar und wirtschaftlich vertretbar zu sein.

Eine Risikoklassifizierung muss her. Aber nicht irgendeine, sondern eine erstens risikogerechte und zweitens massnahmenorientierte. Die zahlreichen Analysemodelle kranken an zu geringer Untersuchungstiefe und deswegen an zu grosser Oberflaechlichkeit. Achtung: Wenn die Risikoklassifizierung nur an Middle-level-Parametern festgemacht wird, kann das gesamte darauf aufbauende Sicherungskonzept ins Wanken kommen.

Daher die Empfehlung: Zunaechst eine Klassifizierung der Anwendungssysteme (die man selber faehrt oder outsourcen willdurchfuehren und daran die spezifischen Anforderungen an den Dienstleister knuepfen. Leider helfen hier Seminare, Checklisten, Handbuecher oder Disketten wenig. Man wird ohne Expertenwissen in diesem sensiblen Gebiet nicht auskommen.

Aber was ist mit den Kosten? Richtig, die wurden ja bereits vom Outsourcer in Vergleichsrechnungen dargestellt. Zehn Prozent Einsparung sind doch eine klare Entscheidungsgrundlage. Oder nicht? Was ist mit den im uebergebenden Unternehmen verbleibenden und vielleicht steigenden Aufwendungen fuer Koordinierung, veraenderte Informationsablaeufe, Schulung fuer den dringend notwendigen Know-how-Zuwachs bei den Fachanwendern? Diese sollten dem Outsourcer naemlich sehr genau ihre Software- und Sicherheitsanforderungen darlegen und die Programme testen und abnehmen und auch pruefen, ob die geforderten Sicherungsmechanismen der Risikoklassifizierung entsprechen. All dieses muessen die Anwender erst lernen. Das ist ein Langzeitprozess mit Langzeitkosten.

Zwar ist auch bei nicht Outsourcing-willigen Unternehmen ein Know-how-Aufbau in den Fachabteilungen notwendig. Die Brisanz ist jedoch nicht so gross, da sich innerhalb eines Unternehmens vieles auf dem kleinen Dienstweg klaeren laesst. Eben dieser kleine Dienstweg wird beim Outsourcing zum grossen. Hier gibt es vertragliche Regelungen, und die sehen klare Kommunikationsstraenge vor. Dies kann unter Umstaenden laengere Realisierungszeiten mit sich bringen. Aber dafuer liegen (zum Glueck fuer die Outsourcernoch keine hinreichenden Erfahrungswerte vor. Um es deutlich zu sagen: Outsourcing kann fuer bestimmte Informationsverarbeitungs- Strukturen Vorteile bringen. Es geht nur darum, die Aspekte Verarbeitungssicherheit und vollstaendige Transparenz der relevanten Kostenarten hinreichend zu beruecksichtigen. Dies wird nicht mit werbewirksamen Vergleichen wie: "Die eigenen Informationsverarbeitungs-Kosten sind x, die Einsparung durch Outsourcing ist zehn Prozent" erreicht.

Ein hinreichend analytisch fundiertes und moeglichst neutrales Outsourcing-Anforderungsprofil kann helfen, boese Ueberraschungen, irgendwann ans Tageslicht gebracht durch Revisionen oder Cost- Control, zu vermeiden. Dies muesste eigentlich sowohl fuer das Outsourcing-willige als auch fuer das Outsourcing-Unternehmen einleuchtend sein. Oder?