Der Markt für IT-Outsourcing (ITO) macht schwere Zeiten durch. So hat die Sourcing-Beratungsgesellschaft TPI festgestellt, dass die Zahl der Outsourcing-Verträge weltweit abnimmt. Mit dem Index beobachtet TPI seit fast sieben Jahren quartalsweise den Markt bei Abschlüssen jenseits von 25 Millionen US-Dollar. Allein im Vergleich von erstem und zweitem Quartal 2009 wurden rund 7,5 Prozent weniger Kontrakte abgeschlossen (insgesamt 135). Im Vergleich zum Rekordvierteljahr Q1/2008 ist die Zahl sogar um elf Prozent niedriger.
Die Marktforscher von Experton kommen zu ähnlichen Ergebnissen. Sie erwarten für das Gesamtjahr 2009 einen allerdings moderaten Rückgang von einem Prozent. In Deutschland, so Experton, seien die Umsätze in den ersten drei Quartalen um rund zehn Prozent gesunken.
Aber nicht der ganze Outsourcing-Markt hat mit der Krise zu kämpfen. Im Spezialmarkt für Software-as-a-Service (SaaS) und Managed Hosting verzeichnen die Analysten einen rasanten Anstieg. Besonders das Auslagern unternehmenseigener Applikationen an Managed-Hosting-Anbieter trage dazu überdurchschnittlich dazu bei, wie etwa Oliver Harmel von NTT Europe Online beobachtet: "Und es sieht so aus, als würde die Wirtschafts- und Finanzkrise dieser Entwicklung noch zusätzlichen Antrieb verleihen", schreibt Harmel in einem Beitrag für die Computerwoche-Schwesterpublikation PC Welt.
In der aktuellen Wirtschaftslage, heißt es zudem in einer aktuellen Pressemitteilung des Managed Hosting-Anbieters, stünden die Unternehmen immer öfter vor der Frage, ob alle IT-Aufgaben intern erledigt werden müssten oder ob es nicht effektiver sei, bestimmte Funktionen an einen Provider auszulagern. Dazu zähle zum Beispiel der Betrieb des E-Mail-Systems, einer CRM-Lösung oder ausgewählter betriebswirtschaftlicher Standardanwendungen. "Statt selbst beträchtliche Investitionen in den Aufbau einer neuen Applikation tätigen zu müssen, können Unternehmen mit den Angeboten eines Managed-Hosting-Providers sofort produktiv arbeiten - und das zu transparenten monatlichen Kosten", so NTT Europe.
Keine Probleme mit Performance und Verfügbarkeit
Zudem seien frühere Bedenken aus den Unternehmen hinsichtlich der Verfügbarkeit und der Performance von Outsourcing-Lösungen inzwischen gegenstandslos. Wichtiger, so Oliver Harmel, bei NTT Europe als Sales- und Marketing-Direktor tätig, sei die Diskussion von Sicherheitsfragen. "Richtig ist, dass die Anforderungen an die IT-Sicherheit ständig steigen. Daher muss sich jedes Unternehmen fragen, ob der dafür notwendige Aufwand mit dem engen IT-Budget und dem vorhandenen Personalbestand bewältigt werden kann", so Harmel. Für die Antwort auf diese Frage stellen die Experten von NTT Europe die folgenden acht Grundregeln zur Diskussion.
1. Schlüssiger IT-Sicherheitsplan: Sowohl der Auftraggeber als auch der Managed-Hosting-Provider müssen für sich ein IT-Sicherheitskonzept formulieren und umsetzen. Bei dem Unternehmen, das IT-Aufgaben auslagert, muss es klare Sicherheitsvorschriften dafür geben, wer intern welche Daten lesen, ändern und nach außen geben darf. Komplett wird die IT-Security erst durch einen Plan, der die Konzepte von Auftraggeber und Managed-Hosting-Provider zusammenführt.
2. Lückenlose Sicherheit in der Prozesskette: Die gesamte Prozesskette des Datenaustausches vom Kunden bis zum Managed-Hosting-Provider muss klar strukturiert und perfekt organisiert sein, weil auch kleinste Schwachstellen in den komplexen Abläufen zum Sicherheits-GAU führen können.
3. Verschlüsselung der Daten: Auf technischer Ebene müssen die Daten auf dem gesamten Weg verschlüsselt werden. Nur der Absender beim Auftraggeber und der berechtigte Empfänger (zum Beispiel Kunde oder Lieferant) dürfen Daten im Klartext zu Gesicht bekommen.
4. Sicherheit der Prozessorganisation: Es muss sichergestellt sein, dass auch mit den verschlüsselten Daten nur autorisiertes Personal in Kontakt kommt - unabhängig davon, auf welchem Wege der Datentransport erfolgt. Auch innerhalb des Rechenzentrums und auf den Servern des Managed-Hosting-Providers müssen die Daten immer verschlüsselt sein.
IT-Sicherheitsanforderungen regelmäßig überprüfen
5. Zugriffsrechte auf Daten und Systeme: Der Auftraggeber muss festlegen, welche Zugriffsrechte auf die Daten ein Managed-Hosting-Provider bekommt. Dazu gehört beispielsweise, dass die Mitarbeiter im Rechenzentrum des Managed-Hosting-Providers die Daten auf keinen Fall unbefugt an Dritte weiterleiten können. Um dies zu verhindern, muss der Managed-Hosting-Provider entsprechende Sicherheitsmaßnahmen implementieren.
6. Physische Datensicherheit: Der Managed-Hosting-Provider ist für die physische Sicherheit der Daten seiner Kunden im Rechenzentrum verantwortlich. Er muss leistungsstarke Security- und Versorgungssysteme aufbauen, um die Daten der Kunden gegen physische Einflüsse wie Feuer oder Wasser zu schützen. Erforderlich sind neben einer regelmäßigen Datensicherung auch strenge Zugangskontrollen und diverse Alarmeinrichtungen.
7. Sicherheitszertifikate: Der Managed-Hosting-Provider muss für alle Sicherheitsanforderungen qualifiziert sein und diese auch mit einem Zertifikat nachweisen. Werden gar vertrauliche Kreditkartendaten verarbeitet, wird auch die Unterstützung des Payment-Card-Industry (PCI)-Sicherheitsstandardswichtig. PCI ist für alle Handelsunternehmen und Dienstleister relevant, die Kreditkarten-Transaktionen übermitteln, abwickeln und speichern. Was Sicherheitszertifikate angeht, muss der Managed-Hosting-Provider ein überprüfbares Qualitäts- und Sicherheitsmanagement eingeführt haben und sich jährlich rezertifizieren lassen.
8. Kontinuierliche Überprüfung der Security-Maßnahmen: Die Erstellung von IT-Sicherheitsanforderungen ist ein iterativer Prozess, dessen Wirksamkeit in regelmäßigen Abständen - mindestens ein bis zwei Mal pro Jahr - überprüft werden muss. Strukturierte Prozesse, klare Verantwortlichkeiten und die Fähigkeit, sich rasch an neue Sicherheitsanforderungen anpassen zu können, sind für Managed-Hosting-Provider ein absolutes Muss.