Das sollten kleine Unternehmen vor dem IT-Outsourcing bedenken

Mann am Schreibtisch

Für die meisten von uns ist es selbstverständlich, eine Anwältin für die Erstellung von Rechtsdokumenten und für die Steuererklärung einen Steuerberater zu engagieren. Warum zögern wir dann, bevor wir einen Managed Services Provider (MSP bzw. Betreiberlösungsanbieter) für die IT beauftragen?

Dafür gibt es eine ganze Menge Gründe.

Das Outsourcing egal welcher Unternehmensbereiche birgt immer ein gewisses Risiko, doch wenn ausgerechnet die IT komplett ausfällt, kann das den ganzen Betrieb zum Stillstand bringen – mit nicht selten katastrophalen Auswirkungen auf Umsatz und Ruf des Unternehmens. Kleine Unternehmen, die kostspielige Fehler vermeiden wollen, müssen ihre Bedürfnisse sorgfältig analysieren und die Risiken des Outsourcings von IT-Services genau abwägen.

Einige Unternehmen nutzen ihre IT intensiv, um die betriebliche Effizienz zu maximieren, während andere sie eher als notwendiges Mittel zum Zweck betrachten. Diese internen Dynamiken wirken sich auf die IT-Prioritäten und das Budget aus.

Es überrascht zwar wenig, dass einer kürzlich erschienenen Prognose von Gartner zufolge (für Kunden auf Englisch verfügbar) die IT-Gesamtausgaben in kleinen Unternehmen in den nächsten Jahren deutlich steigen werden, doch die Frage bleibt, ob dieses Geld besser für die Einstellung von internem IT-Personal oder das Outsourcing von IT-Dienstleistungen verwendet werden sollte.

Einstellung von internem IT-Personal

In den meisten kleinen Unternehmen reicht es aus, wenn sich ein*e einzelne*r Mitarbeiter*in um Aufgaben wie die Softwareinstallation oder die Behebung von Gerätefehlern kümmert. Doch sobald das Unternehmen wächst, werden die IT-Anforderungen spezifischer und zusätzliches, besser geschultes Personal unerlässlich.

Würde das Geld keine Rolle spielen, wäre ein gut aufgestelltes internes IT-Team natürlich die ideale Lösung: Sachkundige IT-Profis, die ganz für das Unternehmen da sind, seine Probleme und strategischen Ziele in- und auswendig kennen und echtes, eigenes Interesse daran haben, die Unternehmensvision Realität werden zu lassen.

Doch leider ist das Geld immer ein Faktor und die Einstellung von internem Personal bedeutet Fixkosten wie Gehalt, Lohnnebenkosten und Steuern. Das Budget kleiner Unternehmen ist oft beschränkt und somit ist es nicht immer realistisch, jedes Jahr 75.000 € Gehalt für eine*n IT-Manager*in zu zahlen.

IT-Trends und -Praktiken sind zudem einem ständigen Wandel unterworfen und die erforderlichen Fähigkeiten entwickeln sich rapide weiter oder ändern sich komplett. Kontinuierliche Schulungen des internen IT-Personals sind somit zwingend notwendig, um wettbewerbsfähig zu bleiben.

Leider stellen diese Schulungen selbst eine Herausforderung für viele Unternehmen dar und es kann schwierig sein, geeignete Ressourcen zu finden. Einem Bericht des IT-Schulungsanbieters New Horizons zufolge empfanden nur 12 % der befragten Unternehmen ihre IT-Schulungsmaßnahmen als ausreichend.

Outsourcing von IT-Services

Viele kleine Unternehmen wenden sich an IT-Dienstleister, um Kosten zu senken und mit der Konkurrenz Schritt zu halten.

IT-Outsourcing in KMU umfasst typischerweise Dienstleistungen wie:

  • Helpdesk
  • Sicherheit
  • Rechenzentrum
  • Backup und Disaster Recovery
  • Netzwerküberwachung und -wartung

Kleine Unternehmen, die über IT-Outsourcing nachdenken, haben zwei grundlegende Optionen: Sie können im Falle konkreter Probleme eine*n IT-Techniker*in mit der Behebung beauftragen oder sie können einen laufenden Vertrag mit einem MSP abschließen.

Hammer und SchraubenzieherBestellung externer Techniker*innen nach Bedarf

Diese „Break-fix“-Strategie ist ein rein reaktiver Ansatz für die Lösung von IT-Problemen: Wenn etwas nicht mehr funktioniert, kommt ein Technikprofi und kümmert sich drum. Das ist sinnvoll, wenn in deinem Unternehmen nur selten IT-Probleme auftreten oder plötzlich Support benötigt wird.

„Break-fix“-Dienstleistungen werden jedoch stundenweise abgerechnet und diese Kosten können schnell explodieren. Außerdem musst du die aufgebrachte Zeit und die erbrachten Leistungen erfassen, damit du die gestellten Rechnungen überprüfen kannst. Im Notfall sind „Break-fix“-Lösungen oft hilfreich, aber genau das sind sie eben auch: eine Notlösung, keine Dauerstrategie für deine IT.

Ein PC mit LadezeichenManaged Services Provider

MSPs kümmern sich im von dir gewünschten Umfang um deine IT-Anforderungen und stellen dir für ihre Leistungen in regelmäßigen Abständen, üblicherweise monatlich oder jährlich, eine Rechnung. Es gibt die unterschiedlichsten MSPs mit den unterschiedlichsten Angeboten. Angesichts der riesigen Zahl an verfügbaren Software- und IT-Dienstleistungsunternehmen ist es dabei gar nicht so einfach, den richtigen Anbieter zu finden.

MSPs präsentieren sich kleinen Unternehmen üblicherweise als kostengünstige Alternative zum internen IT-Management. Manche Unternehmen setzen MSPs zusätzlich zu internem IT-Personal ein, sei es als Second-Level oder für bestimmte Projekte (z. B. die Softwareintegration).

MSPs bieten ein breites Spektrum an IT-Ressourcen und können gut mit dem technologischen Fortschritt Schritt halten. Auch die Skalierungsmöglichkeiten, die die Nutzung des Netzwerks eines MSPs im Vergleich zum ständigen Upgraden der eigenen IT-Infrastruktur bietet, können ein großer Vorteil sein.

Managed Security Services Provider (MSSPs) sind MSPs, die sich auf Sicherheitsdienstleistungen wie das Firewall-Management und die Bedrohungserkennung spezialisieren.

KMUs sollten eine sorgfältige Risikoanalyse ihres eigenen Netzwerks durchführen oder von einem unabhängigen Unternehmen durchführen lassen, bevor sie einen MSSP für Sicherheitsleistungen beauftragen. Wer seine Anforderungen von einem Diensteanbieter feststellen lässt, wird immer das bestmögliche Premiumangebot empfohlen bekommen.

Identifiziere Schwachstellen also proaktiv und kenne die Bedrohungen, die das größte Risiko für dein Unternehmen darstellen, um beim Outsourcing von IT-Sicherheitsdienstleistungen fundiertere Entscheidungen treffen zu können.

Bedenken beim IT-Outsourcing

Es gibt so einiges zu bedenken, wenn man Außenstehende in die eigene IT bittet, insbesondere in Bezug auf die folgenden Faktoren:

Kreditkarte mit SicherheitszeichenDatensicherheit

Die Datensicherheit ist beim IT-Outsourcing eine der Hauptsorgen. Trotz der großen Aufmerksamkeit, die das Thema bekommt, wissen einer Studie des Ponemon Institute zufolge 58 Prozent der kleinen Unternehmen nicht, ob die Sicherheitsrichtlinien ihres Anbieters ausreichen, um Datensicherheitsverletzungen zu verhindern.

Datenschutzgesetze wie die DSGVO werden zunehmend strenger und entsprechend vorsichtig müssen Unternehmen sein, wenn sie Dritten – egal wem – Zugriff auf ihre Netzwerke bieten. Als 2013 die Daten von 40 Millionen Kunden der US-Handelskette Target erbeutet wurden, stahlen die Angreifer die Anmeldedaten nicht von einem MSP, sondern von einem HLK-Vertragspartner.

Der Einzelhandelsgigant hatte den Netzwerkzugriff an einen Drittanbieter übergeben, der keine ordnungsgemäßen PCI-Datensicherheitsstandards für die Implementierung der zweistufigen Authentifizierung für den Remote-Netzwerkzugriff befolgte. Target hat den Skandal überlebt, doch kleine Unternehmen haben oft nicht so viel Glück.

Stapel mit BüchernEinhaltung gesetzlicher Vorschriften

Für Unternehmen in einem stark reglementierten Bereich wie beispielsweise dem Gesundheitswesen ist es besonders wichtig, die Erfahrung des Anbieters in der eigenen Branche und seine Compliance-Fähigkeit zu überprüfen. So müssen beispielsweise strenge Richtlinien befolgt werden, wenn MSP geschützte Gesundheitsinformationen deiner Kunden verarbeiten. In einen solchen Fall musst du dich vertraglich absichern, üblich sind zum Beispiel AV-Verträge.

Dabei ist genauestens festzulegen, unter welchen Bedingungen diese Daten vom MSP verarbeitet werden, um allen gesetzlichen Vorschriften zu entsprechen.

Leider weiß man in manchen Fällen nicht genau, wie Daten von einem MSP verwendet oder verarbeitet werden, was die Situation noch schwieriger macht. Zum Glück gibt es MSSPs, die auf bestimmte Branchen spezialisiert sind und Unternehmen bei der Compliance unterstützen.

Bei alledem sollte auch bedacht werden, dass auch MSPs und MSSPs selbst häufig Outsourcing betreiben und beispielsweise Network Operations Center (NOC) oder Security Operations Center (SOC) von Drittanbietern nutzen. Zweifellos gibt es auch unter den NOCs und SOCs einige, die selbst wiederum einen Teil ihres Betriebs auslagern.

Du solltest nur IT-Dienstleister in Betracht ziehen, die sich genauestens mit allen Datenschutzstandards und -gesetzen auskennen, vor allem denen, die deine Branche betreffen. Doch egal wie viele Zusicherungen du erhältst: Immer, wenn Daten dupliziert oder von einem Ort zum anderen verschoben werden, steigt das Risiko einer Sicherheitsverletzung dramatisch an.

Darstellung eines Cyber AngriffsCyberangriffe

Cyberangriffe werden immer häufiger und immer ausgeklügelter. So ist beispielsweise die Zahl der Ransomware-Angriffe 2017 einem Bericht der IT-Sicherheitsfirma F-Secure zufolge um 415 Prozent gestiegen. Die in den letzten Jahren explosiv wachsende Zahl der Endpunkte im Netzwerk verstärkt das Problem zusätzlich.

Der Einsatz von Cloud-Technologien steigt, Mobilgeräte sind mittlerweile allgegenwärtig und mehr als 20 Milliarden über das Internet of Things vernetzte „Dinge“ machen die IT-Sicherheit zur Mammutaufgabe. Auch wenn viele MSPs und MSSPs der Aufgabe gewachsen sind, sind ebenso viele das vermutlich noch nicht.

Verlier nicht aus den Augen, dass es deinem Unternehmen einen Bärendienst erweisen kann, sich bei der Sicherheit komplett auf einen Drittanbieter zu verlassen. Alle kleinen Unternehmen sollten eine Nutzungsrichtlinie für Internet und E-Mail im Unternehmen entwickeln und vor allem auch durchsetzen, um sich gegen Cyberkriminalität zu wappnen.

Auch andere Maßnahmen können das Risiko von gewöhnlichen Cyberangriffen enorm verringern, beispielsweise die Regulierung der Nutzung mitarbeitereigener Geräte, eine verpflichtende zweistufige Authentifizierung und regelmäßige Schulungen zum Thema Cyberkriminalität.

2 SprechblasenServiceerwartungen

Viele KMU befürchten, dass MSPs entweder Versprechungen machen, die sie nicht halten können, oder zu viele Kunden annehmen und dadurch nicht ausreichend verfügbar sind. Diese Bedenken sind angebracht. Wenn dein kleines Unternehmen mit einem Anbieter arbeitet, der schon mehrere mittelgroße Kunden hat, drängt sich die Frage auf, ob er dir die gleiche Aufmerksamkeit widmen wird wie seinen größeren und damit profitableren Kunden.

Daher ist es wichtig, sinnvolle Service Level Agreements (SLAs) auszuhandeln und so sicherzustellen, dass beide Seiten dieselben Erwartungen haben und wissen, welche Folgen es hat, wenn diese nicht eingehalten werden. Auch die Metriken zur Leistungsfeststellung und die Art und Weise, wie über diese berichtet wird, sollten in den SLAs festgelegt werden.

Preisgestaltung

Vor der Beauftragung eines MSP sollten kleine Unternehmen die Preisgestaltung gründlich unter die Lupe nehmen, um die Abrechnungsmethoden komplett zu durchblicken und sich möglicherweise anfallender Zusatzkosten bewusst zu sein. Die Preisstrukturen unterschiedlicher Anbieter unterscheiden sich sehr stark und können beispielsweise nach einem gestuften System, paketbasiert, per Gerät oder per Nutzer berechnet werden.

Idealerweise wählst du ein Modell, das zu einem monatlichen Festpreis alle von dir benötigten Dienste – und keine nicht benötigten Dienste – umfasst.

Risiken minimieren

Mit den folgenden Empfehlungen können kleine Unternehmen ihr Risiko beim IT-Outsourcing reduzieren:

  • Stell sicher, dass alle Beteiligten wissen, wie eine erfolgreiche Zusammenarbeit aussehen soll.
  • Überprüfe alle SLAs im Detail und stelle sicher, dass sie deinen Anforderungen entsprechen.
  • Frag nach der Anzahl und Größe der Kunden, mit denen der Anbieter arbeitet.
  • Bitte um Referenzen und frag andere Kunden, wie schnell der MSP außerhalb der Geschäftszeiten reagiert.
  • Frag, ob Teile des Betriebs des MSPs ausgelagert werden.
  • Finde heraus, wie der Anbieter die Datensicherheit gewährleisten will.
  • Denk an Faktoren, die Compliance-Bemühungen erschweren, beispielsweise sensible Daten.

Stell auch knifflige Fragen zu Datensicherheitspraktiken, Vorfallreaktionsplänen, Erreichbarkeit außerhalb der Öffnungszeiten und branchenspezifischen Problemen. Auch wenn es für deine Aufzeichnungen sinnvoll ist, die Antworten auf diese Fragen in Form von E-Mails vorliegen zu haben, bietet dir ein spontanes Telefongespräch mit einem Anbieter oft einen besseren Einblick in sein tatsächliches Wissen zu deinen spezifischen Anforderungen. So kannst du auch vermeiden, nur Standardantworten gesendet zu bekommen.

Wenn dein Unternehmen von Innovation und der agilen Entwicklung deines Onlinegeschäfts abhängig ist, ist das Outsourcing strategischer Elemente der IT-Infrastruktur eine schlechte Idee. Auch wenn du in einem stark reglementierten Bereich tätig bist und dein Hauptfokus auf der Wahrung der Datensicherheit und der gesetzlichen Compliance liegt, solltest du vor dem IT-Outsourcing zweimal nachdenken. In diesen und vielen anderen Situationen ist das Einstellen internen IT-Personals oft seinen Preis wert.

Nächste Schritte

Die Suche nach Hilfe mit der IT-Infrastruktur kann frustrierend sein. Es wird immer schwieriger, fähige und gut ausgebildete IT-Mitarbeiter*innen zu finden, und manche MSPs versprechen mehr, als sie halten können. Allerdings braucht nicht jedes kleine Unternehmen zwangsläufig mehr internes Personal oder einen MSP.

Leicht erlernbare Software-as-a-Service-Anwendungen und cloudbasierte Datenspeicheroptionen haben den Outsourcing-Bedarf vieler kleiner Unternehmen in der letzten Zeit stark verringert.

Möglicherweise ist es auch für dein Unternehmen sinnvoller, zunächst einfach in Software zu investieren, die deine unmittelbaren Probleme angeht, beispielsweise für den direkteren Kontakt mit Onlinekunden oder eine bessere interne Kommunikation. Erweitere dein Wissen, stelle Recherchen an und analysiere deine eigenen Bedürfnisse genau, um für dein wachsendes Unternehmen eine fundierte Entscheidung zu treffen, egal ob du dich für dein KMU letztlich für das IT-Outsourcing entscheidest oder lieber alles intern regelst.