Das sind die häufigsten Fehler beim IT-Outsourcing

Die Eidgenössische Finanzmarktaufsicht (Finma) warnt in ihrem aktuellen Risikomonitor vor einer steigenden Gefahr durch Outsourcing in der Finanzbranche: Eine schwere Störung bei einem einzelnen IT-Dienstleister könnte den gesamten Schweizer Finanzmarkt gefährden. Was halten Sie von dieser Einschätzung?

Uwe Ladwig: Im Risikomonitor 2024 hat die Finma darauf hingewiesen, dass Unterbrüche von kritischen Funktionen und Störungen bei wesentlichen Dienstleistern bedeutende Risiken nach sich ziehen können; im Extremfall beeinträchtigen diese Risiken sogar die Stabilität des Finanzmarktes. Die Finma hebt die Risiken durch Cyberangriffe und das Thema «Public Cloud» hervor, die auch als eines der neuen Hauptrisiken gesehen wird. Da ich nicht alle Details kenne, die die Finma zu dieser Einschätzung geführt haben, möchte ich nicht dazu Stellung nehmen. Generell kann ich aus meiner Sicht aber klar sagen, dass Outsourcing nicht per se zu höheren Risiken führt. Vielmehr ist es eine Frage der Sourcing-Strategie, der Dienstleisterauswahl und des Aufbaus von angemessenen Governance-Prozessen und Strukturen, um diese Risiken auf einem mitigierbaren Niveau zu halten. Generell kann man auch sagen, dass mit den richtigen IT-Dienstleistern operative Risiken oder Cybersecurity-Risiken deutlich reduziert werden können, da diese über viel mehr Spezialisten verfügen als ein Finanzdienstleister mit einer vergleichbar kleinen IT-Mannschaft und da die Leistungserstellung im Rahmen einer Risikodiversifizierung über mehrere Anbieter verteilt werden kann.

Welche Branchen sind Ihrer Ansicht nach besonders anfällig für Outsourcing-bedingte Sicherheitsrisiken?

Dies ist aus meiner Sicht nicht primär eine Frage der Branche, sondern eher eine Frage, wie reif die Governance-Organisation des jeweiligen Unternehmens und der IT-Dienstleister ist. Allerdings sollten Unternehmen, die kritische Infrastrukturen betreiben – etwa im Energie-, Verkehr- oder Gesundheitssektor –, insbesondere darauf achten, dass Verträge mit den IT-Dienstleistern entsprechend gut gestaltet und Verantwortlichkeiten klar geregelt sind. In diesem Zusammenhang möchte ich erwähnen, dass wir immer wieder feststellen, dass Unternehmen oder Behörden ein reines «Outtasking» – teilweise mit Freelancern – durchführen und nicht Managed Services outsourcen. Dadurch verbleibt beim Auftraggeber nicht nur die komplette Verantwortung, sondern auch die Notwendigkeit der operativen Steuerung ohne vollständigen direkten Zugriff auf die externen Mitarbeiter. Hier sehe ich ein viel höheres Risiko.

Welche weiteren Risiken ergeben sich durch die Auslagerung von IT-Infrastrukturen? Und welche davon sind besonders kritisch?

Oft zu beobachten sind suboptimal ausgestaltete Verträge, nicht klar geregelte Verantwortlichkeiten und Verantwortungsübergänge, ungünstige Service-Schnitte, nicht marktübliche Service-Level-Vereinbarungen, eine unendliche Vielzahl an IT-Dienstleistern oder eine unzureichende Dienstleistersteuerung durch den Kunden etc. Diese Risiken führen häufig zu operativen, taktischen und strategischen Risiken, die dann zum Beispiel von der Finma zu Recht hervorgehoben werden.

Wie wird sich wohl das durch US-Präsident Donald Trump herbeigeführte Zoll-Chaos auf das IT-Sourcing-Verhalten der Unternehmen auswirken?

Ich finde das schlicht nicht abschätzbar. Für die Schweiz sind sicherlich IT-Dienstleister wichtig, die in der Schweiz oder Europa ihre Rechenzentren haben und Personal vor Ort, Nearshore und gegebenenfalls Offshore im Einsatz haben. Die Auswirkungen sind hier voraussichtlich geringer. Die Schweiz bezieht sehr viele Dienstleistungen (auch Software) aus den USA, diese werden aber voraussichtlich nicht so stark von der Zolldiskussion betroffen sein. Aus­serdem zeigt das aktuelle Aussetzen der Zölle für 90 Tage, dass hier viel in Bewegung ist. Zusammengefasst: Die Situation ist derzeit schlicht nicht seriös abschätzbar.

Wie sieht es mit den aktuellen geopolitischen Konflikten aus? Führen die daraus entstehenden Unsicherheiten zu einer ­Verschiebung der Sourcing-Strategien – etwa weg von klassischen Offshoring-Standorten hin zu Nearshore- oder sogar Onshore-Modellen?

Letztlich geht es um die Frage, welche Kosten die Kunden bereit sind zu akzeptieren. Ich sehe Offshoring-Modelle nicht grundsätzlich infrage gestellt. Aber sicherlich werden Kunden mehr darauf achten, in welchen Ländern Offshore-Leistungen erbracht werden, und entsprechende Vereinbarungen in ihren Verträgen mit den IT-Dienstleistern aufnehmen.

Welche langfristigen Auswirkungen hat der Trend zum Outsourcing auf die Innovationsfähigkeit von Unternehmen?

Beim Outsourcing von IT-Dienstleistungen handelt es sich meistens nicht um Kerngeschäftsprozesse des Unternehmens. Somit können sich hier das outsourcernde Unternehmen und der IT-Dienstleister gut ergänzen. Das Unternehmen partizipiert an der Innovationskraft des IT-Dienstleisters und kann sich auf die Innovation des Kerngeschäftes fokussieren. Allerdings setzt dieses eine vertrauensvolle und partnerschaftliche Zusammenarbeit voraus.

Welches sind die häufigsten Fehler, die Unternehmen bei der ­Planung und Umsetzung von IT-Outsourcing vermeiden sollten, um unerwartete Kosten und Risiken zu minimieren?

Zu den häufigsten Fehlern gehören unklare Verantwortlichkeiten und Verantwortungsübergänge, eine nicht hinreichend geplante Transition der IT-Services hin zum neuen Dienstleister, mangelhafte Governance und Governance-Prozesse sowie eine Strategie des Outtaskings statt einer Auslagerung von Managed Services.

Wie können Unternehmen die Kontrolle über ihre IT-Infrastruktur behalten, wenn sie kritische Funktionen an externe Dienstleister auslagern?

Gerade für die kritischen Funktionen ist eine enge Zusammenarbeit zwischen IT-Dienstleister und Unternehmen mit erprobten Managementstrukturen erforderlich. Dies sollte ergänzt werden durch ambitionierte Service-Level und das zugehörige Service-Level-Credit-Regime. Und, last but not least, die Auswahl des richtigen IT-Dienstleisters mit den notwendigen Kompetenzen, der auf Augenhöhe mit seinen Kunden zielorientiert zusammenarbeitet.

Inwiefern beeinflusst die Integration von KI-Anwendungen die ­Effizienz und Kostenstruktur von IT-Sourcing-Modellen?

Dies wird belastbar erst die Zukunft zeigen und ist von vielen Faktoren abhängig. Letztlich werden in Zukunft auch KI-Anwendungen zu einer «commodity» – und sie werden in Sourcing-Modellen standardmässig integriert sein, wie auch andere IT-Dienstleistungen.

Wie können Unternehmen sicherstellen, dass ihre IT-Sourcing-Strategie flexibel genug ist, um auf künftige technologische, ­ökonomische und politische Veränderungen reagieren zu ­können?

Die Unternehmen müssen die Flexibilität, die der Markt von ihnen fordert, auch an ihre IT-Dienstleister weitergeben. Das bedeutet zum Beispiel: keine extrem langen Vertragslaufzeiten, Unterstützung der Transition beim Wechsel der Vertragspartner, klare saubere Service-Schnitte, Service-Ergebnisse als geschuldete Leistung statt technologischer Beschreibungen etc. Schliesslich braucht es eine modulare, flexible Struktur in den Verträgen und Services, um bei Veränderungen von Rahmenbedingungen schnell reagieren zu können. Leistungsumfang, Leistungsqualität, Leistungserbringungsorte etc. sollten jederzeit schnell und einfach angepasst werden können.