Ein schlecht gefasster IT-Outsourcing-Vertrag erzeugt mehr operative Reibung als ein intern verwaltetes Informationssystem mit begrenzten Mitteln. Das Problem liegt fast nie im Prinzip der Auslagerung selbst, sondern in der Art und Weise, wie der technische Umfang aufgeteilt, vertraglich festgelegt und überwacht wird. Die Auslagerung der IT-Verwaltung eines Unternehmens setzt voraus, dass drei Punkte behandelt werden, die die meisten Leitfäden nur streifen: die Rückführbarkeit, die aktuelle Einhaltung von Vorschriften und das Modell der gemeinsamen Governance.
Rückführbarkeitsklauseln und Ausstiegsplan in einem IT-Outsourcing-Vertrag
Ein Dienstleister, der vor der Unterzeichnung des Vertrags keinen dokumentierten Ausstiegsplan bereitstellt, birgt ein strukturelles Risiko. Rückführbarkeit beschränkt sich nicht nur auf die Wiederherstellung von Daten: Sie umfasst Netzwerk-Konfigurationen, Zugriffsrechte auf Cloud-Umgebungen, Automatisierungsskripte und aktuelle technische Dokumentationen.
Weiterlesen : Das Rätsel endlich gelöst: Erfahren Sie, wie Sie magnetischen Edelstahl von rostfreiem Stahl unterscheiden können!
Wir empfehlen, drei Elemente bereits in der Vertragsphase zu formalisierten:
- Ein vollständiges Inventar der an den Dienstleister übertragenen digitalen Vermögenswerte, das vierteljährlich aktualisiert wird und Softwarelizenzen sowie deren Portabilität umfasst
- Eine maximale Rückführbarkeitsfrist (in der Regel zwischen 30 und 90 Tagen verhandelt), mit überprüfbaren Zwischenmeilensteinen durch das Kundenunternehmen
- Ein standardisiertes Exportformat für alle Daten und Konfigurationen, um eine proprietäre Bindung (vendor lock-in) zu vermeiden
Ohne getestete Rückführbarkeitsklausel wird die Auslagerung zu einer Abhängigkeit. Einige Verträge sehen eine jährliche teilweise Rückführungsübung vor, die es ermöglicht, die technische Machbarkeit zu validieren, ohne auf einen tatsächlichen Bruch zu warten.
Auch interessant : Erfahren Sie, wo die Kleidung von Tommy Hilfiger weltweit hergestellt wird
Unternehmen, die diesen Ansatz strukturieren möchten, können die Website Info Manager besuchen, um die passenden IT-Outsourcing-Dienstleistungen für ihren technischen Kontext zu bewerten.
NIS2- und DORA-Konformität: Was die Regulierung für IT-Outsourcing ändert
Die europäische Richtlinie NIS2 erweitert die Cybersecurity-Verpflichtungen auf einen viel größeren Kreis von Unternehmen, einschließlich von mittelständischen Unternehmen und Dienstleistern, die zuvor nicht betroffen waren. Sie verlangt eine verstärkte Kontrolle kritischer Dienstleister, Meldepflichten bei Vorfällen und eine direkte Verantwortung der Führungskräfte in der IT-Subunternehmerkette.
Für den Finanzsektor geht die Verordnung DORA noch weiter. Sie verlangt eine Kartierung der Abhängigkeiten von IT-Dienstleistern, regelmäßige Resilienztests und spezifische vertragliche Klauseln, die Cloud- und Outsourcing-Dienste regeln.
In der Praxis bedeutet dies, dass die Auslagerung der IT-Verwaltung ohne Integration dieser Anforderungen in das Lastenheft das Unternehmen sowohl Sanktionen als auch operationale Schwächen im Falle eines Vorfalls aussetzt. Der Dienstleister muss seine Konformität nachweisen, und das Kundenunternehmen muss in der Lage sein, dies zu überprüfen.
Überprüfungspunkte vor der Unterzeichnung
Die Konformität kann nicht durch eine einfache Erklärung des Dienstleisters überprüft werden. Wir beobachten, dass die am besten geschützten Unternehmen drei konkrete Nachweise verlangen: einen aktuellen Sicherheitsauditbericht, eine dokumentierte Incident-Management-Politik mit SLA für die Meldung und einen Nachweis über die Verschlüsselung von Daten im Ruhezustand und während der Übertragung.
Die Verantwortung des Geschäftsführers kann nicht mit dem IT-Outsourcing-Vertrag delegiert werden. Selbst bei vollständiger Auslagerung bleibt die Governance der Konformität im Zuständigkeitsbereich des Unternehmens.
IT-Co-Sourcing: Governance behalten und gleichzeitig den Betrieb auslagern
Die vollständige Auslagerung des Informationssystems hat ihre Grenzen gezeigt. Der Verlust interner Kompetenzen, die Diskrepanz zwischen den geschäftlichen Prioritäten und denjenigen des Dienstleisters sowie die Schwierigkeit, bereichsübergreifende Projekte zu steuern, haben viele Unternehmen zu einem hybriden Modell bewegt.
Co-Sourcing bedeutet, die Funktionen der Governance, Architektur und Sicherheit intern zu behalten, während der tägliche Betrieb, der Benutzersupport und bestimmte Infrastrukturprojekte an einen externen Dienstleister übertragen werden. Diese Aufteilung ermöglicht es, die strategische Kontrolle über das Informationssystem zu behalten, ohne die gesamte operative Last zu tragen.
Typische Verteilung der Verantwortlichkeiten
| Funktion | Intern | Dienstleister |
|---|---|---|
| Architektur und Urbanisierung des Informationssystems | Ja | Nein |
| Sicherheits- und Compliance-Politik | Ja | Beratung |
| Benutzersupport N1/N2 | Nein | Ja |
| Server- und Netzwerkmanagement | Nein | Ja |
| Steuerung von Geschäftsprojekten | Ja | Gelegentliche Unterstützung |
Dieses Modell funktioniert, solange die Schnittstellen zwischen den Teams genau definiert sind. Ein monatliches Steuerungskomitee mit gemeinsamen Kennzahlen bleibt der zuverlässigste Mechanismus, um Grauzonen zu vermeiden. Der Dienstleister berichtet über technische Kennzahlen (Verfügbarkeitsquote, Lösungszeit), das interne Team entscheidet über die Prioritäten und genehmigt die Weiterentwicklungen.
Auswahlkriterien für einen IT-Outsourcing-Dienstleister: Über den Preis hinaus
Der monatliche Preis pro Arbeitsplatz reicht nicht aus, um zwei IT-Outsourcing-Angebote zu vergleichen. Zwei Dienstleister zum gleichen Preis können radikal unterschiedliche Servicelevels in den entscheidenden Punkten im Falle eines Vorfalls anbieten.
Die entscheidenden Kriterien betreffen die Reaktionsfähigkeit außerhalb der Arbeitszeiten, den Standort der gehosteten Daten (Frankreich, EU oder außerhalb der EU) und die Präsenz eines dedizierten technischen Ansprechpartners anstelle eines einfachen gemeinsamen Callcenters. Ein Dienstleister, der seine Teams auf zu viele Kunden verteilt, verschlechtert mechanisch seine Reaktionszeiten.
Die geografische Nähe bleibt ein unterschätzter Faktor. Für Vor-Ort-Einsätze (Hardwareausfall, Verkabelung, Bereitstellung von Arbeitsplätzen) reduziert ein lokaler Dienstleister die Reaktionszeiten erheblich im Vergleich zu einem zentralisierten nationalen Anbieter.
Die Auslagerung der IT-Verwaltung funktioniert, wenn der Vertrag die operative Realität widerspiegelt und nicht nur ein kommerzielles Versprechen ist. Die Rückführbarkeit testen, die Einhaltung von Vorschriften überprüfen, das richtige Governance-Modell wählen: Diese drei im Voraus getroffenen Entscheidungen bestimmen die Qualität der Beziehung über die gesamte Vertragslaufzeit.