Cloud Computing ist in aller Munde. Die Möglichkeiten klingen verlockend, gerade für kleine Unternehmen: IT-Anwendungen können flexibel und nach Bedarf angemietet werden, ohne sie selbst betreiben zu müssen. Dank Internet sind Unternehmensdaten mobil verfügbar. Unternehmerherz, was willst du mehr? Und wer braucht dann noch eine eigene IT-Abteilung?

Ist Outsourcen im IT-Bereich also die Lösung? Für Martin Zandonella, IT-Berufsgruppensprecher der WKÖ vom Fachverband Unternehmensberatung und Informationstechnologie (UBIT) schon: "Alles, was nicht in die Kernkompetenz des Unternehmens fällt, sollte ausgelagert werden. Das reicht von der klassischen IT-Beratung bis zu IT-Lösungen für die Serverinfrastruktur, IT-Security, Backup, Programmierung, Netzwerkbetreuung oder Überwachung. Es ist auch sinnvoll, sich einen externen Experten für Cloud-Services zur Seite zu holen."

Wann Outsourcen Sinn macht

Es sei sinnvoll, Services, die nicht zur Kernkompetenz des Unternehmens gehören, outzusourcen, sagt auch Prof. Siegfried Vössner, Leiter des Instituts für Maschinenbau und Betriebsinformatik an der TU Graz. Somit sollte aber eine Firma, die etwa mit dem Erstellen von Webpages Geld verdient, keinesfalls das Programmieren outsourcen. Doch die Sachlage ist differenzierter: "Die Frage beim Outsourcing ist: Welche meiner Aufgaben kann ich an einen Dienstleister vergeben und welche Fähigkeiten gebe ich damit außer Haus? Um das Outsourcen managen und die Qualität des Outsourcers beurteilen zu können, ist ein gewisses Grundmaß an Kompetenz notwendig. Wer im Zustand der völligen Unkenntnis alles auslagert, ist Wachs in den Händen seiner eigenen Dienstleister."

Denn durch das Auslagern von IT-Leistungen wird eine Firma längst nicht alle Sorgen los. "Was mache ich etwa, wenn ich an meine Daten kurzfristig nicht herankomme? Ich brauche ein Sicherheitskonzept, was zu tun ist, wenn der Dienst nicht verfügbar ist." Mit dem IT-Dienstleister müssen Vereinbarungen (Service Level Agreements, SLA) getroffen werden, z.B. hinsichtlich Verfügbarkeit, Performance oder Sicherheit. Ob und wie diese Vereinbarungen eingehalten werden, muss wiederum firmenintern kontrolliert und gemanagt werden.

Größte Herausforderung: IT-Security

Die aktuell größte Herausforderung in Sachen IT ist die Sicherheit. "Die meisten KMU haben ihre Betriebs-IT an das Internet angebunden, besitzen aber nicht das Wissen und die nötige Infrastruktur, um sie abzusichern. Ein Angreifer unterscheidet aber nicht, ob es sich um einen Rechner von einem KMU oder einem Großunternehmen handelt", sagt der Experte. Auch für die WKÖ-Sparte Information & Consulting ein alt bekanntes Thema: "Leider ist die Awareness für diese Thematik speziell bei den KMU noch immer ausbaufähig. Viele, vor allem kleinere, Unternehmen sind sich der Gefahr von IT-Sicherheitslücken immer noch nicht so bewusst und glauben oft, das Thema beträfe ohnehin nur die Großen. Das ist aber nicht der Fall"- ", so Spartenobmann Hans-Jürgen Pollirer. Um das Bewusstsein zu erhöhen, wurde bereits vor Jahren die Website "IT-Safe" auf die Beine gestellt, die Firmen in verständlichen Worten aufklären soll. Integriert ist auch ein Risikoanalysetool für Kleinunternehmen. Ausführlich informiert zudem das IT-Sicherheitshandbuch.

Wie sieht es mit dem Outsourcen in puncto IT-Security aus? Gerade Cloud Computing biete neue Chancen, aber immer noch Sicherheitsrisiken, so Prof. Vössner. "Wenn ich das Sicherheitsmanagement aus der Hand gebe, muss ich mich darauf verlassen können, dass der Dienstleister den erforderlichen Standards entspricht." Viele Cloud-Anbieter sind im Ausland, z.B. den USA. Vor allem bei sensiblen Daten ist die Einhaltung des Datenschutzes Pflicht. UBIT-Sprecher Zandonella rät dazu, im Firmenbereich auf eine Datenhaltung in Österreich zu achten. Möglich ist das etwa bei Private Cloud Services, die im Gegensatz zu Public Cloud Services per Intranet verfügbar sind. Somit weiß das Unternehmen auch, wo Firmendaten gespeichert werden.

"IT-Sicherheit ist und bleibt eine Herausforderung", erklärt auch Prof. Karl Posch vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie an der TU Graz. "Die geeignete Antwort liegt in der Professionalisierung des IT-Bereichs. Beim IT-Einsatz sollte neben der Frage 'Was ist möglich?' gleichrangig die Frage 'Was sollte nicht möglich sein?' stehen. Und schließlich die Frage: 'Was mache ich, wenn etwas Unerwünschtes passiert?' Ein Vergleich: Als ich jung war, habe ich selbst an meinem Auto herumgebastelt. Diese Zeit ist vorbei. Heutzutage braucht man für die technische Verkehrssicherheit Professionisten." Die professionelle Vorgangsweise reiche vom Erwerb des Führerscheins über Servicewerkstätten bis hin zum Umgang bei Unfällen: Rettung, Abschleppdienst, Versicherung etc. "Diese Veränderung fand bzw. findet gerade im IT-Bereich statt bzw. sollte eigentlich stattfinden. Wenn man die gegenwärtige Situation beim Einsatz von Smartphones oder Tablets betrachtet, erkannt man, wie weit weg wir von einem wünschenswerten Zugang sind. Derzeit erwarten wir unsinnigerweise, dass jeder User eines Smartphones auch ein Systemadministrator sein sollte."

IT-Fehlentscheidungen: problematisch bei KMU

Aber auch die Auswahl der richtigen inhouse Software-Lösungen stellt Unternehmen vor Herausforderungen. Das Problem: "Die Anforderungen von KMU an eine professionelle IT-Lösung sind so groß wie die von Großunternehmen. Durch fehlende 'Speckreserven' kann sich ein kleines Unternehmen aber keine IT-Fehlentscheidungen leisten", sagt Prof. Vössner. Um systematisch vorzugehen, sollten sich KMU daher fragen: "In welchen Bereichen unterstützt die IT bereits jetzt meine Geschäftsprozesse? Wo gibt es Schwierigkeiten? Wo sind die größten Hebel und wo bringt eine IT-Unterstützung den größten Gewinn?" Auch wenn kleine Unternehmen häufig leuchtende Augen bei großen, teuren IT-Lösungen bekämen, entscheide am Schluss doch das Kosten/Nutzen-Verhältnis.

Ob sich die Einführung neuer Software lohnt, kann mithilfe von Kosten-Nutzen-Metriken wie TCO (Total Cost of Ownership) oder TVO (Total Value of Opportunity) berechnet werden. Diese Modelle berechnen den Return of Investment (ROI), indem sie nicht nur die einmaligen Anschaffungskosten, sondern Kosten bzw. Nutzen über den gesamten Lebenszyklus - von der Einführung über den Betrieb bis zur Ablösung durch Nachfolgeprodukte - berücksichtigen. Mit solchen Bewertungsschemata könne jeder gute Buchhalter gemeinsam mit einem IT-Kundigen die Kosten überschlagen. "Software wird häufig nicht als Investition gesehen. Für jede neue Maschine wird bis hin zur Entsorgung gerechnet, ob sie sich lohnt. Für Software tut man das nicht." Bekanntes Beispiel: die Open-Source-Einführung der Städte Wien oder München. In der anfänglichen Euphorie wurden nur wegfallende Lizenzkosten für Office-Anwendungen und Betriebssysteme gesehen. Dass aber auch erhebliche Kosten für Umstellung, Schulung, Betrieb und Wartung anfallen, bemerkte man erst spät.

Können Unternehmensberater bei der IT-Strategie helfen? Eine strenge Selektierung der Berater sei notwendig, so Prof. Vössner, der früher auch Berater für McKinsey&Company war: "Zwar gibt es mittlerweile Zertifizierungen, die Qualität einer Unternehmensberatung erkennt man aber an ihrem Ruf. Es gibt hierzulande große, aber auch kleine, die sehr renommiert sind. Gute, qualitativ hochwertige Berater sind aber wirklich teuer." Um die Spreu vom Weizen zu trennen, helfen etwa Empfehlungen oder Referenzprojekte. Wichtig sei, dass sowohl der Unternehmer als auch der Berater das identifizierte Einsparungspotenzial eines Projektes für realistisch halten. Die dafür notwendigen Beratungskosten sollten in der Regel max. 10% des zu erwartenden Einsparungspotenzials ausmachen. "Wenn etwa für 1 Million Einsparungspotenzial 300.000 Euro Beratungskosten investiert werden müssten, lohnt sich ein solches Projekt meiner Erfahrung nach nicht, da das Umsetzungsrisiko zu hoch ist." Das Schwierigste für Unternehmen sei, hier Nein zu sagen. "Viele (IT-)Projekte sind einfach nicht wirtschaftlich."

IT-Kompetenz bei KMU wichtig

Für Prof. Vössner führt kein Weg an einem IT-Verantwortlichen im Unternehmen vorbei, der ausreichend qualifiziert ist, um IT-Entscheidungen treffen zu können: "Eine gewisse Kompetenz in Sachen IT muss zurückbehalten werden, damit die richtigen Prozesse und IT-Services outgesourct bzw. zugekauft werden können. Auch ein KMU muss sich solche Kompetenzen leisten." Die aktuelle Situation in heimischen (Nicht-IT-)Firmen sieht aber anders aus. Laut der ibw-Studie "IT-Qualifikationen 2025", einer repräsentativen Befragung heimischer Unternehmen, verfügen nur 12% der befragten Firmen über eine eigene IT-Abteilung. 17% verlassen sich in IT-Angelegenheiten auf Mitarbeiter aus anderen Abteilungen, 12% auf Familienangehörige, Freunde oder Bekannte.

Die zukünftigen Herausforderungen in der Business-IT sieht Prof. Vössner in der Technologiebewertung. Unternehmen werden permanent mit neuen Konzepten konfrontiert, doch wie wählt man aus? "In immer kürzeren Zyklen sind neue Technologien zu bewerten: Riesen-Potenzial, heiße Luft oder großer Blödsinn? Langfristig brauchen wir jemanden, der uns die Welt erklärt - ähnlich wie Armin Wolf im ORF", sagt er lachend. "Ein Fall für die WKÖ?" (Sonja Tautermann, derStandard.at, 18.2. 2013)