Providerausfall: Kritische Risiken im IT-Sourcing

 

IT-Risko-Management ist essenziell für Organisationen, daher steuert auch jede Firma oder öffentliche Institution ihre IT-Risiken – zu einem gewissen Grad. In der Regel werden Maßnahmen definiert, um die Eintrittswahrscheinlichkeit von Schäden zu minimieren sowie die Weiterführung von IT-Services nach massiven außergewöhnlichen Ereignissen zu gewährleisten. Dabei wird die Diskussion von markanten Vorfällen beherrscht, darunter Überflutungen, Brände, ein Flugzeugabsturz, Terroranschläge oder Cyberangriffe.

Neben diesen handfesten Ereignissen existieren jedoch weitere Risiken, die von den Kunden bisher meist diskret ausgeklammert wurden, deren Auswirkungen auf die IT-Leistungserbringung jedoch ebenso massiv sein können. Im Speziellen wollen wir auf einen Aspekt eingehen, der in jüngster Vergangenheit in den Vordergrund getreten ist: wirtschaftliche Schwierigkeiten eines zentralen IT-Dienstleisters.

Komplexes Gefüge im IT-Sourcing

Speziell im Fall von IT-Dienstleistungen oder Business Process Outsourcing (BPO) ist es wegen der hochkomplexen Zusammenarbeit der beiden Vertragsparteien meist unmöglich, kurzfristig Alternativen zu einem ausgefallenen Lieferanten zu implementieren. Nicht zu Unrecht wird in manchen Branchen wie dem Bankensektor eine externe Auslagerung der IT-Dienstleistungen durch die Aufsichtsbehörde nur zugelassen, wenn gleichzeitig ein Konzept zur Fortführung der Leistungen bei Ausfall des Dienstleisters vorgelegt wird (siehe DORA).

Unter Druck wird das Ergebnis schlecht

Ein Beispiel: Gerade die Turbulenzen rund um die Zahlungsfähigkeit des IT-Providers Atos im Jahr 2024 haben zahlreichen Kunden drastisch vor Augen geführt, dass ein ungeplanter Wechsel des IT-Dienstleisters aus mehreren Gründen praktisch unmöglich ist. In Kundensituationen wurde immer wieder bestätigt, dass ein RFP-Prozess ohne Vorbereitung und unter Zeitdruck nicht erfolgreich abläuft. Zudem dauert die systematische Auswahl eines neuen Dienstleisters in der Regel zwischen sechs und zwölf Monaten. Selbst in einem abgekürzten Verfahren unter Vernachlässigung aller üblichen Beschaffungsregeln wäre das Outsourcing wohl kaum in weniger als drei Monaten umzusetzen – ein Zeitraum, den kaum ein Unternehmen ohne laufende IT überleben wird.

Die Unsicherheit über die wirtschaftliche Überleben des Dienstleisters kann sich zunächst auf dessen Leistungsqualität auswirken. Dazu gehören unter anderem ein verminderter Personalstand, der Verzicht auf Wartungszyklen und Innovationen, die Verlängerung der Nutzungsdauer von Komponenten sowie das Aus für geplante und laufende Projekte. Kunden müssen damit rechnen, dass die Qualität – wenn überhaupt – nur noch am unteren Rand der vereinbarten Leistungen erfolgt und jeder noch so kleine Change darüber hinaus in Rechnung gestellt wird. Im weiteren Verlauf wird der Dienstleister versuchen, alle Kundenverträge, die keine oder nur eine geringe Marge abwerfen, zum frühsten möglichen Zeitpunkt zu kündigen.

 

Strategien gegen den Ausfall eines IT-Lieferanten

 

Bankgarantie des Dienstleisters oder Versicherung zur Abdeckung der Migrationskosten: Diese Lösung wird hauptsächlich im Umfeld internationaler, börsennotierter Konzerne verlangt. Sie stellt indes keine Lösung des Problems im eigentlichen Sinn dar, sondern dient nur dazu, die wirtschaftlichen Folgen des Ernstfalls zu lindern.

Enges Monitoring der Schlüssellieferanten: Ziel ist, wirtschaftliche Schwierigkeiten frühzeitig zu erkennen, um bei Bedarf geeignete Gegenmaßnahmen einzuleiten. Die Herausforderung dabei ist, vor dem Worst Case an sensible Informationen zu kommen. Hier können Sourcing-Beratungen aufkeimende Probleme von Providern erkennen, validieren und an ihre Kunden weitergeben.

Umsetzung einer 2-Vendor-Strategie für das IT-Service-Portfolio: Auf Grund der Verbindung zu zwei Dienstleistern wäre ein kurzfristiger Wechsel zwischen beiden möglich, da technische und vertragliche Vorarbeiten bereits absolviert wurden. Dieser Ansatz bietet zwar die größtmögliche Sicherheit, ist jedoch verbunden mit dem Verzicht auf die Hebung der maximalen Skaleneffekte.

Bereitschaft und Fähigkeit zum Insourcing: Sofern ein Inhouse-IT-Team den Betrieb der Landschaft zumindest temporär übernehmen kann, ist das Risiko des Dienstleisterausfalls reduziert. Zusätzliche Voraussetzung ist, dass die internen Mitarbeitenden entsprechende Berechtigungen auf den Systemen besitzen und dass die Systeme selbst noch betriebsbereit sind. Der Kenntnisstand des Teams sollte durch regelmäßige Notfallübungen geprüft werden.

Wechsel des Dienstleiters – Single-Source-Verfahren: Hierfür werden mögliche neue Dienstleister im Rahmen eines RFI eingeladen, ihre Transitions- und Lieferfähigkeit darzustellen. Erfahrung und Kundenreferenzen sowie die Bereitschaft, sämtliche Services „As-is“ zu übernehmen, spielen dabei eine zentrale Rolle. Die Entscheidung über den zukünftigen Partner wird anschließend getroffen, ohne die üblichen Phasen im Sourcing-Prozess zu durchlaufen. Um die kommerzielle Attraktivität des Angebots sicherzustellen, unterziehen wir beispielsweise die Servicepreise aus RFPs unserer Kunden einem Marktpreis-Benchmark, dessen Ergebnis die Basis für den neuen Vertrag bildet. Der gesamte Prozess sollte innerhalb weniger Monate abgeschlossen werden, damit die Transition zum neuen Dienstleister zeitnah umgesetzt werden kann.

In der Regel sollte zudem der Geschäftsbetrieb durch nachfolgende Gesellschaften weitergeführt werden. Dennoch ist in diesen Fällen mit erheblichen Schwierigkeiten und Qualitätsverlusten zu rechnen, ganz zu schweigen vom völligen Stillstand von Aktivitäten zur Weiterentwicklung und Innovation der Services. Linderung verspricht beispielsweise ein modulares Contract-Framework für IT-Outsourcing-Leistungen. Auf seiner Grundlage können Unternehmen mit dem Dienstleister verbindliche Leistungen zu festgelegter Qualität kontrahieren. Gleichzeitig bietet es dennoch genügend Flexibilität, um eine nachteilige Abhängigkeit zu vermeiden.