Die 7 größten Unterschiede bei IT-Ausschreibungen im regulierten Umfeld – früher und heute…
„Früher war vieles besser“ – diesen Spruch hört man häufig von Nostalgikern. Auch ich selbst – mit Jahrgang 83 nicht mehr ganz jung, aber eben auch noch nicht alt genug, damit ich die Hochzeiten der New Economy und der .Dot-Com Blase bewusst im Berufsleben miterlebt hätte – höre oft, dass Früher das Leben in der IT-Branche vergleichbar mit dem Leben im Paradies war. Der Markt war noch nicht übersättigt mit Herstellern, Lösungen und Services und gleichzeitig war der Bedarf an IT-Leistungen immens groß.
In diesem Blog-Artikel möchte ich ein Stück in die Vergangenheit gehen und die Anfragen und Ausschreibungen aus meiner Anfangszeit im IT-Outsourcing-Business – dies war so um das Jahr 2010 – mit den heutigen Anfragen, Ausschreibungen und Verträgen vergleichen. Ein Schwerpunkt der Betrachtung wird dabei das Thema Anforderungen der BaFin und deren Abbildung bei Auslagerungen bzw. Ausgliederungen im IT-Outsourcing sein. Gleichzeitig möchte ich aber auch einen Blick in die Zukunft wagen: Schon heute lassen sich bestimmte Entwicklungen, die uns die kommenden Jahre noch stärker beschäftigen werden, erkennen. Aber lesen Sie selbst.
Die im Folgenden genannten 7 größten Unterschiede, basieren auf meinen Erfahrungswerten aus vielen IT-Ausschreibungen und Verträgen, die ich die letzten 10 Jahre gesehen und bearbeitet habe. Dabei steht immer das Thema IT-Outsourcing – also eine möglichst umfassende Auslagerung der IT-Leistungen von einem mittelständischen Finanzinstitut an einen IT-Provider – im Mittelpunkt.
Das Ausschreibungsverfahren
Ausführliche Erklärungen zum Ausschreibungsverfahren sowie zur Providerwahl und den Vertragsarten, finden Sie in unserem kostenlosen Whitepaper "Erfolgreiches IT-Outsourcing für regulierte Unternehmen".
1. IT-Outsourcing vs. Hybrid Cloud Sourcing
Ein wesentlicher Unterschied ist auf den meisten Ausschreibungen und Verträgen direkt auf Seite 1 zu sehen – der Titel. Während früher noch die klassische Namensgebung „IT-Outsourcing“ oder „IT-Auslagerung“ auf Seite 1 zu finden war, ist heutzutage die Bandbreite der Namensgebungen deutlich größer. Wenn der CEO oder der CIO – und neuerdings auch der CDO – eine starke Cloudaffinität hat oder es in der Unternehmensstrategie entsprechende Festlegungen gibt, dann werden Auslagerungen häufig mit „Cloud“-Begrifflichkeiten beschrieben. Selbst sehr klassische IT-Outsourcing-Projekte mit keinerlei Public Cloud Anteilen, in der Finanzbranche ebenfalls noch häufig vorzufinden, werden als „Private Cloud Sourcing“ bezeichnet. Auch wenn die Vielfalt in der Benennung des Outsourcing-Vorhabens deutlich größer geworden ist: Der inhaltliche Kern ist häufig noch sehr vergleichbar. Viel wichtiger als dieser Unterschied, sind jedoch die kommenden Punkte
Und die Zukunft ...
…wird vermutlich noch weitere Begriffsvarianten und Muster geben. Auch im finanzregulierten Umfeld wird sich die Public Cloud weiterverbreiten, so dass die „Cloudisierung“ in den Titeln der Projekte sicherlich nicht weniger wird.
2. First Generation vs. X-Generation Outsourcing
Obwohl es große IT-Outsourcing Projekte bereits seit vielen Jahren – auch vor 2010 – gab, ist gerade im Umfeld von mittelständischen Finanzunternehmen der Trend zum IT-Outsourcing erst seit dieser Zeit angestiegen. In meiner Anfangszeit gab es deshalb noch relativ viele „First Generation Outsourcing-Projekte“. Dies waren Finanzunternehmen, die bis zu diesem Zeitpunkt die IT noch selbst betreut haben und die Kernsysteme noch sehr häufig bei sich im Kellergeschoss der Hauptzentrale hatten. Als Ausweich-Rechenzentrum wurde noch Hosting-Kapazität bei einem Hosting-Provider gebucht und fertig war das IT-Setup. Durch die steigenden Anforderungen der BaFin und dem damit einhergehenden gesteigertem Projekt- und Kostendruck wurden gerade zwischen 2010 und 2015 viele IT-Outsourcing Projekte von mittelständischen Unternehmen der Finanzbranche initiiert.
Mittlerweile gibt es bei finanzregulierten Unternehmen nur noch selten First Generation Outsourcing-Projekte. Viele Unternehmen befinden sich bereits im Outsourcing und deren (zum Teil auch schlechten) Erfahrungen finden sich in den Ausschreibungsunterlagen wieder. Hat zum Beispiel der bisherige Vor-Ort Support nicht zufriedenstellend funktioniert, so wird ein weiterer SLA genau für diese Leistung definiert und mit in die Ausschreibungsunterlagen aufgenommen.
Und die Zukunft…
…wird natürlich genauso weitergehen. First Generation Outsourcing Projekte werden noch seltener, die Lehren und Erfahrungen aus bestehenden Outsourcings wird bei Neuausschreibungen berücksichtigt.
3. Datacenter vs. Public Cloud
Seit 2006 gibt es den derzeit größten Public Cloud Anbieter Amazon Web Services (AWS) bereits am Markt. 2010 war das Thema Cloud, insbesondere bei deutschen Unternehmen und dann auch noch bei BaFin-regulierten Finanzinstituten, kein Thema. Erst in den letzten 3-4 Jahren findet man die Anforderung nach Public Cloud Services vermehrt in den Ausschreibungen. Insbesondere die Leistungen rund um Microsoft 365 mit Exchange Online sowie den Collaboration-Tools Microsoft Teams und SharePoint werden nun verstärkt angefragt. Das dies auch im regulierten Umfeld möglich ist, beweisen viele Praxisbeispiele und auch die matrix hat bereits diverse Unternehmen beim Einsatz von Cloud Services im regulierten Umfeld begleitet.
Damit diese Entwicklung überhaupt möglich war, haben sich beide Seiten – einerseits die BaFin, andererseits die großen HyperScaler – aufeinander zu bewegt. Der Bedarf an der Nutzung von Public Cloud Services war bei den Finanzunternehmen natürlich ebenso vorhanden, wie bei vielen anderen Unternehmen und Branchen. Aber erst die Konkretisierungen und Veröffentlichungen der BaFin und insbesondere die Einräumung der uneingeschränkten Prüfrechte für Finanzunternehmen durch Microsoft, Google, Amazon und Co. hat den Schritt in die Public Cloud für Finanzunternehmen ermöglicht.
Und die Zukunft…
…wird sicherlich noch deutlich mehr Cloud Services in Ausschreibungen mit sich bringen. Aktuell liegt der Fokus noch stark auf der Microsoft 365-Welt, während weitere Cloud-Plattformen meist über dedizierte Projekte in den Fachbereichen vorangetrieben werden. Dies wird sich vermutlich noch ändern und die Integration der größten Cloud-Anbieter wird auch im IT-Outsourcing zum Standard werden.
4. Security vs. Security Solutions
IT-Sicherheitsaspekte, Prozesse und Lösungen sind schon immer fester Bestandteil von IT-Services. Während jedoch das Thema Security in der Vergangenheit oft sehr generisch behandelt wurde und nur selten konkrete Lösungen – bis auf die etablierten Sicherheitslösungen wie Virenscanner und AntiSpam-Lösungen – angefragt wurden, kommt dem Thema IT-Security mittlerweile eine sehr zentrale Rolle zu. Häufig wird dies als komplett eigener Leistungsschein beschrieben und es werden sehr konkrete Leistungen angefragt. Dabei finden Themen wie SIEM, Log Management, Vulnerability Management, Verschlüsselungen auf verschiedensten Ebenen, aber auch die Bereitstellung eines Security Operations Center Einzug in die Ausschreibungen und Verträge bei Auslagerungen. Gründe dafür sind sicherlich neben den steigenden Anforderungen der BaFin, auch konkrete Ergebnisse aus BaFin-Prüfungen oder Institutseigenen Konkretisierungen der BaFin-Vorgaben. Konkrete Beispiele sind hier die Aufnahme von zusätzlichen Tools im Umfeld Security, aber auch konkrete Vorgaben bzgl. Inhalt und Umfang für Härtungskonzepte und Betriebshandbücher.
Und die Zukunft…
…wird auch hier sicherlich noch weitere Konkretisierungen und Lösungen mit sich bringen. Hier werden alle Parteien – die BaFin, die Unternehmen, aber auch die IT-Provider – ständig die Anforderungen bzw. das Leistungsspektrum erweitern und verschärfen.
5. SLAs vs. SLAs, SLAs und noch mehr SLAs
Verfügbarkeit – das war meist der Kern aller Service Level Agreement, die in Ausschreibungen zu finden waren. Damit finanzregulierte Unternehmen ihrer Anforderung nach „Steuerbarkeit“ des Dienstleisters umfassend nachkommen konnten, ist das Thema SLAs in heutigen Ausschreibungen häufig eine komplett eigene Wissenschaft. SLAs gibt es nicht mehr nur auf die Verfügbarkeit der Kernservices, sondern in allen Bereichen und Aspekten des Service. Häufig wird dabei vergessen, dass jeder SLA natürlich auch gemessen und reportet werden muss. Dies führt zum Teil zu deutlich höheren Aufwänden und damit Kosten auf Provider-Seite. Zum Teil wirkt sich aber genau das auch negativ auf das eigentliche Ziel von SLAs aus: Durch die unglaublich hohe Menge an SLAs und deren Komplexität, gelingt es den Kunden nicht mehr immer, die Provider über die SLAs optimal zu steuern.
Beispiele für SLAs aus den letzten Jahren sind u.a. die Anrückzeiten des Vor-Ort Supports vom ersten Anruf bis zur Ankunft am Arbeitsplatz des Mitarbeiters inkl. einer entsprechenden Pönalisierung. Hier allein ein einfaches Monitoring und Reporting zu etablieren, stellt Provider vor Herausforderungen.
Und die Zukunft…
…wird vermutlich ein Mittelweg aus der vergangenen und heutigen Zeit sein. Mehr SLAs als Verfügbarkeit der Kernservices „ja“, aber SLAs auf jede noch so kleine Tätigkeit im Rahmen der Serviceerbringung nutzen weder dem Provider noch dem Kunden.
6. Georedundanz vs. Regulatorik-Anlagen
Die Abbildung regulatorischer Anforderungen in der Leistungs- bzw. Serviceanforderung der Kunden ließ sich meist auf einige, wenige Punkte reduzieren. Meist war die Bereitstellung der Services in georedundanten Rechenzentren – konkretisiert mit einem Abstand von 5 Kilometer oder mehr – aufgeführt. Als Zertifizierung wurde noch maximal die ISO 27.001 beim Provider eingefordert. Mittlerweile sind die regulatorischen Anforderungen deutlich konkretisiert und umfangreicher. So werden spezielle Lösungen (siehe Punkt 4), konkrete Ausstattungen der Rechenzentren und des Betriebs-Setups gefordert – und Zertifizierungsseitig ist die ISO 27.001 häufig nicht mehr das alleinige Heilmittel. ISAE3402 oder SAS70 als Wirtschaftsprüfungstestate, um Prüfaufwände zu reduzieren, ISO 20.000 um auch den Nachweis zu haben, dass der Provider sich an gängigen (ITIL) Standards orientiert und noch allerlei Spezialanforderungen wie bspw. PCI-DSS konformer IT-Betrieb bei bestimmten Kundengruppen, sind nur einige Beispiele dafür.
Und die Zukunft…
…wird auch hier sicherlich keine nachlassenden Anforderungen mit sich bringen. Der Standard ist hoch, die BaFin arbeitet jedoch ständig an neuen Anforderungen, die wiederum in einigen Monaten und Jahren in den Verträgen und Ausschreibungen zu finden sein werden.
7. Aufgabenbeschreibung vs. Servicebeschreibung
Der letzte Punkt ist sicherlich nicht „exklusiv“ nur bei IT-Auslagerungen von Finanzinstituten zu beobachten, sondern eher ein genereller Trend in der Ausschreibungsgestaltung bei IT-Sourcing-Vorhaben. Während früher das „WIE“ mache ich etwas - also die Aufgaben des Providers sehr konkret und abschließend formuliert waren, steht heute in den Ausschreibungen die generelle, übergeordnete Serviceanforderung des Kunden im Mittelpunkt. Dieses „WAS“ möchte ich, wird dabei meist relativ unkonkret und explizit nicht abschließend beschrieben und der Gesamtservice von A-Z wird vom Provider erwartet. Dies führt allerdings in der Praxis trotzdem zu Diskussionen während der Vertragslaufzeit, ob jetzt bestimmte Leistungen inkludiert sind oder ob diese separat zu vergüten sind.
Und die Zukunft…
…wird hier vermutlich keine größeren Änderungen mit sich bringen. Die „Servicesicht“ und die sehr umfassende Serviceerwartung wird sich auch in künftigen Ausschreibungen wiederfinden. Lediglich kundenspezifische Anforderungen werden weiterhin detaillierter beschrieben werden und die Verantwortlichkeiten entsprechend festgelegt.
Vieles ändert(e) sich, vieles ist aber auch noch gleich. Die letzten 10 Jahre im IT-Outsourcing Markt waren von vielen Veränderungen geprägt – sei es in der technologischen Entwicklung der IT, in der Art der Anforderungsbeschreibung bzw. der Gestaltung der Verträge und Ausschreibungsdokumente oder, speziell im Kontext der Finanzunternehmen, der Umgang mit regulatorischen Anforderungen. Dennoch bleibt der Kern jedes erfolgreichen IT-Outsourcings seit vielen Jahren gleich: Ein partnerschaftliches Miteinander, das Verständnis für die Bedürfnisse und die Situation jeder Partei (sowohl Kunde als auch Dienstleister) und ein offener und transparenter Umgang mit Herausforderungen. Ich persönlich bin gespannt, wie mein Fazit im Jahr 2030 aussehen wird!
