20080708j NTT Europe Managed Hosting

Outsourcing liegt im Trend. Dabei wird beispielsweise der Betrieb einer Messaging-Infrastruktur an einen Dienstleister ausgelagert. Vielfach beruhen solche Lösungen auf Microsoft-Applikationen wie Exchange oder Share Point. Zentrale Kriterien bei Outsourcing-Entscheidungen sind die vom Managed Hosting Provider zugesagte Verfügbarkeit, Servicequalität und Sicherheit.

n den Wochenenden ist Deutschland noch immer ein Do-it-yourself-Land: Die Baumärkte sind gut besucht und gekauft wird alles, was man für den Ausbau und die Renovierung zu Hause benötigt. Die Devise lautet: Selbermachen statt Handwerker ins Haus zu holen. Von Montag bis Freitag dominierte diese Do-it-yourself-Mentalität lange Zeit auch in den IT-Abteilungen von Unternehmen. Hier ist mittlerweile jedoch vieles in Bewegung geraten.

Häufig steht bei der Auslagerung von IT-Aufgaben das Motiv der Kosteneinsparung im Vordergrund. Der externe Dienstleister kann die gewünschte Leistung preiswerter erbringen als die interne IT-Abteilung, so die Erwartung. Geringere Kosten im laufenden Betrieb sind ein überzeugendes Argument bei der Auslagerung von IT-Aufgaben. In mittelständischen Unternehmen aller Branchen kommt ein weiterer Aspekt hinzu: Die eng begrenzten finanziellen und personellen Ressourcen für die Bereitstellung und den Betrieb einer hochverfügbaren IT-Infrastruktur. Steht gar ein Generationswechsel bei den eingesetzten Softwareplattformen an oder soll eine völlig neue Messaging- und Intranet-Lösung eingeführt werden, schauen sich die Mittelständler verstärkt nach Alternativen um.

Aus technologischen, organisatorischen und nicht zuletzt aus betriebswirtschaftlichen Gründen spricht vieles gegen den Eigenbetrieb. Ist die Unternehmensstruktur in Bewegung, will man flexibel bleiben: Dann liegt die Auslagerung an einen Managed Services Provider nahe. Dadurch wird die Verantwortung für einen sicheren und hochverfügbaren Betrieb einer Messaginginfrastruktur an einen Dienstleister übertragen.

Beispielhaft für derartige Lösungen sind die Microsoft-E-Mail- und Messaging-Plattform Exchange sowie Share Point. Speziell Share Point eignet sich zum Aufbau von Unternehmensportalen, bei denen auf einer einheitlichen Oberfläche unterschiedliche, für ein Unternehmen wichtige Applikationen und Informationen bereitgestellt werden. Idealerweise eröffnet ein solches Portal über einen Browser den personalisierten, sicheren Zugang zu Daten, internem Unternehmens-Know-how und Anwendungen. Passend dazu bietet Managed Exchange eine skalierbare und hochverfügbare E-Mail-Plattform, die in Verbindung mit der Managed Share Point Suite Unternehmen eine ausbaufähige Plattform für alle Intranet-, Extranet- und Webanwendungen zur Verfügung stellt. Unternehmen können so wichtige Informationen und Fachwissen mit Mitarbeitern, Partnern und Kunden gemeinsam nutzen.

Eingesetzt werden Portallösungen etwa von Vertriebsorganisationen, die oft an unterschiedlichen Firmenstandorten angesiedelt sind und deren Mitarbeiter sich zudem häufig unterwegs bei ihren Kunden vor Ort aufhalten. Über ein Vertriebsportal erhalten die Account Manager Zugriff zu allen für ihre Arbeit relevanten Applikationen und Daten. Zudem können sie sich ständig auf dem neuesten Stand halten, was ihre aktuellen Aufgaben und Projekte im Team und ihre Kundenkontakte angeht. Über entsprechende Benutzerberechtigungen sowie daran gebundene Lese- und Schreibberechtigungen ist gewährleistet, dass jeweils nur autorisierte Teammitglieder in zuvor definierten Rollen Zugriff auf bestimmte Daten und Informationen haben.

Die dazu notwendige IT-Infrastruktur einschließlich der darauf aufsetzenden Applikationen Exchange und Share Point einzurichten, zu betreiben und ständig auf dem aktuellen Stand zu halten, ist ein sehr ambitioniertes Vorhaben. Nur wenige IT-Abteilungen mittelständischer Unternehmen werden die damit verbundenen Aktivitäten ohne fremde Hilfe selbst in Angriff nehmen. Ihnen fehlen vielfach die personellen Ressourcen.

Denn eines steht fest: An eine solche Messaging- und Portallösung werden hohe Ansprüche gestellt. Während sich der Kunde um die Qualität der Inhalte kümmert, trägt der Dienstleister dabei die Verantwortung für die Verfügbarkeit, Zuverlässigkeit, Sicherheit und Integrität der Infrastruktur und der Applikationen. Im Vertriebsalltag können davon Umsatz und Geschäftserfolg abhängen. Ein Managed Service Provider wie NTT Europe Online muss daher rund um die Uhr für höchste Datensicherheit sorgen.

Ein wichtiges Entscheidungskriterium bei der Auslagerung von Messaging- und Portallösungen ist die Zuverlässigkeit der Infrastruktur und die Verfügbarkeit der Applikationen. Die Verfügbarkeit eines Systems wird heute üblicherweise in Service Level Agreements (SLAs) zwischen dem Managed Service Provider und dem Unternehmenskunden festgeschrieben.

Zunächst einmal ist zu klären, ob eine ausgelagerte Messaging- und Portallösung an sieben Tagen in der Woche rund um die Uhr beispielsweise zu 99,9 Prozent verfügbar sein muss. Die maximale Ausfallzeit im Jahr beläuft sich demnach auf neun Stunden. Denkbar ist aber auch, dass die Messaging- und Portallösung lediglich an fünf Arbeitstagen und 52 Wochen im Jahr jeweils für zwölf Stunden benötigt wird. Bei einer Verfügbarkeit von gleichfalls 99,9 Prozent reduziert sich die akzeptable Ausfallzeit damit auf drei Stunden. Auch wenn in der ersten Variante die zulässige Stillstandszeit mit neun Stunden größer ist, fallen dennoch höhere Kosten an. Denn der Managed Service Provider muss Personal und Ressourcen bereitstellen, um auch an Sonn- und Feiertagen auf einen Systemausfall reagieren zu können.

Eng damit verbunden ist die Frage der Business Continuity. Wie lange darf ein Systemausfall dauern, ohne dass dem Kunden des Managed Service Provider daraus ein Schaden entsteht? Tritt bei einer Inhouse-Lösung in der Nacht oder am Wochenende ein Problem auf wird es erst am nächsten Arbeitstag entdeckt und kann erst dann – zu den eigentlich produktivsten Stunden – gefixt werden. Ein Managed Service Provider hat das Problem bei einem Rund-um-die Uhr-Service zeitnah entdeckt und für einen Wiederherstellung beziehungsweise einen unterbrechungsfreien Betrieb gesorgt.

Bei einem schwerwiegenden Hardwarefehler geht es um die Zeit, die nach einem Systemausfall verstreichen darf: Sind vier Stunden oder nur zwei Stunden akzeptabel? Die entsprechenden Vorgaben werden beim Outsourcing ebenfalls in SLAs geregelt. Eine höhere Verfügbarkeit und geringere Ausfallzeit bedeuten automatisch höhere Kosten. Aber auch wer selbst eine Messaging- und Portallösung mit Exchange oder Share Point intern betreibt, muss Service- und Wartungskosten als laufende Ausgaben mit einkalkulieren. Diese Aufwände für eine interne Lösung müssen bei einer Make-or-Buy-Entscheidung den monatlichen Kosten einer Outsourcing-Lösung gegenübergestellt werden.

Vereinfacht ausgedrückt müssen die Managed Service Provider den mittelständischen Kunden glaubwürdig nachweisen können, dass sie als Provider mit ihrer IT-Infrastruktur Sicherheit und Verfügbarkeit sehr viel besser gewährleisten können, als das in vielen Unternehmen im Eigenbetrieb der Fall ist. Hier ist die Beratung und Erfahrung des Providers gefragt. Statt der reinen Kostengesichtspunkte gewinnen dann Aspekte wie Verfügbarkeit, Servicequalität und Sicherheit stärker an Gewicht.

Ob Anbieter diese Qualitätsversprechen auch einhalten können, lässt sich durchaus überprüfen. Exemplarisch dafür steht der ISO-27001-Standard für Informationssicherheit. ISO-27001 ist ein international anerkannter Sicherheitsstandard, der umfangreiche Anforderungen für die Errichtung, Umsetzung und Dokumentation eines wirksamen Systems für das Informationssicherheits-Management definiert. Die Zertifizierung nach ISO-27001 erfordert unter anderem einen eigenen Business-Continuity-Plan, ein Team für das Informationssicherheits-Management sowie Prozessabläufe, deren Einhaltung regelmäßig extern geprüft wird. NTT Europe Online ist einer der ersten Managed-Hosting-Anbieter in Europa, der die Zertifizierung nach dem ISO-27001-Standard für das Informationssicherheits-Management erreichte.

Bei Outsoucing-Entscheidungen dürfen abschließend die Themen Risikomanagement und Compliance nicht vernachlässigt werden. So ist in den letzten Jahren eine Vielzahl neuer Gesetze, Regeln und Vorschriften in Kraft getreten, die sich mit dem Thema Compliance befassen. Auch wenn deutsche Unternehmen nur in wenigen Fällen vom US-amerikanischen Sarbanes Oxley Act (SOX) betroffen waren, tritt zum 29. Juli 2008 die »EuroSOX« (8. EU Richtlinie) für alle Kapitalgesellschaften in Kraft. Es gibt genügend weitere juristische Anforderungen, die von Messaging- und Portallösungen zu erfüllen sind. Dazu zählen beispielsweise auch Themen aus der Finanzwirtschaft wie Risiko-Controlling nach Basel II oder KonTraG (das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich). Darüber hinaus existieren eine Reihe branchenspezifischer Regularien, die bei einer Outsourcing-Entscheidung zu berücksichtigen sind.

Oliver Harmel ist Marketing Director Central Europe bei NTT Europe Online in Frankfurt/Main.

Rechtliche Rahmenbedingungen gehosteter Messaging- und Portallösungen

E-Mails sind heute ein unverzichtbarer Bestandteil von Geschäftsprozessen: Anfragen, Angebote, Bestellungen, Preislisten und technische Unterlagen werden als Anhang an eine E-Mail verschickt. Solche geschäftsrelevanten E-Mails müssen über lange Aufbewahrungszeiträume ordnungsgemäß gespeichert und zugänglich sein. Auf diese Vorgaben gilt es zu achten, wenn ein Unternehmen seine Mail-, Messaging- und Portallösung an einen Managed Service Provider auslagert. Denn er muss dann die dazu notwendigen Maßnahmen treffen. Um den Geschäftsverkehr per E-Mail revisionssicher dokumentieren zu können, sind handels- und steuerrechtliche Regularien wie die AO (Abgabenordnung), das HGB (Handelsgesetzbuch), die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme), die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) und einige andere Vorschriften einzuhalten. So erfordert etwa die Handelsgesetzgebung, dass gespeicherte E-Mails den GoBS-Vorgaben (geordnet, unveränderbar, vollständig etc.) genügen. Die GDPdU sieht einen Zugriff auf steuerlich relevante Daten vor. All diese Anforderungen werden gemeinhin unter dem Begriff Compliance zusammengefasst.

Die Zuverlässigkeit und Verfügbarkeit einer Managed-Hosting-Lösung hängt von einer Reihe technischer und organisatorischer Vorgaben ab.
(Quelle: NTT Europe Online)

Copyright © 2003-2012 ap Verlag GmbH