20091112p Richtige IT-Strategien gegen die Krise

»manage it« als

E-Paper 5-6 2011
E-Paper 3-4 2011
E-Paper 1-2 2011
E-Paper 11-12 2010
E-Paper 9-10 2010
E-Paper 7-8 2010
E-Paper 5-6 2010

Mit der richtigen Strategie raus aus der Krise

Worauf es ankommt

In Normalzeiten bietet der Markt für die Unternehmen genügend Raum, ihre Strategien zu setzen. In Krisenzeiten sieht das ganz anders aus. Dann wird es für sie strategisch gesehen eng, weil Umsatz- und Ertragspotenziale fehlen.

imitiert sind in dieser Phase sowohl die Business- als auch die IT-Strategien, die mangels Geschäft weniger konsequent verfolgt werden. Doch Stillstand können sich die Unternehmen in keiner Phase leisten. In der Marktkrise sind Strategien gefragt, die das Überleben der Unternehmen nachhaltig absichern. Also welche Strategien zählen gerade jetzt?

Rudolf X. Ruter, Partner bei Ernst & Young und hier zuständig für den Geschäftsbereich Nachhaltigkeit in Deutschland: Strategien sind mehr als nur technologische oder renditegetriebene Entscheidungen. Schon in den letzten Jahren haben einige Unternehmensführer zu kurzfristige Strategien und überhöhte Renditeziele kritisch hinterfragt. Parallel rückte die Verantwortung gegenüber der Gesellschaft und Ökologie in ihren Fokus. Das Ergebnis waren ethische Handlungsleitlinien für eine nachhaltige Unternehmensführung (Corporate Responsibility). Doch die Krise hat gezeigt: Es waren zu wenige Unternehmensführer, die die Zeichen der Zeit erkannt hatten. Jetzt mit der Krise scheint sich die Diskussion und Neuorientierung rund um Corporate Responsibility zu verstärken. Würden doch die gleichen Fehler wie in der jüngsten Vergangenheit zum gleichen Ergebnis, eine Schwächung des Marktes, führen. Ohne ins unternehmerische Handeln die Gesellschaft und Ökologie einzubinden, wird kein nachhaltiger Ertrag zustande kommen.

Die Unternehmen müssen sich in diesem Kontext neu positionieren. Ansatzpunkte für mehr Nachhaltigkeit gibt es mehr als genug. Das Risiko- und Reputationsmanagement muss an der Maxime CR ausgerichtet werden. Nicht nur die finanziellen Daten, sondern auch ethische Bewertungsmaßstäbe sollten in die Ermittlung des Unternehmenswertes einfließen. Dazu müssen soziale und ökologische Standards in einzelnen Unternehmensbereichen wie Einkauf, Marketing, Vertrieb und Personalmanagement etabliert werden. Nur so wird in den Unternehmen ein zeitgemäßes Werteverständnis heranreifen können, auf dem mehr Nachhaltigkeit aufbauen kann: der eigenen Produkte, im eigenen Geschäft, für die Gesellschaft und Ökologie.

Im Arbeitskreis Nachhaltige Unternehmensführung (AKNU) der Schmalenbach-Gesellschaft wird nicht nur darüber diskutiert, welchen Beitrag die Verantwortlichen für eine nachhaltige Unternehmensführung leisten sollten. Zu den Verantwortungsträgern zählen neben der Geschäftsleitung, die Bereichsleiter, Eigentümer, der Aufsichtsrat beziehungsweise Beirat. Viele namhafte Unternehmen und Organisationen haben sich bereits im AKNU engagiert. Wie sieht Ihr Bekenntnis als Verantwortungsträger für mehr Nachhaltigkeit« aus? Bitte in wenigen Sätzen und mit Ihrem Foto unter www.aknu.org mitteilen.

Jan Wildeboer, EMEA Evangelist bei Red Hat: Ich sehe eine maßgebliche Herausforderung für die Unternehmen darin, sich bei ihren IT-Investitionen aus dem Klammergriff der Hersteller proprietärer Produkte zu lösen. Diese Gefahr der Langzeitproduktbindung hat sich mit der Wirtschaftskrise für die Anwender noch verschärft. Gerade die ganz großen IT-Hersteller haben die Krise genutzt, die Kundenbindungen auf Dauer zu verstärken, indem sie viele andere IT-Anbieter mit ihrer Marktmacht an den Marktrand oder ins Marktabseits gedrängt haben. Zudem haben sich viele IT-Dienstleister auf die Seite der ganz großen IT-Hersteller geschlagen. Dies verstärkt die Gefahr der Herausbildung von IT-Oligopolen auf Kosten eines freien Wettbewerbs. Klappt der Klammerzugriff, werden die Kunden künftig diesen Bereinigungs- und Konzentrationsprozess im IT-Markt in Form erhöhter Preise und einer geringeren Produktauswahl ausbaden müssen. Entgegensteuern können die Anwender diesem für sie gefährlichen Trend nur, indem sie standardisierte Software aus der Open Source Software (OSS) Community favorisieren.

Dabei sollten sie sich nicht durch vermeintliche Standards ködern lassen. Die großen IT-Hersteller zeigen gern auf Standards, obwohl sie damit nichts Anderes als ihre spezifischen Produktausprägungen meinen, die sie mit Marktmacht durchzusetzen versuchen. Eine Interoperabilität ist lediglich im Produktfeld dieses Herstellers, bestenfalls noch mit Partnerprodukten möglich, die sich der Strategie des großen Herstellers unterworfen haben. Selbst sogenannte Industriestandards umfassen nicht mehr als die Software der Hersteller, die sich in einem Gremium auf Schnittstellen, Regeln und Formate zwischenzeitlich geeinigt haben. Um gleich danach ihre Produkte wieder um ihre spezifischen Request for Commands (RFCs) zu erweitern und Industriestandards aufzuweichen. Echte, allgemein verbindliche Standards finden die Anwender nur bei den Anbietern, die barrierefrei entwickeln, also solchen, die sich der Produkte der OSS-Weltgemeinschaft bedienen.

Andreas Vogt, verantwortlich für den Bereich Managed Services bei Wincor Nixdorf: In der Krise ist vor allem die Liquidität des Unternehmens ein wichtiger Faktor. Fehlt es an ihr, können dringend notwendige Vorhaben und Projekte nicht in Angriff genommen werden. Die Konsequenzen sind gerade in der Krise mit erhöhtem Wettbewerbs- und Kostendruck für die Unternehmen verheerend. Zweifellos ist eine moderne IT-Architektur der Schlüssel zu flexiblen, kostensparenden und effektiven Geschäftsprozessen, weil darüber entscheidende IT-Services und IT-Betriebsabläufe automatisiert werden können. Gerade in der Krise stehen dem aber das notwendige Budget zum Aufrüsten der eigenen IT und das zusätzliche Projekt- und Technologierisiko entgegen.

In dieser Ausgangsituation schonen extern bezogene Managed Services das Budget der Unternehmen gleich doppelt: durch weniger IT-Investitionen und durch Kosteneinsparungen. Voraussetzung dafür ist allerdings, dass der Managed Service-Partner seine Dienste nicht als isolierte IT-Lösung, sondern als Beitrag zur Optimierung der Geschäftsprozesse begreift. Nur unter dieser Bedingung werden sich beide IT-Welten, die unternehmenseigene wie die des Partners, zu durchgängigen Geschäftsprozessen zusammenfügen. Und nur unter diesen Voraussetzungen können strategische Zielsetzungen wie Prozessoptimierungen, Einsparungen und Flexibilisierung erreicht werden.

Beispiele für aus Anwendersicht lohnende Managed Services mit strategischem Mehrwert gibt es mehr als genug. Besonders lohnend sind sie im Finanzdienstleistungs- und Handelsbereich, also in Branchen mit ausgedehnten Filial-, Automaten- und Kioskstrukturen. Wichtig ist, dass der Anbieter mit seinen Managed Services die volle Funktionsbreite von IT-Leistungen abdeckt: vom Monitoring und der Steuerung aller SB-Systeme bis hin zur Abwicklung sämtlicher Transaktionen für den betreffenden Geschäfts- und Einsatzbereich. Wieso die Einsparungen gerade bei ausgedehnten Filialstrukturen mit einer großen Anzahl an SB-Systemen so hoch ausfallen, liegt auf der Hand: Banken und Retail-Stores müssen diese Stellen nicht selbst vor Ort informationstechnisch einrichten, betreiben, warten und weiterentwickeln. Dafür können sie den Managed-Services-Anbieter, beispielsweise Wincor Nixdorf, zu liquiditätsschonenden Konditionen in die Pflicht nehmen.

Helmut Elschner ist Consultant bei Materna und geprüfter ISMS-Auditor (TÜViT): Strategisch wichtig, aber von den meisten Unternehmen verkannt, ist die Sicherheit der Informationen. Je mehr der Geschäftsverlauf von der IT abhängt, umso besser müssen die Informationen abgesichert werden. Informationen müssen jederzeit verfügbar, korrekt und vollständig sowie vor unberechtigten Zugriffen sicher sein. Andernfalls können Unternehmen nicht produzieren, liefern, gezielt entscheiden und handeln. Die Folge: Das Geschäft steht auf dem Spiel. Eine Informationssicherheit, die verlässlich trägt, muss zudem umfassend sein. Nicht nur IT-Systeme, Netze und Anwendungen sind einzubeziehen, sondern auch die Menschen, die mit den Informationen umgehen, und die Gebäude und Räume, in denen die Informationen verarbeitet beziehungsweise auf Medien oder Papier abgelegt werden. Weil eine tragfähige Informationssicherheit für die Unternehmen eine Strategie ersten Ranges ist, müssen die Unternehmensverantwortlichen von Anfang an daran mitwirken.

Wichtige Anleitungen und Lösungsvorschläge, wie eine solche ganzheitliche Informationssicherheit etabliert werden kann, bietet die internationale ISO-Norm 27001. Die Norm gibt klare Strukturen vor, wie ein dokumentiertes Managementsystem für Informationssicherheit geplant, eingeführt, betrieben, überwacht und laufend verbessert werden kann. Diese klare Struktur unterstützt zudem die geschäftlich und technisch Verantwortlichen darin, koordiniert zusammenzuarbeiten. Im Zentrum eines ISO 27001-konformen Informationssicherheitsmanagementsystems (ISMS) steht die methodische Behandlung von Risiken in voller Aktionsbreite. Dazu müssen sämtliche Risiken sowie die potenziellen Schäden, die sie nach sich ziehen können, bekannt sein. Ohne eine ganzheitliche Analyse des kompletten Geschäftssystems können Gefahren für die Informationssicherheit nicht richtig eingeschätzt und bewertet werden. Nur mit einem strukturierten und gesamtheitlichen Ansatz kann sichergestellt werden, dass die verfügbaren Ressourcen sinnvoll eingesetzt werden, um das aus Geschäftssicht notwendige Maß an Sicherheit zu erreichen. Die elf Bereiche des ISO 27001-Anhangs decken alle Bereiche der Informationssicherheit ab. Sie enthalten außerdem Zielvorgaben und die dazugehörigen Maßnahmen, um gesteckte Sicherheitsziele konsequent zu verfolgen und umzusetzen.

Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland: Ich sehe für die Unternehmen IT-Sicherheit als wichtiges, strategisches Thema. Daran sollten die Entscheider trotz Wirtschaftskrise keinesfalls sparen. Zumal unter widrigen Marktrahmenbedingungen und steigendem Konkurrenz- und Kostendruck die Gefahr für die Unternehmen wächst, Opfer wirtschaftlich motivierter Attacken zu werden. In diesem Fall besteht die Gefahr nicht nur darin, dass geschäftswichtige Informationen gestohlen, manipuliert oder zerstört werden. Gezielte Attacken können, je mehr IT und Geschäftsprozesse ineinander greifen, komplette Zuliefer-, Produktions-, Bestell-, Fakturierungs- und Vertriebs-/Logistikabläufe lahm legen. Passiert dies einem Unternehmen, das ohnehin durch die Krise geschwächt ist, kann das seine Existenz kosten. Auf jeden Fall schlägt sich eine mangelnde IT-, dadurch Daten- und Geschäftsprozess-Sicherheit schnell in finanziellen und Reputationsverlusten nieder. Deshalb sollte bei allen IT-Projekten die IT-Sicherheit in der Wirtschaftskrise und auch danach keinesfalls zu kurz kommen.

Als maßgeblichen Hebel für mehr Sicherheit erachte ich Identity- und Access-Management (IAM). Dafür sprechen viele Gründe. Erstens setzt IAM per Zugriffskontrolle den Schutzhebel vor allem dort an, wo für die Unternehmen die meiste Gefahr droht: an den Applikationen mit den Daten und Anwendungsfunktionen, die wiederum die Geschäftsprozesse tragen. Zweitens kann IAM von den Geschäftsprozessen ausgehend Top-down herausgebildet werden, um das Maß an Sicherheit exakt an der Sensibilität dieser Prozesse und der daran beteiligten Applikationen auszurichten. Drittens ist über IAM die Zugriffskontrolle strategisch, das heißt umfassend und von zentraler Stelle, administrier-, steuer- und anpassbar. Viertens sind über IAM-Bausteine wie Single Sign-on (SSO), zentrale Benutzer- und Zugriffsadministration gegenüber dem Status erhebliche Kosteneinsparungen möglich. Fünftens schließen leistungsfähige IAM-Plattformen wie Access Master integrierte Auditing- und Reporting-Werkzeuge ein. Auch die werden die Unternehmen immer dringender brauchen, um externen wie internen Compliance-Anforderungen nachweislich und wirtschaftlich zugleich nachkommen zu können.

Hadi Stiel

____________________________________

Hadi Stiel ist freier Journalist in Bad Camberg.

Folgen Sie »manage it«

auf Google+

Copyright © 2003-2012 ap Verlag GmbH