Die Digitalisierung eröffnet Unternehmen aller Größenordnungen völlig neue Möglichkeiten fordert aber auch ein nie dagewesenes Maß an Flexibilität, um schneller auf veränderte Kundenwünsche reagieren zu können. Die Unternehmens-IT stößt hier allerdings oft an ihre Grenzen. Das Konzept der virtuellen IT-Organisation liefert hier wertvolle Lösungsansätze für eine dynamische Anpassung der IT an die eigenen Bedürfnisse.
Wachstum kann manchmal schmerzhaft sein – insbesondere in einem so dynamischen Feld wie der IT. So merken vor allem schnell wachsende Unternehmen, dass ihre interne IT-Organisation an ihre Grenzen stößt, wenn sich die Anforderungen der Fach- und Administrationsbereiche verändern. Auch ältere, mittelständische Unternehmen, deren interne IT historisch gewachsen ist, stehen oft vor diesem Problem. Diesen Unternehmen fehlen meist das Know-How und die notwendigen Ressourcen, um an den aktuellen Marktentwicklungen und Möglichkeiten der Digitalisierung umfassend partizipieren zu können. Die Folgen: Unzufriedenheit unter den Mitarbeitern und erhöhte Compliance-Risiken, weil geltende Normen wegen fehlender Prozesse und Dokumentationen nicht eingehalten werden können.
Doch wie lässt sich ein marktgerechtes Wachstum innerhalb der eigenen IT-Infrastruktur realisieren, ohne hohe Anschaffungskosten zu verursachen? Das Konzept der „Virtuellen IT-Organisation“ liefert hier eine vielversprechende Alternative.
Virtuelle IT-Organisation steigert Qualität und Flexibilität
Im Rahmen einer virtuellen IT-Organisation übernimmt ein Netzwerk aus Partnern verschiedene Teilaufgaben der IT-Leistungserbringung. Dadurch ermöglicht es die virtuelle IT-Organisation Unternehmen, das fachliche Potenzial spezialisierter Partner so zu kombinieren und zu bündeln, dass die geforderten Leistungen möglichst effizient und in kontinuierlich hoher Qualität erbracht werden können. Eine Anpassung an die Bedürfnisse der Organisation ist dabei jederzeit flexibel möglich.
Durch die entstehenden Synergien zwischen den Kooperationspartnern können auch Leistungen erbracht werden, die das Unternehmen über seine interne IT oder einen einzelnen Dienstleister nicht in Anspruch nehmen könnte. Je nach Aufgabenstellung können kurzfristig unterschiedliche Projektteams gebildet werden; fehlende Ressourcen können jederzeit über bestehende oder neue Partner hinzugezogen werden.
Die folgende Abbildung illustriert beispielhaft die Struktur einer virtuellen IT-Organisation:
Mögliche Leistungsinhalte, die durch verschiedene Partner erbracht werden können, sind zum Beispiel
- Service Desk und Service Management
- Rechenzentrums-Dienstleistungen
- Netzwerk und Firewall
- Sicherheitsberatung und Pen-Tests
- Datensicherung und Datenmanagement
- Virtual Datacenter und Microsoft Dienste
- Rechenzentrums-Dienstleistungen
- IT-Hardware-Bereitstellung
- Unified Communications und Telefonie
- Thin-Client Lösungen
- Druckerlösungen
- Bereitstellung von Devices (Laptops)
- Compliance und Information Security (Besetzung der ISB, DSB, QMB-Rolle)
Je nach Ausrichtung und Strategie des Unternehmens müssen dabei selbstverständlich nicht sämtliche Leistungen in Anspruch genommen werden. Gleichzeitig können mehrere Leistungspakete durch ein und denselben Partner erbracht werden.
Entscheidend für den Erfolg virtueller IT-Organisationen ist die Fähigkeit der Partner, sich untereinander weitestgehend selbst zu organisieren, und – damit einhergehend – ein starkes Vertrauensverhältnis der Partner untereinander. Eine Schlüsselfunktion nimmt nichtsdestotrotz eine koordinierende Einheit ein, welche die Gesamtverantwortung für die Leistungserbringung gegenüber dem Kunden übernimmt und die Leistungen der einzelnen Partner orchestriert. Diese Rolle trägt in der Regel auch die Verantwortung für das Reporting und die Sicherstellung eines kontinuierlichen Verbesserungsprozesses.
Bessere Steuerung, mehr Skalierungsmöglichkeiten
Unternehmen, die sich für die Implementierung einer virtuellen IT-Organisation entscheiden, profitieren von erheblichen Vorteilen: Aus Kundensicht ist eine virtuelle IT-Organisation verhältnismäßig einfach zu steuern, da die Verantwortung für die Leistungserbringung sowie die Koordination der Partnerleistungen bei einer zentralen Schnittstelle zusammenlaufen.
Je nach Bedarf können jederzeit die fachlich passenden Ressourcen eingebunden werden. Ändern sich die Rahmenbedingungen, so lassen sich bedarfsgerecht zusätzliche Ressourcen hinzufügen. Dies ermöglicht eine flexible Reaktion auf geänderte Anforderungen des Marktes, der Unternehmensleitung, einzelner Fachbereiche oder anderer Stakeholder. Gleichzeitig besteht jederzeit die Möglichkeit der kurzfristigen Skalierung.
Dank des zugrundeliegenden kontinuierlichen Verbesserungsprozesses ist es möglich, die Qualität der IT-Leistungen und damit ihr Stellenwert als Business Enabler laufend zu steigern. Im selben Zuge werden die Betriebsrisiken gesenkt und die Gefahr eines Unternehmensschadens deutlich reduziert.
Nicht zuletzt eröffnet sich gerade mittelständischen Unternehmen die Möglichkeit, über ihre spezialisierten Dienstleister schnell an neuen Markt- und Technologieentwicklungen zu partizipieren, auf die sie in einer herkömmlichen IT-Organisation keinen Zugriff hätten.
Case Study: Virtuelle IT-Organisation in der Praxis
Ein in Deutschland ansässiges Beratungsunternehmen mit mehreren Niederlassungen im europäischen und nicht-europäischen Ausland sah sich aufgrund seines schnellen Wachstums mit steigenden Aufwänden für das Management seiner IT konfrontiert. Hinzu kamen fehlende Richtlinien und unklare Prozesse, während mehrere Kunden einen normenkonformen Informationssicherheitsstandard einforderten.
Aus diesen Gründen strebte das Unternehmen die Einführung eines Informationssicherheitsmanagements (ISMS) einschließlich dessen Zertifizierung nach ISO 27001 an. Um die Implementierung und Zertifizierung des ISMS möglichst zeitnah umzusetzen, entschied man sich zur Etablierung einer virtuellen IT-Organisation, welche alle IT-sicherheitsrelevanten Abläufe mit abdeckte.
Folgende standardisierten Arbeitsschritte und Servicebausteine waren dabei für den Projekterfolg entscheidend:
- Bestandsaufnahme der erforderlichen Rollen
- Spezifikation der Arbeitsplatzumgebungen je Benutzerprofil
- Spezifikation der Geräte, Erstellung der Images und Aufsetzen der Geräte
- Einrichtung eines Service Desk als Single Point of Contact für alle Mitarbeiter
- Besetzung der Rolle des Informationssicherheitsbeauftragten (ISB)
- Dokumentation und interne Kommunikation der wichtigsten IT-sicherheitsrelevanten Abläufe (Umgang mit Security Incidents, Ansprechpartner, Rollen, Verantwortlichkeiten, Qualitätssicherung und kontinuierlicher Verbesserungsprozess (KVP))
- Aktives Servicemanagement
- Zertifizierung nach ISO 27001
Heute greift das Unternehmen über eine zentrale Schnittstelle auf die spezifischen Fachkompetenzen der beteiligten Partner in den Bereichen Service Management, Virtualisierung und Cloud Computing, Compliance und Informationssicherheitsmanagement, IT-Systemhaus, IT-Sicherheitsberatung sowie Social Engineering zu. So konnten Standards für Qualität und Informationssicherheit etabliert werden, die nun im laufenden IT-Betrieb gelebt werden.
Darüber hinaus konnten die Risiken und Störungen des IT-Betriebs deutlich reduziert werden. So wird eine kontinuierliche Arbeitsfähigkeit der Mitarbeiter in einem professionellen IT-Umfeld gewährleistet, was zu einer spürbaren Verbesserung der Mitarbeiterzufriedenheit führte.
Durch die erfolgreich abgeschlossene ISO 27001-Zertifizierung schließlich konnten nicht nur die Compliance-Risiken gesenkt, sondern auch die Position des Unternehmens gegenüber seinen Auftraggebern und gegenüber dem Wettbewerb gestärkt werden.
Bei der Umsetzung des Projektes waren folgende Unternehmen beteiligt:
InterFace AG: Projektunterstützung und Servicemanagement
OnDimand: für Compliance Beratung und die Besetzung der ISB Rolle
Aluxo: zur Bereitstellung der Devices (Laptops)
Lastbreach: für Pen-Tests, Sensibilisierung der Mitarbeiter
Lawpilots: für Schulungen zur Informationssicherheit
IF-Tech AG: Bereitstellung der Microsoft Dienste als CSP Partner
DQS: für Audits und die Zertifizierungen gemäß ISO 27001
PARKAZ GmbH: Als SPOC (Single Point of Contact), Generalunternehmer und Projektleitung
