„Mit zentraler IT werden Insellösungen vermieden“

com! professional hat mit Rainer Hoppe über die Parameter für effiziente IT-Systeme gesprochen. Hoppe ist geschäftsführender Gesellschafter von A’Pari Consulting.

com! professional: Bitte umreißen Sie kurz die Vor- und Nachteile der zentralen und der dezentralen IT.

Rainer Hoppe: Wichtige Vorteile zentraler IT-Systeme sind die Einheitlichkeit von Standards – das gilt für Hard- und Software ebenso wie für Betrieb, Ausfall- und Informations­sicherheit sowie die Konsistenz der unternehmensweit eingesetzten Systeme. Damit werden teure Insellösungen vermieden und die Betriebskosten gesenkt. Neue Standorte können leicht in die bestehende Landschaft integriert werden. Anpassungen für Spezialaufgaben sind dabei aber erheblich schwieriger und aufwendiger zu koordinieren.

Mit dezentralen Systemen kann man schneller auf Kundenwünsche reagieren und sie an die individuellen Bedürfnisse anpassen. Zudem sind die Entscheidungswege häufig kürzer. Allerdings sind die Konsistenz und das Sicherheitsniveau der unternehmensweit eingesetzten Systeme hierbei in der Regel geringer. Durch ein Nebeneinander verschiedener Insellösungen mit fehlenden Standards steigen außerdem die Prozesskosten.

Mit dem Trend zu Industrie 4.0 wachsen die Anforderungen an die Vernetzung von IT-Systemen weiter. In diesem Kontext können dezentrale IT-Systeme nur dann fortbestehen, wenn ein durchgängiger Datenaustausch in Echtzeit über eine entsprechende Middleware sichergestellt ist.

com! professional: Gibt es eine Empfehlung, ab wann es sich lohnt, die IT zentral zu bündeln?

Hoppe: Stärker als von der reinen Unternehmensgröße hängt das von der jeweiligen Organisationsstruktur und der Anzahl der Standorte ab: Je mehr Standorte mit womöglich gleichen funktionalen Aufgaben ein Unternehmen hat, umso mehr spricht das für eine Zentralisierung bestimmter Prozesse. Die kritische Größe liegt nach unseren Erfahrungen bei fünf bis zehn dezen­tralen Organisations­einheiten.

com! professional: Dezentrale Systeme bergen Risiken bezüglich der Sicherheit und Verfügbarkeit. Wie bekommt man beides unter einen Hut?

Hoppe: Grundsätzlich gilt, dass die Sicherheit der Systeme aktiv gemanagt werden muss. Dafür empfiehlt sich eine ganzheitliche Betrachtung. In einem Information Security Management System (ISMS) können sowohl für dezentrale als auch für zentrale Systeme eine exakte Dokumentation und Maßnahmen für den Störungsfall festgehalten werden. Dabei sollte man keine eierlegende Wollmilchsau schaffen wollen, sondern den Fokus auf besonders geschäftskritische Anwendungen legen. Sicherheit und Verfügbarkeit sind immer die Summe aus Mensch/Know-how, Prozessen und IT-Systemen.

Bei unseren Risikoanalysen stellen sich deshalb Fragen wie: Verfügen wir über das erforderliche Know-how, um unsere IT-Systeme effizient nutzen zu können? Sind wir weitestgehend unabhängig von sogenannten Kopfmonopolen? Ist Schlüsselwissen immer bei mehr als einem Mitarbeiter vorhanden? Wie stabil und sicher sind die IT-Service-Management-Prozesse? Sind diese ausreichend dokumentiert?

Unabhängig von der Frage zentral oder dezentral müssen bestimmte Mindestanforderungen sichergestellt sein. Das bedeutet nicht gleich die Notwendigkeit der Zertifizierung zum Beispiel nach ISIS12 oder ISO 27001, aber eine Sensibilisierung aller Beteiligten und regelmäßige Audits sind schon erforderlich.

com! professional: In Unternehmen mit zentraler IT wird oft bemängelt, dass die Fachbelange zu wenig berücksichtigt werden. Was tun?

Hoppe: Das ist in der Tat oft immer noch ein Problem. In vielen Großunternehmen mit klassischen IT-Organisationen hat es sich eingebürgert, bei den Fachbereichen Anforderungsprofile abzufragen und entsprechende Roadmaps und Business-Cases zu erstellen. Es gilt als modern, zumindest die Infrastruktur und ihren Betrieb outzusourcen. Dabei geht aber oft der Blick für neue Themen wie Cloud und Mobile verloren. Bei anderen wie Big Data oder dem Internet of Things können auch nicht die einzelnen Fachabteilungen im Lead sein, sondern hier ist eine IT gefordert, die abteilungsübergreifend unterstützend tätig ist und gegebenenfalls auch IT-nahe Aufgaben vom Business übernimmt. Wie immer liegt der goldene Mittelweg irgendwo dazwischen. Eine Lösung könnte darin bestehen, beides zu vereinen. Eine Organisation für die bestehenden IT-Services und die Steuerung der Dienstleister (IT zu IT) sowie eine businessnahe IT mit Sinn für Innovationsthemen und angereichert mit Start-up-Charakter, sprich eine Art Business-IT. Das führt zur gegenseitigen Akzeptanz, setzt aber auch eine tiefe Veränderungsbereitschaft in den heutigen IT-Organisationen voraus. Wichtig vonseiten der IT wäre auch, Anforderungen und Trends ernst zu nehmen und aktiv entsprechende Lösungen anzubieten.