Ist sich ein Unternehmen im Klaren, auf welcher Stufe der IT-Bedürfnispyramide es sich befindet und welche es anstrebt, lässt sich auf das geeignete Sourcing-Modell schliessen. In Abbildung 2 wird die Eignung der verschiedenen Modelle der IT-Bereitstellung anhand der Pyramidenstufen beurteilt: Von «- -» für ungeeignet bis zu «++» für sehr geeignet. Ein Ausrufezeichen weist darauf hin, dass die Eignung stark von der konkreten Situation abhängt. Beispielsweise ist die Verfügbarkeit beim Cloud Computing abhängig von der Professionalität und Servicequalität des IT-Providers sowie der gewählten Internetanbindung.
Insourcing
Die IT wird durch die IT-Abteilung des Unternehmens selbst erbracht. Diese Sourcing-Variante ist selbstredend am besten steuer- und kontrollierbar, da sie im vollen Einflussbereich der Unternehmensleitung liegt. Trotzdem birgt diese Variante häufig unerwartete Risiken. Gerade im Bereich Schutz gegen Datenverlust stellen wir selbst bei Unternehmen mit Hunderten von IT-Usern immer wieder fest, dass Back-up-Systeme nicht vorhanden sind oder nicht richtig angewendet und getestet werden, so dass im Ernstfall eine Wiederherstellung unmöglich ist. Hier bieten die anderen Sourcing-Modelle in der Regel höhere Professionalität.
Bezüglich Agilität lässt sich keine allgemeine Aussage treffen: Dies ist sehr stark davon abhängig, wie die unternehmensinterne IT ihre Aufgabe auffasst: Setzt sie primär auf die Zuverlässigkeit der IT, stehen bei Änderungswünschen die Risiken im Vordergrund – entsprechend werden Änderungen abgelehnt, zurückgestellt oder nur nach umfangreichen Formalitäten bewilligt. Andere IT-Leiter sehen sich hingegen als Business Enabler und fördern die Agilität.
Outsourcing / Outtasking
Beim Outsourcing wird die IT (oder Teile davon wie bspw. der Infrastrukturbetrieb) an einen Service Provider ausgelagert. Die zentrale IT (Server, Storage, Firewall, etc.) wird in dessen Rechenzentren betrieben. Beim Outtasking wird der Betrieb zwar auch ausgelagert, die Hardware steht aber in den Serverräumen bzw. Data Centern des Kunden. Die Leistungserbringung ist in SLA’s (Service Level Agreements) vereinbart. Die Verträge werden meist auf mehrere Jahre abgeschlossen. Diese Variante sichert hohe Professionalität hinsichtlich der technischen Belange der IT. Schwierig kann es hingegen bei der Anpassung an neue Bedürfnisse oder auch schon grösseren Änderungen beim Mengengerüst werden: Diese können zu neuen Verhandlungen führen oder der IT-Provider erweist sich als unflexibel.
Da beim Outsourcing auf das Unternehmen abgestimmte Verträge zur Anwendung kommen, ist die Steuerung und Kontrolle gut bis sehr gut. Dies hängt in der Praxis nicht zuletzt davon ab, ob das Unternehmen für den jeweiligen Provider ein Schlüsselkunde ist oder nur «einer von vielen».
Dedicated Cloud
Auch bei der Dedicated Cloud wird die IT durch einen externen Provider erbracht. Zur Anwendung kommen dabei die technischen und weitgehend die organisatorischen Ansätze des Cloud Computings mit entsprechend hoher Flexibilität bei der Ressourcennutzung: Abrechnung auf Basis der effektiv bezogenen Leistungen und vor allem die sehr viel schnellere Bereitstellung neuer Ressourcen. Der Kunde kann zudem bestimmen, ob gewisse Elemente der IT (wie z. B. Storage) ihm gegen einen Aufpreis dediziert zur Verfügung stehen, also auf einem auch physisch nur ihm zugewiesenen Gerät. Dadurch lassen sich wichtige sicherheitsbezogene Bedenken des Cloud Computings beseitigen.
Die Steuerung und Kontrolle einer Dedicated Cloud ist ausreichend bis gut. Allerdings hat der Kunde kaum noch Einfluss auf die Art der Leistungserbringung – hier ist der Service Provider darauf angewiesen, seine Standards durchsetzen zu können, um industriell und entsprechend kostengünstig die IT bereitzustellen. Gerade mittelgrosse Provider bieten jedoch Hand zu einer für den Kunden optimalen Kombination der Dedicated Cloud mit Individualisierungsmöglichkeiten.
Public Cloud
Die Public Cloud ist der derzeit am höchsten industrialisierte und standardisierte Grad der Bereitstellung von IT-Diensten. Dies betrifft auch organisatorische Abläufe: Es gibt vom Provider vorgegebene Standardverträge. Deshalb ist es möglich, diese Leistungen kurzfristig zu beziehen und via Kreditkarte zu bezahlen – man könnte von einer «Kreditkartencloud» sprechen. Die Agilität und Flexibilität sind bei diesem Sourcing-Modell am höchsten.
Eine mögliche Falle liegt hingegen vor, wenn nicht nur Standardsoftware aus der Cloud bezogen werden soll, sondern diese ergänzt werden soll um branchenspezifische oder gar individuelle Software. Vor allem wenn die Anwendungen untereinander agieren sollen, um zum Beispiel Informationen auszutauschen, wird es anspruchsvoll.
Ein Public-Cloud-Ansatz kann sich dann sogar als wenig flexibel erweisen (daher die Bewertung «++/!» in Abbildung 2). Auch die Steuerung und Kontrolle sowie die Supportmöglichkeiten sind minimal – die Position des Unternehmens ist vergleichbar mit der eines Abonnenten bei einem Telekomanbieter.
Zurzeit ist keines der vorgestellten Modelle den anderen in allen Kriterien überlegen. Zudem können und wollen die wenigsten Unternehmen ihre IT auf einen Schlag vollständig umkrempeln. Best-Practice-Lösungen wie «Bison Smartwork» verknüpfen deshalb die Vor- und Nachteile der verschiedenen Modelle und integrieren diese unter einem Dach.