Wenn Governance ausgelagert wird - was Unternehmen beim Outsourcing übersehen

Viele Unternehmen geben in der Begeisterung für IT-Outsourcing nicht nur Technik, sondern oft auch Verantwortung ab – mit gravierenden Folgen. „Wer lediglich ‚abgibt‘, verliert oft schon nach wenigen Monaten den Überblick – und damit die Kontrolle“, warnt Thorsten Thau, Product Owner des Open-Source-Anbieters KIX. Er begleitet Organisationen, die nach Jahren der Fremdsteuerung ihre IT zurückholen – und dabei oft schmerzhaft lernen, wie hoch der Preis fehlender Governance ist. Ein Gespräch über verlernte Selbstständigkeit, gefährliche Bequemlichkeit – und die Frage, wie man Kontrolle zurückerobert, ohne wieder ins Chaos zu stürzen.

EZB und BaFin verlangen, dass Unternehmen bei ausgelagerter IT jederzeit vollständig steuerungsfähig bleiben. Aus Ihrer Sicht: Haben Unternehmen überhaupt die Mittel, um dieser Forderung realistisch nachzukommen?

In der Theorie: ja. In der Praxis: nur, wenn sie die richtigen Hausaufgaben machen. Steuerungsfähigkeit ist nicht nur eine Frage des Vertrags, sondern hängt auch wesentlich von Kompetenz, Transparenz und Prozessen ab. Viele Unternehmen unterschätzen den Aufwand, der nötig ist, um bei ausgelagerten IT-Leistungen wirklich handlungsfähig zu bleiben – insbesondere bei kritischen Services. Was wir bei KIX beobachten: Wer frühzeitig in dokumentierte Prozesse, standardisierte Schnittstellen und eigene IT-Fachlichkeit investiert, bleibt auch im Outsourcingfall souverän. Wer hingegen lediglich ‚abgibt‘, verliert oft schon nach wenigen Monaten den Überblick, und damit die Kontrolle.

Was ist gefährlicher: Ein veraltetes System, das man versteht – oder ein modernes System, das keiner mehr wirklich überblickt?

Beides ist gefährlich, aber aus unterschiedlichen Gründen. Ein veraltetes System, das die Mitarbeiter gut beherrschen, kann betriebswirtschaftlich zur Zeitbombe werden. Etwa durch hohe Betriebskosten, mangelnde Skalierbarkeit oder Sicherheitslücken. Ein modernes System ohne ausreichende Kenntnisse im eigenen Haus hingegen birgt ein ganz anderes Risiko: Kontrollverlust. Wenn Wissen und Abhängigkeiten sich allein bei Dienstleistern bündeln, wird jede Störung schnell zur strategischen Krise. Deshalb plädieren wir bei KIX für nachvollziehbare Architekturen, Open Source, standardisierte APIs. Kurz: Systeme, die modern und verständlich bleiben.

Warum wird IT-Outsourcing oft als Befreiung empfunden – obwohl es eine strukturelle Schwächung bedeutet?

Problematisch wird es, wenn Unternehmen sich in proprietäre, schlecht dokumentierte Systeme einmieten, und sich damit langfristig abhängig machen. Open Source bietet hier einen Ausweg: Es ermöglicht Outsourcing ohne Kontrollverlust. Das Unternehmen bleibt jederzeit in der Lage, den Dienstleister zu wechseln oder Leistungen wieder ins Haus zu holen. Deshalb ist Outsourcing nicht per se eine Schwächung, sondern eine Frage der Organisation und Vertragsgestaltung.

Welche Art von Verantwortung bleibt immer im Unternehmen – egal, was man auslagert?

Die Verantwortung für Sicherheit, Compliance und strategische Steuerung lässt sich nicht outsourcen. Auch wenn ein Unternehmen das Rechenzentrum, die Applikation oder den Service-Desk extern betreiben – die Pflicht zur Überwachung, Bewertung und Steuerung dieser Leistungen liegt immer beim Unternehmen selbst. Dazu gehört auch: zu wissen, welche Daten wo liegen, wie Prozesse abgesichert sind und wer im Ernstfall welche Maßnahmen ergreift. Wer das nicht sicher beantworten kann, handelt fahrlässig. Und gefährdet unter Umständen nicht nur den eigenen Betrieb, sondern auch Kunden und Partner.

Was unterscheidet Unternehmen, die Verantwortung bewusst zurückholen, von denen, die sie weiter delegieren?

Oft ist es ein Reifegrad-Thema, oder eine Frage des Mindsets. Unternehmen, die Verantwortung zurückholen, haben meist erlebt, was es bedeutet, nicht mehr handlungsfähig zu sein. Sie investieren gezielt in interne Kompetenzen, bauen Governance-Strukturen auf und setzen auf Lösungen, die nachvollziehbar und beherrschbar bleiben. Dazu gehört auch der Wille, sich mit Technologie aktiv auseinanderzusetzen, statt sie nur zu nutzen. Bei Unternehmen, die weiterhin delegieren, beobachten wir dagegen häufig eine Art ‚technologische Bequemlichkeit‘, gepaart mit der Hoffnung, dass schon nichts schiefgehen wird. Das funktioniert allerdings nur selten auf Dauer.

Was hat KIX in Projekten erlebt, wo Organisationen ihre IT wieder ins eigene Haus bringen wollten – und gescheitert sind oder gewachsen sind?

Beides kommt vor, und beides ist lehrreich. Gescheitert sind meist jene, die meinten, man könne komplexe IT-Strukturen ‚mal eben‘ zurückholen, ohne dafür intern die nötigen Ressourcen aufzubauen. Ohne klare Zielarchitektur, ohne saubere Dokumentation und ohne interne Experten ist ein Insourcing zum Scheitern verurteilt. Gewachsen sind hingegen jene, die das Projekt strategisch aufgesetzt haben: mit einem klaren Plan, festen Verantwortlichkeiten und Systemen, die offen und wartbar sind. Genau hier spielt KIX seine Stärken aus: Als Open Source-Plattform mit klarem Fokus auf Transparenz, Anpassbarkeit und nachhaltigem ITSM-Support bietet KIX eine solide Grundlage, um wieder selbst die Zügel in die Hand zu nehmen, ohne sich möglicherweise mit einem proprietären Lock-in zu belasten.