Robert Machts ist Principal Consultant bei mgm consulting partners GmbH in Berlin und war in den letzten 10 Jahren überwiegend in der IT von Energiedienstleistern unterwegs. Seine Expertise im Bereich IT-Infrastruktur, seine Leidenschaft für den nachhaltigen und gewinnbringenden Einsatz von Technologie sowie die Freunde an komplexen Problemstellungen vereint er in der Leitung von IT-Projekten und der Optimierung von IT-Systemen.

Artikel 3: „X-as-a-Service“: Ist das Teil der IT-Organisation oder gehört das ins Business?

Schaut man sich die heutigen Produkt- und Dienstleistungsangebote an, wird man kaum noch Angebote finden, die nicht auch als „as a Service“ verkauft werden. Die verschiedenen „as a Service“ Angebote werden dabei unter der Bezeichnung „XaaS“ („Everything as a Service“) zusammengefasst. Zu den bekanntesten Ausprägungen zählen:

Die Auflistung von Chancen und Risiken von „XaaS“ Angeboten ist nicht vollständig und hat auch nicht den Anspruch. Wir möchten in diesem Artikel stattdessen den Fokus auf die Notwendigkeit legen, die IT-Organisation und ihre Grenzen anzupassen, um a) aus den Chancen von „XaaS“ Vorteile zu generieren und b) zu verhindern, dass aus den Risiken Nachteile erwachsen. Und um die Frage zu beantworten: Ist das Teil der IT-Organisation oder gehört das ins Business?

Thesen zur Wirkung des Einsatzes von „XaaS“ auf die Organisation

I. Der Einsatz von „XaaS“ Diensten erlaubt eine Verschiebung der Fertigungstiefe

Die Fertigungstiefe im Sinne dieses Artikels definiert, wie viele Leistungen eine IT-Organisation selbst erbringt und wieviel sie durch externe Dienstleister einkauft. Durch den allgemeinen Trend zum Outsourcing von IT-Dienstleistungen in den letzten beiden Jahrzehnten behaupten wir, dass die Fertigungstiefe bei den meisten IT-Organisationen schon heute nirgends mehr 100% ist und auch zukünftig immer stärker durch Service Provider erbracht wird. Bei der sogenannten Retained IT verbleiben dann verstärkt die Governance- und Steuerungs-Funktion für die Provider.

Der Einsatz von „XaaS“ mit seinen häufig einfachen Management- und Konfigurations-Portalen erlauben es auch nicht hochspezialisierten Fachkräften Einstellungen vorzunehmen, ohne die Verfügbarkeit oder Funktionalität von Anwendungen zu beeinträchtigen und damit den Betrieb zu gefährden. Hier verschiebt sich die Fertigungstiefe nicht zum Provider, sondern in das Business. Ähnliches gilt für Self-Service Portale für die automatisierte Bereitstellung von Applikationen, Infrastrukturen, Kapazitäten, die ein zutun von Mitarbeiter*innen der klassischen IT-Organisation nicht mehr erfordern.

II. „XaaS“ erfordert ein grundlegendes Umdenken in Bezug auf die Leistungserbringung und die Services der IT

Die Möglichkeit mit überschaubarem Risiko schnell Anpassungen durchführen zu können, führt dazu, dass entsprechende Bedürfnisse im Business zunehmen werden und letztendlich auch eingefordert werden. Das „Dazwischenschalten” von IT-Organisation oder gar Service Providern zum Anpassen einfacher Einstellungen von „SaaS“ Anwendungen hemmt die Reaktionsfähigkeit des Business. Gleiches gilt für „PaaS“ Services, wo Anwendungsentwickler*innen viel schneller auf neue Anforderungen reagieren können, wenn Sie in der Lage sind, notwendige Dienste eigenständig zu aktivieren oder aber auch zu deaktivieren.

Auch im „IaaS“ Umfeld, das eher Service Providern zugeordnet werden kann, kann eine Veränderung der Fertigungstiefe hin zur IT-Organisation sinnvoll sein. Zum einen kann auch hier eine Beschleunigung von Bereitstellungsprozessen erzielt werden (Stichwort Automatisierung), zum anderen ist die Notwendigkeit zum Aufbau von (technischem) Wissen nicht zu ignorieren. Denn die Abnehmer von Leistungen müssen die Abhängigkeiten, Zusammenhänge und Konsequenzen erkennen und bewerten können. Letzteres versetzt die IT-Organisation in die Lage wichtige und richtige Architekturentscheidungen treffen zu können sowie einen Lock-In Effekt mit dem oder den bestehenden Service Providern zu reduzieren.

III. „XaaS“ erfordert eine andere Governance, um Wildwuchs und Kostenineffizienz zu verhindern

Durch die geringeren Hürden, neue „XaaS“ Dienste auszuprobieren und einzuführen, ist die IT-Organisation stärker als bisher gezwungen, mit dem Tempo des Business mitzuhalten und dabei stets die Einhaltung von Rahmenbedingungen und das Management von IT-Kosten sicherzustellen.

Business und IT rücken somit auch im Governance-Bereich enger zusammen mit dem gemeinsamen Ziel, Funktionsredundanzen zu vermeiden, die Integrierbarkeit der Dienste zu gewährleisten und Compliance sicherzustellen.

IV. Das Sourcing von Leistungen und die Steuerung von Providern muss grundlegend neu gedacht werden

Die o.g. Anforderung, Änderungen schneller und einfacher umsetzen zu können steht nicht im Widerspruch zum Konzept, IT-Dienstleistungen an spezialisierte Service Provider auszulagern. Das Ziel muss sein, die richtigen Leistungen auf dem richtigen Weg einzukaufen. Wenn das gelingt, kann man von schnellen und effizienten Prozessen in Bezug auf das Management von „XaaS“ Diensten profitieren und gleichzeitig ein umfangreiches Insourcing vermeiden.

Ergänzend haben wir beobachtet, dass das Sourcing der Service Integration (SIAM), also die Übertragung der (Gesamt-) Verantwortung für die Konzertierung und Steuerung über die multiplen Service Provider auf einen weiteren Service Provider (oder einen „Master Provider“), häufig zum Scheitern verurteilt ist. Nach spätestens zwei Generationen des Sourcing Vertrages wird dies häufig rückgängig gemacht. Schließlich leidet der Service Empfänger stärker unter schlechter Service Integration als die einzelnen Provider. Zudem trägt der Empfänger auch das Risiko und die Konsequenzen schlechter Integration – daher sollte diese Funktion im Unternehmen verbleiben.

V. Die Änderung der Fertigungstiefe in der IT zieht grundlegenden Transformationsbedarf für IT-Organisationen nach sich

Durch den Einsatz verschiedenster „XaaS“ Lösungen verändern sich Prozesse, Rollen- und Aufgabenprofile in der IT-Organisation bis hin zur Struktur der IT-Organisation selbst. Die IT-Organisation muss in der Lage sein, eine Vielzahl an neuen „XaaS“ Services zu unterstützen und auch (vertraglich) zu managen. Das kann bedeuten, dass neue Kompetenzen und Strukturen innerhalb der IT-Organisation aufgebaut oder ausgebaut werden müssen.

Im Vordergrund steht dabei die Integration der verschiedenen Services mit Ihren unterschiedlichen Update-Strategien (z.B. Evergreening) und -Zyklen. An dieser Stelle muss auch jedem Business-User klarwerden, dass dies nicht ohne gegenseitige Unterstützung von IT und Business möglich sein kann: Gewohnte Arbeitsweisen dürfen, sollten, ja, müssen an die neuen Gegebenheiten angepasst werden.

„XaaS“ Chancen nutzen und Risiken mitigieren – 6 Handlungsempfehlungen

Die Verantwortung liegt also sowohl im Business als auch der IT. Hier sind sechs Handlungsempfehlungen wie es Ihnen gelingen kann, die Chancen der „XaaS“ mit Hilfe der Anpassung der IT-Organisation zu nutzen, und gleichzeitig zu verhindern, dass aus den Risiken Nachteile erwachsen:

(1) IT Strategie und Governance Framework den Rahmen bilden lassen

Um die Vorteile von „XaaS“-Diensten nutzen zu können und gleichzeitig unkontrollierten Wildwuchs und ausufernde Kosten zu vermeiden muss ein klares Ziel sowie ein eindeutiger Rahmen geschaffen werden. Die IT-Strategie definiert das Ziel und den Weg; das Governance Framework die Leitplanken, in denen sich bewegt werden darf. Das Thema Datenschutz darf dabei selbstverständlich nicht außen vor bleiben. Das ist auch der Grund, warum die Hyperscaler – trotz ihrer Vorzüge und Fähigkeiten – hierzulande häufig kritisch betrachtet werden. Je enger Business und IT bei den Themen Strategie und Governance zusammenarbeiten, umso leichter lassen sich die Chancen von „XaaS“ nutzen.

(2) Aus IT „Tech“ werden lassen

Wenn Sie noch einen Schritt weiter gehen wollen, dürfen Sie darüber nachdenken die Grenzen zwischen IT und Business noch weiter einzureißen und aus dem Begriff „Informationstechnologie“ die Information zu streichen und als Gesamtunternehmen nur noch über „Tech“ zu reden. Schreiben Sie an einer Tech-Strategie, bauen Sie an einer Tech-Governance, arbeiten Sie gemeinsam an der Technologie, die Ihren Kunden und Ihrem Unternehmen die Vorteile generiert, die es braucht, um im Wettbewerb zu bestehen.

(3) Ein Cloud Competence Centers (CCC) aufbauen

Das CCC definiert, implementiert und entwickelt die grundlegende Cloud Architektur für IaaS- und PaaS-Umgebungen (Verfügbare Komponenten, Netzwerk, Security Zones, Firewalls, etc.) weiter.

Das CCC ist außerdem erster Ansprechpartner für Systemarchitekt*innen und –entwickler*innen, wenn es um die Beratung zur Umsetzung von Anforderungen auf Basis der bereitgestellten „IaaS“- und „PaaS“-Dienste geht.

Zusammen mit IT-Security ist das CCC der Hauptautor für das Governance Framework und hat gleichzeitig die Verantwortung, die Einhaltung der aufgestellten Regeln angemessen zu überwachen, Abweichungen aufzuzeigen und auf eine Beseitigung der Abweichungen hinzuwirken.

(4) Service Owner Rolle etablieren und stärken

Genauso wie (selbstentwickelte) Anwendungen einen Application Manager benötigen, braucht es einen Service-Owner für „XaaS“-Dienste. Der Service Owner (SO) ist Hauptansprechpartner für seinen Service und am Ende dafür verantwortlich, dass sich der Service bzw. die Service Management Prozesse und Strukturen in das Service Management Framework der IT-Organisation integrieren und der Service die Anforderungen der Organisation erfüllt.

Je nachdem von wie vielen User*innen und Business-Einheiten ein „XaaS“-Service genutzt wird, kommt der SO-Rolle eine besondere Verantwortung zuteil, da sie auf vielfältige und unterschiedliche Anforderungen reagieren muss. Das können funktionale Anforderungen sein, oder aber Anforderungen in Bezug auf Change- oder Kommunikationsmaßnahmen.

In Bezug auf die Fertigungstiefe ist es nicht ausgeschlossen, dass die SO-Rolle für einen „XaaS“ im Business verankert sein kann. Dies gilt insbesondere, wenn die Organisation der Zukunft in Richtung produktorientierter Organisation oder Netzwerkorganisation weitergedacht wird. Hier kommt neben den ( technologisch orientierten) Service Ownern noch die Rolle des ( fachlich orientierten) Product Owners zum Tragen.

(5) Verantwortung für Stabilität verbleibt im Unternehmen: Testgruppen bilden

Die Auswirkungen von Instabilitäten aus „XaaS“-Releases bekommen die Unternehmen zu spüren – nicht die Anbieter von „XaaS“-Services. Wir empfehlen diese Verantwortung an den Service / Product Owner im Unternehmen zu knüpfen, der die Releasenotes im Blick haben und sicherstellen muss, dass die Releases die Stabilität des Geschäftsbetriebes nicht beeinträchtigen. Hierfür empfiehlt es sich mehrere permanente Testgruppen in der Organisation zu etablieren aus denen heraus Beta-Tester nominiert und freigeschaltet werden. Diese erhalten die Releases vorab und testen, bevor das eigentliche Release für das ganze Unternehmen freigeschaltet wird. Wichtig ist es aus unserer Erfahrung, auch die Tester regelmäßig durchzutauschen, um gezielt neue Funktionen von den tatsächlichen Nutzer*innen testen zu lassen. Zumal die freiwilligen Standard-Tester*innen aufgrund Ihres Tester*innen-Daseins häufig ein Equipment mit anderen Patch-Ständen besitzen als „Otto-Normal-User“.

(6) BizDevOps und agile Entwicklung vorrausetzen

Änderungen an „XaaS“ Services kommen unverhofft und oft. Die Änderungenkönnen groß oder  klein oder aber wichtig oder unwichtig für eine Organisation sein. Aufgrund der mehr oder weniger schlechten Planbarkeit von Änderungen, sollte von vornherein ein BizDevSecOps-Ansatz sowie eine agile Vorgehensweise gewählt werden, um Weiterentwicklungen oder Anpassungen an einem Service zu managen. Welche agile Methode am Ende eingesetzt wird ist zweitrangig und kann je nach Organisation unterschiedlich sein. Wichtig ist es, sich ein zur Größe des Unternehmens und zum Level der Agilität passendes Framework zu Skalierung auszuwählen (z.B. LeSS oder SAFe).

Ausblick

„XaaS“ ist gekommen, um zu bleiben und die Nutzung wird zu- und nicht abnehmen. Unternehmen und IT-Organisationen werden mit einer grenzenlosen bzw. fließenden Fertigungstiefe der IT-Leistungserbringung konfrontiert, die auch bis in das Business reichen kann. Service Owner und Product Owner, die im gesamten Unternehmen verteilt sind, kommt dabei eine Schlüsselrolle zu.  Denn durch die Verteilung heben sie die Grenzen zwischen IT und Business auf und profitieren gemeinsam von den neuen Tech-Errungenschaften. Unternehmen werden dadurch nachhaltiger, können solider wirtschaften und haben die Chance, ein Rennen um die vorderen Plätze zu gewinnen.  IT-Organisationen, die sich frühzeitig darauf einstellen, die richtige Strategie, Strukturen, Prozesse und Rahmenparameter definieren, werden effektiver agieren und letztendlich ihr Business und damit die Kunden des Unternehmens besser unterstützen können.

Wie weit sind Sie davon entfernt? Und: wie kommen Sie da hin? Sprechen Sie mit uns! Rufen Sie mich an oder mailen Sie mir unter: info@mgm-cp.com oder treffen Sie meine Kolleg*innen am 27. und 28.09.2021 auf der Rethink!IT 2021 in Berlin. Gerne laden wir Sie dazu ein, mit uns zu diskutieren. Dort sprechen wir mit CIOs und anderen Entscheider*innen der IT- und Unternehmenswelt über die “IT-Organisation der Zukunft”.