Thought Leadership
Mit „Total costs of ownership“ Kosten sparen – aber nicht an der Sicherheit.
Wer billig kauft, zahlt doppelt
Die Anschaffung einer professionellen Antiviren-Software ist für Unternehmen ein „Muss“, wie der Internetwurm Conficker zeigt. Während die auf das eigene Netzwerk zugeschnittene Wunschlösung aus technischer Sicht penibel genau recherchiert wird, wird die betriebswirtschaftliche Betrachtung der anfallenden Kosten zumeist nur oberflächlich vorgenommen. Oder es werden vermeintliche Billiglösungen angeschafft, weil durch die Wirtschafts- und Finanzkrise das IT-Budget extrem beschnitten wurde. Das böse Erwachen folgt jedoch auf dem Fuße – siehe Conficker: Die oft angewendete Formel
Lizenzpreis * Anzahl zu schützender PCs/Server + Updatekosten = Gesamtkosten
ist eine Milchmädchenrechnung, die so manchem Unternehmen in der Vergangenheit enorme Folgekosten bescherte. Aus der vermeintlich günstigsten Lösung kann schnell ein teures Unterfangen werden, wenn die in der Praxis auftretenden Kosten nicht in die Gesamtkalkulation einbezogen werden. Insbesondere versteckte Kosten und unternehmensspezifische Präferenzen schlagen unter Umständen teuer zu Buche.
Ein einfaches und wirksames Mittel, um den tatsächlichen Preis einer Anschaffung, wie zum Beispiel einer Sicherheitslösung, zu bestimmen und so auch eine Vergleichbarkeit von Produkten in der Praxis zu gewährleisten, ist das sogenannte „Total Costs of Ownership“.
Total Costs of Ownership berücksichtigt alle direkten und indirekten Kosten
Total Costs of Ownership (TCO) ist ein Abrechnungsverfahren, das dazu dient, Verbrauchern und Unternehmen dabei zu helfen, alle anfallenden Kosten von Investitionsgütern (insbesondere in der IT) wie beispielsweise Software und Hardware abzuschätzen. Die Idee dabei ist, eine Betrachtung vorzunehmen, die nicht nur die Anschaffungskosten enthält, sondern alle Aspekte der späteren Nutzung (Updates, Schulung, Administrationsaufwand etc.) der betreffenden Komponenten. Somit können bekannte Kostentreiber oder auch versteckte Kosten möglicherweise bereits im Vorfeld einer Investitionsentscheidung identifiziert werden. Wichtigste Grundlage für das weitere Verständnis der TCO ist die Unterscheidung zwischen direkten und indirekten Kosten. (Quelle: Wikipedia)
Sehr gute Virenerkennung ist nicht alles – und schon lange kein Preiskriterium
Die primäre Aufgabe einer Sicherheitslösung ist die zuverlässige Abwehr von Gefahren durch Malware. Sie allein bestimmt aber nicht, wie gut sich die Lösung in der Praxis schlägt. Die beste Virenerkennung ist wenig wert, wenn durch sie beispielsweise die Systemperformance so eingeschränkt wird, dass ein produktives Arbeiten am Arbeitsplatz nahezu unmöglich ist.
Hier greift Total Costs of Ownership: Alle technischen Anforderungen, die bei der Erstinstallation und in der täglichen Praxis auftreten, werden mit betriebswirtschaftlichen Kennziffern verknüpft. Die Addition aller Kosten zeigt dann den wahren Wert der Anschaffung. Dies könnte (vereinfacht gesagt) wie folgt aussehen:
+ Erkennungsleistung in der Praxis
+ Suchgeschwindigkeit in Wirklichkeit
+ reeller Bedarf an Systemressourcen
+ wahrer Administrationsaufwand
+ anfallende Kosten durch Malware-Befall
+ Aufwendungen für Service + Support
———————————–
= Total Costs of Ownership
Versteckte Kosten – der Teufel liegt im Detail
Direkte und indirekte Kosten (vom Lizenzpreis bis zum Support) machen den Großteil der Investition aus. Versteckte Belastungen entscheiden oftmals, ob aus der Traumlösung ein finanzieller Albtraum wird. Gerade bei der (Neu-)Anschaffung einer Sicherheitslösung sollte man folgende Kostenfallen nicht aus dem Auge verlieren:
-
Testung und Evaluierung
-
Neue Client Hardware
-
Neue Server Hardware
-
Eingeschränkte Netzwerkverfügbarkeit
-
Eingeschränkte Produktivität der Mitarbeiter
-
Lizenzerweiterung bzw. Verlängerung
-
Deinstallation nahezu unmöglich
Diese Punkte gelten sowohl für die potenzielle neue Schutzsoftware als auch für die aktuell eingesetzte. Möglicherweise lohnt sich der Umstieg zu einem anderen Hersteller unter Umständen (finanziell) gar nicht.
Incidents – wenn Störfälle richtig ins Geld gehen
"Incidents" – also Störfälle, die durch eine Sicherheitssoftware verursacht werden – werden bei der Kostenkalkulation oft übersehen. Fehlalarme, Bluescreens, Systemabstürze oder ein Malware-Befall halten nicht nur den Administrator „auf Trab“, sondern können unter Umständen horrende finanzielle Belastungen nach sich ziehen.
Daher müssen die durch Incidents hervorgerufenen Kosten unbedingt auch im Controlling erfasst und in der Kalkulation berücksichtigt werden.
Im Internet kann man sich schnell einen Überblick über die durch Sicherheitssoftware ausgelösten Störfälle verschaffen. Renommierte IT-Webseiten wie „securitymanager.de“, „heise.de“ oder „silicon.de“ bieten tagesaktuelle Informationen über bekannte Schwächen und Bugs fast aller Hersteller und Produkte.
Die Suche nach "AV-Hersteller+Fehlalarm" oder ähnliche Kombinationen liefern schnelle Ergebnisse, worauf man bei einem ausgewählten Produkt gefasst sein muss beziehungsweise welche potenziellen Kosten man durch Incidents einkalkulieren sollte.
CHECKLISTE für ein effektives TCO
Voraussetzung für ein aussagekräftiges TCO ist das Vorhandensein von betriebswirtschaftlichen Kennzahlen des Unternehmens und eines technischen Status quo. Folgende Fragen sollten beantwortet werden können:
-
Machen Sie Inventur
Erfassen Sie Ihr Netzwerk, Ihre Infrastruktur – ist alles auf dem neuesten Stand? Muss beispielsweise für die potentielle Sicherheitslösung neue Hardware beschafft werden? Müssen die Mitarbeiter geschult werden? Bedeutet die Umstellung auf eine neue Sicherheitssoftware Produktionsausfall? -
Wie hoch ist Ihr internes Supportaufkommen?
Welche Probleme traten bislang in Ihrem Netzwerk auf: Allgemeine Netzwerkprobleme, Drucker druckt nicht, Spyware etc. und welche Kosten traten jeweils auf? Musste externer Support zu Hilfe genommen und bezahlt werden? -
Welche Zwischenfälle hatten Sie in der Vergangenheit?
Berechnen Sie Ihre Erfahrungen mit Sicherheitsproblemen wie beispielsweise Malware-Befall, Update-Läufe etc. Welche Einzelkosten traten auf? -
Welche Kosten wurden Ihnen bisher zusätzlich berechnet?
Was zahlen Sie bislang für Upgrades, Support, Installation etc. an den Hersteller Ihrer jetzigen Sicherheitslösung? -
Verschaffen Sie sich Zahlen über Ihre internen Kosten
Produktion, IT, Sachbearbeitung, Management – je umfassender Ihre Kostenstruktur erfasst ist, desto genauer kann das TCO berechnet werden. Insbesondere Randgrößen und Folgekosten sollten nicht aus dem Auge verloren werden. -
Recherchieren Sie nach Referenzen und Problemen der Hersteller
Vertrauen Sie nicht blind angegebenen Referenzen – jedes Netzwerk ist anders, die Sicherheitsansprüche von Unternehmen variieren stark. Suchen Sie gezielt im Internet auch nach Problemen von potenziellen Sicherheitsprodukten und leiten Sie die Kosten ab.
Muster-Kalkulation im direkten Vergleich zweier Hersteller
Am konkreten Beispiel eines erfolgreichen, international agierenden Unternehmens in der Metall-Herstellung wird der Nutzen von TCO schnell deutlich. Das Unternehmen beschäftigt in acht Ländern mehr als 22.000 Mitarbeiter, besitzt ein hoch ausgeprägtes IT-Sicherheits-Management und eine große Kostentransparenz (Six Sigma Management). Im Internet hatte man sich über bekannte Schwächen der beiden zur Auswahl stellenden Hersteller informiert.
An diesem Beispiel erkennt man, dass Hersteller B zwar in den Lizenz- und Installationskosten sowie im technischen Support deutlich teuer ist als Hersteller A. In der Summe aller direkten, indirekten und versteckten Kosten fährt das Unternehmen mit der Lösung von Hersteller B jedoch kostengünstiger.
