Make or Buy – Die neue IT-Frage für Entscheider

Resilienz

veröffentlicht am 2. Juli 2025 | Lesedauer ca. 5 Minuten

Interview mit Roland Leick und Markus Merk

IT-Auslagerung war früher eine überwiegend wirtschaftliche Entscheidung. Heute steht sie im Spannungsfeld von Fachkräftemangel, wachsender Komplexität und steigenden Compliance-Anforderungen. Wann lohnt sich „Buy“ – und wann ist „Make“ sogar riskant? Die beiden Geschäftsführer der Rödl IT Operation, Markus Merk und Roland Leick, geben Einblick in eine Realität, in der IT nicht nur gut laufen, sondern auch strategisch tragfähig sein muss.

Make or Buy bekommt eine neue Relevanz. Lange galt diese Entscheidung als betriebswirtschaftliche Frage. Was hat sich verändert?

Markus Merk:

Klar, eine betriebswirtschaftliche Frage ist es nach wie vor – und wird so auch heute noch oft entschieden. Aber es gibt inzwischen eine zweite Ebene: Datensicherheit, Datenschutz und Regulatorik – Stichworte wie NIS2 oder DSGVO – fließen stärker ein. Auch das eigene Geschäftsmodell spielt eine Rolle. Wie passt die Entscheidung zu meiner Strategie? Werde ich durch „Buy“ zu abhängig – oder verbaue ich mir durch „Make“ wichtige Zukunftschancen?

Roland Leick:

Als Produktionsverantwortlicher sehe ich vor allem: Habe ich überhaupt die richtigen Leute und Skills? Der Druck zur Cloudifizierung ist enorm. Schließlich gilt die Cloud als das Mittel der Digitalisierung – aber nur die wenigsten Unternehmen können sie selbst betreiben, denn der Fachkräftemangel in diesem Bereich ist massiv. Sobald komplexe IT-Architekturen betrieben werden müssen, stoßen viele Unternehmen daher personell an Grenzen. „Buy“ ist dadurch oft nicht nur wirtschaftlich sinnvoll, sondern alternativlos geworden. War Outtasking einzelner Bereiche früher eine Grundsatzentscheidung – „Gebe ich überhaupt etwas raus?“ – ist es heute daher längst die Norm.

Gibt es für Unternehmen heute feste Kriterien, an denen sich die Entscheidung für den Eigenbetrieb oder das Outsourcing von IT-Services strategisch orientieren sollte?

Markus Merk:

Ganz klar: Kosten, regulatorische Anforderungen, Compliance – aber vor allem auch technische Faktoren spielen eine Rolle.

Roland Leick:

Früher war die IT ein internes Kostencenter. Wie sie lief, war oft zweitrangig. Heute hat sich das Bild komplett gewandelt. Die interne IT steht unter Service-Level-Druck, vergleichbar mit dem externen Markt. Der Ruf nach Standards und Zertifizierungen wie ISO 27001 wird lauter – Policies, Guidelines, Security-Baselines. Und je höher diese Anforderungen werden, desto wahrscheinlicher ist der Schritt ins Outsourcing.

Denn mit der eigenen Mannschaft bekommen die wenigsten Mittelständler das weder wirtschaftlich noch technologisch skaliert. Unternehmen mit eher geringen Anforderungen haben daher in der Regel meist einen hohen „Make“-Anteil. Je strenger die Anforderungen, desto höher meist der „Buy“-Anteil.

Viele Unternehmen verfolgen heute Multi-Service oder Nearshore-Strategien, um flexibel zu bleiben – aber wie gelingt dabei die saubere Leistungsabgrenzung? Wo beginnt Verantwortung, wo endet sie?

Roland Leick:

Wir als Provider sind da leidgeprüft. Wer Multi-Service oder Nearshore-Strategien umsetzen will, muss in klaren Leistungsscheinen denken – mit definierten Paketen, Reaktionszeiten, Preisen, Verfügbarkeiten. Für uns ist dies Standard. Aber in vielen Unternehmen fehlt das komplett, stattdessen gibt es in den IT-Abteilungen viele Universalisten, die „alles ein bisschen“ machen. Funktioniert oft nur, solange die richtigen Leute da sind. Wenn aber ein oder zwei Schlüsselpersonen gehen, bricht das System zusammen. Es fehlen definierte Rollen, Verantwortlichkeiten und Leistungen – und ohne die kommen Nearshore oder Multi-Services an ihre Grenzen. Daher gilt: Je weiter weg der Dienst erbracht wird, desto klarer muss die Leistung abgegrenzt sein – sonst wird es teuer.

Markus Merk:

Der Blickwinkel im Unternehmen ist zudem entscheidend. Wenn rein kostengetrieben entschieden wird, ist Offshore aus Controlling-Sicht natürlich attraktiv – da gibt es messbare Vorteile. Aber eine IT lebt nicht nur von sauber abgegrenzten Leistungen, sondern auch von Kommunikation und Austausch. Und genau da tun sich Near- und Offshore-Modelle schwer. Mit einem direkten Ansprechpartner bei einem Managed Service Provider oder in der eigenen IT funktioniert vieles reibungsloser als mit einem Subdienstleister auf einem anderen Kontinent. Das merkt man aber oft erst, wenn es mal nicht mehr läuft – und dann reicht die Controlling-Brille allein nicht mehr.

Wer sich für das Outtasking entscheidet, muss nicht nur Datenhoheit abgeben, sondern auch Vertrauen in die Betriebssicherheit des Anbieters mitbringen. Wie bewerten Sie dieses Spannungsfeld?

Roland Leick:

Business Continuity Management (BCM) ist eine Pflichtaufgabe, fest verankert in Normen wie ISO 27001. Große Cloud-Anbieter haben natürlich danach ausgerichtete BCM-Pläne – aber auch sie sind nicht immer vollständig. Je größer und dynamischer ein System, desto mehr weiße Flecken gibt es. Das zeigen auch die regelmäßigen Ausfälle, zum Beispiel bei Microsoft.

Aber: Früher betraf so ein Ausfall vielleicht einen Dienst. Heute, durch die Bündelung in der Cloud, betrifft er im Zweifel alles. Manche Unternehmen akzeptieren das. Andere suchen gezielt nach mehr Kontrolle (vgl. Cloud-Strategien: Zwischen Kontrolle, Komfort und geopolitischer Abhängigkeit).

Doch wie baut man nun tragfähige Cloud-Architekturen, die Resilienz und Flexibilität vereinen? Viele Unternehmen stehen heute vor der Wahl: mehr Kontrolle in der Private Cloud oder mehr Skalierung in der Public Cloud. Gibt es aus Ihrer Sicht einen klaren strategischen Favoriten – oder ist das ein falscher Gegensatz?

Markus Merk:

Theoretisch klingt „Best of Breed“ in einem Public-Ecosystem toll – aber die Realität sieht anders aus. Die Public Cloud bietet viele Vorteile: automatisiertes Provisioning und Billing, aber auch Skalierung und Flexibilität. Die Frage ist nur: Brauche ich das wirklich? Wie dynamisch ist meine IT tatsächlich? Viele Applikationen ändern sich kaum und brauchen keine stündlichen Anpassungen.

Roland Leick:

Skalierung ist teuer – auch für Dienstleister. Habe ich einen statischen Workload, dann kann ich den viel kosteneffizienter in einer Private Cloud betreiben. Wenn ich aber wirklich minutengenau skalieren muss, dann lohnt sich Public. Aber diese Use Cases sind seltener, als man denkt.

Markus Merk:

Genau. Es gibt keinen pauschalen Favoriten – es kommt auf den Bedarf an. Brauche ich eine homogene Plattform an mehreren Standorten weltweit? Dann vielleicht Public Cloud. Oder suche ich einen vertrauensvollen Ansprechpartner, mit dem ich Dinge abstimmen kann? Dann spricht mehr für Private. Es hängt eben vom Kunden ab.

Make or Buy, Cloudwahl und Business Continuity sind heute keine IT-Fragen mehr – sondern Managementaufgaben. Wer bereit ist, Verantwortung gezielt abzugeben, muss vorher wissen, wo die Grenzen der eigenen Organisation verlaufen. Denn IT wird nicht mehr nur betrieben – sie wird bewusst gestaltet.