Prolog: Ein grösseres Schweizer Unternehmen kauft eine neue IT-Security-Lösung direkt über einen internationalen Marketplace und beschafft auch die Dienstleistungen zur Implementierung beim Hersteller aus den USA. Ein lokaler IT-Security-Partner ist nicht involviert. Nicht genug, dass hier viel Wertschöpfung innerhalb der Schweiz verloren geht – die Lösung ist auch zwei Jahre nach Vertragsabschluss noch immer nicht vollständig implementiert. Dies verursacht beim Kunden intern erhebliche Kopfschmerzen, unnötige Aufwände und zusätzliche, nicht eingeplante Kosten. Eine kurze Geschichte darüber, was alles schiefgehen kann bzw. wie es auch anders hätte laufen können…
Was alles schief gehen kann und auch schief geht…
Als das Unternehmen den Vertrag unterzeichnet und die Lizenzen über einen Marketplace eines grossen amerikanischen IT-Unternehmen beschafft, sieht alles noch gut aus. Der Hersteller ist sehr engagiert, verspricht im vorausgehenden RFP alle Anforderungen mit den offerierten Lizenzen und Preisen abzudecken und alle notwendige technische Unterstützung, um das Projekt erfolgreich umzusetzen.
Kaum ist der Deal aber unter Dach und Fach, ziehen sich erste Ansprechpartner zurück, da sie neue Rollen einnehmen, und die technische Unterstützung für das Projekt erweist sich als nicht so nah und hilfreich wie erhofft. Mit dem Resultat, dass auch 2 Jahre nach Vertragsabschluss die Lösung noch immer nicht vollständig implementiert ist, es nach wie vor einige offene ungelöste Fragen gibt und das Unternehmen weiterhin eine Drittlösung zahlen und betreiben muss, die eigentlich längst hätte abgelöst werden müssen.
Wenig überraschend: der Hersteller versucht bei Lösungsvorschlägen immer wieder, neue Produktmodule und Lizenzen zu platzieren und zu verkaufen. Das Unternehmen hat aber kein weiteres Geld budgetiert und will darauf nicht eingehen.
Warum das Unternehmen sich dafür entschieden hat, über einen Marketplace zu beschaffen und alle Leistungen direkt vom Hersteller zu beziehen, kann hier nicht abschliessend beurteilt werden. Es liegt aber die Vermutung nahe, dass man sich davon Kosteneinsparungen, kommerzielle Vorteile vom Marketplace und allenfalls sogar eine optimale technische Unterstützung direkt vom Hersteller erhofft hat.
Wie es hätte anders laufen können…
Hersteller von IT-Security-Lösungen arbeiten fast ausschliesslich mit einem Channel-Modell und verkaufen Ihre Lösungen primär über lokale zertifizierte Partner. Diese Partner investieren viel Zeit und Geld, um für diese Produkte eine hohe Expertise zu erlangen und beim Verkauf von Produkten die Integration zu übernehmen sowie danach Support oder gar Leistungen im Bereich von Managed Services anzubieten. IT-Security-Partner sind im Idealfall lokal beim Kunden vor Ort und spezialisiert darauf, auch komplexe Projekte erfolgreich umzusetzen. Dabei hilft ihnen oft auch die Erfahrung unzähliger ähnlich gelagerter Projekte. Security Engineers, die Projekte umsetzen, arbeiten in der Regel eng mit den Supportteams zusammen, welche sich um die Problemfälle und Incidents aus dem täglichen Betrieb kümmern. Dies schafft eine wertvolle Symbiose, die sich sehr positiv auf die Qualität und Erfolg der Projektarbeit auswirkt.
Wäre im vorliegenden Fall und idealerweise auch von Anfang an – also bereits in der RFP-Phase – ein IT-Security-Partner involviert gewesen, wäre das Projekt in 3-6 Monaten problemlos und erfolgreich implementiert gewesen. Viele Diskussionen, Ärger und Zusatzaufwände wären nicht notwendig gewesen, genauso wie die mehrfache kostspielige Verlängerung einer bestehenden Drittlösung.
Warum es immer (wirklich immer) Sinn macht, mit einem lokalen IT-Security-Partner zu arbeiten
Mag sein, dass der Autor dieses Blogs bei diesem Thema nicht ganz neutral ist, aber die Erfahrung aus zig solchen und ähnlichen Beispielen unterstützt auf jeden Fall seine These. Aber für alle, die hier zweifeln, folgt an dieser Stelle eine Liste mit Vorteilen und Argumenten, die für das Involvieren eines lokalen IT-Security-Partners sprechen:
Nahe am Kunden dran: Ein lokaler Partner kennt bestenfalls den Kunden und seine Umgebung bereits sehr gut. Selbst wenn nicht, helfen Kenntnisse der Sprache, der Branche, der länderspezifischen gesetzlichen und regulatorischen Vorgaben sowie Anforderungen und Implementierungen bei ähnlichen Kunden, um das Projekt effizient und erfolgreich durchzuführen. Vor-Ort-Termine reduzieren Missverständnisse und erleichtern den Kontakt und die Zusammenarbeit.
Know-how und Erfahrung: IT-Security-Partner leben davon, Lösungen technisch bis ins Detail zu verstehen und ihren Kunden einen qualitativ hochstehenden Service anzubieten. Viele dieser Lösungen sind heute komplex, vernetzt mit anderen Systemen und Themen, und bedürfen grosser Erfahrung und Expertise, um sie korrekt zu konfigurieren und effizient zu betreiben. Erfahrungen aus anderen Kundenprojekten und dem täglichen Support helfen hier stark. Im Gegensatz dazu fokussieren viele Hersteller auf die Presales- und Sales-Phase und haben ihre Stärke definitiv nicht in der Umsetzung, im Support und in der kontinuierlichen Betreuung eines Kunden.
Optimales Zusammenspiel mit dem Fachteam: Das Zusammenspiel zwischen dem Fachteam des Kunden und dem IT-Security-Partner ist der Schlüssel für ein erfolgreiches Projekt und einen reibungslosen Betrieb. Dafür sind eine gemeinsame Sprache, der persönliche Kontakt und eine gute Abstimmung darüber, wer für welche Aufgaben verantwortlich ist und welche Unterstützung der Kunde benötigt, wichtig. Partner bieten dazu auch weiterführende Angebote wie Schulungen, Training-on-the-job, regelmässige Reviews der Systemumgebung und flexible technische Unterstützung nach Bedarf.
Tiefe Fluktuation: Lokale IT-Security-Partner weisen in der Regel sehr tiefe Fluktuationen auf – vor allem auch im Gegensatz zu Herstellern. Für Kunden bedeutet dies, dass die gleichen Personen, die ein Projekt geplant und verkauft haben, auch Jahre danach noch für sie zuständig sind. Dies schafft eine starke Vertrauensbasis, ethische Geschäftspraktiken und vor allem eine ideale langfristige technische Betreuung.
Nachhaltige Kundenbeziehungen: Nicht der schnelle Verkauf von (zu vielen) Lizenzen steht beim Partner im Vordergrund, sondern eine langfristige, nachhaltige Kundenbeziehung. Gute IT-Security-Partner versprechen nicht zu viel und verkaufen nur, was der Kunde wirklich braucht. Sie sind auch nach dem Vertragsabschluss für den Kunden da und übernehmen die Verantwortung im Projekt und darüber hinaus. Sie beraten den Kunden beim weiteren Einsatz der Lösung, wie auch in kommerziellen Themen und setzen sich bei Verhandlungen mit dem Hersteller für den Kunden ein.
Differenzierte Meinung: Auch wenn der Partner letztendlich das Produkt des Herstellers verkaufen will, so hat er doch aus seiner bisherigen Erfahrung mit dem Hersteller, dem Produkt selbst und aus Projekten eine sehr fundierte und differenzierte Meinung. Als Zweitmeinung kann der Partner Mehrwert, Projectsizing und Lizenzangebote von Herstellern kritisch prüfen und den Kunden beraten.
Zusätzliche Leistungen nach Bedarf: IT-Security-Partner sind flexibel und können nach Bedarf weitere Aufgaben übernehmen. Dazu gehören zum Beispiel Betriebsunterstützung, falls Ressourcen beim Kunden ausfallen, oder ganz generell Managed Services und Cyber Defense-Leistungen. Der Partner versteht in der Regel auch Umsysteme und weitere involvierte Technologien, die über das verkaufte Produkt hinausgehen, und kann so Problemsituationen ganzheitlich erfassen und lösen.
Last but not least – ein lokaler IT-Security-Partner ist nicht teu(r)er: Gute zertifizierte Partner erhalten vom Hersteller die besten Konditionen. Sie können also mit internationalen Marketplaces oder Large Account Resellers auf jeden Fall mithalten.
Ein lokaler Partner bietet einen ganzheitlichen Ansatz, der von der individuellen Beratung bis hin zu Support und kontinuierlicher Betreuung reicht. Gerade im Bereich IT-Sicherheit, wo die Anforderungen hoch und die Risiken gross sind, ist die Expertise und Nähe eines lokalen Partners von unschätzbarem Wert.
Epilog: Ode an den IT-Security-Partner
Du bist mein Schutz in dunkler Nacht
hast alle Daten gut bewacht
Kein Virus kommt an dir vorbei
bei dir fühl’ ich mich sorgenfrei
Ob Patch, ob Update – stets bereit
mit dir gibt’s keine Downtime-Zeit
Kein Exploit bleibt für dich versteckt
meine IT ist durch dich gedeckt
Ob Malware oder fiese Hacks
du siehst sie kommen – zack, zack, zack
Mit dir an meiner Seite hier
bleibt jedes Netzwerk sicher mir
(Quelle: ChatGPT)
Weiterführende Links
Der Beitrag Eine Liebeserklärung an den lokalen IT-Security-Partner Ihres Vertrauens erschien zuerst auf Tec-Bite.