Die Anforderungen an die IT steigen nahezu täglich. Und als ob es nicht reichen würde, bei knappen Budgets zunehmend mehr Funktionalität bereitzustellen, kommt das Thema IT-Sicherheit mit lautem Getöse noch dazu. Ein Auszug der Meldungen vergangener Tage:
Also aufgeben? Man kann doch das Geld nur einmal ausgeben, also entweder für die Sicherheit oder für die notwendige Funktionalität bzw. für die Entwicklung der eigenen Produkte.
Ein Blick in die Unternehmen – unabhängig ob Kunde oder Hersteller – zeigt auf, dass IT-Entscheider und Verantwortliche zwischen „Richtig“ und „Falsch“ wählen wollen. Dabei geht es schon lange nicht mehr um „Entweder - Oder“, sondern vielmehr um ein „sowohl als auch“!
Die IT wird immer wichtiger bei scheinbar sinkendem Einfluss der IT-Abteilung
Welchen Einfluss haben die IT-Verantwortlichen auf die Auswahl von Cloud-Dienstleistern, die primär von den Fachabteilungen gefordert werden? In Gesprächen mit Fachabteilungen wird deutlich, dass die IT und insbesondere die IT-Sicherheitsabteilung häufig nur als Bedenkenträger wahrgenommen werden.
Aus dem IT-Verständnis heraus haben die IT-Verantwortlichen die Herausforderung zu meistern, Unternehmensdaten und alle mit den Daten in Zusammenhang stehenden Prozesse zu verantworten und bestmöglich zu koordinieren. Keine leichte Aufgabe.
Ein Lösungsansatz ist: Die Situation annehmen, wie sie ist!
Klingt einfach, ist es aber oft nicht. Annehmen heißt nicht akzeptieren, sondern anerkennen, dass die Situation so ist, wie sie gerade ist und zu verstehen, welche Verantwortung der Einzelne selbst hat. Nur wenn die eigene Verantwortung gesehen und akzeptiert wird, ist jeder frei in der eigenen Entscheidung und es erfolgt eine angemessene Handlung. Der Wechsel zu einer aktiven Übernahme an Verantwortung lässt die Opferrolle zurück. Den Blick auf die existierenden Chancen und Möglichkeiten in den aktuellen Situationen zu richten und sich damit auseinander zu setzen, verändert die Wahrnehmung der gesamten Situation.
Transparenz schaffen
Es gibt den schönen Spruch von Peter Drucker: „Was man nicht messen kann, kann man nicht lenken.“ Hand auf’s Herz: Wie oft haben wir aktiv weggesehen? Wie oft wüssten wir, was wir eigentlich zu tun hätten und haben es doch nicht getan.
Agile Ansätze wie Scrum oder Kanban lösen kein Problem, kein einziges. Aber sie verhindern (wenn man die Modelle richtig anwendet), dass die Probleme weiterhin ignoriert werden. In dem Zusammenhang ist es spannend nachzuvollziehen, dass diese agilen Methoden oft aus der Not und nicht Top Down, sondern Bottom Up eingeführt wurden.
Die Transparenz der IT geht jedoch viel weiter: Hat jeder Mitarbeiter eine Transparenz über seinen Beitrag am Unternehmenserfolg? Hat er alle Informationen, um der ihm zugewiesene Verantwortung vollumfänglich nachkommen zu können? Kennen sie alle wesentlichen Prozesse und Datenflüsse in ihrem Unternehmen und können klar einschätzen, wie diese zusammenspielen? Werden die wenigen echten „Gurus“ in ihrem Unternehmen mit Smartphone und Notebook in den Urlaub geschickt? Haben Sie in der Kantine schon einmal beobachtet, dass die Kollegen aus dem Windows Team, die Kollegen aus der Software Entwicklung und die Kollegen aus dem Netzwerk scheinbar gar nicht im gleichen Unternehmen arbeiten? Es existiert nicht selten eine Vielzahl an IT-Verantwortlichen ohne ein gemeinsames Team zu sein.
Fragen öffnen neue Wege
Die Erfahrung in Unternehmen zeigt, wer die eigene Verantwortung akzeptiert, wird in diesem kritischen Punkt in der Lage sein, seine Hausaufgaben zu erfüllen. Mit einem „weiter so“ oder „dann packen wir noch 10% drauf“ lassen sich die oben genannten Herausforderungen nicht mal im Ansatz zum Erfolg führen.
Bei einer Umsatzsteigerung von 10% muss im Kern nichts verändert werden. Anders verhält es sich bei einer Umsatzverdopplung oder gar Verzehnfachung. Hier gilt es neue Wege zu gehen, andere Perspektiven aufzubauen und Fragen zu zulassen, deren Lösungen zunächst unmöglich erscheinen.
An dieser Stelle gilt die bekannte Regel aus dem Projektmanagement: Jeder Stakeholder ist auch eine Ressource. Was würde wohl passieren, wenn jeder Mitarbeiter und jede Abteilung mit 100%-igem Einsatz an einem gemeinsam definierten Ziel arbeitet und dabei das viel strapazierte Wort Besitzstandswahrung ganz bewusst zurückstellt?
DevOps als Weg zum Ziel
DevOps ist die Fortführung der agilen Methoden in die Bereiche der Systemintegration. Auch heute noch wird in den Unternehmen und deren verschiedenen IT-Abteilungen nach völlig unterschiedlichen Methoden gearbeitet, ohne jeweils den Gesamterfolg statt nur das eigene Arbeitspaket im Blick zu haben.
Stellen Sie sich eine Fertigungsstraße mit 10 Arbeitsinseln vor. Vorne kommen Rohstoffe hinein und hinten gehen die fertigen Produkte in den Versand. Was wäre, wenn die Arbeitsinsel 1 besonders schnell arbeiten und diese Arbeitsinsel voll ausgelastet würde?
Nun, die halbfertigen Produktteile stapeln sich vor der zweiten Arbeitsinsel bis zur Decke. Vergleichbares passiert in der IT.
DevOps hat das Ziel, den gesamten Prozess zu betrachten und jeden möglichen Arbeitsschritt zu automatisieren und – ganz wichtig – jeden dieser Arbeitsschritte immer wieder in Frage zu stellen und zu optimieren. Dass dies funktioniert, haben die Industrieunternehmen zur Genüge bewiesen.
Ist es in der IT vorstellbar, dass ein Release noch schnell vor dem Mittagessen in die Produktion genommen wird, in der Gewissheit, dass alle einzelnen Teilschritte, d.h. die Änderungen an der Datenbank genauso wie die Firewall Freischaltungen vollautomatisch ablaufen, ohne dass die verantwortlichen Mitarbeiter eine einzige Überstunde machen müssen?
Das kann nur funktionieren, wenn alle am gleichen Ziel arbeiten und alle betroffenen Mitarbeiter über die notwendige Transparenz verfügen.
Es ist nahezu ausgeschlossen, dass dieser Weg im allerersten Versuch gelingen kann. Um dieses Ziel trotzdem zu erreichen, hat sich eine spezielle Fehlerkultur bewährt. Fehler zu Beginn im kleinen möglichst kontrollierten Umfeld bewusst zulassen, um die Erkenntnisse und die Ergebnisse dann in die tatsächliche Produktion einzuarbeiten.
Und die IT-Sicherheit?
Ist „nur noch“ ein selbstverständliches Qualitätsmerkmal, nicht mehr aber auch nicht weniger. Unternehmen, die in der Lage sind, ihre Entwicklungsprozesse zu verstehen, zu dokumentieren, zu messen, zu automatisieren und kontinuierlich zu optimieren, werden Abweichungen und Probleme schneller erkennen, schneller bereinigen und gleichzeitig die Qualität ihrer Dienste unaufhörlich optimieren. Vielleicht ist das Industrie 4.0?
- Cyber-Angriffe „viel erfolgreicher“ als früher (BSI).
- Volkswagen gibt die Zahl der Cyber-Attacken auf sein IT-Netz mit 6000 Fällen pro Tag an (Manager Magazin).
- Pro Monat kommen zwischen 20 und 60.000.000 Viren und Trojaner hinzu (Statista).
- Schatten-IT und „wilde“ Cloud-Dienste wie Dropbox & Co. sind gelebte Wirklichkeit.
- 68.000.000 gestohlene Dropbox-Passwörter im Umlauf.
- Europäische Firmen bemerken Hacker erst nach 469 Tagen - drei Mal so lang wie Durchschnitt (M-Trends 2016).
- Nach dem Einbruch bei der NSA müssen diverse Firewall Anbieter Ihre dramatischen Löcher stopfen, weil nun bekannt wurde, dass die NSA umfassenden Zugang hatte.
- Die Verschärfte Datenschutz-Grundverordnung macht den Unternehmen das Leben schwer.
Also aufgeben? Man kann doch das Geld nur einmal ausgeben, also entweder für die Sicherheit oder für die notwendige Funktionalität bzw. für die Entwicklung der eigenen Produkte.
Ein Blick in die Unternehmen – unabhängig ob Kunde oder Hersteller – zeigt auf, dass IT-Entscheider und Verantwortliche zwischen „Richtig“ und „Falsch“ wählen wollen. Dabei geht es schon lange nicht mehr um „Entweder - Oder“, sondern vielmehr um ein „sowohl als auch“!
Die IT wird immer wichtiger bei scheinbar sinkendem Einfluss der IT-Abteilung
Welchen Einfluss haben die IT-Verantwortlichen auf die Auswahl von Cloud-Dienstleistern, die primär von den Fachabteilungen gefordert werden? In Gesprächen mit Fachabteilungen wird deutlich, dass die IT und insbesondere die IT-Sicherheitsabteilung häufig nur als Bedenkenträger wahrgenommen werden.
Aus dem IT-Verständnis heraus haben die IT-Verantwortlichen die Herausforderung zu meistern, Unternehmensdaten und alle mit den Daten in Zusammenhang stehenden Prozesse zu verantworten und bestmöglich zu koordinieren. Keine leichte Aufgabe.
Ein Lösungsansatz ist: Die Situation annehmen, wie sie ist!
Klingt einfach, ist es aber oft nicht. Annehmen heißt nicht akzeptieren, sondern anerkennen, dass die Situation so ist, wie sie gerade ist und zu verstehen, welche Verantwortung der Einzelne selbst hat. Nur wenn die eigene Verantwortung gesehen und akzeptiert wird, ist jeder frei in der eigenen Entscheidung und es erfolgt eine angemessene Handlung. Der Wechsel zu einer aktiven Übernahme an Verantwortung lässt die Opferrolle zurück. Den Blick auf die existierenden Chancen und Möglichkeiten in den aktuellen Situationen zu richten und sich damit auseinander zu setzen, verändert die Wahrnehmung der gesamten Situation.
Transparenz schaffen
Es gibt den schönen Spruch von Peter Drucker: „Was man nicht messen kann, kann man nicht lenken.“ Hand auf’s Herz: Wie oft haben wir aktiv weggesehen? Wie oft wüssten wir, was wir eigentlich zu tun hätten und haben es doch nicht getan.
Agile Ansätze wie Scrum oder Kanban lösen kein Problem, kein einziges. Aber sie verhindern (wenn man die Modelle richtig anwendet), dass die Probleme weiterhin ignoriert werden. In dem Zusammenhang ist es spannend nachzuvollziehen, dass diese agilen Methoden oft aus der Not und nicht Top Down, sondern Bottom Up eingeführt wurden.
Die Transparenz der IT geht jedoch viel weiter: Hat jeder Mitarbeiter eine Transparenz über seinen Beitrag am Unternehmenserfolg? Hat er alle Informationen, um der ihm zugewiesene Verantwortung vollumfänglich nachkommen zu können? Kennen sie alle wesentlichen Prozesse und Datenflüsse in ihrem Unternehmen und können klar einschätzen, wie diese zusammenspielen? Werden die wenigen echten „Gurus“ in ihrem Unternehmen mit Smartphone und Notebook in den Urlaub geschickt? Haben Sie in der Kantine schon einmal beobachtet, dass die Kollegen aus dem Windows Team, die Kollegen aus der Software Entwicklung und die Kollegen aus dem Netzwerk scheinbar gar nicht im gleichen Unternehmen arbeiten? Es existiert nicht selten eine Vielzahl an IT-Verantwortlichen ohne ein gemeinsames Team zu sein.
Fragen öffnen neue Wege
Die Erfahrung in Unternehmen zeigt, wer die eigene Verantwortung akzeptiert, wird in diesem kritischen Punkt in der Lage sein, seine Hausaufgaben zu erfüllen. Mit einem „weiter so“ oder „dann packen wir noch 10% drauf“ lassen sich die oben genannten Herausforderungen nicht mal im Ansatz zum Erfolg führen.
Bei einer Umsatzsteigerung von 10% muss im Kern nichts verändert werden. Anders verhält es sich bei einer Umsatzverdopplung oder gar Verzehnfachung. Hier gilt es neue Wege zu gehen, andere Perspektiven aufzubauen und Fragen zu zulassen, deren Lösungen zunächst unmöglich erscheinen.
An dieser Stelle gilt die bekannte Regel aus dem Projektmanagement: Jeder Stakeholder ist auch eine Ressource. Was würde wohl passieren, wenn jeder Mitarbeiter und jede Abteilung mit 100%-igem Einsatz an einem gemeinsam definierten Ziel arbeitet und dabei das viel strapazierte Wort Besitzstandswahrung ganz bewusst zurückstellt?
DevOps als Weg zum Ziel
DevOps ist die Fortführung der agilen Methoden in die Bereiche der Systemintegration. Auch heute noch wird in den Unternehmen und deren verschiedenen IT-Abteilungen nach völlig unterschiedlichen Methoden gearbeitet, ohne jeweils den Gesamterfolg statt nur das eigene Arbeitspaket im Blick zu haben.
Stellen Sie sich eine Fertigungsstraße mit 10 Arbeitsinseln vor. Vorne kommen Rohstoffe hinein und hinten gehen die fertigen Produkte in den Versand. Was wäre, wenn die Arbeitsinsel 1 besonders schnell arbeiten und diese Arbeitsinsel voll ausgelastet würde?
Nun, die halbfertigen Produktteile stapeln sich vor der zweiten Arbeitsinsel bis zur Decke. Vergleichbares passiert in der IT.
DevOps hat das Ziel, den gesamten Prozess zu betrachten und jeden möglichen Arbeitsschritt zu automatisieren und – ganz wichtig – jeden dieser Arbeitsschritte immer wieder in Frage zu stellen und zu optimieren. Dass dies funktioniert, haben die Industrieunternehmen zur Genüge bewiesen.
Ist es in der IT vorstellbar, dass ein Release noch schnell vor dem Mittagessen in die Produktion genommen wird, in der Gewissheit, dass alle einzelnen Teilschritte, d.h. die Änderungen an der Datenbank genauso wie die Firewall Freischaltungen vollautomatisch ablaufen, ohne dass die verantwortlichen Mitarbeiter eine einzige Überstunde machen müssen?
Das kann nur funktionieren, wenn alle am gleichen Ziel arbeiten und alle betroffenen Mitarbeiter über die notwendige Transparenz verfügen.
Es ist nahezu ausgeschlossen, dass dieser Weg im allerersten Versuch gelingen kann. Um dieses Ziel trotzdem zu erreichen, hat sich eine spezielle Fehlerkultur bewährt. Fehler zu Beginn im kleinen möglichst kontrollierten Umfeld bewusst zulassen, um die Erkenntnisse und die Ergebnisse dann in die tatsächliche Produktion einzuarbeiten.
Und die IT-Sicherheit?
Ist „nur noch“ ein selbstverständliches Qualitätsmerkmal, nicht mehr aber auch nicht weniger. Unternehmen, die in der Lage sind, ihre Entwicklungsprozesse zu verstehen, zu dokumentieren, zu messen, zu automatisieren und kontinuierlich zu optimieren, werden Abweichungen und Probleme schneller erkennen, schneller bereinigen und gleichzeitig die Qualität ihrer Dienste unaufhörlich optimieren. Vielleicht ist das Industrie 4.0?
