"Komplexität skaliert nicht; was aber skaliert ist das Management von Komplexität", so begründet Ralf Schneider die vor zweieinhalb Jahren begonnene Virtualisierung der Allianz-Systeme: "Unsere Strategie funktioniert ähnlich wie die Automobilfertigung; es gibt eine hochstandardisierte Plattform, aber das Frontend ist hochflexibel", so der IT-Vorstand und CIO des Versicherungsriesen.

Doch der Reihe nach: Wie viele Unternehmen hatte auch die Allianz erkannt, dass sie eine Plattform braucht, mit der sich die wachsende Komplexität beherrschen lässt. "Wir konnten ja nicht anfangen, die Devices zu standardisieren, das würde den Bedürfnissen unserer Nutzer im Wege stehen", erläutert Schneider, "vielmehr muss man erst mal seine Softwarelandschaft auf eine andere Basis stellen."

Das Ergebnis würde man heute eine "Private Cloud" nennen, sagt Schneider. Daraus ergebe sich zum einen ein enormer Kostenvorteil - vor allem deshalb, weil die Softwareverteilung sowie die Absicherung der Daten und Programme wegfielen: "Sie glauben ja nicht, wie viel Geld Sie investieren müssen, um 240.000 Devices sicher und performant zu machen beziehungsweise die Daten und Programme dort drauf zu bekommen." Zum anderen mache sich die Allianz auf diese Weise unabhängig von den eingesetzten Devices.

Mobile beschleunigt Virtual

Die Mitarbeiter müssen also nicht immer denselben Desktop oder Laptop nutzen. Sie können theoretisch sogar jedes Gerät im Haus verwenden, um sich einzuloggen, beschreibt Schneider seine Zukunftsvision: "Wenn Sie im Büro sind, machen Sie Ihren Laptop gar nicht mehr auf, sondern gehen irgendwo hin, wo ein Screen steht, und loggen sich dort ein. Dann drücken Sie auf einen Knopf, und innerhalb von fünf Sekunden sind Sie in Ihrer virtualisierten Anwendung."

Nach demselben Prinzip können die Mitarbeiter auch mobil auf die Unternehmensapplikationen zugreifen - mit Geräten unterschiedlichster Art. Die Entwicklungen im Mobile-Bereich hätten die Virtualisierungsstrategie durchaus beschleunigt, konstatiert Schneider. Druck machten vor allem die "High-Mobility-User". Sie wollten ja unterwegs nur noch die leichtgewichtigen Devices mitnehmen und zu Hause an ihren PCs weiterarbeiten. Deshalb müsse die Applikation unabhängig vom Gerät laufen - zu Hause, im Büro und im Internet-Café, auf dem PC, dem Laptop und dem iPad.

Die sicherste IT-Nutzung überhaupt

Zu diesem Zweck arbeitet die Allianz bereits seit längerem an sichereren Lösungen für den Zugriff auf die Unternehmensapplikationen. Gerade bei einem Versicherungskonzern spielt das Thema Security eine große Rolle. Grundsätzlich sei diese Art der Virtualisierung "die sicherste Variante der IT-Nutzung, die man überhaupt haben kann", so Schneider: "Wenn Sie keine Daten oder Programme mehr auf dem Device haben, kann niemand mehr die Daten stehlen noch die Programme hacken." Aber die Zugangsdaten sind dennoch ein Risiko, das sorgfältig gemanagt werden muss, wie auch der Allianz-Vorstand einräumt.

Selbstredend hat der Konzern eine dreifache Sicherheitssperre eingebaut, berichtet Schneider: "Sie müssen nicht nur ein Passwort, sondern auch ein Token sowie eine zusätzliche PIN haben." In seinem Fall sei das ein Token in Form eines Schlüsselanhängers, ein "Dongle". Andere zögen eine Identifizierung über den Personalausweis vor oder auch eine softwaregenerierte TAN, die auf das jeweilige Device geschickt wird: "Wir bieten da verschiedene Möglichkeiten an, aber es müssen drei verschiedene Komponenten sein."

Allerdings haben erst kürzlich ein paar Computerexperten für sich reklamiert, dass sie den "SecureID"-Token von RSA, den auch die Allianz verwendet, in 13 Minuten entschlüsseln könnten. Und auch das Soft-Token hat seine Schwachstellen: "Wenn Sie es ganz sicher machen wollen, muss der Token auf einem anderen Device empfangen werden", bestätigt Schneider. Sein Fazit: "Hundertprozentige Sicherheit gibt es nie - aber wir sind extrem nah dran. IT Security ist Risiko-Management - und das ist quasi in der DNA der Allianz."

Sandbox für berufliche E-Mails

Damit die mobilen Allianz-Mitarbeiter auch unterwegs auf ihre Emails, Kontakte und Termine zugreifen können, ist auf ihren Endgeräten eine "Sandbox" installiert. Darunter ist eine Security-Lösung zu verstehen, die beispielsweise den beruflichen eMail-Verkehr gegen Kontakt mit anderen Apps und Daten sowie gegen den unberechtigten Zugriff von außen absichert. Die Allianz nutzt das Produkt "Good for Enterprise" des Marktführers Good Technology. "Die Business-Applikationen laufen in ein Fenster hinein, die privaten Apps wie gewohnt nebenher", führt Schneider aus.

Für die Anwender ist dieses Verfahren oft ein wenig lästig, weil sie ihre Passwörter immer wieder neu eingeben müssen. Aber die Security-Verantwortlichen in den Unternehmen schlafen dank dieser Funktion besser. Noch lästiger aus Sicht der mobilen Manager ist, dass sie ihr Lieblings-Tool nicht auf ihrem Lieblings-Device nutzen können. "Es gibt derzeit noch kein gutes Powerpoint in einer hoch verschlüsselten Sandbox auf dem iPad", konstatiert Schneider, "es sei denn, wir spielen dort Windows auf". Aber das sei quasi "von hinten durch die Brust ins Auge geschossen". Jetzt sucht die Allianz nach einer ganzheitlichen Lösung, die das Editieren von Dokumenten auf Tablets in einer Sandbox ermöglicht.

Voll virtualisierter Arbeitsplatz

Den Zugriff auf die Unternehmensapplikationen ermöglicht der "Allianz Virtual Client", den die interne Shared-Services-Gesellschaft Amos (Allianz Managed Operations & Services) entwickelt hat. Hierbei handelt es sich, wie Schneider erläutert, um einen "voll virtualisierten Arbeitsplatz mit SAP-Zugriff und allen unternehmenskritischen Funktionen: Policy Handling, Claims Handling, Kundenkontakt-Center etc." Da dieser virtuelle Arbeitsplatz über alle gängigen Betriebssysteme und Devices - also auch über das iPad - erreichbar ist, bietet er auch die beste Lösung für die "High Mobility User", wie Schneider die Vielreisenden nennt.

Gleichzeitig ist dies die Standardlösung für den Applikationszugriff innerhalb des Unternehmens. "Das iPad ist quasi das, was früher das 3270-Terminal war - nur viel chicer und dynamischer", scherzt Schneider. Was in den 80er Jahren als der Nachteil der 3270-Technologie galt, nämlich dass eine Applikation mit keiner anderen auf demselben Device interagieren konnte, sei heute "genau das, was wir wollen". Denn auf diese Weise kämen die Business-Applikationen gar nicht erst mit Malware in Berührung.