Zurzeit wird Digitalisierung als Allheilmittel präsentiert, frei nach dem Motto: Alles wird gut, solange Sie digital werden. Wie „digital werden“ funktioniert, predigen bereits unzählige Ratgeberartikel und Experteninterviews. Sie alle haben eine gemeinsame Tendenz: die Fixierung auf digitale Technik. Oder wie Bundeskanzlerin Angela Merkel auf dem Wirtschaftstag des Wirtschaftsrates der CDU erklärte: „Es wird alles digitalisiert werden, was digitalisiert werden kann.“
Digitale Technik alleine macht Unternehmen jedoch nicht agil, innovativ und effizient. Unternehmen verankern dieses Trio zuerst in der Unternehmenskultur, dann in der Unternehmensstruktur und -organisation. Am Ende findet man es in Geschäftsmodellen und -prozessen wieder. Zwei oder drei Tools alleine schaffen das nicht - zumal sie häufig nicht miteinander kommunizieren können. Dazu gehört mehr. Ein Anfang ist, Prozesse und Organisationsmodelle zu hinterfragen. Für Unternehmen bedeutet das: Neuausrichtung und Optimierung. Den Grundstein hierfür liefert eine einheitliche Unternehmensstrategie. Die digitale Technik dient als Unterstützer.
Digitalisierung folgt der Prozessoptimierung
Beim Thema Digitalisierung wird das Mittel mit dem Zweck vertauscht. Erst mal geht es um Prozessoptimierung und nicht um Digitalisierung um jeden Preis. Anschließend folgt die Digitalisierung. Probleme durch Tools zu lösen, ist vermeintlich einfach. Ein Tool ist etwas Konkretes. Für die Neuausrichtung von Geschäftsmodellen und -prozessen gilt das nicht. Die Unternehmenskultur und -organisation neu zu denken und zu leben, ist komplex und langwierig. Aber es ist nachhaltig.
Prozessoptimierung fokussiert erst den Unternehmensbedarf und dann den technischen Bedarf. Sie optimiert den gesamten Prozess unter Zuhilfenahme von Technik. So werden Tools wieder das Mittel zum Zweck. Ein Beispiel: Viele Unternehmen führen Identity Manaement Tools ein und haben die Identity-Daten dennoch nicht im Griff. Woran liegt das? Sie setzen ein Tool ein, ohne alle beteiligten Prozesse zu kennen. Erst dann wird aber der eigentliche Bedarf klar.
Wie sollten Unternehmen vorgehen? Erst ermitteln sie, welche Systeme im Gesamtprozess personenbezogene Daten verarbeiten. Sie identifizieren sämtliche abteilungsübergreifende Ausprägungen. Danach definieren sie den Unternehmensbedarf. Welchen Unternehmensbedarf unterstützt das Identity Management? Dass digitale Identitäten und deren Berechtigungen konsistent und verfügbar sind. Unternehmen stellen deswegen sicher, ob der aktuelle Prozess (inklusive vorhandener Technik) das gewährleistet. Anschließend entwickeln sie ein Optimierungskonzept. Zum Schluss definieren Unternehmen die notwendigen Tools – vielleicht ein Identity-Management-Tool. Basierend darauf richten sie Geschäftsmodelle, Strukturen und Arbeitsweisen neu aus.
10 Schritte zum IAM-System
In zehn Schritten zum IAM
Softwarelösungen für das Berechtigungs-Management, so genannte Identity-Access-Management-Systeme (IAM), haben sich von ihrem früheren reinen IT-Fokus gelöst. Zwar werden über Single-Point-of-Administration, HR-gestütztes Provisioning und rollenbasierte Zugriffskontrolle nach wie vor Kostensenkung und effizientes Benutzermanagement realisiert. Bei den heutigen IAM-Systemen handelt es sich aber vor allem um Business-Collaboration-Plattformen, die auf eine umfassendere Beteiligung der Fachabteilungen an der Zugriffsverwaltung setzen. <br /> Sie eröffnen erweiterte Möglichkeiten für die Umsetzung von Regularien, Gesetzesvorgaben und des Risikomanagements. IAM wird damit zur tragenden Säule im Rahmen der Governance-, Risk- & Compliance-Strategie (GRC) eines Unternehmens. Der folgende 10-Punkte-Plan gibt einen Überblick, worauf bei der Einführung eines IAM-Systems zu achten ist.
Gemischte Projektteams aus IT und Business
IAM ist längst kein reines IT-Thema mehr. Meist können nur Personen außerhalb der IT, die über umfassende Kenntnisse der internen Geschäftsprozesse und der Organisation verfügen, die erforderlichen Informationen zu wesentlichen Aspekten beisteuern: Rollenkonzepte, Genehmigungsstrukturen, Erwartungen an die Nutzeroberflächen oder auch was Barrieren zwischen einzelnen Abteilungen angeht. <br />Projektteams zum Aufbau eines IAM-Systems sollten deshalb stets aus Kompetenzträgern sowohl aus der IT als auch aus dem Business bestehen.
Ziele definieren
Klar definierte Ziele und Dienstleistungen sowie ein eng gesteckter Rahmen zu deren Planung und Überwachung sind Erfolgsfaktoren eines jeden IAM-Projektes. Dies wiederum erfordert eine enge Zusammenarbeit zwischen erfahrenen Mitarbeitern sowohl beim Anwender als auch dem implementierenden IAM-Hersteller. <br />Es ist daher sicherzustellen, dass alle Daten und Ziele miteinander vereinbart und von jedem am Projekt Beteiligten verstanden werden, bevor die Einführung beginnt. Jede spätere Anpassung verlängert das Projekt unnötig, sowohl zeitlich als auch hinsichtlich des Budgets.
Vor Start des Projektes: Aufräumen!
Hohe Datenqualität ist der Schlüssel für erfolgreiches Identity Access Management. Diese Ausgangssituation ist aber keineswegs selbstverständlich, wenn ein entsprechendes Projekt aufgesetzt wird. Viele Unternehmen pflegen die Zugangsberechtigungen für ihre Beschäftigten oft mehr schlecht als recht; nicht selten herrscht beim Thema Rechteverwaltung ein großes Durcheinander. Die Folgen sind fehlende Verbindungen zwischen Konten und den Nutzern, verwaiste Konten, Rechtschreibfehler, etc. <br />Jedes IAM-Projekt beginnt daher mit einer Konsolidierung der User-IDs, bei der die Benutzerkonten ihren Besitzern zugewiesen werden. So spürt man im ersten Schritt sehr schnell verwaiste Konten auf.
Umsetzung in Phasen
Eine IAM-Lösung sollte sowohl alle unternehmensweiten IT-Systeme integrieren können als auch ausreichend skalierbar hinsichtlich der Anzahl der einzubindenden Nutzer sein. Doch muss dies alles nicht auf einmal umgesetzt werden; sinnvoller ist es, das Projekt in erreichbare Zwischenziele aufzuteilen und diese Schritt für Schritt abzuarbeiten.<br /> In der ersten Phase wird dabei nur eine begrenzte Anzahl von Zielsystemen angebunden – idealerweise die wichtigsten; die Anwender nutzen zunächst nur Standardfunktionalitäten. Erste Erfolge sind dadurch schneller sichtbar, was letztlich zum schnelleren Erreichen der vollständigen Projektziele führt.
Anschluss des HR-Systems
Probleme im Bereich der Rechteverwaltung resultieren oft aus unzureichender Koordinierung zwischen Human Resources und IT-Abteilung. Meldet das HR-Team Änderungen in der Personalstruktur oder bei den Stellenbezeichnungen der IT zu spät oder sogar gar nicht, kann dies schwerwiegende Folgen haben: Personen erlangen Zugang zu Konten, obwohl sie aufgrund ihrer neuen Rolle gar kein Recht mehr dazu hätten – oder weil sie das Unternehmen sogar ganz verlassen haben. <br />Eine manuelle, nicht automatisierte Informationspolitik und dezentrales Arbeiten tragen noch dazu bei, dass sich Fehler in den Berechtigungsstrukturen schnell und unkontrolliert ausbreiten. Das HR-System sollte deshalb als erstes mit dem IAM-System verbunden werden, um hier zu einer Automatisierung zu gelangen und damit Sicherheit und Kontrolle zu gewährleisten.
Customizing auf ein Minimum reduzieren
Führende IAM-Anbieter verkaufen nicht bloß ein Toolkit. Basierend auf der Erfahrung aus vielen realisierten Projekten, sind vorkonfigurierte Standardsysteme vielmehr nach dem Best-of-Breed-Ansatz konzipiert. Auf Standardszenarien verzichten, um ein System möglichst individuell an die Gegebenheiten eines Unternehmens anzupassen, sollte deshalb die Ausnahme bleiben. <br />In einem Standardprodukt spiegelt sich bereits das langjährig erworbene Wissen eines Herstellers um die verschiedensten Herausforderungen im IAM-Umfeld und die jeweils beste Lösung wider. Der Einsatz von Standardkomponenten reduziert zudem auch Implementierung und Wartungskosten auf ein Minimum. <br />Kunden sollten sorgfältig prüfen, ob es statt aufwändigem Customizing nicht sinnvoller wäre, die vorgeschlagene Vorgehensweise eines Standardproduktes zu übernehmen und die eigenen Strukturen hinsichtlich der Prozesse, Terminologie und Verantwortung anzupassen.
Rollen implementieren
Das Bündeln von Zugriffsrechten in so genannten "Rollen" reduziert den Administrationsaufwand erheblich und stellt die Grundlage für eine Automatisierung im Bereich der Rechtevergabe dar. Eine Rolle ist die Sammlung einzelner Zugangsrechte, die für eine bestimmte Funktion oder Aufgabe im Unternehmen erforderlich sind.<br /> Role-Mining-Tools bieten Hilfe bei der Definition von Rollen und deren Optimierung über einen kontinuierlichen Prozess hinweg. Hier ist jedoch Vorsicht geboten: Die Einführung von Rollen erfordert mehr als eine einmalige Definition von "Zugriffsrecht-Clustern".
Rollenverantwortliche festlegen
Rollen sind lebende, wandelbare Strukturen, die einem ständigen Überwachungs- und Anpassungsprozess unterliegen sollten. Deshalb benötigen sie einen zugewiesenen Besitzer, der die Verantwortung für ihre saubere Ausgestaltung übernimmt. Er muss die Rollen regelmäßig dahingehend überprüfen, ob aufgrund von Veränderungen in der Organisation oder der IT-Systeme Anpassungen notwendig sind. <br />Was für die IAM-Einführung im Großen gilt, hat deshalb auch für das Thema Rollen Relevanz: Aufteilen eines Rollenprojektes in kleine Teilziele, Einbeziehung von sowohl Business- wie IT-Verantwortlichen.
Top-down-Vorgehen
Ein Risikobewertungssystem ist ein leistungsfähiges Werkzeug, um die einzelnen Objekte im Access Management – Benutzer, Rollen und Konten – in eine sinnvolle Rangfolge abhängig von ihrer Relevanz zu bringen. Ein solches System jedoch für die gesamte Struktur der Zugriffsrechte zu implementieren, kann zu einem zeitaufwändigen und ressourcenintensiven Projekt führen. <br />Es empfiehlt sich ein Top-down-Ansatz, bei dem die Aufmerksamkeit zunächst auf wichtige Aspekte in einem frühen Stadium des IAM-Betriebs gerichtet wird. Zu einer vollständigen Risikobewertung kann das Unternehmen dann im Laufe der Zeit aufschließen.
Schnellere Erfolge auf Fachabteilungsebene
Treiber eines IAM-Projektes sind in der Praxis oft Wirtschaftsprüfer oder IT-Manager. Um eine Akzeptanz über alle Unternehmensbereiche hinweg zu erreichen, sollte ein Anwenderunternehmen im frühen Projektstadium bereits solche Funktionen evaluieren, die sich an den Wünschen und Bedürfnissen des einzelnen Anwenders orientieren. <br />Warum nicht die verfügbaren vorkonfigurierten Workflows für Anfrage oder Passwort-Reset schon einmal anbieten, anstatt damit zu warten, bis die Lösung bei Projektende zu 100 Prozent implementiert ist? Mit diesem Ansatz wird der Nutzen eines IAM-Systems schnell im praktischen Arbeitsalltag für alle – vom Anwender bis zum Management – spürbar, was ein wichtiger Baustein für den Gesamterfolg des IAM-Projektes ist.
Realistisch bleiben
Der 10-Punkte-Plan verdeutlicht es: Moderne IAM-Systeme binden Fachabteilungen ein und verschaffen eine am Geschäftsprozess ausgerichtete und verständliche Sicht auf Identitäten und deren Rechte.<br /> Die Bäume wachsen auch beim Thema Identity Access Management nicht in den Himmel. Erfolgreich sind solche Projekte, bei denen sich die Beteiligten realistische Zwischenziele setzen und Stück für Stück zu einem unternehmensweiten IAM-System vorarbeiten. <br />Dieses erfüllt dann seinen eigentlichen Zweck: die Umsetzung der GRC-Strategie des Unternehmens.
Prozessoptimierung beginnt in der Unternehmenskultur
Collaboration Tools sind ein weiteres Beispiel. Der Einsatz eines Collaboration Tools stellt nicht sicher, dass Mitarbeiter Dokumente auf dieser Plattform speichern, bearbeiten und teilen. Es garantiert auch keine verbesserte Kommunikation durch eine neue virtuelle Kollaborationsgruppe. Hier wurde der zweite Schritt vor dem ersten gemacht. Prozessoptimierung und Veränderungen beginnen in der Unternehmenskultur und -organisation.
Tiefgreifende Veränderungen wie die Digitalisierung bringen Unsicherheit. Die Mitarbeiter haben Angst um den eigenen Arbeitsplatz oder befürchten, nicht mit der neuen Technik zurechtzukommen. Deswegen ist es so wichtig, die Mitarbeiter miteinzubeziehen. Denn darum geht es in der Unternehmenskultur. Bezeichnenderweise beschreiben die ersten Ansätze Unternehmenskultur als Pflege menschlicher Beziehungen.
Unternehmenskultur sensibilisiert Mitarbeiter für Veränderungen - und zwar so, dass sie den Grundsatz „Betroffene zu Beteiligten machen“ verinnerlichen. Die Verantwortlichen vermitteln den Umgang mit den Collaboration Tools und kommunizieren den Mehrwert. Sie holen sich das Feedback der Mitarbeiter ein und berücksichtigten es. Dadurch werden sie zum Mitgestalter der Veränderung.
Die Arbeitnehmer-Umfrage von CSC aus dem Jahr 2016 bestätigt die Unsicherheiten der Mitarbeiter:
• Nur 21,8 Prozent der Befragten sagten aus, dass ein HR-Konzept für die digitale Transformation existiert.
• 88 Prozent sind überzeugt, dass es mit den bestehenden Unternehmensstrukturen nicht gelingen wird, die Weichen für die neuen Anforderungen der digitalen Arbeitswelt zu stellen.
• 66 Prozent der Befragten wünschen sich eine Unternehmenskultur, die Innovation gezielt fördert.
• Ebenfalls zwei Drittel der Befragten bewerten die aktuelle Skill- und Kompetenzstrategie bestenfalls mit der Schulnote Drei oder schlechter.
Agile Unternehmenskultur gestalten
Vision, Werte und Sinnstiftung als Leitplanken des Erfolgs
Prägen Vision und Werte meinen Arbeitsalltag? Kenne ich meinen Beitrag zum Unternehmenserfolg? Empfinde ich meine Arbeit als sinnstiftend?
Feedback und Fehlerkultur als Grundlage der Zusammenarbeit
Wie schaffen wir mit konstruktivem Feedback mutiges Verhalten? Wie werden Konflikte als Ressource genutzt? Wie werden wir durch eine Fehlerkultur erfolgreicher?
New Leadership ermöglicht starke Teams
Wie entwickeln Führungskräfte High-Performance-Teams? Wie schaffen es die Führungskräfte, Mitarbeiter zu fördern? Wie gelingt es, erfolgreich in virtuellen Teams zu agieren?
Neues disruptives Denken ermöglicht Innovation
Wie werden experimentelle und disruptive Prozesse gelebt, um Innovationen zu fördern? Ist lebenslanges Lernen bei den Mitarbeitern verankert? Wird lösungsorientiertes Denken gefördert?
Prozesse müssen kontinuierlich optimiert werden
Und das Wichtigste: Es gibt permanent Veränderungen. Verantwortliche und Beteiligte hinterfragen und optimieren Prozesse deswegen kontinuierlich. Sie antizipieren die aktuelle Wettbewerbssituation und Kundenbedürfnisse. Dadurch sind Unternehmen agil, innovativ und effizient. Geschäftsmodelle und -prozesse fokussieren die Unternehmensstrategie, Kunden- und Mitarbeiterbedürfnisse. Das steigert den wirtschaftlichen Erfolg von Unternehmen nachhaltig. Digitale Technik ist hierfür das Werkzeug. Kontinuierliche Optimierung von komplexen Geschäftsprozessen fordert Unternehmen heraus. Speziell, da unterschiedlichen Abteilungen die einzelnen Subprozesse koordinieren und optimieren. Das Ergebnis: Silodenken kann die ganzheitliche Prozessoptimierung bremsen. Unternehmen müssen sich deswegen die Frage stellen, wie ihre Organisation eine ganzheitliche und kontinuierliche Prozessoptimierung sicherstellt. (fm)
Digitalisierung: 8 Tipps für das Change Management und den Rollout
Wie Sie Mitarbeiter für die digitale Transformation begeistern
Die Analysten von IDC geben Tipps, wie die Digtialisierungsstrategie von CDO und CIO in kurz-, mittel- und langfristigen Schritten geplant werden sollte. Der Fokus richtet sich dabei auf den Faktor Mensch, denn nur mit motivierten Mitarbeitern wird die digitale Transformation ein Erfolg.
Tipp 1: Prozesse überprüfen
Schritt 1 - kurzfristige Maßnahmen: Durchleuchten Sie die aktuellen Digitalisierungsinitiativen. In welchem Maß erfordern diese Projekte Veränderungen an den organisatorischen Abläufen, den Arbeitsprozessen und der Zusammenarbeit zwischen den Abteilungen?
Tipp 2: Bedenken der Mitarbeiter sondieren
Schritt 2 - kurzfristige Maßnahmen: Besprechen Sie gemeinsam mit den Abteilungsleitern, welche Bedenken die Mitarbeiter hinsichtlich der Veränderungen haben könnten.
Tipp 3: Sorgen der Mitarbeiter adressieren
Schritt 3 - kurzfristige Maßnahmen: Überlegen Sie, wie die möglichen Sorgen der Mitarbeiter hinsichtlich der Veränderungen durch Kommunikationsmaßnahmen angesprochen werden können.
Tipp 4: Fokusgruppen bilden
Schritt 1 - mittelfristige Maßnahmen: Führen Sie für künftige Digitalisierungsinitiativen, die organisatorische Veränderungen zur Folge haben, Fokusgruppen oder Interviews mit Mitarbeitern ein, um deren Bedenken kennenzulernen.
Tipp 5: Kommunikationsstratiegie ausarbeiten
Schritt 2 - mittelfristige Maßnahmen: Prüfen Sie die Möglichkeiten, wie die interne Kommunikation für künftige Rollouts eine Kommunikationsstrategie gestalten kann, um diese Bedenken zu adressieren.
Tipp 6: Mitarbeiter motivieren
Schritt 3 - mittelfristige Maßnahmen: Überlegen Sie, wie Sie durch die Einbindung der Mitarbeiter in den Planungsprozess deren Engagement im Vorfeld des Rollouts gewinnen können.
Tipp 7: Mitarbeiter schulen
Schritt 1 - langfristige Maßnahmen (12 bis 24 Monate): Bauen Sie ein gutes Verhältnis zur internen Kommunikation und zur Personalabteilung auf. Prüfen Sie die Möglichkeiten, wie diese Abteilungen mit Kommunikation und Mitarbeitertraining die menschliche Komponente der digitalen Transformation flankieren können.
Tipp 8: Budget prüfen
Schritt 2 - langfristige Maßnahmen: Identifizieren Sie mögliche Auswirkungen dieser menschlichen Komponente innerhalb der digitalen Transformation auf das Budget. Suchen Sie Unterstützung bei der Rechtfertigung zusätzlicher Mittel, um die Akzeptanz der Mitarbeiter im Rahmen eines Digitalisierungsprojekts effektiv sicherzustellen.