"Das Personal-Management wird schon deshalb wichtiger, weil die Mitarbeiter wieder knapp werden", sprach Jürgen Pulm, zuletzt als CIO der Bank Julius Bär tätig, den Kollegen aus dem Herzen. Die Arbeitsgruppe, die sich mit diesem Thema beschäftigte, stellte fest: "Gegenwärtig bestehen zum Teil erhebliche Defizite in der Qualifikation unserer Leute." Häufig fehle das Verständnis für die betriebswirtschaftlichen Zusammenhänge und "die Verbindung zwischen der operativen Ebene und den ‘Idioten im Management’". Das liege aber durchaus nicht nur an den Mitarbeitern, so die CIOs selbstkritisch, sondern auch an der oft unzureichenden Personalentwicklung.
CIOs diskutieren die Agenda 2007
Auf dem Syntegrations-Workshop "The CIO Beyond" in Zürich, veranstaltet vom Malik Management Zentrum St. Gallen und der computerwoche, diskutierten 30 Chief Information Officers (CIOs) über die Zukunft ihrer IT-Organisation. Zwei Tage lang erarbeiteten die IT-Manager aus Unternehmen unterschiedlicher Größe und Branchen gemeinsam ihre Agenda 2007. Wir haben die von den CIOs identifizierten Herausforderungen (gekennzeichnet mit einem Fragezeichen) sowie ihre Handlungsempfehlungen (Rufzeichen) in einer vierteiligen Serie zusammengefasst.
Sponsoren des Events waren Hewlett-Packard (Underwriter) und Hitachi Data Systems. Wir bedanken uns für die Unterstützung.
www.computerwoche.de/
582611: Serienteil 1: Vom CIO zum Chief Efficiency Officer;
583081: Serienteil 2: Auf die Performance kommt es an;
583290: Serienteil 3: Zwei Welten - IT und Business;
582612: Syntegration - die Methode;
577452: Interview mit Professor Fredmund Malik;
agendazone: Alles zur CIO Agenda 2007.
Vom Techniker zum Consultant
Der Trend, so die einhellige Meinung der Teilnehmer, geht in Anwenderunternehmen weg vom Techniker und hin zum Consultant. Zwar werde es auch künftig Aufgaben für die technikbegeisterte "Birkenstock-Fraktion" geben, doch der Bedarf sinke in dem Maße, wie sich der Sourcing-Trend verstärke.
"Viele Mitarbeiter stehen an einer Weggabelung: Sie müssen sich entscheiden zwischen einem Job als Techie oder als Consultant", sagte Martin Urban, Leiter der Geschäftseinheit IT bei den Berliner Stadtreinigungsbetrieben. Die Kollegen bestätigten ihm: Frustration entstehe vor allem dann, wenn die Mitarbeiter ihre Rolle im Unternehmen nicht kennen.
Die CIOs kamen darin überein, dass eine genaue Bestandsaufnahme darüber notwendig ist, welche Skills auf Dauer im Hause vorgehalten und welche zugekauft werden sollen. "Wir müssen unser Skill-Portfolio genau kennen und den Mitarbeitern in Abstimmung mit unserer Sourcing-Strategie die Entwicklungsperspektiven nach innen und außen aufzeigen", empfahl Pulm.
Des Weiteren, so das Team, müsse das Personal gemäß seinen Fähigkeiten und Stärken eingesetzt werden. Dabei sollte es kein Tabu sein, auch den potenziellen Wechsel zu einem Outsourcing-Partner anzusprechen, zumal reine Techies dort mitunter eher eine "Heimat" fänden als beim Anwender.
Kompetenz wird wieder knapp
In vielen Unternehmen gibt es den CIOs zufolge bereits einen beträchtlichen Anteil an IT-Professionals, die den Weg in die innere Kündigung angetreten haben. Gelinge es nicht, den IT-Mitarbeitern den Sinn ihrer Aufgabe zu vermitteln, werde es schwierig, ihnen ein erfülltes Arbeitsleben zu ermöglichen. Denn gut ausgebildetes IT-Personal wird wieder knapp, die Abwanderung von Leistungsträgern - "die gehen immer zuerst" - ist zu vermeiden.
Die CIOs sehen die "permanente Kommunikation" mit den Mitarbeitern als ihre Kernaufgabe an. Veränderungen würden nur dann mitgetragen, wenn sie als notwendig empfunden und nicht als Bedrohung verstanden würden. Dazu müssten aber die Ziele des Unternehmens bekannt sein. "Viele Mitarbeiter haben davon teilweise nur eine sehr vage Vorstellung", stellte Manfred Klunk fest, Geschäftsführer IT der Kassenärztlichen Vereinigung Bayern. "Sie wissen gar nicht, was ihr Beitrag zum Erreichen der Unternehmensziele ist." Die Arbeitsgruppe stimmte ihm zu. Mitarbeiter würden oft als "Vollzeit-Äquivalente" und "Kostentreiber" behandelt und nicht als das, was sie sind: "die wichtigste Ressource des Unternehmens".
Ein anderes Thema, aber ein ähnlich großes Risiko für die IT wie fehlendes oder schlecht qualifiziertes Personal ist die "Sicherheit der Anwendungssysteme und der Infrastruktur". Hier zeigten sich die CIOs erstaunlich selbstkritisch: Zu oft verstecke sich die IT-Organisation hinter Sicherheitsrichtlinien und lehne wettbewerbsrelevante Vorhaben ab, nach dem Motto: "Das geht aus Sicherheitsgründen nicht." Wenn aber Sicherheitsbedenken zum "Business-Verhinderer" würden, laufe etwas falsch im Unternehmen. Als Ursache für diese Entwicklung wird das fehlende Risiko-Management ausgemacht: Oft mangele es an einer Strategie, um Risiken zu vermeiden, zu verhindern oder zu begrenzen.
Die Arbeitsgruppe konstatierte, dass unternehmensübergreifende Vernetzung mit Lieferanten, Partnern und Kunden sowie Mobile Computing die Sicherheitsrisiken erhöhen. Die Zunahme an Fusionen und Übernahmen seien ein zusätzlicher Risikofaktor. Ein CIO klagte etwa: "Da haben wir die Komplexität halbwegs im Griff, und dann kaufen wir wieder eine neue Company und handeln uns ein riesiges Sicherheitsproblem ein." Auch die Remote-Access-Wartung von IT-Firmen öffne Hackern Tür und Tor.
Verantwortliche im Elfenbeinturm
Meistens ist außerdem kein Mitarbeiter explizit für die Sicherheits-Policy verantwortlich, der die Einhaltung der Standards sicherstellt (Auditing) und unabhängig von der IT-Organisation agiert. Stattdessen säßen diejenigen, die für die Sicherheitsstrategie Verantwortung tragen, im Elfenbeinturm und hätten keinen Bezug zur IT und deren Anforderungen, so die CIOs. Hinzu komme, dass es an qualifiziertem Personal fehle, das das "Ohr am Markt und den laufenden Entwicklungen hat".
Beschrieben wurde auch die Gefahr von innen: Mitarbeiter werden so lange "bequatscht", bis sie Externe in den Hochsicherheitsbereich lassen; Freelancer und Berater zapfen die Netze an; entlassene Angestellte setzen am letzten Arbeitstag noch einen Trojaner - die Szenarien sind vielfältig. Die Anwender seien zu wenig aufgeklärt, doch auch die IT-Mitarbeiter würden oft die Sicherheitsanforderungen nicht kennen. Dabei gehe es lediglich darum, für Angriffe unattraktiver zu sein als der Wettbewerber - und nicht um ein Wettrüsten mit Hackern, Phishern und Gangstern, das nur zu gewaltigen Kosten führe.
Der Security-Manager muss vom Verhinderer zum aktiven Risiko-Manager werden, so der Tenor in dieser Gruppe. Er muss eine wirksame Sicherheits-Policy aufsetzen beziehungsweise prüfen, ob die vorhandene Regelung den Anforderungen entspricht. Ferner hat er sicherzustellen, dass Regeln auch eingehalten werden - zur Not durch Überprüfung der Arbeitsumgebungen von Mitarbeitern.
Die Bewertung der Risken ist eine der wichtigsten Aufgaben. Die Sicherheitsinvestitionen müssen in einem angemessenen Verhältnis zur Bedrohung von innen und außen sowie zur Risikoakzeptanz des Unternehmens stehen. Dabei gilt es auch zu beurteilen, inwieweit die Security die Effizienz der Anwender beeinträchtigt und ob diese Relation akzeptabel ist. Außerdem sollten formelle Prozeduren zur Risikoakzeptanz vorhanden sein: Anwender könnten ihre Bereitschaft, ein Risiko zu tragen, mit einer Unterschrift quittieren.
Zu prüfen ist auch die Organisation: Ist der Sicherheitschef von der operativen IT getrennt? Das Augenmerk hat ferner der Konsistenz zu gelten: Kontroll- und Steuerungsmechanismen wie Qualitäts-Management, Datenschutz, Risiko-Management, Itil und andere müssen aufeinander abgestimmt werden.
Was können CIOs tun, damit interne und externe Mitarbeiter Security-Themen auf dem Schirm haben? Die IT muss der Arbeitsgruppe zufolge die notwendige Aufmerksamkeit schaffen und benötigt dazu die erforderlichen Instrumente. Eine Methode sei es, zu Demonstrationszwecken selbst in die Rolle des Eindringlings zu schlüpfen: "Sie glauben gar nicht, welchen Effekt es hat, wenn man den Vorständen ihren eigenen geöffneten Outlook-Folder präsentiert, weil die Sekretärin dem Herrn vom angeblichen Helpdesk allzu sehr vertraut hat" (Social Engineering). Für Bewusstsein sorge ferner ein ausreichendes Security-Reporting, etwa über einen monatlichen Bericht zu eingetretenen Schadensfällen.
Auf Probleme vorbereitet zu sein (Readiness) wurde als weitere Notwendigkeit identifiziert. Beispielsweise müsse ein gut funktionierendes Netzwerk nach innen und außen existieren, um für den Schadensfall gerüstet zu sein (Gegenhacker). Außerdem müssten Worst-Case-Szenarien durchgespielt werden und Planungshandbücher für Notfälle vorhanden sein.
Eine Unbekannte mit hohem Risikopotenzial ist für CIOs das Thema Fusionen und Übernahmen. Die Zusammenführung von Unternehmen scheitert oft, vor allem am Personal und der IT. Roland Lochner, CIO von Siemens Industrial Solutions and Services, brachte es auf den Punkt: "Die Integration der IT ist häufig der größte Kostenblock im Rahmen einer M&A-Aktivität. Schließlich ist sie für Vertrieb, Personal, Einkauf, Kommunikation, also für alle anderen Faktoren relevant."
IT muss proaktiv handeln
Damit die IT bei Firmenzusammenschlüssen nicht als Sündenbock dastehe, müsse sie "proaktiv" handeln, so die Diskussionsgruppe. Dazu seien standardisierte IT-Prozesse erforderlich. Deshalb müsse die IT - unabhängig von ihrem Einfluss auf den Pre- und Post-Merger-Prozess - eine eigene Strategie oder Methode entwickeln, die für den "Tag X" parat liege. Gefragt seien flexible IT-Strukturen, eine geeignete Security-Policy, ein angemessenes Vendor-Management und Regeln für die Vertragsgestaltung mit externen Dienstleistern.
Die Due Diligence hat nach Meinung der CIOs auch für die IT zu erfolgen. Deshalb, so forderte beispielsweise Michael Neff, CIO der Heidelberger Druckmaschinen AG, "muss der CIO selbstverständlich Mitglied des Due-Diligence-Teams sein". Als kritisch sehen die Diskutanten das bei Fusionen "enge Zeitfenster": Die IT der neuen Company muss vom ersten Tag an reibungslos funktionieren. Deshalb sind zuerst die kurzfristig nötigen Maßnahmen zu treffen, damit E-Mail-Kommunikation, Internet, Intranet und Basisanwendungen funktionieren.
Die Diskutanten gehen davon aus, dass Mergers and Acquisitions in ihrer Bedeutung weiter zunehmen. Unternehmen seien daran interessiert, ihre Portfolien optimal zu ergänzen, durch Übernahmen zu wachsen oder den Finanzmärkten zu gefallen. Die IT verursache dabei die meisten Kosten und berge das größte Risiko für den "Tag eins".
Von sich selbst fordern die CIOs, sehr schnell Check- und Inventurlisten für die Infrastrukturen beider Fusionspartner zur Hand zu haben. Das gelte für E-Mail-Systeme, Anwendungen, laufende Projekte, Security, bestehende Verträge mit Lieferanten und Dienstleistern etc. Methoden und Prozesse müssten zuvor festgeschrieben werden.
Die IT-Macher unterteilen Fusionen aus IT-Sicht grundsätzlich in vier Phasen: Am Anfang steht die Vorbereitung, in der dafür zu sorgen ist, dass IT-Architekturen und -Lösungen für einen Merger flexibel genug gestaltet und die Rahmenbedingungen in Ordnung sind. Es folgt die "Pre-Merger-Phase": Die Übernahme wird vorbereitet, ohne dass die Öffentlichkeit und das Gros der Mitarbeiter davon erfahren. Hier geht es primär um die Vertraulichkeit.
In der "Post-Merger-Phase" kommt es dann darauf an, schon am ersten Tag nach der Zusammenführung handlungsfähig zu sein und eine akzeptable Arbeitsumgebung zur Verfügung zu stellen. Jetzt sind ein schnelles Change-Management, eine unmissverständliche Kommunikation und organisatorische Entscheidungen gefragt. Ist der erste Schritt gemacht, geht es mittelfristig um Konsolidierung und Neuausrichtung der gesamten IT, Portfolio-Bereinigung, Process-Reengineering und Migration.