Das IT-Unternehmen im Unternehmen E-Book

Das IT-Unternehmen im Unternehmen

Management-Verständnis zur Führung einer IT-Organisation

Dipl.Ing (FH) Tim Cappelmann, MBA

Tim Cappelmann

Das IT-Unternehmen im Unternehmen

Management-Verständnis zur Führung einer IT-Organisation

Erste Auflage 2019

Impressum

© Tim Cappelmann, 2019

Erste Auflage

Umschlaggestaltung: tredition Self Publishing

Verlag: tredition GmbH, Halenreie 40-44, 22359 Hamburg

978-3-7497-4876-1 (Paperback)

978-3-7497-4877-8 (Hardcover)

978-3-7497-4878-5 (e-Book)

Das Werk, einschließlich seiner Teile, ist urheberrechtlich geschützt. Jeder Verwertung ist ohne Zustimmung des Verlages und des Autors unzulässig. Dies gilt insbesondere für die elektronische oder sonstige Vervielfältigung, Verbreitung und öffentliche Zugänglichmachung.

Bibliografische Information der Deutschen Nationalbibliothek:

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der deutschen Nationalbibliografie; detaillierte Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Inhalt

Einleitung

Die Motivation für dieses Buch

Zielgruppe

Über den Autor

Methodik und Aufbau des Buches

Erster Teil: Die überforderte IT Organisation

Die Halbwertzeit des Wissens

Überforderung der MA

Interdisziplinäre Teams

Mitarbeiterführung in Teams der IT

Unklare Handlungsfelder – unklare Vorgaben

Anzeichen der Kapitulation

Schatten IT

Ungeplante Nutzung von IT Systemen

KnowHow Silos

Semi-produktive Systeme

Systemdopplungen

Erfolglose Projekte

Konflikte hausgemacht: IT-Entwicklung gegen IT-Betrieb

Eine gelähmte OE

Sourcing als letzter Ausweg

die überforderte (Gesamt-)Organisation

Die IT im Wandel zum kritischen Erfolgsfaktor

Die IT im Wandel zum Business Treiber: Digitalisierung

Industrie 4.0, IoT

Die Killer APP

Innovationsdruck und Time to Market

Ein Ausflug: IT-Sicherheit als beispielhafte Standortbestimmung

Zweiter Teil: die Lehrbuch-IT: von Stäben, Methoden, Prozessen und Frameworks

IT Betrieb

IT Entwicklung & IT Projekte

Demand Management

Tool Set und Methoden des Demand Managements

Demand Management Aufgaben

IT Governance

IT Controlling

IT Risikomanagement

Provider Management

IT Einkauf

IT Revision

relevante Stabstellen

IT Leitung im Unternehmen

Der CDO

Der CISO

Betriebsmodell: Demand & Supply

Betriebsmodell Plan – Build – Run

Etablierte Methoden und Blueprints

ITIL

Service Strategy

Service Design

Service Transition

Service Operation

Continual Service Improvement (CSI)

ISO Standards

ISO 20000

ISO 27001

COBIT

TOGAF

Der TOGAF Kern: ADM

TOGAF Komponenten

SCRUM

DevOps

OBASHI

Business- und IT Diagramme

Die Dataflow Analysis View (DAV)

IT4IT

Strategie to Portfolio

Requirement to Deploy

Request to fulfill

Detect to Correct

Support-Streams

Dritter Teil: neues Führungsverständnis für die zukünftige IT Organisation

Bimodale IT

Moderne IT- und Unternehmensorganisation

Notwendigkeit des neuen Denkens: Business ist IT, IT ist Business

Eine moderne IT Organisation und der Weg dorthin

Standortbestimmung

Reifegrad-Ziele der IT Organisation

Die IT-Strategie als Fundament

Betrieb: ohne Service Katalog geht nichts

Vision und Agenda: IT ermöglicht Unternehmenserfolg

IT Organisation am Business ausrichten

Orga-Change für den IT-Betrieb

Agiles Service Management

Verzahnung von IT-Projekten, IT-Betrieb und Kunden

Die Auswirkung auf die Aufbauorganisation

Orga-Change für IT-Projekte

Die IT agiert als Servicebroker

Orga-Change: Governance

Kostenrechnung

Zusammenfassung: Orga-Changes

IT institutionalisieren: wohin nun mit der IT?

IT Stabstelle

IT als Linienorganisation

Anforderungsmanagement, Demand und Supply

Die IT GmbH

Der CIO in der neuen Organisation

Die CIO Rolle im Vorstand

Die CIO Rolle in der IT Linie

Botschafter der IT: Enterprise Architekten

Moderne Führungskräfte in der IT Organisation

Ausbildung und Skills des CIO

Zu guter Letzt: IT Kompetenzen der Business Manager und Orgaleiter

Literaturverzeichnis

Abbildung 1: Ausschnitt aus Prozesslandkarte, exemplarisch

Abbildung 2: Swinlane Diagramm, exemplarisch

Abbildung 3: Prozessablaufdiagramm, exemplarisch

Abbildung 4: Use Case Diagramm, exemplarisch

Abbildung 5: Überblick IT Governance

Abbildung 6: Varianten Sourcing / Tasking

Abbildung 7: Three Lines of Defense

Abbildung 8: Formen der Demand IT

Abbildung 9: ITIL zu vertraglichen Regelungen

Abbildung 10: die fünf ITIL v3 Phasen

Abbildung 11: COBIT Core Modell

Abbildung 12: TOGAF TRM & III-RM, Referenzmodelle des Architekten

Abbildung 13: OBASHI BIT Diagramm, exemplarisch

Abbildung 14: OBASHI DAV, Exemplarisch

Abbildung 15: IT Value Chain IT4IT (the open Group)

Abbildung 16: Differenzierung und Standardisierung in vier Quadranten

Abbildung 17: Reifegrade der IT Organisation

Abbildung 18: Hierarchie IT4IT, ITSM, agile Methoden

Abbildung 19: Hypecycle in Anlehnung an Gartner

Abbildung 20: Verantwortungs-Shift

Einleitung

„IT doesn`t matter“ schrieb Nicholas Carr schon im Mai 2003 in der Harvard Business Review1. IT spielt keine Rolle mehr – begründet durch fortschreitende Standardisierung, zunehmende Vergleichbarkeit und andauenden Preisverfall. Seine Thesen sorgten in der gesamten IT-Branche für einen Aufschrei und teils sehr emotionalen Protest. Wieso eigentlich?

Eine Besonderheit bildet in der Praxis offenbar nach wie vor diese eine spezielle Organisationseinheit, die stets durch eigene „Spielregeln“ und eine ganz besondere Dynamik auffällt. Die Informationstechnologie, im Unternehmen als „IT“ oder „EDV“ betitelt, scheint aus Sicht der Unternehmens-Organisation wie selbstverständlich eine Sonderrolle einzunehmen. Der eigene IT-Bereich wirkt außerhalb dieser Organisationseinheit dabei nicht selten intransparent. Abläufe und zu erwartender Output erscheinen einem Außenstehenden wenig nachvollziehbar.

Wer gestaltet und führt die Organisationeinheit „IT“? Diese implementiert zu gern eigene Verfahren und Methoden der IT-Branche, aber wo werden hier eigentlich die spezifischen Interessen des Unternehmens implementiert? Sind nun die Führungskräfte der Unternehmensleitung gefordert, sich mit den sehr speziellen IT-Spezifika auseinanderzusetzen oder muss vielmehr die IT-Abteilung den Unternehmenszielen mehr Aufmerksamkeit widmen? Das Buch fokussiert auf die Führungsaufgaben, die mit der Beantwortung dieser Fragen einhergehen.

Die Situation heute scheint unbefriedigend: Unternehmensleitung und IT verfolgen nicht selten jeweils ganz eigene Ziele. Es mangelt an gegenseitigem Verständnis bereits im Vokabular. Eine nachhaltige strategische Steuerung dieser Einheit ist nicht in Sicht. Sogar Dolmetscherfunktionen sind heute gefordert, um Fragestellungen der IT in der Geschäftsführung entscheidungsfähig zu adressieren. Wer kann so noch die IT an den Unternehmenszielen ausrichten?

Das Buch beschäftigt sich zunächst mit der Fragestellung: Wieso ist das so? Dazu ist es notwendig aufzuzeigen, wie es zu dieser absurden Konstellation überhaupt kommen konnte. Die Effizienz der IT-Organisationseinheit ist zwar kaum überprüfbar, jedoch existieren deutliche Anzeichen für Misswirtschaft, Ineffizienz und wenig geeignete Strukturen.

Zugleich ändern sich die Anforderungen rasant. Das Buch rekapituliert den fast abgeschlossenen Wandel der IT zum kritischen Erfolgsfaktor und wagt einen Ausblick auf die zu erwartenden gewaltigen Anforderungen der Digitalisierung auf die IT-Organisation von heute. IT wird zugleich unzweifelhaft in allen Märkten immer mehr zum Business Erfolgsfaktor, dies scheint zur Nicholas Carr „spielt-keine-Rolle-Aussage“ von oben zunächst im Widerspruch zu stehen.

Eine Bestandsaufnahme geht auf die anzutreffenden Organisationsformen von IT-Abteilungen ein und untersucht neben Aufbau- und Ablauforganisationen die etablierten Methoden und Standards der Branche. Das Buch erhebt den Anspruch, über die üblichen Organisationformen und Aspekte der IT-Abteilung von heute ein vollständiges Bild zu zeichnen und dabei durchaus auch als Nachschlagewerk zu dienen. Ein gesondertes Kapitel widmet sich der IT-Sicherheit, die exemplarisch für viele Fragestellungen der IT Organisation dient – und der zugleich eine Schlüsselrolle für die notwendige Verschmelzung von IT und Business zukommen wird.

Final soll, unter Berücksichtigung sich ändernder Anforderungen und mit Blick auf die heute bereits unzureichend organisierte IT Wertschöpfung, ein Ausweg in eine für die Zukunft besser aufgestellte Organisation aufgezeigt werden. Eine Schlüsselfunktion kommt hier sicher dem IT-Leiter (CIO) zu, der in seiner neu zu gestaltenden Rolle neben vormals ausschließlich taktischen Entscheidungen nun zukünftig die Unternehmensstrategie maßgeblich beeinflusst. Der CIO muss sich auch ganz persönlich entscheiden: geht er einen Schritt rückwärts und begreift seine Rolle als „Chef IT Mechaniker“, oder kann er seine Expertise dahingehend ändern, dass er ein neues Niveau von Führung für das gesamte Unternehmen ausübt.2 Die Auswirkungen auf die IT-Organisation und deren Aufstellung sind erheblich und wirken weit in zukünftige Unternehmensorganisationen hinein.

1 „Does IT matter?“ Harvard Business School Press. 2004, Nicolas Carr

2 „The new CIO Leader“, Broadbent / Kitzis, Havard Business School Press, 2005

Die Motivation für dieses Buch

„Wer spricht mal mit der IT?“ – so oder ähnlich könnte es in Meetings des mittleren oder Top-Level Managements gefragt werden. Nicht wenige Teilnehmer des Meetings hören in dieser Frage „wer erklärt es der IT?“ oder, noch prekärer: „wer lässt sich zu dem Problem von der IT belehren?“. Die für viele Führungskräfte intransparente Organisationseinheit (OE) wird hier Gegenstand eines Schwarzer-Peter-Spiels, zugleich macht die Fragestellung eine gewisse Hilflosigkeit außerhalb der IT OE deutlich: Die IT Abteilung besitzt offenbar die akzeptierte Macht, eine beliebige Aufgabenstellung mit einem Veto-Recht zu beeinflussen, oder sogar Projekte abseits der IT in beliebigen Linien maßgeblich zu beeinflussen.

Die Abhängigkeit einer jeden Business-Einheit zur IT ist enorm groß. Eine optimale IT-Unterstützung in Vertrieb oder Logistik kann den entscheidenden Wettbewerbsvorteil am Markt bedeuten. Umgekehrt sind ineffiziente IT-Werkzeuge ein echter Wettbewerbsnachteil und ziehen erhöhten Aufwand in den betroffenen Unternehmenseinheiten nach sich. Daher ist es mutmaßlich normal, dass in Unternehmen die geteilte und begrenzte Ressource „Informationstechnologie“ zu dauerhaften Konflikten führt. Mit dem IT-Leiter – im englischen Sprachraum auch Chief Information Officer, kurz CIO – sollte man sich offenbar besser gutstellen. Wenn dies, aus welchen Gründen auch immer, nicht funktioniert, so sind gute Beziehungen zu wichtigen Mitarbeitern der IT-Abteilung ebenso hilfreich. Mit dem viel Zitierten „Hey Joe“ - Prinzip lässt sich über den Büroflur schnell ein neues Tool einführen oder ad-hoc Berechtigungen für den dringend notwendigen Arbeitsschritt setzen.

Und was tun, wenn sich nun die Kollegen aus der IT allesamt hinter ihren Prozessen und dem Ticketsystem verstecken? Dann bleibt ja immer noch der Weg über die Unternehmensleitung. Mit dem Abmelden von vermeintlich möglichen Umsätzen oder Gewinnwarnungen aufgrund unzulänglicher IT-Unterstützung lassen sich auch gewaltsam und sehr schnell mit Schützenhilfe des mächtigen Vorstandes lästige Prozesse dieser fremdartigen IT-Abteilung umgehen.

In der Folge begreifen sich die Kollegen aus der IT häufig als autarke Einheit, aus den ehemaligen Kollegen der Linien werden schnell „Kunden“. Eine gewisse persönliche Distanz der IT-Experten zu den Anwendern der IT-Infrastruktur lässt sich insbesondere bei größeren Unternehmen mit gefestigten Prozessen gut beobachten. Unzureichende IT-Unterstützung ist aus der Sicht des User Help Desks eben doch immer ein Anwenderproblem. Genauer: das Problem sitzt vor dem Keyboard.

Diese zu beobachtende Distanz der Business-Linien zur IT OE nährt den Verdacht: Diese Organisationseinheit agiert irgendwie anders und ist dabei kaum noch vergleichbar mit dem Rest des Unternehmens.

Der Mikrokosmos dieser IT-Organisation verändert auch deren eigene Mitarbeiter. Eine tägliche Interaktion untereinander folgt den innerhalb der IT vereinbarten Strukturen. Die gelebten Prozesse der IT-Abteilung können den Blick auf das Gesamtunternehmen dabei durchaus verstellen. Die Unternehmenskultur muss sich dabei zwar nicht vollständig von der Mitarbeiterkultur der IT OE unterscheiden, aber zumindest die Schwerpunkte können differieren. Direkte Veränderungen in anderen Einheiten berühren die Mitarbeiter der IT selten unmittelbar. Wenn der Vertrieb sich umstellt oder das Marketing sich neu ausrichtet – die IT-Mitarbeiter arbeiten immer weiter „as usual“.

Die Sonderstellung dieser besonders organisierten Einheit liegt auf der Hand. Bereits das Produkt „IT“ birgt bereits Besonderheiten in sich: diese lässt sich nicht auf Vorrat produzieren. Kapazitäten werden für Hochlastphasen vorgehalten, die IT arbeitet also in einem Selbstverständnis mit hohen Leerkapazitäten. Das Produkt IT ist nicht materiell und entzieht sich zunächst an vielen Stellen der Messbarkeit zu üblichen Qualitätsparametern. So reichen pauschale Statements „das geht nicht anders“ (gleichbedeutend mit „das können Sie nicht verstehen“) oft genug als Rechtfertigung von Schlechtleistung aus.

Um dem Eindruck der einseitigen IT - Schelte gleich zu widersprechen: Die kritisierte OE leistet nicht per se schlecht. Oft genug war der Weg in die organisatorische Individualität gegenüber dem Gesamtunternehmen der einzig mögliche Schritt, um die Qualität bei zugleich hoher Innovationsrate der eigenen IT-Produkte zu erhalten. Die Dynamik war und ist sehr groß, wenig flexible Unternehmensstrukturen und kaum vorhandene Expertise im Top–Management zu Technologiefragen haben den Trend der Abspaltung begünstigt. Doch dazu mehr in der Analyse.

In den häufig konfliktbehafteten oder noch ungeklärten Machtverhältnissen der IT-Organisation zu den restlichen Unternehmensteilen kommt es nun zu einem radikalen Wandel. Die IT soll nun im Zuge der Digitalisierung von Unternehmen zu jedem Geschäftsprozess Lösungen bereitstellen, schnell reagieren und innovative Projekte der Business Units unterstützen. Mehr noch: Die IT soll selbst Business Projekte initiieren und komplette Wertschöpfungsketten verändern. Der bis gestern distanzierte IT-Experte wird ab morgen der „trusted Advisor“ in allen Ebenen und zugleich Business-Architekt sein. Ein Paradigmenwechsel steht ins Haus: der Vorstand bindet die IT in alle Projekte von Beginn an ein, die Bereitstellung von IT-Ressourcen wird in Rekordzeit erfolgen – die IT-Organisation selbst erkennt Marktpotentiale und treibt den Unternehmenserfolg mit neuen Technologien voran.

Wie soll das gehen?

Die Beantwortung dieser simplen Fragestellung war die Motivation für das Schreiben dieses Fachbuches, was sich mit einer Neu-Organisation von Unternehmen als Reaktion auf die neuen, zum Teil disruptiven, Technologien und der damit verbundenen Aufgaben fokussiert. Eines sei vorweggenommen: Ein „weiter so“ wird nicht mehr funktionieren. Die IT-Organisation von morgen wird sich von der heutigen Praxis zum Teil deutlich unterscheiden. Dabei betreffen die Änderungen das gesamte Unternehmen – die neuen Herausforderungen können nicht autark innerhalb der IT Organisation gelöst werden.

Um auf den Anfang dieses Kapitels zurückzukommen („wer erklärt es der IT?“): Bereits die Fragestellung deutet auf ein Organisations-Thema hin. Die IT-Einheit muss im höchsten Management Board permanent vertreten sein und somit den CIO auf Augenhöhe mit anderen C-Level Führungskräften verankern.

Zielgruppe

Das Buch richtet sich zunächst einmal an IT-Leiter, die bereits eine vage oder sogar konkrete Idee über die sich ändernde Rolle dieser verantwortungsvollen Position haben und eben nicht den Status Quo als zu erhaltenden Zustand begreifen. Das Werk kann auch denen hilfreiche Anstöße geben, die mit dem IT-Leiter direkt zusammenarbeiten oder diesen gar führen. Dabei dient es der Unternehmensführung (im englischen Sprachraum „C-Level Management“) insgesamt als Leitfaden, um die Anforderungen an eine neue IT-Organisation zu verstehen und notwendige Veränderungsprozesse einzuleiten. Der Leser mag es hilfreich finden, Ideen über neue Verantwortungen, notwendige Ausbildungen und zu erwartende Organisationsänderungen zu entwickeln. Auch wenn der primäre Fokus auf der Rolle des IT-Leiters liegt, so hilft es auch beratenden Consultants und Dienstleistern der IT-Branche ein Verständnis für die Kunden zu entwickeln und um final besser zugeschnittene Lösungen anbieten zu können.

Dem Leser mit einem eher technisch geprägten Ausbildungsweg wird die notwendige Methodik und Lehre der Organisation aus den Disziplinen der Wirtschaftswissenschaften vermittelt.

Dem Leser mit dem wirtschaftswissenschaftlichen Hintergrund werden zugleich die essentiellen Abhängigkeiten und Problemstellungen der Informatik verdeutlicht.

In diesem Buch wurde aus Gründen der Lesbarkeit im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige beider Geschlechter.

Weiter wurde auf eine weitere Differenzierung bezüglich Rolle des IT-Leiters verzichtet. Ob IT-Leiter, Bereichsleiter IT, Chief Information Officer (CIO), IT-Director, Vice President IT oder vielleicht noch ganz anders - das Buch unterscheidet an dieser Stelle nicht weiter und meint jeweils die gleiche Rolle: die hochrangige Führungskraft mit der Verantwortung über die IT Organisation.

Dem Autor ist vollkommen klar, dass es insbesondere in der Rolle des IT-Leiters unterschiedliche Ausprägungen gibt. Es gibt den IT-Leiter am Hauptstandort des Unternehmens, sowie den IT-Leiter, der ein Team regionaler CIOs führt. IT-Leiter als Führungskraft in einer shared Service Gesellschaft setzten andere Schwerpunkte als IT-Leiter im öffentlichen Sektor oder in einzelnen Geschäftsbereichen. Letztlich spielt dies für den Kern dieses Buches aber eine untergeordnete Rolle. Die Organisation muss neu geschnitten werden, Zuständigkeiten und Kompetenzen verschieben sich – und jede Führungskraft muss sich zukünftig darauf einstellen.

Über den Autor

Tim Cappelmann ist Diplom-Ingenieur (FH) der Informationstechnologie und seit mehr als 15 Jahren in der Branche verankert. Er arbeitete als Berater für verschiedene IT Dienstleister zunächst im Schwerpunkt der IT-Infrastruktur und lernte Unternehmen aller Branchen in der Organisation und IT-Technologie kennen. Ein berufsbegleitendes MBA - Studium vermittelte Methodenkenntnisse zur Organisation, Planung und Führung. Als verbandsanerkannter IT-Sachverständiger und Gutachter profitiert der Autor von einem im Detail sehr tiefen technischen IT-Wissen, ohne den Gesamtüberblick der Wertschöpfung aus den Augen zu verlieren. Als zertifizierter Enterprise Architekt nach TOGAF, IT Controlling Expert (TUEV) und mit weiteren ITIL-, sowie COBIT-Zertifizierungen, bearbeitet der Verfasser dieses Buches technologische Fragestellungen immer auch unter den Perspektiven der Business-Organisation.

Als Dozent an einer Fachhochschule ist Tim Cappelmann eingebunden in deren Forschungsprojekte zu aktuellen Fragen der Wirtschaftsinformatik. Der Autor arbeitet in Führungsverantwortung für managed IT Services bei einem IT Systemhaus und beschäftigt sich in diesem Aufgabenspektrum nicht zuletzt mit Prozess- und Organisationsfragen zu Kunden in nahezu allen Marktsegmenten.

Diverse Fachartikel wurden zu verwandten Themen der Informationstechnologie in Fachmedien bereits veröffentlicht, weiterhin tritt der Autor als Referent auf nationalen und internationalen Fachkonferenzen auf.

Mit dem Fachbuch „IT: über das Unternehmen im Unternehmen“ publiziert der Verfasser erstmalig zum Themenkomplex der IT Organisation.

Methodik und Aufbau des Buches

Das Buch gliedert sich in drei grundlegende Teile. Der erste Teil „die überforderte IT Organisation“ reflektiert die heute anzutreffenden Organisationen sehr kritisch und zeigt Misswirtschaft auf. Die Anzeichen für Schlechtleistung und Auswüchse unzureichend organisierter Unternehmens-IT sollen das Problembewusstsein des Lesers schärfen und ein Verständnis für die Notwendigkeit eines grundlegenden Umdenkens erzeugen.

Der zweite Teil des Buches betrachtet die am Markt anerkannten Methoden, Prozesse, Frameworks und Organisationsformen. Diese als „Lehrbuch-IT“ bezeichneten Aspekte helfen dem Leser, sich einen komprimierten und zugleich umfassenden Überblick über die Möglichkeiten einer effizienten IT-Organisation zu erarbeiten.

Der dritte Teil schließlich zeigt Lösungsvorschläge auf, wie eine IT-Organisation sich für die Zukunft aufstellen kann, um nicht zuletzt den gravierenden Umbrüchen der Digitalisierung besser begegnen zu können.

Erster Teil: Die überforderte IT Organisation

Der erste Teil des Buches beschäftigt sich mit einer kritischen Reflexion der IT-Organisationen. Dabei wird ein recht schonungsloses Bild gezeichnet und dieses durch in der Praxis zu beobachtende Phänomene der Schlechtleistung gestützt. Dieser Teil des Buches schafft ein Problembewusstsein beim Leser und unterstreicht die Notwendigkeit, endlich Veränderungen herbeizuführen. Die in diesem Teil behandelten Probleme entstehen im Spektrum der Informationstechnologie wiederkehrend und nahezu zwangsläufig - und werden von vielen Mitarbeitern innerhalb der IT-Organisation mittlerweile gern achselzuckend als Normalität anerkannt.

Das erste Kapitel beschreibt das Grundproblem und daraus resultierende Herausforderungen der sehr kurzen Innovationszyklen in der IT, wie sie in dieser Form und Geschwindigkeit in keiner anderen Branche auch nur annähernd anzutreffen sind. Der zeitliche Druck führte in der Vergangenheit immer wieder dazu, dass neue Technologien durch Fachexperten in den Organisationen eingeführt wurden, die nicht zwangsläufig die optimalen Spezialisten für die jeweilige Aufgabenstellung waren. Nicht selten stellen sich eingeführte Innovationen der IT auch rückblickend als wenig marktreif heraus.

Neben den Fachexperten scheinen zudem bis heute auch insbesondere Führungskräfte noch nicht mit der Innovationskraft des Marktes umgehen zu können. Die Ausführungen in diesem Teil des Buches bieten eine erste sehr kritische Analyse der IST-Situation und deuten die begünstigenden Umstände für Fehlentwicklungen: Die enorm kurze Halbwertzeit des Wissens, ungelernte IT-Führungskräfte in der Mitarbeiterführung und unklare Rollen der IT-Einheiten in der Gesamtorganisation sind der Treibstoff für die ineffiziente IT-Fabrik, wie sie heute allerorts zu beobachten ist.

Die Halbwertzeit des Wissens

Die Berufsausbildung bietet lediglich noch das Rüstzeug für den ersten Berufseinstieg in der sehr lebendigen IT-Branche. Mit dem ersten Expertenjob innerhalb der IT-Organisation beginnt sofort das lebenslange Lernen. Was bedeutet es eigentlich, wenn jemand „in der IT“ arbeitet? Diese Aussage ist ähnlich präzise wie das Statement „er ist Handwerker“. Das Feld der benötigten Jobs und der Spezialisierungen ist unfassbar groß. Ein Spezialist aus dem IT-Betrieb wird sich eventuell in Projekten sehr schwertun. Ein Projektleiter ist nicht zwingend mit den Prozessen des IT-Betriebes vertraut. Bereits auf die originäre Informatik stark eingeschränkt reicht das Spektrum fachlich immer noch von der Anwendungsentwicklung, und den damit vielfältig verbundenen Programmiersprachen, über die Systemspezialisten in Server, Storage und Netzwerk, über den Cloud Architekten, den Datenbankadministrator, den Webdesigner, dem Business Analysten und IT-Beratern bis zu den IT Security Analysten. Die Aufzählung erhebt keinen Anspruch auf Vollzähligkeit. Wikipedia listet derzeit unter der Überschrift „IT-Beruf“ allein 37 Schwerpunktkategorien auf.3

Doch auch Juristen und Kaufleute mit diversen IT-Spezialisierungen bilden gefragte Berufsbilder, die innerhalb der IT Organisation dringend benötigt werden. IT-Auditor,

Compliance-Beauftragter, Service-Level-Manager: ob die bemühten Vermittler der Agentur für Arbeit hier eigentlich noch hinterherkommen?

Die Vielfalt der Berufsbilder unterstreicht das Eingangs-Statement dieses Kapitels: nach der Ausbildung beginnt das lebenslange Lernen. Für alle Akteure der IT sind Nachschulungen und Trainings zu Spezialisierungen fortwährend notwendig. Von den Mitarbeitern wird die Offenheit für Neuerungen abverlangt, was auch unbestritten zu Stress und sogar einer Abneigung und Widerstand gegen permanente Innovationen führen kann. Grade Fachexperten mit einer großen Berufserfahrung und vielen Berufsjahren in einem unveränderten Aufgabengebiet sind hier gefährdet.

Neben dem großen Spektrum der Spezialisierungen innerhalb der IT befeuern kurze Release-Zyklen den Trainingsbedarf. Mitarbeiter aus dem User Helpdesk sollten es vor dem Anwender wissen, wenn in einer neuen Softwareversion Teile der Funktionalität verändert oder auch nur an anderer Stelle untergebracht wurden. In der Anwendungslandschaft (also potentiell mit Anwender – Interaktion) stehen ständig Produktverbesserungen an. Unsichtbar für die Anwender geschieht exakt das gleiche natürlich auch im Backend des Rechenzentrumbetriebes.

Für Mitarbeiter in Führungsverantwortung ergibt sich aus dem permanenten Trainingsbedarf und den vielen beruflichen Spezialisierungen gleich eine ganze Reihe von Problemen in der direkten Mitarbeiterführung.

Überforderung der MA

Lebenslanges Lernen klingt zunächst positiv, man bleibt nicht stehen und darf sich permanent auch persönlich weiterentwickeln. Die Schattenseiten dieses Prinzips treten gern im höheren Alter eines Mitarbeiters in den Vordergrund. Denn junge Menschen nehmen Neuerungen oft schneller auf und können sich diese schneller einprägen. Es sollte daher Normalität sein, dass auch ältere Mitarbeiter sich von den Neueinsteigern im Job fachlich Sachverhalte erklären lassen. Der Transfer von den erfahrenen Kollegen zu den jungen Einsteigern wird nahezu überall und oft thematisiert, ist zugleich wichtig und richtig. Doch der Knowhow Transfer von den jungen Leuten hin zu den „alten Hasen“ ist viel schwieriger zu organisieren. Soziale Komponenten stehen uns hier im Weg.

Der Mitarbeiter mit langer Unternehmenszugehörigkeit verdient oft bereits mehr Geld als der Einsteiger, diesen nun zugleich als „Trainee“ zu begreifen fällt gerade vielen unerfahrenen und aufstrebenden Experten schwer. Neiddebatten können diese Richtung des Wissenstransfers behindern.

Erschwerend kommt hinzu: als gut bezahlter IT-Experte fällt es durchaus nicht leicht, eigene Wissenslücken zu akzeptieren und gar vor anderen preiszugeben. Im Personalmarkt der IT wimmelt es von Fachexperten, die mit „Chauffeur-Wissen“ sehr weit gekommen sind. Der Begriff des Chauffeur-Wissen geht auf Max Planck zurück.

Nachdem der Begründer der Quantenphysik, 1919 mit dem Nobelpreis ausgezeichnet wurde, reiste er rund um Deutschland um seine Theorien und Entdeckungen an diversen Fakultäten zu präsentieren. Nach etlichen Vorträgen beklagt sein persönlicher Chauffeur: „So langsam wird es langweilig, ständig dieselbe Rede zu hören“. Max Planck und sein Chauffeur einigen sich darauf, dass die beiden die Rollen tauschen und in München der Vortrag vom Chauffeur bestritten wird.

Dort hält der Chauffeur souverän einen langen Vortag über die Quantenphysik. Anschließend fragt ein Professor aus dem Publikum: „Wenn Photonen keine Masse besitzen, jedoch einen Impuls, sagt dies nicht gleichzeitig aus, dass Masse nicht ein Maß für den Widerstand einer Kraft sein kann?“

Der Chauffeur wehrt ab: „Diese Frage ist so einfach, die kann mein Chauffeur in der ersten Reihe des Publikums beantworten!“4

Charles Thomas Munger, ein erfolgreicher US-amerikanischer Rechtsanwalt, Investor und Manager erklärt sehr eingängig: Es gibt zwei Arten von Wissen. Zum einen echtes Wissen, welches durch zeitaufwendige Forschungen und harte Arbeit erlangt wurde. Zum anderen das so genannte Chauffeur-Wissen; jenes Wissen, das nichts anderes ist als eine große Aufmachung und Show.5

Sich echtes Wissen anzueignen ist ein langer, mühsamer Weg geprägt von vielen Versuchen, konstanter Analyse, Selbstkritik, Niederschlägen und schlussendlich Erfolgen. Ein Prozess, der einfach zu umgehen ist, wenn man sich auf die doch wesentlich schnellere und einfachere Anhäufung und Verbreitung von Chauffeur-Wissen konzentriert.

In der IT-Branche haben sich Schulungsanbieter auf das Bestehen von den dort marktüblichen Online-Prüfungen spezialisiert. Institute bieten Umschulungen an, die mit anerkannten und hochwertigen Zertifikaten abschließen. In kürzester Zeit werden dem Arbeitsmarkt nach Aktenlage gut ausgebildete Kräfte angeboten. Diese Fachexperten arbeiten oft mit dem beschriebenen Chauffeurs-Wissen, da die notwendige Zeit für Analysen, Praxiseinsatz und ein intensives Coaching in den ausschließlich auf Prüfungserfolge getrimmten Ausbildungen fehlt.

Chauffeur-Wissen kann innerhalb enger Grenzen in der IT auch durchaus ausreichend sein. Die Softwarelandschaft berücksichtigt längst das fehlende substanzielle Know-How. Klare Fehlermeldungen, Hilfsroutinen und gut aufbereitete Hilfestellungen schon innerhalb der Softwarelösung führen die Anwendungsbetreuer durch die Probleme. Statt einer aufwändigen Ursachenanalyse empfiehlt der Hersteller auch einen Reboot der Systeme und führt dies wie selbstverständlich als „Problemlösung“ an. Nicht selten empfehlen Supporter eine Neuinstallation der Software als „Lösung“, obwohl der ursächliche Fehler nicht gefunden wird. Die Branche richtet sich ein Stück weit auf oberflächliches Know-How aus – echte Experten stechen aus dem Arbeitsmarkt mittlerweile deutlich hervor.

Unter diesen Rahmenbedingungen des notwendigen lebenslangen Lernens, der kaum miteinander vergleichbaren Substanz des Wissens und den individuellen Ausbildungspfaden der Branche ergibt sich eine für Führungskräfte schwer zu durchschauende Gemengelage. Es besteht die Gefahr, Mitarbeiter mit scheinbar klar beschreibbaren Aufgabenstellungen schlicht zu überfordern. Wem kann welche Arbeit anvertraut werden, wer wird zudem die Aufgabenstellung vollständig korrekt verstehen? Ein Feedbackkanal „ich mache das schon“ reicht in vielen Fällen nicht aus. Jedes fachliche Scheitern trägt latent die Gefahr in sich, auch als ein persönliches Scheitern verstanden zu werden. Wiederkehrende Überforderung tritt leicht ein, wenn die Führungskräfte ihre Mitarbeiter fachlich nicht richtig einschätzen. Dies geschieht oft, da ja auch die eingesetzten Mitarbeiter ihr eigenes Knowhow zeitweilig deutlich überschätzen. Das in Prüfungsfragen transportierte Wissen lässt sich auf reale Probleme eben nicht vollständig anwenden. Wiederkehrende Misserfolge aus einer falschen Mitarbeitereinschätzung heraus bergen eine gewisse Sprengkraft für die Mitarbeiter selbst und auch für ganze Teams und deren Strukturen. Die Führungskraft sollte den Mitarbeiter und seine fachlichen Grenzen zeitweilen besser kennen als der Mitarbeiter selbst.

Arbeit erzeugt Stress – die IT-Branche dient insgesamt als schlechtes Beispiel. Permanente Störungen im Arbeitsablauf, erreichte Belastungsgrenzen und Zeitdruck prägen das Arbeitsumfeld der IT. Eine Publikation der Gewerkschaft ver.di aus 2009 nennt nach einer Umfrage die am häufigsten genannten Belastungen bei IT-Jobs: neben den bereits erwähnten Störungen und Überforderungen wird hier auch die ständige Einarbeitung in neue Methoden und Technologien von den Teilnehmern der Umfrage genannt. Im Ergebnis beklagen IT-Mitarbeiter häufiger gesundheitliche Beeinträchtigungen als in anderen Berufen.6

Interdisziplinäre Teams

Mit dem Zusammentreffen unterschiedlicher Berufsgruppen, vieler Fach- und Vertiefungsrichtungen und Spezialisierungen der Mitarbeiter treffen innerhalb der IT jeden Tag Mitarbeiter in Projektteams oder Betriebsabläufen aufeinander, die sich in die Perspektiven der Kollegen einfinden müssen. Dies erfordert durchaus soziale Kompetenzen. Stärken in der Kommunikation, Toleranz, Zielorientierung und Moderationsfähigkeiten helfen den Mitarbeitern über die fachlichen Know-How Silos hinweg. Die Anforderungen an diese sozialen Skills nehmen weiter zu, wenn teamübergreifend, oder sogar unternehmensübergreifend, an Aufgaben gearbeitet wird. Hier kommen dann unternehmerische Dimensionen hinzu – Auftragsverhältnisse und Hierarchien beeinflussen den Handlungsrahmen eines jeden Mitarbeiters.

In diesem Kosmos nun unterschiedliche Ansätze und Lösungswege als gleichwertig oder potentiell hilfreich zu begreifen, fällt nicht immer leicht. Im Spannungsfeld zwischen Zielorientierung und sozialem Betriebsfrieden interagieren Fachexperten der IT permanent miteinander – doch sind diese dafür ausreichend vorbereitet? Während Experten der IT mit zum Teil fragwürdigem Know-How um die beste Lösung ringen, verstehen diese zugleich nicht immer, aus welcher Perspektive und Denkweise heraus der Gegenüber argumentiert. Schon bei einem Dialog zwischen einem Wirtschaftsinformatiker und einem Fachinformatiker treffen deutlich unterschiedliche Ausbildungswege und sogar Kulturen aufeinander. Diese Konflikte lassen sich nur durch Kommunikationsgeschick und wertvolle soziale Kompetenzen wie Toleranz, Geduld und die Fähigkeit eines Perspektivwechsels begegnen. Es ist kein Geheimnis, dass innerhalb der IT viele Experten arbeiten, die sich für diese Berufsbilder aufgrund eigener Stärken in Logik und Mathematik entschieden haben. Nicht ganz so häufig steht „IT“ bei Schulabgängern mit guten sprachlichen Kompetenzen oder Bestnoten in gesellschaftswissenschaftlichen Fächern auf der beruflichen Agenda.

Mitarbeiterführung in Teams der IT

Die bis hierher skizzierten Besonderheiten der IT-Organisation deuten bereits auf besondere Führungsaufgaben hin. In Projektteams und im IT-Betrieb sind Konflikte zwischen handelnden Personen zu bearbeiten. Zu den üblichen Zielkonflikten der Organisation selbst kommen also vielfältige Konflikte aus den unterschiedlichen Ausbildungen und Fachexpertisen hinzu – sobald es an gegenseitigem Verständnis zu fehlendem Wissen oder divergierenden Schwerpunkten und Prioritäten mangelt.

Die Führungskraft im Allgemeinen soll in der IT unter diesen Vorzeichen Innovationen treiben, in der richtigen Dosierung Kontrolle ausüben und Aufgaben delegieren, Erfahrungshorizonte und Denkmuster der Mitarbeiter ständig hinterfragen, Konflikte auflösen und als Coach die am Fachkräftemarkt sehr gefragten Mitarbeiter zugleich im Unternehmen halten. Zwingend sind somit von Projektleitern und Führungskräften in der Hierarchie Moderationsfähigkeiten und auch die dafür notwendigen sozialen Skills gefordert.

Doch wer wurde in der IT bisher Führungskraft? Mit dem Wachstum eines Teams wird irgendwann der Ruf nach einem Teamleiter laut. Es gibt viele gute Gründe, diesen aus den eigenen Reihen heraus zu entwickeln. Einarbeitungszeiten entfallen, die Person ist bekannt und das Risiko einer Fehleinschätzung in langwierigen Rekrutierungsprozessen entfällt. Einige Unternehmen spekulieren darüber hinaus auf die Vorbildfunktion „schaut her, in unserem Unternehmen ist Karriere möglich“.

Den Neulingen in der Führungsriege wird spätestens in der Praxis dann bald bewusst, dass ihnen die so genannten Softskills fehlen - und allen voran die Führungskompetenz. Die meisten Führungskräfte waren zuvor Fachkräfte in ihrem Bereich - hoch qualifiziert. Oft wurde auch die Fähigkeit, sinnvoll zu delegieren, einfach nicht gelernt, so dass der Mitarbeiter nicht weiß was genau zu tun ist oder bis wann und mit welcher Priorität. Schaffen neue Führungskräfte den Sprung nicht, die fachliche Arbeit abzugeben, addiert sich diese zu den Führungsaufgaben. Die langfristige Überforderung tritt zwangsläufig ein.

Dabei ist Führung insbesondere innerhalb der IT aus den genannten Gründen sicher kein „Selbstläufer“. Die skizzierten Führungsaufgaben abseits der fachlichen Koordination benötigen kompetente Führungskräfte – und eben keine „Vorarbeiter“.

Eine weitere Dimension in den Anforderungen an den Führungskräftenachwuchs ist die Eigenschaft des ausgeprägten „unternehmerischen Denkens und Handelns“. Diese Forderung findet schnell Einzug in den Anforderungskatalog einer Stellenbeschreibung. In einer Kultur, in der mehr Technik, leistungsfähigere Systeme oder mehr Personal gleichgesetzt werden mit der Wichtigkeit der Führungskraft, fällt der Wandel zu Kostenkontrolle und Controlling aber durchaus schwer. In einigen Unternehmen steht hier eine lang etablierte und tief verwurzelte Unternehmenskultur innerhalb der IT-Abteilung dem verantwortungsvollen unternehmerischen Handeln im Wege.

Im dritten Teil des Buches („neues Führungsverständnis für die IT-Organisation“) wird die Problemstellung zur Personalführung noch einmal aufgegriffen werden.

Unklare Handlungsfelder – unklare Vorgaben

Die bis hier beschriebenen Problemstellungen lassen sich auf historisch gewachsene IT Organisationen zurückführen und werden zum Teil aus dem Fachkräftemarkt, der IT Berufsausbildungen oder der gängigen Beförderungspraxis in der IT verantwortet. Doch auch außerhalb der IT und zugleich innerhalb der Gesamt-Organisation finden sich Umgebungsvariablen, die eine Überforderung der IT-Organisation begünstigen.

Was soll die IT eigentlich leisten? Die Anforderungen an eine beliebige Organisationseinheit ist grundsätzlich mindestens aus Prozessbeschreibungen und Managementsystemen abzuleiten. Ob nach ISO 9001 oder nicht: die schriftlich fixierte Ordnung einer Organisation erfasst selbstredend auch die IT-Einheiten und legt gewisse Spielregeln fest. Letztlich beschreiben diese internen Dokumente eines Unternehmens nur sehr grob den Handlungsrahmen, zumeist beschränken sich diese auf Schnittstellen zu benachbarten Einheiten oder legen abstrakte Aufgaben und Prozessabläufe fest.

Ein wenig konkreter kann es noch in Stellenbeschreibungen zugehen; hier könnten aus den Aufgaben eines IT-Leiters auch Rückschlüsse auf die Aufgaben der zu führenden IT-Abteilung gezogen werden.

Die Anforderungen an die Abteilung als interner Dienstleister für das Unternehmen werden von diesen Dokumenten selten erfasst. Dabei existieren durchaus Erwartungshaltungen in allen Unternehmensteilen und zum Teil ganz konkrete Vorstellungen zum Prozess-Output der IT-Einheit und damit verbundenen Qualitätsparametern. Nur sind diese Vorstellungen selten deckungsgleich mit denen der Leistungserbringer. Auch im Vergleich der vielen IT-Nutzer existieren divergierende Erwartungshaltungen zu Leistungsumfang, Qualität und Ausprägung der IT-Services. Die konkreten Erwartungen an die IT-Kollegen sind davon abhängig wie groß der Abhängigkeitsgrad am Arbeitsplatz zur Informationstechnologie ist, welchen Rückhalt und welche Macht der anfordernde Bereich insgesamt innehat, welche IT-Kenntnisse – und damit einhergehend: Verständnis - außerhalb der IT-Abteilung vorausgesetzt werden kann. Viele IT Mitarbeiter berichten davon, dass die Selbstverständlichkeiten einer plug and play – IT aus dem Konsumgüterbereich von Anwendern und auch Führungskräften aus dem Business wie selbstverständlich auf die IT der Organisation übertragen werden. Aussagen wie „meine private EDV ist leistungsfähiger“ oder „das geht doch ganz einfach“ sind mitnichten hilfreiche Verbesserungsvorschläge, sondern häufig unqualifizierte Beschwerden von Unternehmensangehörigen ohne Verständnis der Gesamt-Zusammenhänge.

Die nicht ausreichend konkret festgeschriebene und somit zugleich nicht messbare IT-Leistung führt selbstverständlich auch dazu, dass neben Mitarbeitern ebenso Führungskräfte diese wenig qualifizierten Erwartungshaltungen zu einer angemessenen IT-Unterstützung in ihrem Wirkungsbereich äußern. In nicht wenigen Unternehmungen führen die Strömungen zu einer Frontenbildung zwischen IT-Mitarbeitern und dem Rest des Unternehmens.

Aus fehlenden Vorgaben resultierende Konflikte wären leicht vermeidbar, wenn das Top-Management des Unternehmens dieses Konfliktfeld einmalig und umfassend regeln würde. Dies unterbleibt allzu oft: die Fronten ziehen sich bis in das C-Level Management durch, wo vergleichbare Machtkämpfe mit dem CIO ausgetragen werden. Statt mit verbindlichen Vorgaben für Transparenz zu sorgen, entscheiden auch hochrangige Führungspersönlichkeiten in der Organisation situativ und ohne sinnstiftende Kommunikation in das Unternehmen hinein. Wieso ist das so?

Hier nähert sich das Kapitel bereits einigen Kernproblemen an, zu dem das Buch später Lösungsvorschläge erarbeitet. Verdichtet in Form eines Ausblickes sei hier vermerkt: Der IT-Leiter ist im Organigramm falsch verankert, die Rolle der IT insgesamt ist nicht geklärt, den Personen an Schlüsselpositionen im Unternehmen fehlt es am richtigen Knowhow.

Unklaren Vorgaben und nicht konkretisiert festgeschriebene Handlungsfelder wirken auch auf die Mitarbeiterführung. Das Phänomen ist mindestens in der Domäne des täglichen IT-Betriebes bekannt. Mit dem Blick auf diese durchaus wichtige Untermenge der IT Organisation ist die Frage in beiden nachfolgenden Szenarien interessanterweise gleich. Wenn die IT Technik für lange Zeit reibungsfrei funktioniert: „Wofür bezahlen wir Euch eigentlich?“. Wenn Störungen den IT-Betrieb behindern: „Wofür bezahlen wir Euch eigentlich?“.

Die IT-Organisationen wehren sich gegen diese nicht-Messbarkeit mit eigenen Konzepten. Der Service Katalog nach ITIL7 ist beispielhaft ein prominentes Konzept, mit dem sich die IT nach dem Prinzip des Warenkorbes selbst im Unternehmen vermarktet und sich eigene Qualitätsziele steckt. Über die Methode der internen Kostenverrechnung und dem Angebot der IT in alternativen Qualitätsstufen ihre Services wählbar zu gestalten, ergibt sich mit den Mitteln der Marktwirtschaft zwischen Business und IT ein Steuerungsinstrument. Doch auch diese IT Initiative muss vom Unternehmen insgesamt getragen werden.

Anzeichen der Kapitulation

Das Kapitel betrachtet zunächst die direkten Auswirkungen der überforderten Organisation. Die angeführten Phänomene dieses Kapitels sind als direkte Ergebnisse der in den vorherigen Gliederungspunkten beschriebenen Defizite zu werten. Jede der hier beschriebenen Auswirkung ist in nahezu allen IT-Organisationen zu beobachten. Der Umfang, sowie auch die Wahrnehmung als Problem, sind von Unternehmung zu Unternehmung sicherlich unterschiedlich – jedoch sind alle Auswirkungen prinzipiell in allen Branchen direkt vorhanden. Einige dieser Auswüchse sind am IT-Markt sogar längst als „üblich“ akzeptiert, IT-Lösungsanbieter reagieren sogar mit eigenen Produkten. Paradox: Statt an den Ursachen der organisatorischen Probleme zu arbeiten, sollen technische IT Lösungen helfen. Mit Blick auf die gesamte Branche scheinen die Defizite des Kapitels „die überforderte IT-Organisation“ also seit langer Zeit bekannt zu sein. Wie sonst hätten die nachfolgend dargestellten Auswirkungen einen so hohen Bekanntheitsgrad erlangen können? Das Buch führt als prominente Auswirkungen der bis hier ungelösten Grundsatzprobleme die beliebte Schatten-IT, ungeplant genutzte Dienste, Know-How Silos, semi-produktive Systeme, unnötige Sytemdopplungen, die hohe Rate an scheiternden IT-Projekten, Grabenkämpfe zwischen den Expertenteams und auch Erscheinungen des völligen Stillstands innerhalb der IT-Organisation an.

Schatten IT

Da Business Einheiten in der Organisation den – gefühlt umständlichen oder langwierigen - Weg über die zuständige IT-Abteilung scheuen, beschaffen sich diese auch eigenes IT-Equipment, welches dann in das Unternehmensnetz ohne Kenntnis der eigentlich zuständigen OE verbunden wird. Ein kleines WLAN für den eigenen Komfort im Büro oder auch eine eigene Dateiablage mit einem NAS Server aus dem Elektronik-Fachmarkt ist schnell beschafft – und wird in der Branche dann als „Schatten–IT“ bezeichnet.

Die autonom beschaffte Technik befindet sich selten in einem dafür vorgesehenen Serverraum oder Rechenzentrum, da so die Gefahr einer Entdeckung durch die IT-Abteilung zu groß wäre. Die Komponenten arbeiten – gern in 24x7 Betrieb - in Büroräumen oder entlegenen Ecken der Produktionshalle. Abgesehen von einem Datenanschluss und einer Steckdose für die Stromversorgung gibt es keine Voraussetzungen.

Mindest-Standards des Unternehmens zur IT-Sicherheit sind den nutzenden Kollegen selten vollständig bekannt. Im Lebenszyklus einer Schatten-IT-Komponente kommen neue Anwender hinzu, beispielsweise durch Neueinstellungen oder offene „Vermarktung“ der Insellösung zwischen den Teams einer Business Unit. Neue Nutzer der Schatten-IT sind sich wiederum selten über die Sicherheitsdefizite im Klaren und können zwischen offizieller und inoffizieller Informationstechnik kaum noch unterscheiden. Nicht selten geraten derartige Komponenten erst in den Fokus, wenn ein unbedarfter Anwender bei Störungen einen Supportanruf in der unwissenden IT-Abteilung initiiert.

Einige engagierte IT-Mitarbeiter gehen regelrecht „auf die Jagd“. So suchen IT Mitarbeiter, ausgestattet mit WLAN Antennen, nach unbekannten Konsumer-Geräten auf dem Betriebsgelände. Auch Firewall-Logs oder Eventdaten der Netzwerkkomponenten geben Hinweise auf derartige Devices. Zur Frage, ob diese Maßnahmen lediglich der Informationssicherheit dienen, oder eine weitere Auswirkung der skizzierten Frontenbildung zwischen IT–Mitarbeitern und Kollegen aus dem Business sind, bleibt Interpretationsspielraum.

Schatten–IT stellt unbestreitbar ein Problem dar, wenn unzureichend gesicherte Komponenten Schleusen für Angriffe öffnen, während zugleich in der Unternehmens–IT enorme Summen für die Absicherung des Unternehmensnetzes allokiert werden.

Mindestens ebenso problematisch ist, dass mit der Schatten-IT wieder heterogene IT-Landschaften und Technik-Inseln entstehen, die nicht kontrollierbar sind und die zentrale Steuerung eines Unternehmens gefährden. Auch auf die Kosten wirkt sich der IT-Wildwuchs negativ aus, da statt zentraler Lösungen in der Summenbildung viele ähnliche Lösungen mit einem hohen Supportaufwand oder Risikopotentialen entstehen.

Es schließen sich rechtliche Probleme an, wenn durch den unbedarften Betrieb beispielsweise Urheberrechtsverletzungen einhergehen. Viele Lizenzmodelle erlauben die private Nutzung einer Lösung, schließen die Nutzung ohne vertragliche Grundlage im Unternehmensumfeld jedoch zugleich aus.

Das Umschiffen der Unternehmens-IT kann auch durch die Buchung von Cloud-Services geschehen. Hier handeln engagierte Mitarbeiter aus dem Business gegebenenfalls nicht einmal bewusst gegen die IT-Organisation, wie dies beim Aufbau von geschickt getarnter Hardware im Unternehmen immer unterstellt werden kann. Vielmehr setzen sich unbekümmerte Verhaltensweisen aus dem Privatleben im Arbeitsalltag selbstverständlich fort. Der Datenaustausch mit einem Geschäftspartner gestaltet sich kompliziert? Eine Lösung durch die eigenen IT-Spezialisten ist nicht sofort in Sicht? In Unkenntnis der vertraglichen Rahmenbedingungen nutzen Anwender beliebte Cloud-Dienste für Datei-Austauschplattformen, Instant Messaging Verfahren oder weitere, sehr bedienfreundliche Angebote. Viele der Services lassen sich online direkt kostenpflichtig buchen und sind dann Bestandteil einer verschleierten Spesenabrechnung. Absurde Auswüchse lassen sich bei komplett kostenfreien Anbietern konstatieren. Mitarbeiter eines Unternehmens bestätigen seitenlange Verträge, in denen das Recht auf Vervielfältigung und uneingeschränkte Nutzung der ausgetauschten Dokumente an den Anbieter der Plattform übergehen. Der Anbieter bewegt sich zudem in einem für den Anwender unbekannten Rechtsraum auf ausländischem Boden. Was formal gesehen mindestens den Grund für eine Abmahnung darstellt, wird aus Anwendersicht ohne böswillige Absicht und sogar in gutem Willen für eine größtmögliche Produktivität initiiert. Ein Unrechtsbewusstsein fehlt hier komplett. Doch auch wenn man diesen Punkt durch gesteuerte Awareness-Kampagnen und Verbote recht schnell bearbeiten könnte, liegen die Ursachen doch tiefer. Die komfortablen und zugleich aus den Unternehmen verbannten Cloud-Anbieter bieten einfach bessere Lösungen als die eigene IT. Das Spektrum reicht von der Bequemlichkeit der Mitarbeiter bis hin zu schlecht nutzbaren Tools, die scheinbar zur Eigeninitiative zwingen. Die eigene IT liefert nicht schnell genug adäquate Alternativen aus. Die Business Teams mit Schatten-IT handeln nach eigenem Empfinden in „Notwehr“, da das Business unzureichende Unterstützung durch die IT-Organisation erfährt.

Es besteht sogar die Gefahr, dass in den Fachbereichen auch strategische Entscheidungen über IT-Investitionen getroffen und Innovationen angestoßen werden ohne Beratung der dafür eigentlich zuständigen IT-Experten des eigenen Hauses in Anspruch zu nehmen. IT-Organisationen bekommen dann erst Kenntnis von umfangreichen Projekten, wenn die beschafften Systeme zum Einbau bereit geliefert wurden. Vor vollendete Tatsachen gestellt, fragen Führungskräfte aus dem Business dann nur noch einen Platz im Rechenzentrum und eine Anschaltung an das Unternehmensnetzwerk an. Vor dem Druck der bereits getätigten Investitionen ist eine Rückabwicklung so kaum noch durchführbar. Die Autorität der IT wird spätestens hier massiv beschädigt – wenn nicht einmal mehr das eigene Rechenzentrum in der Gestaltungshoheit der IT verbleibt. Negative Implikationen auf die Informationssicherheit, Supportbarkeit und damit verbundene Betriebskosten liegen auf der Hand und müssen hier nicht weiter ausgeführt werden.

Ungeplante Nutzung von IT-Systemen

Neben den oft viel zu verfrühten Einführungen neuer Software und Hardware-Architekturen bei geringem Reifegrad kommt immer zugleich erschwerend das Problem der Systemvermaschung hinzu. Kaum ein Bestandteil der IT-Architektur lässt sich ohne „Nebenwirkungen“ und weitere, nachgelagerter Projekte einfach entfernen, austauschen oder erneuern. Es existieren komplexe Schnittstellen, proprietäre Interaktionen über alle OSI Layer und nicht zuletzt sogar rechtliche Abhängigkeiten, beispielsweise in der Lizensierung. Diese Systemvermaschung der IT führt tendenziell dazu, dass Systeme im Zweifel eher weiterentwickelt und ausgebaut werden, statt diese notwendigerweise nun komplett zu tauschen. In vielen Fällen sind durch die skizzierte Komplexität die Systemabhängigkeiten nicht einmal vollständig bekannt und ziemlich sicher auch nicht ausreichend dokumentiert.

Diese Tendenz, an bestehenden Lösungen festzuhalten, lässt sich insbesondere in stark wachsenden Unternehmungen oder Unternehmensteilen beobachten. So kann eine kleine Lösung zunächst dem Zweck entsprechen und die Anforderungen zum Einführungszeitpunkt durchaus adressieren – bei einer vorher nicht absehbaren schnellen Skalierung auf mehr Anwender, mehr Systeme oder mehr Rechenpower und Transaktionen jedoch, führen diese nicht von Beginn an solide aufgestellte Systeme dann zu großen Problemen. Es existieren unzählige Beispiele für instabile oder unsichere IT Systeme aus überraschendem Wachstum heraus, zugleich werden Fehlentwicklungen – bedingt durch den hohen Grad an Abhängigkeiten, s.o. - selten rechtzeitig korrigiert. Nur zwei Szenarien sollen diese Problemstellungen aus der schnellen Erweiterung von IT-Systemen beispielhaft verdeutlichen:

∎ Eine interne und durchaus gute Lösung könnte beispielsweise nicht den Grad an IT-Sicherheit erfüllen, den sie bei der rasanten Entwicklung von Hacking – Aktivitäten mitbringen sollte. Das scheint zunächst tolerabel, wenn dieser risikobehaftete Baustein von Zonen außerhalb des kleinen eigenen Nutzerkreises gar nicht erreichbar sein muss. Doch was lässt sich noch korrigieren, wenn sich die Lösung herumspricht und von allen Linien im Unternehmen urplötzlich nachgefragt wird oder später gar externe Partner aufgeschaltet werden sollen?

∎ Eine Datenbankabfrage und das Design der Datenstruktur einer Datenbank wird eilig und zugleich nicht besonders abfrageoptimiert implementiert. Für eine geringe Last sind die daraus entstehenden Latenzen erst einmal kein Problem, der gewünschte Datensatz wird korrekt ausgeliefert. Zu einem späteren Zeitpunkt werden nun vielleicht Anforderungen erhoben, mit diversen Anwendungen diese Daten weiterzuverwenden und entsprechend oft und hochfrequent aus der Datenbank auszulesen. Die zunächst tolerablen Latenzen summieren sich nun sofort zu einem unerträglichen Antwortzeitverhalten der nutzenden Anwendungen.

Beide willkürlich gewählten Fallbeispiele unterstreichen das Problem der „mal eben schnell“ eingeführten Lösungen, die sich – oft ohne dabei im Fokus zu stehen – immer wieder unbeobachtet zu hochintegrierten Unternehmenslösungen entwickeln. Rückblickend entsteht so eine Migration hin zu einem Einsatzzweck, der bei der Produktivsetzung einfach noch nicht vollständig durchdacht war.

Diese Sachverhalte deuten in erster Linie auf ein Führungsversagen hin. Hier haben Verantwortliche für die IT-Systemarchitektur immer wieder versäumt, rechtzeitig aus der Veränderung der Anforderungen die richtigen Schlüsse zu ziehen und angemessene Projekte aufzusetzen. Für die schleichende Entwicklung von Bausteinen der IT-Produktion ohne wiederkehrende Abnahmetests, offizielle Inbetriebnahmen und angemessene Dokumentation ist die gesamte Branche mittlerweile berüchtigt.

KnowHow Silos

Die Verdichtung von Wissen auf wenige Experten ist im Kosmos der Informationstechnologie normal und zunächst einmal akzeptiert. Viele Vertiefungsrichtungen und Spezialisierungen sind notwendig, um ein breites Spektrum an Aufgaben als IT-Organisation insgesamt bedienen zu können. Es besteht dabei immer die latente Gefahr, dass aus akzeptierter Arbeitsteilung und Spezialisierung unbemerkt Risikopotentiale erwachsen: Wenn Mitarbeiter mit Ihrem Spezial-KnowHow nicht mehr ersetzbar sind, entsteht mit der Bildung eines Wissens-Silos zugleich eine Machtposition. Die Unternehmenskultur kann diese für das Unternehmen risikobehaftete Entwicklung unbemerkt fördern, wenn die Führungskräfte nicht entsprechende Schwerpunkte und Ziele zur Transparenz formulieren. IT-Experten sehen die Notwendigkeit der Dokumentation nicht, wenn diese nicht zwingend zur Zielerreichung notwendig ist. Mitunter kann sogar Kalkül unterstellt werden, die Bildung von Insel-KnowHow kann auch arbeitsplatzsichernd wirken und die eigene Karriere im Unternehmen fördern. Sofern die Erstellung von Dokumentation und KnowHow-Transfer innerhalb der Teams vom Unternehmen nicht gezielt gefördert wird, unterbleiben diese qualitätssichernden Maßnahmen. Diese Probleme sind innerhalb der IT hausgemacht und erfordern eine permanente Bewertung und auch Steuerung durch Führungskräfte, welche in der Praxis oft unterbleibt.

Mit dem Versagen der Führungsfunktionen zur Bewertung dieser Risiken bleiben Know-How Silos unentdeckt. Erst in Ausnahmesituationen wie einer Systemstörung, fallen veraltete, beziehungsweise ungeeignete Dokumentationen auf. Unter dem Zeitdruck einer Systemwiederherstellung müssen Kollegen mit Expertise im Urlaub angerufen werden, um den entscheidenden nicht dokumentierten Schritt in der Wiederherstellungsprozedur zu durchlaufen. Spätestens nach diesem Offenbarungseid müssten Führungskräfte unter dem Schlagwort „lessons learned“ aktiv werden und identifizierte Know-How Silos auflösen. Die Praxis sieht auch hier oft anders aus.

Unter der scheinbaren Sicherheit des bisher stabilen IT-Betriebes fehlt es an gesundem Misstrauen und der im Risikomanagement üblichen „was wäre wenn“ Analyse. Selbst unternehmenskritische Systeme ohne Redundanzen sind in der täglichen Betriebspraxis in einem zweifelhaften Zustand anzutreffen.

Die simplen Fragen

-wo liegt die Systemsicherung?

-wo ist die Dokumentation?

-wo ist der Supportvertrag mit kritischen Dienstleistern abgelegt?

treiben die Verantwortungsträger bereits in die Nervosität. Gravierende Fehler für einen sicheren IT-Betrieb sind im Daily Business schnell gemacht. So kann sich nahezu jeder Mitarbeiter im IT-Betrieb an Situationen erinnern, an denen nicht dokumentierte Kennwort-Wechsel zu einer echten Herausforderung für die weitere Entstörung der Systemtechnik führten.

Ein prominentes Beispiel eines ähnlich gelagerten Versagens war vor langer Zeit die Jahrtausendwende mit dem einhergehenden Millennium-Bug. Einige Software Komponenten waren für den Wechsel des Datums in der Tausenderstelle von den Programmierern nicht vorgesehen worden. Die Auswirkungen erschienen unvorhersehbar: es fehlte an solider Dokumentation des Programmcodes, es fehlte an Experten und am Verständnis der Funktionsweise aller beteiligten IT-Fragmente „unter der Motorhaube“. In der allgemeinen Ratlosigkeit hat die Bundesrepublik Deutschland Katastrophenschutzpläne überprüft und Hilfskräfte in erhöhte Bereitschaft versetzt. Selbst der Zusammenbruch des gesamten öffentlichen Lebens konnte bei der bereits im Jahr 2000 vorhandenen IT-Vermaschung in Energieversorgung, Verkehr und Logistik nicht ausgeschlossen werden. In der Gesellschaft diskutierte man seinerzeit über die unglaubliche Komplexität der Informationstechnologie und zum Teil auch über die erstaunliche Kurzsichtigkeit der Softwareentwickler. Doch wie sieht es aus der IT-Sicht dazu heute mit den „lessons learned“ aus?