Um aktiv in allen Belangen hinsichtlich IT-Sicherheit agieren und dabei die IT-Landschaft nachhaltig steuern und entwickeln zu können, müssen Business-Anforderungen und IT geschlossen und aufeinander abgestimmt harmonieren. „Hierbei gilt es, sich gewissen Grundvoraussetzungen bewusst zu werden. Zum einen ist ein grundlegendes Verständnis für die jeweiligen Prozessabläufe in den beiden Sparten Business und IT vonnöten, zum anderen bildet die Kenntnis über die jeweilige Fachsprache in den beiden Bereichen und die Art und Weise wie am besten miteinander kommuniziert werden kann, die erfolgversprechende Basis für ein erfolgreiches Zusammenspiel“, so Tim Cappellmann, Geschäftsführer der AirITSystems GmbH, die sich als Partner und Beratungsunternehmen auf individuelle IT- und Sicherheitslösungen spezialisiert hat.
Nötige Abstimmung zwischen Business- und IT-Strategie hinsichtlich Security
„Die Rolle der IT ist nicht immer klar besprochen. Vielmehr existiert eine gelebte Erwartungshaltung in den Unternehmen“, erklärt Cappelmann und merkt an: „IT kann sich dabei selbst wohl als interner Dienstleister mit entsprechendem Portfolio bezeichnen. In größeren Unternehmen ist die IT jedoch eine Kostenstelle, von welcher nicht wirklich Innovationen zu erwarten sind. Alles in allem sind Rolle wie auch Zuständigkeiten der IT meist nicht wirklich geklärt – so auch die Frage zum Vetorecht, vor allem bezüglich der IT-Gesamtarchitektur“. Symptome dieser Tatsachen lassen sich auf vielfältige Art erkennen. Hierzu zählen beispielsweise doppelte bzw. parallele Lösungen, Systembrüche oder Business-Anforderungen, die nicht bedient werden können. Auch Inkompatibilitäten, unnötige Komplexitäten und eine fehlende (Security-)Sicht auf das große Ganze sind unerwünschte Resultate einer fehlenden Abstimmung.
Zielvorstellungen hinsichtlich IT-Architektur
Aus Sicht des IT-Leiters lassen sich mehrere Ziele einer optimalen Integration der IT in die Unternehmensprozesse bestimmen. „Die IT-Strategie ist klar zu definieren und zu mandatieren“, erörtert Cappelmann. „Neben der rechtzeitigen Einbindung in die Entscheidungen der Geschäftsführung sind auch ein qualitatives Anforderungsmanagement sowie eine transparente Kostenverrechnung zufriedenstellend zu erfüllen. Des Weiteren ist ein Vetorecht festzusetzen und die Gesamt-Architektur unter eine einheitliche Führung zu stellen. Diese Faktoren in ihrer Gesamtheit bilden eine gute Umwelt für einen anspruchsvollen Führungsjob.“ Der dringlichen Umsetzung bedarf es demnach, um eine durchdachte IT-Strategie und deren gekonnte Einbindung in die oberste Managementebene zu erreichen. Eine moderne IT muss in der Lage sein, zu agieren wie auch zu reagieren.
Durchdachtes Anforderungsmanagement mit klarem Zielbild
Zur idealen Umwelt einer zielführenden IT-Strategie gehört, wie bereits angesprochen, ein funktionierendes Anforderungsmanagement. Bekannt in diesem Kontext sind gewisse Demand-and-Supply-Modelle mit entsprechender Einbindung in die Kostenverrechnung. „Zielbild sind ein gesteuertes IT-Portfolio, welches auch hybride Lösungen und Sourcing-Modelle berücksichtigt“, meint Capellmann. „Hierbei gibt es viele Gestaltungsspielräume, die in ihrer Flexibilität für die jeweiligen Unternehmensanforderungen auch zugelassen und gefördert werden sollten.“ Ein definierter Servicekatalog und Richtlinien zum Design von IT-Services sind daher empfehlenswert – in gleichem Maße ist ein Agieren nach „gleichartigen Spielregeln“ äußerst wichtig.
Rolle des IT-Controllings
Bezüglich der Kostenverrechnung gilt es, im Vorfeld vielerlei Fragen zu klären. Dazu zählt die Problematik der Gemeinkosten-Dominanz der IT, Verteilerschlüssel, Umlagen von Kosten, Umgang mit hohen Leerkapazitäten etc. „Ein Servicekatalog wird benötigt, der mit eigenem IT-Portfolio dem jeweiligen Business angeboten werden kann“, erklärt Cappelmann. „Genauso müssen Prozesse definiert werden, zum Beispiel, wie etwa neue Services in diesen Katalog integriert und alte herausgenommen werden können.“ Dabei muss allerdings stets der Controlling-Gedanke sowie die Wirtschaftlichkeit der Unternehmung im Auge behalten werden.
IT-Architektur und Bebauungsplan
Letztendlich entstehen eine IT-Architektur, ein Bebauungsplan für die IT und ein Prozesshaus des Business, das sich auf IT-Verfahren, Systeme und deren entsprechende Anwendungen stützt. „Daraus lässt sich ein Servicekatalog ableiten und ein IT-Portfolio anknüpfen. Methodisch gibt es hierzu vielerlei Lösungen wie beispielsweise die Enterprise Architektur, die sich in diesem Kontext förmlich 'aufdrängt'“, erläutert Cappelmann. Hier werden iterative Methoden angewendet, worüber sich dem Zielgedanken langsam und bei qualitätsgestütztem Ablauf genähert wird. Am Ende entsteht zielgemäß ein Leistungskatalog, der genau definiert, was von der IT in welcher Qualität und Quantität geleistet und geliefert wird. Eine Kompatibilität zu erreichen ist am Ende des Tages das Ziel, da gleichartige Architekturen entsprechend leichter zu schützen sind.
Errichtung der Sicherheits-Architektur
Die IT-Strategie ist nun klar formuliert. Die IT-Leitung ist in Entscheidungen auf Managementebene eingebunden. Ein transparentes Anforderungsmanagement mit definierter Schnittstelle zu Business und IT sowie eine Kostenverrechnung sind etabliert, welche marktwirtschaftlichen Ansprüchen hinsichtlich des IT-Portfolios standhält. Die IT-Architektur unterliegt eindeutig der IT-Leitung, wobei vereinbarte Normen und Standards eingehalten werden - sind all diese Voraussetzungen geschaffen, kann auch die Cyber-Security bewerkstelligt werden. Sprich, die entstandene Architektur kann entsprechend geschützt werden, wobei Risikoabwägungen in den Demand-Prozess verlinkt werden können. „Ein ISMS lässt sich auf diesem Fundament sehr leicht errichten. Die notwendige Schnittstellen-Kompatibilität im operativen Kontext ermöglicht entsprechende Präventionsmaßnahmen. Eine bekannte Kommunikationsmatrix erleichtert zunehmend Sicherheitsprozesse“, so Cappelmann weiter. „Letztendlich ist es ein Projekt, bei welchem sich auf gegenseitige Spielregeln eingelassen und am gleichen Strang gezogen werden muss. Dies müssen die Unternehmen verinnerlichen. Die Rolle der IT muss exakt geklärt und ihr Zusammenspiel bzw. die Aufgabenverteilung mit den Businessanforderungen in Einklang gebracht werden.“ In Zukunft werden die Unternehmensprozesse noch komplexer werden und daher wird die Wichtigkeit derart genauer Abstimmungen wie auch funktionierender Schnittstellen essenziell für den Unternehmenserfolg.