Der Chef der Unternehmens-IT befindet sich mitten im Spannungsfeld des digitalen Wandels. Er muss die eigene Organisation schützen, die IT als gestaltende Kraft einsetzen und zur Steigerung der Unternehmenseffizienz beitragen.
Anfang 2015 skizzierte Gartner in »The CIO 2015 Agenda: Flipping to digital leadership« die Aufgaben eines CIO und die Entwicklung der Unternehmens-IT. Nach der ersten sogenannten Ära des handwerklichen Könnens (Craftsmanship) folgte die zweite Ära der IT-Industrialisierung, die dann in die dritte und aktuelle Ära der Digitalisierung (»Digital first«) mündete. Es steht außer Zweifel, dass sich das Selbstverständnis eines Berufsbildes den technologischen Entwicklungen anpassen muss. Damit muss sich auch die Rolle des CIO verändern. Die Analysten zeigen drei Aspekte in Bezug auf die neue Führungsrolle des CIO auf: Technologische Führung, wertorientierte Führung und Mitarbeiterführung – die Frage ist: genügt das?
Digitaler Wandel bedeutet nicht, lediglich Prozesse digital abzubilden – es erfordert vielmehr ein grundsätzliches Umdenken weg von der instrumentellen Funktion der IT hin zu einer gestaltenden Rolle. Die IT muss zum Business Enabler werden.
IT-Sicherheit als Opfer interner Strukturen? Am Beispiel der IT-Sicherheit lässt sich das aktuelle Dilemma gut illustrieren. Ein holistisches IT-Sicherheitskonzept aufzusetzen, ist heute ob der existierenden Silostrukturen in Unternehmen beinahe unmöglich. Die Verantwortlichen der Fachbereiche agieren nebeneinander statt miteinander, eine übergeordnete Verantwortungsinstanz fehlt. Häufig steht die Netzwerksicherheit im Vordergrund, ohne darauf zu achten, dass es das klassische Netzwerk in seiner ursprünglichen, abgrenzbaren Form gar nicht mehr gibt. Diese Faktoren kombiniert mit einer sich rasant entwickelnden Bedrohungslage aus dem Cyberspace stellen die Verantwortlichen vor vollkommen neue Herausforderungen. Angesichts dieser Entwicklung müssen alte Denkmuster aufgebrochen werden. Dies gilt sowohl für technische wie auch organisationsstrukturelle Aspekte.
Zum einen muss ein grundlegendes Verständnis dafür entwickelt werden, dass in einer applikationszentrierten Geschäftswelt nicht mehr das Rechenzentrum alleine der schützenswerte Bereich ist. Wenn man so will, verlässt die Applikation das Rechenzentrum und endet beim Client. Hier warten vielfältige Bedrohungen wie etwa Trojaner oder korrumpierte Daten, die wiederum die unternehmenseigenen IT-Infrastrukturen gefährden. Der Client ist heute also Teil des Rechenzentrums und muss zwingend in ein wirksames IT-Sicherheitskonzept integriert werden!
80 Prozent der CEOs glauben, dass ihre Netzwerke sicher sind, und sie investieren immerhin circa 70 Prozent des Budgets für IT-Security in die Netzwerksicherheit. Das ist jedoch der falsche Ansatzpunkt, denn die wenigsten Hacker attackieren heute noch das Netzwerk. 80 Prozent der Angriffe zielen mittlerweile auf Applikationen. So lassen Standard-Firewalls beispielsweise verschlüsselten Content (etwa HTTPS-Anfragen) passieren und zwar in der Annahme, dass diese Datenpakete sicher sind. Damit bleibt der wichtige Unternehmenswert der Applikationen bestenfalls unzureichend geschützt. Um sich wirksam gegen Angriffe aus dem Netz zu schützen, sollte eine Lösung auch auf Applikationsebene ansetzen. Standardlösungen, die Angriffe lediglich auf Netzwerkprotokollebene sichtbar machen, greifen zu kurz. Eine Web Application Firewall (WAF) hingegen ist darauf spezialisiert, verschiedene Typen von Attacken auf die unterschiedlichen Webprotokolle wie HTTP sowie die begleitenden Protokolle wie Java oder XML zu erkennen und schafft somit den notwendigen Sicherheitsgrad auf Applikationsebene.
Anstatt für jede Art von Bedrohung einzelne Sicherheitslösungen zu implementieren, ist es sinnvoll, auf eine integrierte Sicherheitsplattform zu setzen, die alle Funktionen bündelt. Ein modernes Sicherheitskonzept im Rechenzentrum beinhaltet idealerweise eine IT-Lösung als strategischen Kontrollpunkt.
Eine neue Dimension der Verantwortung. Um ein solch umfassendes und effektives Sicherheitskonzept zu erstellen und zu implementieren, bedarf es allerdings auch neuer Organisationsstrukturen. In den heute üblichen Unternehmensausgestaltungen fehlt eine zentrale Position, die nicht nur die klassische IT im Blick hat, sondern auch wichtige Vermögenswerte wie geschäftskritische Applikationen. Alle Teilbereiche, wie etwa Netzwerk, IT-Sicherheit, Applikationen etc. müssen zentral und auf oberster Führungsebene koordiniert werden. Ein Chief Digital Officer (CDO) bietet eine adäquate Lösung.
Für diese Position muss ein neuer Verantwortungsbereich geschaffen werden. Ein CDO muss Teil der Geschäftsführung sein und damit die Möglichkeit haben, die Unternehmensstrategie mitzugestalten. Unternehmerisches Denken und eine holistische Sichtweise helfen mittels der IT Geschäftsmodelle zu optimieren beziehungsweise neue Geschäftsmodelle zu generieren. Flexibilität wird zum dauernden Wegbegleiter im Zeitalter des anhaltenden Wandels. Als Digital Leader sollte der CDO interdisziplinäre Fachkompetenz und Führungsqualitäten vereinen, denn Überzeugungskraft wird in einer solchen Rolle unerlässlich sein. Es gilt bestehende Strukturen umzubauen, Widerstände konstruktiv aufzulösen, neue Wege zu beschreiten und beständig am Puls der digitalen Zeit zu bleiben.
Mit entsprechenden Kompetenzen ausgestattet wird es einem CDO möglich sein, das eigene Unternehmen bestmöglich zu schützen, die IT als gestaltende Kraft einzusetzen und nicht zuletzt zur Steigerung der Unternehmenseffizienz beizutragen.
Markus Härtner,
Vice President DACH,
F5 Networks