Ausgabe 12/2022

Nachhaltige IT: Der Beitrag des Rechenzentrums

Datacenter-Newsletter

Klimakrise, Energiekrise, galoppierende Preissteigerungen bei Strom und Gas – auch die Rechenzentren müssen Energie sparen, ihre Emissionen senken und mit Prozessressourcen effizienter umgehen. Wie das am besten gelingt, erläutern wir in unserer neuen Artikelreihe zum Thema nachhaltige IT. Lesen Sie Teil 1 in dieseraktuellen Ausgabe des Datacenter-Newsletters.

Die Sicherheit entlang der gesamten Software-Lieferkette wird vor allem dann zur Herausforderung, wenn Open-Source-Komponenten ins Spiel kommen. Doch die sind oft besser als ihr aktueller Ruf. Wir zeigen, worauf Unternehmen achten sollten.

Unsere aktuelle Backup-Kolumne beschäftigt sich mit der User-zentrierten Datensicherung für Microsoft 365. Und in unserer aktuellen Agile-IT-Kolumne erfahren Sie, wie auch bei unterschiedlichen Zielen der einzelnen Teams im Unternehmen eine schnelle Wertschöpfung gelingen kann – sogar in regulierten Unternehmen.

Wie immer freuen wir uns über Ihr Feedback, damit wir die Schwerpunkte aufgreifen können, die für Sie von Interesse sind.

Wir wünschen Ihnen eine schöne Vorweihnachtszeit, behagliche Festtage und bereits einen fröhlichen Start ins neue Jahr!

Herzliche Grüße

Markus Kunkel
Group Partner Management

Aktuell bei Computacenter
Erfolgreiches 1. Halbjahr 2022

Die Computacenter plc. hat ihre vorläufigen Geschäftsergebnisse für das erste Halbjahr 2022 bekannt gegeben.

Weitere Infos
Leader Future of Work – Services & Solutions

Computacenter wurde im Bericht „ISG Provider Lens™ Future of Work - Services & Solutions 2022“ als Marktführer positioniert.

Weitere Infos

Nachhaltige IT: Der Beitrag des Rechenzentrums

Teil 1

Die Rechenzentren weltweit sind 2022 für 3 Prozent des gesamten Energieverbrauchs auf unserem Planeten verantwortlich. Damit emittieren sie ein größeres Äquivalent an CO2-Verschmutzung als die gesamte zivile Luftfahrt im Jahr 2019. Doch die Rechenzentren haben durchaus Möglichkeiten, schonender als bisher mit der Ressource Energie umzugehen.

Dass die Erde sich immer stärker erwärmt, ist kein Geheimnis. Das Jahr 2019 war das zweitwärmste seit Beginn der Aufzeichnungen und markierte das Ende des wärmsten Jahrzehnts, das jemals gemessen wurde. Die Anteile von Kohlendioxid (CO2) und anderen Treibhausgasen in der Atmosphäre erreichten neue Rekordwerte. Das bekommen wir mit steigenden Meeresspiegeln und immer extremeren Wetterereignissen zu spüren – mit Auswirkungen auf die Wirtschaft und das Leben der Menschen. Deshalb haben es sich die Vereinten Nationen mit dem Pariser Abkommen aus dem Jahr 2015 zum Ziel gesetzt, den weltweiten Temperaturanstieg unter zwei Grad Celsius im Vergleich zur vorindustriellen Zeit zu halten. Die Europäische Union geht noch einen Schritt weiter: Sie verpflichtete sich 2021 im sogenannten „Green Deal“ dazu, sich bis 2050 zum ersten klimaneutralen Kontinent zu entwickeln.

Der Anteil der Rechenzentren

Datacenter verbrauchen heutzutage etwa 3 Prozent der global erzeugten Energie und sind damit für rund 2 Prozent der Treibhausgas-Emissionen verantwortlich. Die Menge an Verschmutzung entspricht damit in der Höhe dem der weltweiten zivilen Luftfahrt im Jahr 2019 oder annähernd dem gesamten Kohlendioxidausstoß von Großbritannien.

Rechenzentren kommt also eine besondere Verantwortung im Kampf gegen den Klimawandel zu. Zwar kann die Digitalisierung durchaus dabei helfen, nachhaltiger mit Energieressourcen umzugehen, gleichzeitig trägt sie aber – vor allem durch ihr großes Wachstum – selbst zum Problem bei. So hat sich der Energiebedarf der Rechenzentren im letzten Jahrzehnt verdoppelt. Im gleichen Zeitraum wurde das 8-fache an Applikationen in die Rechenzentren eingebracht. Bis 2030 ist davon auszugehen, dass sich der Energiebedarf noch einmal verdoppelt und dabei 16-mal so viele IT-Services (Applikationen) in den globalen Datacentern platziert werden (vgl. Hintemann, R. und Hinterholzer, S. (2020). Rechenzentren 2021. Cloud Computing treibt das Wachstum der Rechenzentrumsbranche und ihres Energiebedarfs. Berlin: Borderstep Institut). Es ist also wichtig, dass Rechenzentren Maßnahmen ergreifen, Energie zu sparen, dass sie ihre Emissionen senken und mit Prozessressourcen effizienter umgehen.

Die Lösung: Green IT und Sustainable IT

Von Green IT spricht man, wenn bei der Herstellung, dem Betrieb und der Entsorgung von Informations- und Kommunikationstechnik ein besonderes Augenmerk auf die Schonung von Ressourcen gelegt wird. Sustainable IT (zu Deutsch: nachhaltige IT) geht über den rein ökologischen Aspekt hinaus und bezieht auch soziale Aspekte mit ein. Am Beispiel Server heißt das: Die Nutzung von Ökostrom bei der Herstellung eines Servers zahlt auf die Green-IT-Bilanz ein. Achtet der Hersteller des Servers zusätzlich darauf, dass bei der Produktion nachhaltige Standards zur Kinderarbeit oder sonstige Mindeststandards zur Arbeitssicherheit eingehalten werden, dann zahlt diese Maßnahme auf die Sustainable-IT-Bilanz eines Produktes ein.

Die Umsetzung in der Praxis

Um das Problem praktisch anzugehen, sollte man sich die Emissionen im Laufe der drei Abschnitte des Lebenszyklus von IT-Systemen oder -Komponenten ansehen:

  • Abschnitt 1 umfasst alle Emissionen bei der Herstellung und dem Transport eines Produktes bis zum Verkauf.
  • Abschnitt 2 umfasst alle Emissionen bei der Nutzung, insbesondere beim Energieverbrauch.
  • Abschnitt 3 umfasst alle Emissionen bei der Weiterverwendung, der Entsorgung und dem Recycling von IT-Systemen.

IT-Manager haben wenig Einfluss darauf, wie nachhaltig die von ihnen verwendete Hard- und Software produziert wird. Zudem ist der Einfluss der Verschmutzungs-Äquivalente am Ende des Lebenszyklus eines Datacenter-Systems eher gering. Rechenzentren verbrauchen jedoch viel Strom im Betrieb, somit sind Maßnahmen zur Reduzierung der Emissionen während des Betriebes von Datacenter-Systemen am wirksamsten – also in Abschnitt 2 des Lebenszyklus.

Dazu stehen mehrere Möglichkeiten offen:

  • Spielfeld A: Steigerung des Anteils an erneuerbaren Energien bei der Energieversorgung
  • Spielfeld B: Optimierung der Datacenter-Basis (Strom, NEA, Gebäude, Kälte und Abwärme)
  • Spielfeld C: Optimierung der IT-Hardware, Software und Kommunikationstechnik
  • Spielfeld D: Standort-Optimierung

Es bietet sich an, die einzelnen Maßnahmen hinsichtlich ihrer Wirksamkeit (Relevanz), Umsetzungsdauer und dem Einsatz von Ressourcen (Geld, Arbeitskraft) zu bewerten. Maßnahmen mit einem hohen Wirksamkeitspotenzial und einem geringen Investment in Zeit und Geld bekommen eine hohe Priorität für die Umsetzung. Je schlechter das Verhältnis von Wirksamkeit zu Investment, desto niedriger die Priorität. Auf diese Weise ergibt sich für jedes Unternehmen eine individuelle Umsetzungs-Roadmap, die mit der IT-Roadmap der CIOs in Einklang zu bringen ist.

Nachhaltigkeit als langfristige Aufgabe

Maßnahmen zur Green IT und zur Sustainable IT haben keinen Projekt-, sondern einen Programmcharakter. CIOs besitzen einen großen Einfluss auf die Reduzierung von CO2-Emissionen, dabei sollten sie jedoch die Lebenszyklen der unterschiedlichen IT-Komponenten beachten. Maßnahmen, welche die Gebäude oder die Datacenter-Standorte betreffen, haben einen Lebenszyklus von 15 bis 20 Jahren. Die Basisinfrastruktur in den Rechenzentren (Strom, Klima) hat einen Zyklus von 8 bis 12 Jahren und die IT-Systeme (Verbraucher) haben einen Lebenszyklus von 4 bis 8 Jahren.

Ausblick

In der kommenden Ausgabe des Datacenter-Newsletters stellen wir Ihnen die vier großen Spielfelder, mit denen sich Energie sparen und Emissionen reduzieren lassen, genauer vor. Anschließend möchten wir Ihnen anhand erfolgreicher Projekte aus der Praxis zeigen, was Datacenter und Unternehmen im Hinblick auf Nachhaltigkeit erreichen können.

Haben Sie Fragen zu Green IT oder Sustainable IT? Benötigen Sie Unterstützung bei der Erstellung Ihrer individuellen Umsetzungs-Roadmap zur Reduzierung von Emissionen? Wir zeigen Ihnen gern geeignete Messverfahren, mit denen Sie die einzelnen Maßnahmen bezüglich ihres Nachhaltigkeitspotenzials einordnen können. Melden Sie sich dazu einfach bei Ihrem Ansprechpartner von Computacenter.

Sichere Software-Lieferkette

Fahren wir zum Einkaufen, zur Arbeit oder mit unseren Kindern in den Urlaub mit selbstgebauten Seifenkisten oder mit zertifizierten und getesteten Autos? Und wieso erlauben wir Software, die wie eine Seifenkiste gebaut wurde, die Kontrolle über lebenswichtige Systeme und das Fortbestehen von Unternehmen?

Log4j – Der Flugzeugabsturz in der Open-Source-Welt

Die Schwachstelle in Log4j, die im Dezember 2021 als „log4shell“ bekannt und binnen 15 Tagen behoben wurde, ist von der Dimension her vergleichbar mit katastrophalen Ereignissen wie einem Flugzeugabsturz. Auch die Reaktion auf Log4j war vergleichbar – es wurde eine umfassende Untersuchung durch das Cyber Safety Review Board (CSRB) vorgenommen, ein Review durchgeführt und ein Bericht mit Empfehlungen zu sicherer Software erstellt.

Nun ist Log4j zwar nur ein kleiner Software-Baustein, er ist jedoch in Abertausenden Software-Produkten und Lösungen verbaut. Daraus ergibt sich das gewaltige Problem, überall dort diese Software zu identifizieren und die Schwachstelle zu beheben. In diesem Prozess wurde klar, dass es dazu an Transparenz und Prozessen fehlt.

Einfach auf Open Source verzichten?

Nun wäre es naheliegend, einfach auf Open Source Software (OSS) im Unternehmen und in den Produkten zu verzichten. Genauso gut könnte man fordern, auf Lithium zu verzichten. Ohne Lithium hätten wir aber weder mobile Geräte noch Batterien oder E-Autos. Und so ist auch Open Source aus der digitalen Transformation und der IT nicht mehr wegzudenken. In der Code-Basis für Software finden sich durchschnittlich 70 bis 90 Prozent OSS. Bei Apps für das Android-Betriebssystem liegt der Anteil bei 98 Prozent.

Doch zunächst muss man sich die Frage stellen, ob OSS tatsächlich ein grundlegendes Sicherheitsproblem darstellt. Die Firma Sonatype publiziert jährlich den „State of the Software Supply Chain Report“ und hat in dem Rahmen Informationen zur Sicherheit von OSS ausgewertet. Das Ergebnis: Die subjektive Wahrnehmung und die Wahrheit weichen deutlich voneinander ab. Die Wahrnehmung ist, dass OSS riskant wäre. Die Daten zeigen aber, dass

  • 98 Prozent der OSS sichere Versionen zur Verfügung stellen,
  • die meisten Schwachstellen behoben sind, bevor die Schwachstelle kommuniziert wird,
  • die Schwachstelle „log4shell“ in Log4j binnen 15 Tage behoben war.

Die Daten belegen demnach, dass die von den Open Source Communities bereitgestellte Software einem hohen, wenn auch durchaus verbesserbaren Sicherheitsstandard entspricht.

Wie sieht es mit dem Einsatz von Software und OSS in Unternehmen aus? Tatsächlich legen die Daten nahe, dass es hier eine gegenteilige Wahrnehmung gibt. Auf die Frage an Unternehmen, wie sicher die Software im Unternehmen ist, ergab die Analyse, dass

  • 68 Prozent der Ansprechpartner:innen überzeugt sind, dass die eingesetzte Software keine Schwachstellen hat,
    tatsächlich 68 Prozent der eingesetzten Software bekannte Schwachstellen haben,
  • Manager:innen glauben, dass Schwachstellen schnell behoben werden (< 1 Tag).

Open Source Software ist sicher – wenn sie richtig eingesetzt wird

Resultierend aus den Ergebnissen des Cyber Safety Review Report zu Log4j und den verschiedenen Studien und Analysen ergibt sich kein Grund, OSS nicht zu verwenden. OSS und die Communities erreichen hohe Sicherheitsstandards. Zudem ist im letzten Jahr das Bewusstsein in der Open-Source-Welt deutlich geschärft worden und es wurde deutlich mehr Geld bereitgestellt, um OSS sicherer zu machen. Auf der Community-Seite existieren viele Projekte und laufende Maßnahmen, die Sicherheit stufenweise weiter zu verbessern und mehr Transparenz zu schaffen. Das reicht nur, wenn auch in den Unternehmen konsequent Maßnahmen folgen und so die gesamte Software-Lieferkette abgedeckt wird.

Anstrengungen zu einer fortlaufenden Verbesserung der Sicherheit müssen sowohl in der Software-Entwicklung, in der IT-Produktion und in der IT-Sicherheit sowie im Bereich Risk & Governance entwickelt und umgesetzt werden. Dies darf aber nicht zulasten von Innovation gehen, sondern muss zu agilen Prozessen und Abläufen führen, wo die drei involvierten Bereiche (Applikationsentwicklung, IT-Produktion und Sicherheit, Risk & Governance) gemeinsam die vorhandenen Lösungen und Methoden umsetzen. Das ist auch ein Herzstück in Methoden und Modellen wie DevSevOps und agilem Auditing & Governance.

Fazit

Eine sichere und schnelle Innovation ist möglich, das beweisen viele konkrete Projekte und Best Practices, an denen Unternehmen sich orientieren können. Sprechen Sie uns dazu gern an!

Mehr zum Thema

Weitere Informationen zu einer sicheren Software-Lieferkette – inklusive der Anforderungen und benötigten Bausteine – finden Sie hier. Zudem steht Ihnen Ihr Ansprechpartner bei Computacenter gern mit Rat und Tat zur Seite.

Backup-Kolumne

User-zentrierte Datensicherung für Microsoft 365

Mit Microsoft 365 können Benutzer:innen in verschiedenen Medien zusammenarbeiten und miteinander kommunizieren. Unternehmen wollen sicherstellen, dass die so gewonnenen Informationen und Daten sicher und gemäß den regulatorischen Anforderungen verwaltet werden. Das erfordert eine Lösung für die Sicherung dieser Daten – mit den Benutzer:innen im Zentrum.

Warum eine Datensicherung für Microsoft 365?

Ob eine Datensicherung für Microsoft 365 erforderlich ist, wird sehr kontrovers diskutiert. Reichen die Absicherungen, die Microsoft für den Service bereitstellt, oder sind additive und separate Verfahren für die Datensicherung zu implementieren? Das muss letztlich jedes Unternehmen, welches Microsoft 365 einsetzt, für sich selbst klären. In unseren Kundengesprächen wird jedoch deutlich, dass viele Unternehmen eine Datensicherung für Microsoft 365 sehr wohl für erforderlich halten. Zu den Gründen zählen:

  • Die Aufbewahrungsfristen für die Datensicherung müssen gemäß den Vorgaben des Unternehmens eingestellt werden.
     
  • Die Datensicherung muss physisch und logisch getrennt sein von den Produktionsdaten (die Trennung von Backup und Primärdaten ist in der ISO 27001 und im IT-Grundschutzkompendium des BSI gefordert).
     
  • Die Administration der Datensicherung muss strikt von der Administration der Primärdaten getrennt sein.
     
  • Es ist eine unabhängige und sichere Datenkopie zum Schutz gegen Ransomware notwendig.
     
  • Für ausgewählte Daten sind Archivierungs-Anforderungen umzusetzen.

Bei einer Entscheidung für eine Datensicherung von Microsoft 365 steht im nächsten Schritt an, die geeignete Lösung zu finden.

Backup in das eigene Rechenzentrum oder mit einer Cloud-Lösung?

Es gibt am Markt verschiedene Lösungen für eine Datensicherung von Microsoft 365. Im Jahr 2021 hat Forrester eine New Wave zu „SaaS Application Data Protection“-Lösungen veröffentlicht. Darin sind unter anderem Anbieter wie AvePoint, Commvault, Druva und Veritas gelistet. Aber auch weitere Lösungen wie Veeam und andere bieten eine Unterstützung für Microsoft 365 an, um eine Datensicherung in das eigene Rechenzentrum durchzuführen. Der Kunde kann sich also entscheiden, einen cloudbasierten SaaS-Service auf Microsoft Azure oder Amazon AWS zu verwenden oder auf eine eigenverantwortlich betriebene Lösung zu setzen.

Die regulativen Anforderungen verlangen eine brandtechnische Trennung von Primärdaten und Backup-Daten. Doch damit ist es nicht getan. Heutige Konzepte zu einem effizienten Ransomware-Schutz erhöhen die Anforderungen an die technische Separation bis hin zum Aufbau von geschützten CyberVault-Netzen und Systemen. Unternehmen können flexibel geeignete Konzepte auswählen, um dem eigenen Schutzbedarf gerecht zu werden.

Die Datensicherungslösung muss technisch über Eigenschaften wie administrative Rechte- und Rollenkonzepte, Verschlüsselung, Detektion von Mustern bei einem Ransomware-Angriff und die Integration in eine SIEM-Lösung unterstützen. Die heutigen modernen Lösungen verfügen durchaus über diese Fähigkeiten. Und natürlich muss eine Datensicherung die verschiedenen Komponenten von Microsoft 365 (E-Mail, OneDrive, Teams, Power BI Workspace und so weiter) effizient unterstützen.

Nutzen der Datensicherung für die Benutzer:innen

Bisher haben wir uns in diesem Artikel mit der Notwendigkeit und der generellen Umsetzung einer Datensicherung für Microsoft 365 befasst. Doch es kommt noch ein ganz entscheidender Punkt hinzu: Die Benutzer:innen können in ihrer täglichen Arbeit von einer solchen Datensicherung immens profitieren. Gerade Microsoft 365 ist aus dem Arbeitsalltag der Benutzer:innen kaum wegzudenken.

Die Investition in eine Datensicherung ist aus Sicherheitsaspekten sinnvoll und notwendig, aber sie sollte durchaus auch einen praktischen Nutzen haben. Das darf aber nicht dazu führen, dass ein Restore von Daten für Benutzer:innen aufwendig und komplex ist. Anforderungen über ein Service-Request zu stellen oder eine komplett andere Software für Restores zu verwenden, verwirrt Benutzer:innen und stört ihre üblichen Arbeitsabläufe. Daher sollte sich eine Datensicherungslösung in die normalen Arbeitsabläufe der Benutzer:innen integrieren – und im besten Fall zugleich das IT-Personal entlasten, indem die Lösung einen Self-Service bereitstellt.

Wie kann dies in der Praxis erfolgen? Benutzer:innen von Microsoft 365 arbeiten mit MS Teams – also ist eine in Teams integrierte Applikation für Restore-Anfragen und -Durchführungen sinnvoll. Für eine Umsetzung in einem Self-Service sollte es weiterhin ein automatisierter Service sein. Das kann technisch über einen Chatbot umgesetzt werden, der als Technologie heute auch in vielen Service Desks eingesetzt wird.

Solche intelligenten Lösungen existieren bereits. Ein Beispiel ist der AvePoint Virtual Assistant (AVA). Benutzer:innen können auf wiederherzustellende Elemente wie E-Mails, OneDrive-Dokumente und andere in ihrer gewohnten Umgebung über einen Self-Service zugreifen.

Fazit

Unternehmen, die Microsoft 365 einsetzen, sollten sich folgende Fragen stellen:

  • Ist eine zusätzliche Datensicherung für Microsoft 365 erforderlich?
     
  • Wie sehen die Sicherheits- und Architektur-Richtlinien für die Umsetzung aus?
     
  • Worin besteht der konkrete Nutzen für die Benutzer:innen?

Bei der Beantwortung dieser Fragen können die in diesem Artikel skizzierten Impulse hilfreich sein. Darüber hinaus sind natürlich die rechtlichen Rahmenbedingungen für die Nutzung von Cloud Services zu beachten – wie auch bei der Einführung eines beliebigen anderen Cloud oder Outsourcing Service.

Unsere Empfehlung lautet, nicht nur eine technische Lösung für die Datensicherung zu definieren, sondern auch einen konkreten Nutzen für die Nutzer:innen der Datensicherung zu erreichen – und damit auch deren Akzeptanz. Microsoft 365 ist für die Benutzer:innen im Unternehmen im Einsatz – also sollte die Datensicherung diese Benutzer:innen komfortabel unterstützen. Häufig ist jedoch der Nutzen der Datensicherungen wenig bekannt und die Verwendung kompliziert. Moderne Lösungen wie Self-Service integriert über Chatbots in der normalen Arbeitsumgebung der Benutzer:innen bieten in dieser Hinsicht eine gute Lösung.

Haben Sie Fragen zum Backup/Restore-Konzept? Wir unterstützen Sie gern! Melden Sie sich am besten noch heute bei Ihrem Ansprechpartner von Computacenter.

Agile-IT-Kolumne

Regulatorik: Ein Hindernis für schnelle Wertschöpfung?

Im Beratungsgeschäft erlebt man häufig ähnlich gelagerte Problemstellungen – unabhängig von der Branche des jeweiligen Kunden. So stellt sich oft die Frage: Welche Ziele und Erwartungen müssen Applikations-, Produktions- und Governance-Teams erreichen? Und wie können gemeinsame Ziele eine schnelle Wertschöpfung unterstützen – auch und gerade in regulierten Unternehmen?

Welche Aufgaben haben die Teams?

Für ein einheitliches Verständnis werden die Aufgaben – etwas hemdsärmelig – wie folgt definiert: Applikationsteams entwickeln Software für die Unternehmen, um neue Fähigkeiten und eine höhere Wettbewerbsfähigkeit zu erreichen. Produktionsteams müssen die Verfügbarkeit und den Betrieb der Software sicherstellen. Und die Governance-, Risikomanagement- und IT-Sicherheitsteams – im Folgenden als GRS-Teams abgekürzt – müssen das Einhalten der Regularien und Gesetze sicherstellen und kontrollierbar, also auditierbar, machen.

Welche Ziele haben die Teams?

Aus den Aufgaben leiten sich die Ziele ab, anhand derer die Teams gemessen und, je nach Bezahlmodell, teilweise auch honoriert werden.

  • Applikationsteams

    Die Aufgabe der Applikationsteams besteht im Bereitstellen neuer Funktionen und Features, heutzutage meist in Form einer agilen Software-Entwicklung mit Sprints, also dem absolut fokussierten Arbeiten an den nächsten Funktionen. Die Sprint-Ziele definieren sich in der Regel nach den neuen Funktionen und der nächsten Version des Produkts.
     
  • Produktionsteams
    Für die Produktion gelten klare Kriterien: Verfügbarkeit, Stabilität, Zuverlässigkeit. In vielen Unternehmen finden sich Dashboards – teilweise in Aufenthaltsbereichen für das Personal –, an denen diese Kriterien tagesaktuell präsentiert werden. Die Arbeit der Produktionsteams muss sich an einem stabilen Betrieb der Software messen lassen.
     
  • GRS-Teams
    
Regulierte Unternehmen unterliegen Richtlinien und Gesetzen, deren Einhaltung Wirtschaftsprüfer und Aufsichtsbehörden regelmäßig kontrollieren. Die GRS-Teams erstellen Vorgaben und Kontrollmechanismen, um bereits vorab die Produktionsteams und deren Ergebnisse zu prüfen. Tatsächlich heißt es häufig, die Regeln gälten ab der Produktion. Aber im Kontext „Angriffe auf die Software-Lieferkette“ muss GRS neu gedacht werden, um die gesamte Lieferkette bereits ab der Entwicklung und inklusive der Prüfung der verwendeten Software-Pakete zu betrachten. Das Ziel der GRS-Teams ist also, die Anforderungen an das Unternehmen zu dokumentieren (Richtlinien) und deren Umsetzung sicherzustellen und zu kontrollieren.

Wie passt das zusammen?

Kurz und ehrlich beantwortet: Es passt nicht zusammen. Wie aus Abbildung 1 ersichtlich, sind die Ziele der einzelnen Teams nicht deckungsgleich, zudem ist die Kommunikation zwischen den Teams sehr häufig schwach ausgeprägt. Dadurch entwickeln die Teams kein Verständnis oder wenig Motivation, auch die Ziele der anderen Teams in der täglichen Arbeit zu berücksichtigen.


Abbildung 1: Unterschiedliche Ziele führen zu inkonsistenten Lösungen

Das ist auch nachvollziehbar. Teams und Menschen werden an den ihnen zugeschriebenen Zielen gemessen. Viele Applikationsteams berücksichtigen daher in der Sprint-Planung keine Kapazitäten für eine Risikoanalyse oder für die Handhabung und grundlegende Behebung von Störungen. GRS-Teams wiederum arbeiten meist asynchron zu den Sprints und führen keine fortlaufenden agilen Auditings durch, sondern stellen in wenigen großen Meetings alle Fragen. Das sind oft keine proaktiven Hinweise wie etwas besser gelöst oder beschrieben werden könnte.

Die Lösung: Eine engere Zusammenarbeit

Die Lösung dieses Problems ist im Grunde recht einfach. Sie ist das Herzstück in Methoden wie DevSecOps. Das Ziel besteht darin, die Teams enger zusammenzubringen und ihnen gemeinsame Ziele zu geben. GRS-Mitarbeiter:innen können fortlaufend in den Sprints der Applikationsteams mitwirken – genauso wie Mitarbeiter:innen der Produktionsteams. Das ist exakt die Idee von cross-funktionalen Teams. Menschen aus den unterschiedlichen Teams und mit verschiedenartigen Rollen arbeiten gemeinsam an der Wertschöpfung des Unternehmens.


Abbildung 2: Gemeinsame Ziele zur schnellen Wertschöpfung

Dorthin zu gelangen, stellt Unternehmen jedoch vor eine gewaltige Herausforderung. Die bestehenden Strukturen, Ziele und Mentalitäten sind auf getrennte Ziele ausgelegt. Die Lernkurve und die notwendige Motivation, die strukturellen Denkweisen und Prozesse zu transformieren, sind hoch. Es kann Jahre dauern, bis es gelingt – aber viele Erfahrungsberichte und Beispiele aus regulierten Unternehmen zeigen auf, welche Schritte und Maßnahmen möglich sind und wie eine solche Zusammenarbeit erreicht werden kann. Der erste Schritt dazu ist, dass die Teams stärker zu einem Miteinander kommen und die Ziele in eine Linie gebracht werden.

Fazit

Eine schnelle Wertschöpfung ist auch für regulierte Unternehmen möglich. Einige haben sie bereits erfolgreich in der Praxis umgesetzt – und zwar nicht über technische Bausteine oder das Einführen einer neuen Projektmanagement-Lösung wie Scrum, sondern durch das Alignment der Ziele und der Motivation in den Teams Applikationen, GRS und Produktion. Dieser Umbau bringt viele Tücken und Sackgassen mit sich, da Menschen auf Veränderungen häufig mit Widerstand oder Verharren reagieren. Aber der Weg lohnt sich, um wettbewerbsfähig zu sein. Und am Ende sehen auch die Mitarbeiter:innen die neuen Strukturen positiv, da diese weniger Bürokratie beinhalten – die Menschen also nicht mehr einfach gesagt bekommen, was sie zu tun haben – und stattdessen die Teams gemeinsam entscheiden, wie das Ziel effizient zu erreichen ist.