#4 Chef ohne IT-Wissen – wer entscheidet dann über die IT-Strategie?

00:00:00: Guten Morgen Jens.

00:00:02: Deine heutige Mission Digitale Souveränität aktivieren.

00:00:07: Willkommen bei Rhetis Reset, dem Podcast für den digitalen Neustart.

00:00:12: Hier spricht Jens Blust, IT-Unternehmer, Digitalstrategie und der Mann, der den Knopf zum Netzwerk Reset drückt.

00:00:19: Digital Souverän statt digital abhängig.

00:00:22: Der erste Schritt beginnt heute.

00:00:26: Herzlich willkommen zur Rhetis Reset.

00:00:28: Ich bin Jessica Sander und bei mir sitzt natürlich der Mann, der bei den Unternehmen den Reset-Knopf drückt.

00:00:34: Jens Blust.

00:00:35: Hallo Jens, ich grüße dich.

00:00:36: Guten Morgen, Jessica.

00:00:38: Jens, wir wollen gleich mit der provokanten Frage starten, so wie wir das jetzt in jeder Folge machen.

00:00:43: Muss ein Geschäftsführer heute eigentlich auch IT-Experte sein, damit das Unternehmen überhaupt überlebensfähig ist?

00:00:51: Die kurze Antwort, Jessica, die ganz kurze Antwort ist... Kannst

00:00:54: du kurz Jens?

00:00:54: ...ist nein.

00:00:56: Aber wenn ich jetzt bei dem Nein den Punkt mache, dann weiß ich genau, die Frage zeichentürmen sich.

00:01:02: Heutzutage gibt es eine große Regelungsbedürfnis.

00:01:09: Und wir erleben gerade in den aktuellen Gesetze, es entwürfen auch so, als ich bin ausgebildeter Informationssicherheitsbeauftragter von der IHK und so.

00:01:19: Und man merkt, dass der Trend dazu geht.

00:01:22: die Geschäftsführer mit einem Grund-IT-Wissen ausstatten zu wollen.

00:01:27: Es wird demnächst eine neue Regelung geben, die kommt von der EU, wird demnächst auch in Deutschland gültig werden, die heißt NIS II und die verpflichtet Unternehmen ab einer gewissen Größe oder in bestimmten Sektoren zu bestimmten Mindeststandards.

00:01:43: Und einer dieser Mindeststandards, die gerade diskutiert werden, sieht vor, dass die Geschäftsführer, die Geschäftsleitung dieser Unternehmen IT-Wissen haben soll.

00:01:54: Das heißt, es gibt schon die ersten Schulungsanbieter, die sagen, wir machen IT-Wissen für Geschäftsführer.

00:01:59: Da muss man sich aber ernsthaft mal die Frage stellen, warum?

00:02:04: Denn der Geschäftsführer hat ganz andere Aufgaben.

00:02:06: Der Geschäftsführer ist doch der, der die Strategie festlegt.

00:02:09: Der Geschäftsführer ist doch der, der die der die Verantwortung tragen muss.

00:02:13: Das heißt, es ist der, der kontrolliert.

00:02:15: Und da er nicht alles wissen kann, muss er sich natürlich auf bestimmte Leute verlassen können.

00:02:21: Er kauft sich Spezialwissen ein.

00:02:23: Womit sich der Geschäftsführer auskennen sollte, ist seine Branche.

00:02:27: Jemand, der in der Produktion im Metallbereich ist.

00:02:30: Der kennt sich mit Metall und der Metallbranche aus.

00:02:33: Jemand, der in der Chemie ist, kennt sich mit der Chemiebranche aus.

00:02:36: Aber der muss sich nicht.

00:02:38: Und das sage ich ganz klar.

00:02:39: Und ich glaube, damit stelle ich mich auch so ein bisschen weiter außerhalb von vielen Leuten, die das anders empfinden.

00:02:45: Ich sage, Geschäftsführer muss überhaupt nichts von IT verstehen.

00:02:48: Aber er braucht gute Vertraute.

00:02:50: Er braucht entweder Berater oder zuverlässige IT-Atmens.

00:02:53: Aber er muss es nicht selber wissen.

00:02:56: Jens, ich liebe, wie energetisch du, energisch du hier schon wieder bist.

00:02:59: Ich spüre das richtig.

00:03:00: Das ist dein Thema.

00:03:01: Da ist Feuer drin.

00:03:03: Und du wolltest auch gleich schon wieder schön in die Tiefe einsteigen.

00:03:05: Das machen wir jetzt auch direkt.

00:03:06: Aber ich wollte doch erst nochmal sagen, wie unser Thema heute heißt und zwar wie Chefs auch ohne IT-Wissen souverän entscheiden können.

00:03:13: Darum soll es nämlich heute gehen.

00:03:15: Und warum das dann eigentlich die Stärke ist, souverän entscheiden zu können, ohne das IT-Wissen zu haben.

00:03:20: Und du hast gerade schon diese Gesetzesinitiative angesprochen, also Geschäftsführer sollen zukünftig sogar IT-Kentnisse nachweisen müssen.

00:03:28: Sag doch noch mal ganz explizit, du hast es schon angedeutet, davon hältst du nichts.

00:03:32: Nee, davon halte ich überhaupt nichts.

00:03:34: Wir haben zum Beispiel einen Fragebogen für Geschäftsführer.

00:03:38: Wenn ein Geschäftsführer kommt und IT Entweder von uns bewertet lassen, von uns bewertet lassen möchte oder er möchte, dass wir IT für ihn machen.

00:03:49: Dann haben wir keine technische Diskussion mit den Geschäftsführern, sondern dann haben wir eine Anforderungsdiskussion.

00:03:55: Da geht es um Prioritäten, um Strategie, auch um Haltung.

00:04:00: Ich habe gesehen, du hast ja einen tollen Podcast zu Haltung auch.

00:04:02: Da geht es um die Haltung des Geschäftsführers.

00:04:04: Es geht darum, was priorisiert er?

00:04:07: Und das sind ganz normale Wörter, die der da priorisieren kann.

00:04:10: Das heißt, der sagt, Nachhaltigkeit ist mir wichtig.

00:04:13: Oder er sagt, vielleicht auch Skalierbarkeit ist mir besonders wichtig oder vielleicht auch besonders unwichtig.

00:04:19: Wenn die Sache sehr statisch ist, dann kann der Geschäftsführer eben sagen, auf Skalierbarkeit legen wir weniger Wert.

00:04:24: Dann wird das berücksichtigt.

00:04:26: Die technischen Entscheidungen, die aus dieser Anforderung kommen, muss der Geschäftsführer gar nicht wissen.

00:04:32: Am Ende des Tages... Er gibt sich aus seinen Anforderungen im Budget und das muss er freigeben.

00:04:37: Das muss über das Unternehmen darstellbar sein.

00:04:42: Aber die Anforderungen, ich denke, da muss man kein IT-Wissen haben.

00:04:46: Was glaubst du denn, was das für eine Auswirkung haben wird oder haben könnte diese Gesetzesinitiative?

00:04:54: Schlecht ist es natürlich nicht.

00:04:55: Ich finde es immer gut, wenn ein Geschäftsführer auch ein bisschen was von IT versteht.

00:04:59: Aber ich sehe halt auch viele Geschäftsführer, die einfach da kein Talent drin haben, denen es schwer fällt.

00:05:05: Und ja, natürlich, diese eine Auswirkung haben wir schon erlebt.

00:05:09: Wir werden ganz viele, ganz viele mehr Schulungen erleben.

00:05:12: Wir werden ganz viele Haken in Checklisten setzen, zum Beispiel den Haken, ob der Geschäftsführer IT-Kentnisse hatte, wird dann an Haken gemacht.

00:05:20: Das erhöht aber überhaupt nicht die Unabhängigkeit des Unternehmens.

00:05:23: Das erhöht nicht die Souveränität des Unternehmens, sondern auch nicht die Qualität der IT.

00:05:27: Denn die IT macht in der Regel nicht der Geschäftsführer, sondern einen Beauftrag des Dienstleistungsunternehmens oder eine interne IT-Abteilung und deren Chef der IT-Leiter oder der Teamleiter IT, das ist der, der die IT verantwortet, gegenüber dem Geschäftsführer.

00:05:43: Und der hat das Fachwissen und der muss diese Prüfungen machen und der muss die fachliche Qualifikation nachweisen.

00:05:48: Aber ein gewissenhafter Geschäftsführer prüft es ja.

00:05:52: Und das ist seine Aufgabe.

00:05:53: Deswegen, ich sehe das tatsächlich eher kritisch.

00:05:56: Ich bin der Meinung, dass Geschäftsführer ganz viel Wissen haben müssen, aber kein IT-Detail wissen.

00:06:02: Also, kann man nochmal festhalten, der Geschäftsführer muss nicht alle Details verstehen.

00:06:06: Er muss die Richtung aber vorgeben und Verantwortung übernehmen.

00:06:09: Richtig, das ist ein ganz zentraler Punkt.

00:06:11: Das ist was, was viele Geschäftsführer am liebsten ignorieren.

00:06:14: Und auch ein Teil dieser neuen Gesetze, die klar definieren.

00:06:20: Es muss jedem Geschäftsführer bewusst sein, dass er am Ende des Tages die Verantwortung für die IT-Sicherheit übernimmt.

00:06:26: Er hat die Verantwortung, er kann sie delegieren.

00:06:29: bis zu einem gewissen Grade, aber er bleibt verantwortlich.

00:06:32: Und daher kommt dieser Wunsch nach dem Wissentransfer, dass er weiß oder besser einschätzen kann, wenn er genauer hinguckt.

00:06:40: Gut, das macht ja schon ein bisschen Sinn, oder?

00:06:42: Sich dieses Wissen, wie du auch gesagt hast, ein bisschen Wissen anzueignen, macht auf jeden Fall Sinn.

00:06:45: Gar keine Frage.

00:06:46: Also ein Grundwissen ist sinnvoll.

00:06:50: Aber ich sage mal, das Grundwissen ist eher common sense, gesunder Menschenverstand.

00:06:56: Wenn ich Gelderkürze in bestimmten Bereichen für Backups oder sonst irgendwas, dann muss mir als Geschäftsführer bewusst sein, was die Auswirkungen sind.

00:07:05: Und wenn ich das nicht weiß, dann muss ich fragen.

00:07:07: Und diese Antworten, die muss ich einfordern.

00:07:10: Wir haben zum Beispiel einen kleinen Fragenkatalog zum aktuellen IT-Zustand von einem Unternehmen.

00:07:19: Und der Clou ist nicht die genauen Antworten, die kommen.

00:07:23: Also da steht dann zum Beispiel drin, keine Ahnung, wie lange dauert die Wiederherstellungszeit unserer Backups?

00:07:28: Also wie lange dauert es, wenn wir als alles löschen würden, wie lang dauert es, die Daten wiederherzustellen, betriebsfähig wiederherzustellen?

00:07:35: Der Clou ist nicht die Antwort, ob da jetzt drei Tage, vierzehnt Tage, siebzehnt Tage oder vielleicht drei Stunden steht, sondern wie lang die Antwort dauert.

00:07:46: Wenn die IT die Frage innerhalb von drei Stunden beantwortet hat, dann haben die das getestet, dann wissen die das, dann haben die entsprechende Konzepte.

00:07:56: Wenn nach zwei Wochen immer noch keine Antwort kommt, dann kann man daraus schließen, dass die IT ist nicht weiß.

00:08:01: Und dann sollte man daraus... Also das ist jetzt eine Unterstellung.

00:08:04: Manchmal ist die IT auch einfach überfordert und braucht ein bisschen, bis sie antwortet.

00:08:08: Aber grundsätzlich sollte diese Zahl, eine ganz zentrale Zahl für den Geschäftsführer sein.

00:08:13: Und da brauche ich kein IT-Wissen.

00:08:15: Die Frage, wie lang brauchen wir, bis wir alles wieder hergestellt haben?

00:08:18: Aus dem Backup heraus, bis alles wieder läuft.

00:08:21: Da steht eine Zahl.

00:08:23: Und da steht manchmal vierzehn Tage.

00:08:25: Und jeder Geschäftsführer kann für sich selbst entscheiden, reichen vierzehn Tage, ist es okay für mein Unternehmen und in den allermeisten Fällen werden wir hören, nein, das geht überhaupt nicht.

00:08:36: Und dann ist es einfach an der IT zu sagen, okay, wir können das auf sieben Tage runter setzen, wir können es auf drei Tage runter setzen.

00:08:43: oder, lieber Geschäftsführer, wenn du das möchtest, können wir auch Hochverfügbarkeit zur Verfügung stellen.

00:08:48: Es ist alles eine Frage des Budgets, dass eben solche Ausfälle, wenn sie dann kommen, vielleicht auch innerhalb von wenigen Stunden.

00:08:54: kompensiert werden können oder vielleicht für bestimmte Teilbereiche, dann sind wir im Budgetbereich, dann sind wir in der Domäne des Geschäftsführers und dann kriegt er auch was er möchte, aber diese Frage zu stellen, diese ganz einfache Frage, die jeder verstehen kann, da brauche ich keinen Fachkinesisch für.

00:09:13: und die Antwort, die von der IT kommt, die kann auch jeder verstehen, da brauche ich auch keinen Fachkinesisch dafür.

00:09:18: Das heißt, wir reden plötzlich Managerdeutsch.

00:09:22: ganz normal wie lang braucht es bis die sache wieder läuft?

00:09:24: für zehn tage das ist zu wenig oder zu viel.

00:09:27: bitte machen sie mir einen plan dass es in drei tagen läuft.

00:09:30: okay und dann und damit ich denke dieses grund wissen das sollte da sein.

00:09:36: aber der manager muss nicht wissen mit welchem verschlüsselungsverfahren jetzt gerade eine festplatte beschrieben wird.

00:09:43: Lass uns doch gerne mal zur ersten Rubrik kommen, Jens.

00:09:45: Und zwar Mythos oder Wahrheit.

00:09:48: Jens klärt auf.

00:09:49: Ich liebe es einfach.

00:09:51: So, dann erzähl doch mal.

00:09:52: Heute geht's um den Satz.

00:09:53: Die IT-Strategie kann man doch auch komplett an die IT-Abteilung oder den Deetsleister abgeben, oder?

00:09:59: Ist doch so, ne?

00:10:01: Wenn man Stilstand mag.

00:10:02: Ist das?

00:10:03: Nein, also jetzt muss man ganz klar sagen, es gibt hervorragende IT-Abteilungen, die sich tatsächlich um die Weiterentwicklung und die Strategie der IT kümmern.

00:10:11: Und da muss man auch sagen, ihr macht einen hervorragenden Job.

00:10:16: Oft sieht man allerdings auch, die IT ist zeitlich überlastet oder sie sieht nicht über den Tellerrand hinaus.

00:10:22: Du musst dir das so vorstellen, du hast ein Netzwerk, das ist komplex, da sind viele, viele, viele Geräte und natürlich die Hauptsoftware des Unternehmens.

00:10:29: und Alle Leute, die in dieser Firma arbeiten in der IT, die kennen sich in dieser Struktur unglaublich gut aus.

00:10:36: Aber sie kennen nichts, was außerhalb liegt.

00:10:39: Wenn sie nicht aktiv auf die Suche gehen und aktiv sich wissen und Alternativen und andere Produkte anschauen, wenn die die Zeit nicht investieren können in diese Aufgaben, wenn sie da keine... keine klare Anweisung der Geschäftsleitung haben, dass das auch wichtig wäre, dann tun sie es nicht.

00:10:58: Das heißt, man kann sich immer nur in dem Bereich weiterentwickeln, den man kennt.

00:11:04: Neue Konstrukte, neue Strategien, neue Technologien auch werden häufig Deswegen abgelehnt, weil es ein zusätzlicher Aufwand ist für die IT sich da einzuarbeiten, das zu implementieren.

00:11:17: In der Regel ist es mit höheren Kosten verbunden, weil ja das alte ersetzt werden muss durchs Neue.

00:11:21: Und deswegen bleibt die IT oft ein bisschen in ihrem vertrauten Terrain stecken.

00:11:28: Er setzt vielleicht zum Beispiel eine Firewall, die bereits seit zehn Jahren am gleichen Ort eingebaut ist, einfach wieder durch eine neue Firewall an der gleichen Stelle, die genau das Gleiche macht.

00:11:38: Aber alles drumherum hat sich doch weiterentwickelt.

00:11:41: Und wir haben heutzutage... Die IT von vor zehn Jahren ist mit der IT, die wir heute haben, nicht vergleichbar.

00:11:49: Wir haben überall WLAN.

00:11:50: Wir haben über Schnittstellen an unsere Netzwerke.

00:11:53: Wir haben oft nicht mehr nur einen einzigen Zugang ins Internet.

00:11:57: Wir haben auch nicht mehr nur ein Programm, das mit dem Internet fungiert.

00:12:00: Das heißt, wir haben eine so vielfältigere und so viel vielschichtigere IT gewonnen in den letzten Jahren.

00:12:08: Dass es wichtig ist, dass die IT sich weiterentwickelt.

00:12:12: Und jetzt komme ich.

00:12:13: Das war jetzt ein bisschen lang ausgeholt.

00:12:16: Wenn die Geschäftsführung eine klare Richtung vorgibt, was wichtig ist und was nicht wichtig ist, dann weiß die IT auch, worauf sie wertlegen kann in der Entwicklung.

00:12:24: Und schon hat man eine Strategie für die nächsten drei oder fünf Jahre.

00:12:29: Wenn die Geschäftsführung Souveränität, Unabhängigkeit oder eben Skalierbarkeit vorgibt oder auch vielleicht, keine Ahnung, Preiseffizienz, das kann ja sein, dass das gespart werden muss und schlau gespart werden muss.

00:12:42: Dann kauf ich nicht was billigeres, sondern dann kauf ich was genauso gutes, was vielleicht etwas günstiger ist.

00:12:47: Und das ist einfach so ein bisschen dieses, da muss die IT-Abteilung aber auch die Ressourcen dafür bekommen oder der externe Dienstleister.

00:12:54: Das gleiche gilt für den externen Dienstleister.

00:12:57: Die sind nochmal ein bisschen anders befangen, weil die externen Dienstleister, die sind oft in Partnerverträgen, die haben andere Interessen manchmal auch.

00:13:07: Aber grundsätzlich ist es für das Unternehmen ganz, ganz, ganz wichtig, dass die IT-Strategie erst mal von der Geschäftsdatum kommt.

00:13:14: Also nicht im Detail.

00:13:16: Nur im Rahmen der Anforderungen, die Detailstrategie, was dann genau gemacht wird, das arbeitet die IT-Abteilung aus.

00:13:23: Aber es muss sich quasi in die Vorgaben der Geschäftsführung reinfügen.

00:13:27: Und dann haben wir eine konsistente und vor allem auch eine planbare Roadmap für vielleicht drei oder fünf Jahre.

00:13:33: Wenn ein Geschäftsführer selbst kein IT-Fachwissen hat, welche Fragen sollte er denn unbedingt stellen, um trotzdem souveräne entscheiden zu können?

00:13:39: Du hattest ja diese eine Frage schon genannt.

00:13:42: Und zwar den IT-Fragen, wie lange braucht es, bis das Backup wieder draufgespielt werden kann.

00:13:46: Genau, das ist auch tatsächlich die zentralste Frage.

00:13:49: Es sollte außerdem die IT-Fragen welche Abhängigkeiten bestehen.

00:13:52: Wir erleben immer wieder, dass keine, keine Übersicht darüber ist, in welchen Bereichen man Produkte austauschen könnte und in welchen nicht.

00:14:04: Das ist relativ einfach.

00:14:06: Ein Drucker.

00:14:07: Da kann ich den einen Drucker abbauen und den anderen Drucker aufbauen und mit ein bisschen Einstellungsanpassungen druckt der neue Drucker das gleiche aus, wie der alte.

00:14:17: Der kann günstiger sein, der kann vielleicht von einem anderen Lieferanten kommen.

00:14:20: Das ist ein relativ einfaches Thema, wenn man jetzt nicht super spezialisiert in dem Bereich druckt.

00:14:25: Also standardmäßig geht das.

00:14:28: Drucker sind relativ einfach.

00:14:31: Was unmöglich zu ersetzen ist, ist das ERP.

00:14:34: Das Auftragsverwaltungssystem ist so integriert in alle Prozesse, dass das eine große Aufgabe ist, das würde Jahre dauern oder das das dauert in der Regel tatsächlich wirklich lange Zeit räumen.

00:14:45: Man kann den ERP nicht einfach ersetzen.

00:14:46: Und dazwischen ist eine graue Schicht.

00:14:50: Wir reden ja über IT-Infrastruktur, das heißt, wir haben ja nicht nur mit Software zu tun, die der Benutzer sieht und mit der er klickt, wo man sagt, oh, da müssen wir auch noch die Benutzerschulen, vielleicht wenn wir ein anderes Office-Programm benutzen wollen, dann ist halt der Button woanders oder so, das ist ja der einfache Teil, sondern wir haben hinten dran einen riesigen Berg von abhängiger Software.

00:15:13: Die eine Software braucht eine andere Software, damit es richtig läuft, zum Beispiel Wenn ich Windows administrieren möchte, ich habe ein Windows-Netzwerk, da sind ganz viele Windows-Computer drin, das können Server sein, das können PCs sein.

00:15:26: Und diese PCs muss ich überwachen.

00:15:29: Ich muss dafür sorgen, dass der Virenscanner aktuell ist.

00:15:31: Ich muss das auch dokumentieren, dass der Virenscanner aktuell ist.

00:15:34: Genauso muss ich gucken, dass auch die Sicherheits-Updates da immer drauf kommen.

00:15:38: Und so hat man Stück für Stück bestimmte Abhängigkeiten von Software.

00:15:42: Manche sind sehr einfach austauschbar.

00:15:44: Beispiel Virenscanner.

00:15:46: Das geht sehr, sehr, sehr einfach.

00:15:48: Dann gibt es aber auch so voll integrierte Software, die viel, viel tiefer in die Systeme reingeht, wie zum Beispiel jetzt eine Windows Domäne.

00:15:56: Die steuert alles.

00:15:59: Du musst dir das vorstellen, wie das Rückgrat in einem Skelett an dem alles befestigt ist.

00:16:03: Und je mehr ich an diesem Rückgrat befestige, desto weniger einfach kann ich dieses Rückgrat austauschen.

00:16:09: Und das ist so ein bisschen eine Thematik.

00:16:12: Viele Angriffe kommen über diesen Weg.

00:16:14: Und in der Zwischenzeit geht der Weg tatsächlich da dahingehend, dass man nicht ein Rückgrat hat, das mit allem verbunden ist, sondern dass man die Systeme eben strictly aligned loosely kappelt.

00:16:25: Designed.

00:16:25: Das heißt, man hat eine klare Ausrichtung, alles muss nach vorne gucken, alles muss in die gleiche Richtung orientiert sein.

00:16:31: Aber man verbindet die Systeme nicht fest miteinander, sondern man sorgt immer dafür, dass die Schnittstelle beweglich ist, dass man eine standardisierte Schnittstelle hat, um verschiedene Sachen zu verbinden.

00:16:42: Das war jetzt sehr viel IT-Wissen, ich weiß.

00:16:44: Da

00:16:44: hast du doch bestimmt noch ein schönes Praxisbeispiel, was du noch hier anführen kannst auch.

00:16:48: Naja gut, also zum Beispiel würde man keine Backups an dieses Rückgrat ranheften.

00:16:53: Denn wenn das Rückgrat gerade ein Problem hat, wenn da der Virus drin ist und anfängt das Rückgrat von oben nach unten zu zerlegen, ist es ganz, ganz, ganz schlecht, wenn das Backup dabei auch betroffen ist.

00:17:03: Das heißt, man würde zum Beispiel das Backup vom Rest der Domäne trennen.

00:17:09: Und das sind genau diese kleinen Abhängigkeiten.

00:17:13: Wenn die IT sich dessen bewusst ist und Stück für Stück daran arbeitet, zu sagen, okay, wir haben bestimmte Trennungen, dann wird daraus eine stabile und nachhaltige IT.

00:17:25: Der Geschäftsführer kann das nicht sehen.

00:17:27: Der Geschäftsführer kann nur fragen, er stellt uns eine Liste unserer Systeme, unserer Software und bewertet auf einer Skala von eins bis fünf, wie einfach die auszutauschen ist.

00:17:39: Und alle Systeme, wo drin steht, dieses Ding können wir nicht austauschen.

00:17:44: Das ist das, wo der Geschäftsführer wissen muss, da habe ich ein Painpoint, wenn da ein großes Problem ist.

00:17:49: Und es kann sowas triviales sein, wie ein Microsoft Office.

00:17:52: Ich liebe es, wir werden jetzt konkret jetzt.

00:17:56: Und zwar mit unserer nächsten Rubrik.

00:18:01: Fast doch mal bitte zusammen.

00:18:03: Was sind deine drei Zutaten für souveräne IT-Entscheidung von Geschäftsführern auch ohne technisches Wissen?

00:18:11: Ohne IT-Wissen, bitte.

00:18:13: Okay, nachdem ich vorhin wieder so ausführlich war, ich werde jetzt wieder sehr, sehr knapp und sehr kurz, denn das ist wichtig.

00:18:22: Zunächst mal.

00:18:23: Die Geschäftsleitung muss verstehen, dass ihr am Ende des Tages wirklich der ist, der darüber entscheidet, ob das Zeug funktioniert oder nicht.

00:18:31: Die IT-Abteilung ist nur der verlängerte Arm.

00:18:33: Wenn der Geschäftsführer was Bestimmtes will, in eine bestimmte Richtung gehen will, dann führt die IT-Abteilung das aus und dazu gehört.

00:18:40: Und das sehe ich zu häufig, dass die Geschäftsführung sich so ein kleines bisschen vor diesen IT-Fragen drückt.

00:18:46: Es ist technisch, man kennt sich nicht so aus, deswegen überlässt man die Entscheidungen, schiebt alle Entscheidungen unter dem kleinen Deckmantel der Technik, da kenne ich mich nicht aus, einfach an den IT-Admin.

00:18:59: Der IT-Admin hat aber ganz andere Interessen.

00:19:03: Vielleicht hat der IT-Admin eher das Interesse möglichst überhaupt keine Veränderung zu haben, während die Geschäftsleitung bereitet gerade keine Ahnung, zum Beispiel eine Internationalisierung vor oder so.

00:19:13: Das heißt, es ist wichtig, dass die Geschäftsleitung sich bewusst ist, dass sie mit ihren Entscheidungen, die auf einem ganz abstrakten, hohen Level getroffen werden, wie zum Beispiel, wir wünschen uns Skalierbarkeit.

00:19:26: Dadurch die IT steuert und diese Verantwortung muss sie übernehmen.

00:19:29: Auch jetzt zum Beispiel in der IT Security.

00:19:32: Der Geschäftsführer muss sich bewusst sein, dass seine Entscheidungen seine Prioritäten darüber entscheiden, ob seine IT-Security stark ist und vorbereitet ist oder nicht.

00:19:45: Wenn er keine Ressourcen dafür zur Verfügung stellt oder die Verantwortung versucht, einen jemanden zu delegieren, der im Zweifel die Verantwortung gar nicht übernehmen kann, dann wird es nicht.

00:19:54: Und das ist einfach der erste Punkt.

00:19:56: Diese, diese Annahme der Verantwortung.

00:19:58: Einmal zu sagen, jawohl, ist ein blödes Thema, kann ich verstehen.

00:20:02: Das ziehe ich jetzt einmal durch.

00:20:04: Wir erstellen einmal diese Prioritätenliste und danach kontrolliere ich anhand meiner Prioritätenliste, was der Dienstleister oder der interne IT-Admin oder der der IT-Chef dann umsetzt.

00:20:16: Das ist der eine Teil.

00:20:17: Jetzt kommt der zweite Teil, nämlich genau die Kontrolle.

00:20:20: Der Geschäftsführer entscheidet ja nicht nur, sondern er hat ja auch eine Kontrollfunktion.

00:20:24: Er muss schauen, ob das auch so umgesetzt wird, wie er das möchte.

00:20:29: Und auch hier Anforderungen und schauen, wie die Entwicklung in dem Bereich ist.

00:20:33: Wenn bestimmte Themen plötzlich priorisiert werden durch ein Cyberangriff.

00:20:39: Sagt man zum Beispiel, oh, wir hatten einen Riesen-Cyberangriff, hat uns µm gekostet, wir waren vier Wochen down.

00:20:45: Wir legen jetzt das Thema Sicherheit sehr viel höher.

00:20:49: dann ist es natürlich auch wichtig, dass man dann die IT-Abteilung eine entsprechende Strategie ausarbeiten lässt oder vielleicht auch mit externen Beratern und sich dann engmarschig darüber berichten lässt, was hat sich denn da getan und nach einem Jahr oder nach einem bestimmten Zeitraum tatsächlich eine Art Control Audit macht.

00:21:09: Was ist das genaue Delta?

00:21:11: Was hat sich verbessert?

00:21:13: Haben wir jetzt eine bessere Zertifizierung?

00:21:15: Sind die Notfallpläne da?

00:21:16: Das ist... Das ist eine ganz einfache Frage.

00:21:19: Der Geschäftsführer kann sagen, schicken Sie mal mal unsere Notfallpläne.

00:21:23: Ich will nur gucken, ob sie da sind oder geben Sie mir die Dokumentennummer.

00:21:26: Dann kann der gucken, sieht, sind da und weiß, ich habe da wieder Kontrolle.

00:21:31: Das Dritte, wir haben ja immer drei Punkte.

00:21:33: Eins und zwei, das ist das Dritte, ist tatsächlich dieses Thema Richtung behalten, Experten einbinden.

00:21:41: Wir hatten vorhin kurz davon die Internet-IT-Abteilung.

00:21:45: Tagesgeschäft kann unglaublich belastend sein und oft hat man dann eben keine Zeit für die strategischen Themen.

00:21:51: und deswegen ist es unglaublich wichtig an bestimmten Stellen sehr wertschätzend der der IT-Abteilung gegenüber, denn die machen in der Regel einen hervorragenden Job und die finden es natürlich nicht toll, wenn plötzlich ein externer Berater kommt, weil Da werden Dinge auftauchen, es werden Fragen gestellt werden.

00:22:09: Es ist immer ein Angriff.

00:22:10: Und da ist es ganz, ganz, ganz wichtig, dass man, dass man die IT Abteilung mit ins Boot holt, dass man denen sagt, pass auf, wir wollen besser werden.

00:22:17: Deswegen holen wir den.

00:22:18: Und egal, was der feststellt, es ist nicht die Schuld des IT-Admin, dass Dinge danach verändert werden.

00:22:25: Und das ist wichtig, dann eine Wertschätzung aufzubauen und Vertrauen zu behalten zwischen der IT.

00:22:32: Wie gesagt, die kann auch extern sein.

00:22:33: Und ich sage auch ganz klar, Auch einen externen muss ich kontrollieren, denn nur weil der extern ist, heißt es ja nicht, dass der nicht eigene Interessen hat.

00:22:42: Im Gegenteil, es ist einfach wichtig, diesen Gesprächskommunikationsfaden offen zu halten und sich nicht hinter dem Thema zu verstecken.

00:22:52: war, IT ist blöd.

00:22:54: Exit-Strategie für die Geschäftsführer, die das jetzt nicht wollen.

00:22:58: Ich kann mir gut vorstellen, dass vielleicht jemand, der noch nie mit IT zu tun hatte, vielleicht da überhaupt wirklich ein echtes Problem hat.

00:23:07: Dann holen Sie sich Berater, die nichts anderes tun, als Ihren Willen entsprechend durchzusetzen.

00:23:14: Dass man also mit einem vertrauensvollen Berater kurz drüber spricht und derjenige dann der ist, der mit der IT oder mit anderen Leuten die Sachen kommuniziert und auch kontrolliert.

00:23:24: Dass man eben zum Beispiel die Kontrolle oder eben die Strategieausarbeitung, die Roadmap mit einem externen Berater macht.

00:23:34: Und damit eben eine Möglichkeit schafft, dass auch eine Geschäftsführung, die wirklich nicht in die Technik gehen möchte, in der Lage ist, mit so einem komplexen Thema wie eine IT-Strategie umzugehen.

00:23:49: Jetzt doch mal, das würde mich mal interessieren.

00:23:52: Und zwar, glaubst du oder empfielst du, dass die IT-Sicherheit eigentlich heutzutage in jedem Unternehmen eine höchste Priorität haben sollte?

00:24:02: Nein.

00:24:04: Auch eine ganz klare Ansage, wie ein Unternehmen, also eine IT-Sicherheit, die Verbesserung der IT-Sicherheit trägt nichts zur Produktivität des Unternehmens bei.

00:24:14: Das Unternehmen hat seine Kernprozesse, wo die Wertschöpfung stattfindet.

00:24:19: Die müssen funktionieren.

00:24:20: Das ist das, was das Unternehmen produktiv macht, was es nachhaltig macht, was es leben lässt, was die ganzen Mitarbeiter, alle, die mit dem Unternehmen zusammenarbeiten, ob das externe Lieferanten, Abnehmer, Kunden, Mitarbeiter, alle hängen an den Produktionsprozessen.

00:24:34: An der Wertschöpfungskette im Unternehmen, wenn es kein produzierendes ist, ist es ein Dienstleister, der hat auch eine Wertschöpfung.

00:24:41: Die IT Security sichert nur ab, dass diese Wertschöpfung möglichst störungsfrei weiterläuft.

00:24:47: aber sie trägt nicht bei.

00:24:48: ich weiß aber du hast ja hast ja mal gesagt oder schon öfter gesagt es ist nicht eine frage ob man angegriffen wird sondern nur wann.

00:24:55: oder war das

00:24:56: nicht richtig genau?

00:24:57: also das heißt Es kann ja es eigentlich realistisch ist jeder vielleicht irgendwann mal davon betroffen.

00:25:02: Also sollte doch diese Sicherheit die höchste Priorität haben.

00:25:05: Nein, Security ist ein Operations Thema.

00:25:08: Security ist was also IT Security ist was was mitlaufen muss.

00:25:12: Und natürlich ist es gerade wichtig.

00:25:14: Es ist wichtig.

00:25:15: Es war schon immer wichtig.

00:25:16: Nur hat es jetzt einen besonderen Fokus, weil wir gerade sehr viel.

00:25:20: Angriffe erleben, weil wir gerade auch durch diese internationale Konstellation, durch die vielen Kriege erleben wir eben live, was passiert, wenn mal eine IT gehackt wird, wenn ein Unternehmen Down geht, man hat, man sieht es einfach und man schmürt es auch teilweise.

00:25:36: Wenn ein E-Mail-Provider plötzlich keine E-Mails mehr transportiert, wenn Amazon keine Pakete mehr ausliefern kann, weil der Logistik-Dienstleister gerade ein Problem hat.

00:25:45: Das sind einfach Themen, die sind natürlich wichtig, die IT Security stabilisiert, die IT Security ist.

00:25:53: Man kann sie nicht wegdiskutieren, das ist gar keine Frage und sie ist aber in die Gesamt-IT integriert.

00:25:59: Sie ist, natürlich hat man ein bisschen Awareness, da ist man so im HR Bereich und natürlich hat man noch ein paar andere Verbindungen in andere Bereiche rein.

00:26:07: Aber kein Auto wird schneller produziert, nur weil besserer Antivirus auf dem PC läuft.

00:26:13: Das sind einfach Themen, wo ich sage, lassen wir bitte die Kirche im Dorf.

00:26:18: Danke, danke.

00:26:19: Ich bin jetzt gerade bei einer Kuh gewesen.

00:26:21: Lassen wir bitte die Kirche im Dorf, denn IT Security ist wichtig, aber sie ist nicht das wichtigste Thema im Unternehmen.

00:26:28: Das verstehen viele IT Sicherheitsberater oft falsch, auch jetzt gerade so diese neuen Gesetzesinitiativen, die diese Stärkung der IT-Sicherheit im Fokus haben.

00:26:43: NIST II ist diese eine zum Beispiel, die jetzt auf Deutschland zukommt, wo ganz viele Unternehmen, ich glaube, letzte Schätzung ist, glaube ich, thirty-seitigtausend Unternehmen plötzlich sehr viel höhere oder zumindest klar definiert Mindest-IT-Sicherheitsmaßnahmen umsetzen müssen.

00:27:02: Wenn die bisher schon ihre Hausaufgaben gemacht haben, ist es gar nicht so viel.

00:27:05: Es muss nur dokumentiert werden und so weiter und man muss ein Managementsystem installiert haben.

00:27:10: Aber wenn ich natürlich gar nichts gemacht habe, dann stehe ich natürlich erst mal von einem großen Berg.

00:27:16: Ich sage trotzdem, IT Security als Bereich ist einfach ein Teil der Operations.

00:27:24: Das muss gemacht werden, man kommt nicht drum herum.

00:27:27: Man schaut, dass man es ordentlich macht, aber mehr... Mehr Fokus muss auf der Vorsorge liegen, mehr Fokus muss auf der Wiederherstellung liegen und ich finde auch, dass mehr Fokus auf dieser Unabhängigkeit und Souveränität liegen sollte, dass wenn ich mal irgendwo die Möglichkeit habe, die IT zu designen, zu strukturieren, neu zu gestalten, dass ich dann nicht wieder in diese alten Lock-in-Muster reinfalle.

00:27:53: Sehr gut.

00:27:54: Dann lass uns doch mal zum Abschluss bitte noch mal, hätte ich gerne noch mal einen Impuls von dir zu unserem Thema Chef ohne IT-Wissen und trotzdem souverän entscheiden.

00:28:01: Gib noch mal einen Impuls für den Abschluss mit.

00:28:05: Ich möchte jeden... Jeden Geschäftsführer einfach ermutigen sich diesem Technikthema, diesem IT-Sicherheitthema, diesem Souveränitätthema nicht so komplett zu verschließen, sondern tatsächlich offen damit umzugehen.

00:28:17: Am Ende des Tages kostet das irgendwo Geld.

00:28:19: Auf der anderen Seite kann man, wenn man das schlau macht, dieses Geld auch entsprechend als Investition sehen und nicht nur als reine Kosten.

00:28:26: Jetzt nur ein Virenscanner zu kaufen oder nur eine Firewall zu kaufen, das ist keine nachhaltige Investition.

00:28:33: Das ist Risiko Minimierung.

00:28:36: Wenn man aber hergeht und sagt, okay, wir haben jetzt eine Möglichkeit, zum Beispiel ganz aktuell war diese Windows X Support Endet Thematik, die ist gerade aktuell im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, im Oktober, Endet zu dem Zeitpunkt.

00:28:57: Und jetzt stehen viele Unternehmen vor dem Punkt, naja kaufen wir Windows Elf PCs, also das ist die einfache Variante.

00:29:04: Oder gehen wir auf irgendwas anderes.

00:29:06: Jetzt hat man die Wahl.

00:29:08: Und wenn man jetzt in das Thema Souveränität investiert, hat man die Möglichkeit, das eingesetzte Geld erstens zu Bruchteilen nur zu verschwenden.

00:29:18: Also man kauft nicht IT.

00:29:20: Also IT Hardware, die noch funktioniert, wird ersetzt und weggeworfen.

00:29:25: ohne dass man dadurch mehr gewinnen.

00:29:31: Der Prozess öffnet nicht schneller nur, weil ich einen neuen PC dastehe.

00:29:34: Das ist ein bisschen dieses Thema, wenn man diese Chance nutzt.

00:29:37: und sich Gedanken macht, welche Strategie wollen wir fahren?

00:29:40: Wollen wir mehr Unabhängigkeit oder wollen wir eben dieses strictly aligned loosely coupled Concept vielleicht Stück für Stück mal umsetzen?

00:29:48: Dann habe ich jetzt die Gelegenheit, ohne dass mehr Geld ausgegeben wird, an kompletten neue Ära in der eigenen IT zu fahren.

00:29:56: Und wer da Beratungen braucht, es gibt sie, die Berater da draußen.

00:30:01: Wir stehen auch zur Verfügung, natürlich gibt es auch einige andere Unternehmen.

00:30:04: Es ist ein neuer Zweig.

00:30:05: Das kommt erst, dieses Souveränitätsthematik, dieses, dass man da mal aktiv drüber nachdenkt, wie abhängig bin ich von was und wie komme ich aus diesen Unklammerungen raus.

00:30:16: Das ist ein relativ neuer Gedankengang in der IT.

00:30:20: Aber es gibt diese Wege und ich denke, es macht eine Zukunft für die Unternehmen greifbarer und nachhaltiger.

00:30:26: Sehr schön.

00:30:27: Was für ein schöner Abschluss Jens.

00:30:28: Vielen, vielen Dank auch für diese Folge.

00:30:31: Vielen Dank fürs Zuhören.

00:30:33: Und wenn Sie uns noch nicht abonniert haben, dann machen Sie das gerne.

00:30:36: Uns gibt es ja alle zwei Wochen und alle Infos, die stehen unten in den Shownutz.

00:30:40: Und ich freue mich schon auf unser nächstes Thema.

00:30:42: Da besprechen wir nämlich die nächste große Frage.

00:30:44: Und zwar, warum IT-Souveränität ein absoluter Wettbewerbsvorteil und Gamechanger ist.

00:30:50: Ich freue mich sehr darauf.

00:30:52: Ich mich auch.

00:30:53: Und nicht vergessen, digitales Souverän statt digital abhängig.

00:30:57: Es ist genau jetzt die Zeit für Ihren Research.