Expert-Talk: „Moderne IT-Infrastruktur ist wie eine Säge: Sie braucht regelmäßiges Nachschärfen“

Jan, in deiner Zeit bei Comma Soft hast du zahlreiche Unternehmen und große Konzerne bei der Modernisierung ihrer IT-Infrastruktur begleitet. Welche Fragen hörst du dabei am häufigsten?

Es kommt darauf an, wie die aktuelle IT-Landschaft aussieht, welche Systeme weiterbetrieben und welche im Zuge der Modernisierung abgelöst werden sollen. Die Organisationsstruktur des Unternehmens spielt eine wichtige Rolle. Und vor allem ist ja zunächst die Frage: Warum will ich modernisieren und was heißt das für mich? Vor 20 Jahren war z. B. ein Active Directory von Microsoft das Modernste, was man sich zum Verwalten von Benutzergruppen, Services und Servern vorstellen konnte. Heute sind cloudbasierte Identity-as-a-Service-Lösungen wie Azure AD Stand der Technik. Neben all dem fragen sich Unternehmen natürlich, wie lange ein Modernisierungsprojekt dauert und mit welchen Kosten es verbunden ist. Die Antwort darauf kann man erst verlässlich geben, wenn man die Ausgangslage kennt.

Warum ist der Modernisierungsbedarf gerade beim Thema Active Directory so dringlich?

Active Directory war und ist ein unglaublich erfolgreiches und solides Produkt und seit fast 20 Jahren de facto Standard als Verzeichnisdienst in Unternehmen. Entsprechend wurde bei fast allem, was in einem Unternehmen mit Authentifizierung zu tun hat, in den letzten 20 Jahren auf das Active Directory gesetzt. Problematisch wird das jetzt, wenn Unternehmen in die Cloud gehen wollen: Das Active Directory ist vom Design her nicht auf die Cloud ausgelegt. Microsoft entwickelt das Produkt technisch auch nicht mehr weiter, sodass sich das nicht mehr ändern wird. Moderne Security-Features wie Multifaktor-Authentifizierung und (Risk-Based) Conditional Access, die es für das Azure AD gibt, sind mit dem Active Directory daher kaum bis gar nicht zu realisieren. Abgesehen davon ist es auch sehr aufwändig und kostenintensiv, einen Service wie Active Directory selbst hochverfügbar und sicher global zur Verfügung zu stellen. Man muss an sehr viele Themen denken, z. B. Backup & Recovery, Physical Security und Netzwerk. Das blockiert IT-Ressourcen, die dann an anderer Stelle fehlen. Die heutigen As-a-Service-Lösungen setzen hier an: Unternehmen können den Großteil der Verantwortung für die Bereitstellung an den Dienstleister abgeben. Da so ein Dienstleister auf die entsprechenden Themen spezialisiert ist, kann er das Thema auch viel professioneller angehen als ein einzelnes Unternehmen.

Trotz dieser Vorteile scheuen viele Unternehmen vor einer Modernisierung. Was hält sie zurück?

Das Ziel einer Modernisierung ist eine Konsolidierung der IT-Landschaft. Altsysteme werden dabei abgelöst, migriert und zusammengeführt. Das ist aufwändig und bedarf einer gründlichen Vorbereitung. Gleichzeitig soll der laufende Betrieb nicht gestört werden und auch nach der Umstellung soll alles reibungslos laufen. Das ist bei einer Bank mit Mainframe genauso der Fall wie bei Speziallösungen in der Produktion. Stillstand kann sich kein Unternehmen leisten. Neben den alltäglichen operativen Aufgaben bleibt aber oft kaum Zeit, sich eingehend damit zu beschäftigen. Hier fällt mir immer wieder die Analogie von Corvey ein: Der Mann, der sich nicht die Zeit zum Schärfen seiner Säge nimmt, weil er doch so viele Bäume fällen muss, und dadurch mit der Zeit immer unproduktiver wird. Ich kann nur empfehlen, auch in Sachen IT-Landschaft regelmäßig nachzuschärfen und diese Aufgabe nicht zu lange vor sich herzuschieben. Das erscheint so manch einem Unternehmen vielleicht allein nicht stemmbar. Muss es aber auch nicht: Denn genau hier helfen meine Kolleg:innen und ich gerne weiter.

Wie sieht diese Unterstützung bei der Modernisierung konkret aus?

Zunächst geht es um eine gründliche Bestandaufnahme: Welche Systeme gibt es, wofür werden sie genutzt, welche Daten werden damit verwaltet und bearbeitet? Dann priorisieren wir zusammen mit unseren Kunden, wo aktuell der Bedarf am größten ist: Wo haken Prozesse, wo sind Flaschenhälse und Sicherheitslücken, die so schnell wie möglich behoben werden müssen? Lohnt es sich für das Unternehmen, komplett oder teilweise in die Cloud zu migrieren? Dann erstellen wir eine Roadmap, in der die einzelnen Schritte und die Zeitplanung festgehalten werden. Wichtig ist dabei, nicht nur mit der IT-Abteilung zu sprechen. Die Anwender wissen meist am besten, wo es Verbesserungsbedarf gibt und haben oft schon sehr konkrete Wünsche. Zudem ist so ein Modernisierungsprojekt nicht nur mit einer technischen Umstellung verbunden. Es wirkt sich auch auf die Abläufe aus, auf die Arbeitsweise, die Organisation und die Einstellung, wie mit Daten umgegangen wird. Das erfordert Change Management. Auch hier empfehlen wir gerne Maßnahmen und Vorgehensweisen. Bei der Umsetzung selbst entscheidet das Unternehmen, ob es die nächsten Schritte allein gehen möchte oder auch hier Unterstützung nutzt. Letzteres ist meist der Fall und aus meiner Sicht auch empfehlenswert. Denn wer jahrelang mit den gleichen oder zumindest ähnlichen Strukturen gearbeitet hat, kann selten von heute auf morgen eine andere Perspektive einnehmen. Es steckt schließlich viel Arbeit und oft auch Herzblut darin.

Wenn du auf deine erfolgreichsten Projekte zurückblickst, kannst du Best Practices erkennen, die anderen Unternehmen Orientierung geben?

Tatsächlich gibt es grundlegende Einstellungen, die sich bei Unternehmen mit einer modernen IT-Infrastruktur immer wiederfinden. Das ist zum einen die Cloud-First-Strategie. Neben Kosten und Skalierbarkeit ist sie zum einen besonders wichtig, damit bei allen Daten und Systemen das Thema IT- und Cyber-Security abgedeckt werden kann. Zum anderen schaffen Unternehmen damit die Voraussetzung dafür, dass sie flexibel auf veränderte Anforderungen wie Homeoffice-Pflicht, Lieferengpässe etc. reagieren können. Ganz im Sinne einer Composable Enterprise lassen sich dann je nach Bedarf cloudbasierte As-a-Service-Lösungen hinzunehmen, in alle Richtungen skalieren oder auch abschalten. Ein anderer wichtiger Punkt sind strukturierte Review-Prozesse. Wer modern bleiben will, braucht dafür regelmäßige Checks, am besten alle zwei bis drei Jahre. Dann wird geprüft, wo bei Systemen vielleicht der Support zu wünschen übrig lässt oder bald ausläuft, welche neuen Technologien sinnvoll sind, wie gut Interoperabilitätsstandards eingehalten werden können usw. Ist so ein Review-Prozess etabliert, lassen sich Modernisierungsvorhaben besser planen und einkalkulieren, das Risiko einer veralteten IT-Infrastruktur sinkt. Und schließlich sehe ich bei Unternehmen mit einer modernen IT-Landschaft, dass das Thema durch das Management und den Vorstand vorangetrieben wird. Das ist wichtig, wenn man es ganzheitlich angehen will und nicht nur punktuell nachbessert. Schließlich sind IT- und Datenstrategie kein Selbstzweck, sondern sollen auf die Unternehmensziele einzahlen. Eine enge Verzahnung ist aus meiner Sicht der Schlüssel für ein rundum modernes Unternehmen.

Sollten Sie weiteres Interesse am Thema Modernisierung der IT-Infrastruktur haben, wenden Sie sich gerne direkt an Dr. Jan Ciupka.