DER PROZESSMANAGER: Nun erleben Sie seit fast 2 Dekaden die Welt des Prozessmanagements hautnah. Insbesondere im Bereich der kritischen Infrastrukturen wird das Thema Verordnungen großgeschrieben. Warum hat das Thema generell aus Ihrer Sicht in den letzten Jahren so viel Fahrt aufgenommen?
Jobst von Heintze: Vergleicht man, mit welchen Regularien Unternehmen in Europa vor 20 Jahren bzw. heute und in der absehbaren Zukunft umzugehen haben, ist die Komplexität um ein vielfaches gewachsen. Das gilt insbesondere für KRITIS Unternehmen: waren es früher primär gesetzliche und nationale Vorgaben, die sich im Großen und Ganzen auf die Kernprozesse auswirkten, kommen in der heutigen globalisierten und nachhaltiger denkenden Wirklichkeit neben komplexer gewordenen Gesetzen auch noch interne Vorgaben – z.B. eine freiwillige „Nachhaltigkeitsverpflichtung“ oder Equal-Opportunity-Ansätze – ins Spiel.
Und da reden wir noch gar nicht über die neuen Anforderungen in Sachen Cybersecurity, Datenschutz, Lieferketten-Transparenz und sich immer weiter ändernden europäischen Harmonisierungen. Man könnte allein mit der Aufzählung solcher Hauptthemen die Hälfte dieses Interviews füllen.
DER PROZESSMANAGER: Hand aufs Herz: Wie wichtig ist gutes Prozessmanagement für KRITIS Betreiber wirklich?
Jobst von Heintze: Wir haben ja gerade die gewachsene Komplexität der Anforderungen im regulatorischen Umfeld besprochen. Will man hier als Unternehmen die Übersicht behalten und mit wirtschaftlich vertretbarem Aufwand allen gesetzlichen Anforderungen genügen und auch noch effektiv interne und externe Audits meistern, müssen Strategien gefunden werden, wie man kontinuierlich zentral und möglichst im „daily doing“ einen „single point of truth“ erschafft.
Und das kann ja nur um Prozesse und deren tägliche Ausführung geschehen, wenn diese mit Managementsystemen (also allen zu beachtenden Regularien), mit genutzten Ressourcen, strategischen Zielen und sogar KPIs in einen dynamischen Kontext gestellt werden.
Prozessmanagement – wenn man es richtig macht – ist also der einzige Weg, hier nicht im Chaos zu versinken. Dieses vernetzte Denken und Verwalten von Prozessen mit Regularien und zahlreichen weiteren darauf einwirkenden Faktoren ist ja auch die grundlegende Idee und der große Mehrwert unseres Software-Tools Quam.
“KRITIS Unternehmen sind zwingend auf ein gutes Prozessmanagement angewiesen, um sich dauerhaft vor Cyberangriffen zu schützen”
DER PROZESSMANAGER: Stichwort Datenschutz: Zuletzt wird in den Medien immer berichtet, dass gerade KRITIS-Betreiber Opfer von Cyberangriffen sein können. Wie gewährleistet man denn insbesondere bei Unternehmen, die zu kritischen Infrastrukturen zählen, die Sicherheit der Daten?
Jobst von Heintze: Sicherheit und damit Datenschutz beginnt aus meiner Erfahrung immer schon bei dem Setup der Infrastruktur. Hier sehe ich tatsächlich vielfach noch starken Handlungsbedarf, gerade bei IT-Entscheidungen im KRITIS Umfeld. Lassen Sie mich dazu mal ein Beispiel bringen:
Bevor ich zu Lintra kam, war ich unter anderem auch für einen der führenden Erdkabel-Trassenbauer in Europa tätig. In der täglichen Arbeit hier legen die Auftraggeber verstärkten Wert auf die Risikoverteilung, z.B. bei den verbauten Kabeln, die in Großprojekten fast immer von mindestens 2 unterschiedlichen Herstellern und parallel verlegt werden. So ist bei Problemen links immer noch eine Alternative rechts verfügbar, vereinfacht gesagt.
Jetzt bei Lintra in der Zusammenarbeit mit Unternehmen aus demselben KRITIS Umfeld wundert mich dann doch manchmal, dass diese bewährte Grundeinstellung in einer an sich nachvollziehbaren Begeisterung für kostengünstige Cloud-Technologien und – nennen wir es mal etwas bildhaft – „all eggs in one basket“ Strategie nicht mehr zu existieren scheint. Die Kollegen aus der Netzinfrastruktur in KRITIS Unternehmen könnten den Kollegen der IT sicher ganz genau erklären, warum sie beim Bau der Energietrassen konsequent auf Dopplung setzen.
Für Cybersecurity bedeutet das ganz konkret: Wenn alle meine Daten bei einem Monopolanbieter liegen und dann womöglich auch noch in einer Infrastruktur, die sich ganz oder zum Teil meiner Kontrolle entzieht, brauche ich schon ein sehr hohes Grundvertrauen in unsichtbare Sicherheitsmaßnahmen, von denen ich eigentlich nichts konkret überprüfen kann. Denn im Ernstfall kann es sein, dass ich nicht einmal merke, gerade Opfer einer Cyberattacke zu werden, der ja vielfach eine Ausforschung interner Strukturen und Prozesse voraus geht.
Unsere Software Quam und insbesondere die neuen Module für die M365-Welt bieten daher genau die nötige Dualität: Wir verbinden das Beste aus der SharePoint-Welt von Microsoft mit parallel dazu arbeitenden Systemen, die in Zukunft auf der einen Seite zum Beispiel auch einen laufenden Angriff erkennen würden, wenn dieser in – immer möglichen – Sicherheitslücken des anderen Systemteils stattfindet.
DER PROZESSMANAGER: Andere Anbieter switchen mehr und mehr in die Cloud. Ist das für Betreiber von KRITIS-Unternehmen überhaupt eine Option?
Jobst von Heintze: Ja natürlich, die Cloud ist in vielen Bereichen die Zukunft, wenn es darum geht, vielen Menschen Zugriff auf für ihre Arbeit notwendige Informationen zu geben – und das in Zukunft immer mehr remote und trotzdem in Echtzeit immer auf dem aktuellsten Stand. Wir setzen hier zum Beispiel ganz stark auf Integration von unserem Tool Quam in Microsoft Teams.
Aber hier muss eben gerade im KRITIS Bereich auch die richtige Balance aus dafür geeigneten Informationen -die in Abwägung aller Umstände- ganz bestimmt auch in Cloud-Diensten gespeichert werden können, gefunden werden. Denn es gibt für KRITIS Unternehmen auch einen Teil von Daten und Informationen, für die man heute und in Zukunft eine 100%ige Kontrolle braucht.
Wie schon erwähnt: Professionellen Cyberattacken geht zumeist das Ausspähen der späteren Opfer voraus. Und wenn die Angreifer zum Beispiel Zugriff auf Prozessbeschreibungen mit Zuständigkeiten und womöglich auch noch Originaldokumenten erhalten, wird es am Ende umso schwerer, die laufende Attacke überhaupt als solche zu erkennen. Beim eigentlichen Angriff werden ja dann die gültigen Prozesse eingehalten und scheinbar „echte“ Personen können mit echten und gültigen Dokumenten Schäden ungeahnten Ausmaßes verursachen.
“Skynet muss auf die Weltherrschaft allerdings noch ein wenig warten”
DER PROZESSMANAGER: Wie viel Veränderung abseits der Technologie bedeutet eine Umstellung der IT-Security für Betreiber der Kritischen Infrastruktur, auch was die Unternehmenskultur betrifft?
Jobst von Heintze: Das ist sicher von Unternehmen zu Unternehmen ganz unterschiedlich. Aber wir erleben ja gerade eine Digitalisierungswelle ungeahnten Ausmaßes. Und was dabei besonders wichtig ist: die Menschen, die in den Unternehmen täglich mit den Werkzeugen arbeiten, die Prozess- und Qualitätsmanagement bereitstellen, müssen unbedingt mitgenommen werden. Das ist leider in vielen Fällen nicht der Fall, denn so wichtig Qualität und Prozesse auch sind – die Arbeit damit kommt für die Meisten in der Belegschaft noch „on top“ auf den ohnehin schon vollen Aufgaben-Stack.
Mit unserer M365 gehen wir daher einen ganz neuen Weg: durch eine komplette Integration der Tools in die M365 Umgebung wie Microsoft Teams, SharePoint Online etc. und gleichzeitig auch eine Anpassung der Bedienkonzepte an die dort täglich benutzten und bekannten Metaphern und Elemente, sinkt die Ablehnungsschwelle immens.
Wer hat schon Lust, die x-te neue Software zu lernen, bei der wieder alle Eingaben an neuen Stellen erfolgen müssen? Wir setzen darauf, dass sich Quam in Zukunft nicht als „noch ein weiteres, neues Tool“ wahrgenommen wird, was oft Akzeptanzprobleme im Unternehmen hervorruft. Vielmehr wird Prozessmanagement mit Quam sich als „Erweiterung der Funktion von M365“ anfühlen, was psychologisch als Arbeitserleichterung für alle und deutlich positiver aufgenommen wird.
Verbindet man das mit all den Dingen, die wir vorher besprochen haben, bedeutet das eine deutlich höhere Business Criticality von Prozessmanagement durch den Einsatz von Quam in KRITIS Unternehmen.