René Koch verantwortet am Köln Bonn Airport sowohl den Bereich IT-Infrastruktur als auch den der IT-Sicherheit. Im Interview berichtet der Alumnus des "CIO Leadership Excellence Program" (LEP) über die komplexen IT-Projekte des Flughafens und schildert, wie es ihm nach dem erfolgreichen Abschluss des jüngsten LEP ergangen ist.
Herr Koch, beschreiben Sie uns, mit welchen Themen sich die IT-Abteilung eines Flughafens beschäftigt.
René Koch: Mit meinen Mitarbeitern betreiben wir das Rechenzentrum und die IT-Systeme, das campusweite Netzwerk sowie die Telekommunikations-Infrastruktur für die Betreibergesellschaft des Köln Bonn Airport. Unsere IT-Services werden ebenso von vielen Luftfahrtgesellschaften, aber auch von den Reisebüros, Ladengeschäften und weiteren ansässigen Fremdfirmen sowie dem Zoll und der Bundespolizei genutzt.
Wir haben in den vergangenen Jahren massiv in unsere IT-Infrastruktur und IT-Sicherheit investiert, der Großteil unserer Server und Storage-Systeme ist heute virtualisiert. Wir haben unser Netzwerk in eine Layer-3-Struktur ausgebaut und orientieren uns bei der Konzeption sehr stark an BSI-Richtlinien sowie der ISO 2700x-Normenreihe.
Ein weiterer Schwerpunkt liegt auf WLAN-Diensten - um Endgeräte und Betriebsmittel auf dem Rollfeld und rundherum, die untereinander vernetzt werden müssen. Das ist wichtig, um beispielsweise Telematik-Dienste für Betriebsprozesse weiterzuverarbeiten und Betriebsabläufe optimieren zu können. Der Trend geht bei uns ganz klar in Richtung "Internet of Things".
Wie hat sich der Flughafen Köln Bonn in den letzten Jahren entwickelt?
René Koch: Da sich die Schlagzahl, mit der neue Systeme in den Produktivbetrieb gehen, stark erhöht hat, ist auch die IT-Komplexität stark gestiegen. Wir haben beispielsweise kürzlich den Rollout neuer Windows-10-Geräte umgesetzt, die via VPN "always on" sicher mit dem Flughafennetz verbunden sind. Dabei ist die eigentliche Einrichtung neuer Geräte gar nicht einmal so komplex, es geht durch unsere unternehmenseigenen IT-Standards vielmehr um deren Einordnung in bestehende IT-Prozesse und die Untersuchung auf Schnittstellentauglichkeit. Künftig sollen neue Systemverbünde samt Geräten und neuen Applikationen binnen sechs Wochen produktiv eingebunden sein können.
Oberste Aufgabe bei allem, was wir auch in Security-Fragen tun, ist aber, dass der Betrieb des Flughafens dauerhaft 24/7 sichergestellt ist. Als Europa-Hub des Paketdienstleisters UPS und den weiteren Fracht-Airlines werden bei uns jedes Jahr mehr als 780.000 Tonnen Fracht umgeschlagen - das sind etwa 35 Maschinen Nacht für Nacht. Dazu kommen mehr als 150 Passagiermaschinen täglich. Nach Frankfurt/Main und Leipzig/Halle ist Köln Bonn der drittgrößte Frachtflughafen und kumuliert mit den Passagierzahlen der fünftgrößte Airport in Deutschland.
Anfang der 2000er-Jahre mit dem Beginn der Lowcost sorgten diese in kürzester Zeit für einen enormen Wachstumssprung, der sich natürlich auch in den Anforderungen an den IT-Campus widerspiegelt.
Verfügbarkeit geht vor Sicherheit
IT-Infrastruktur und IT-Sicherheit - das sind zwei jeweils für sich genommen schon riesige Verantwortungsbereiche. Wie bekommen Sie beide unter einen Hut?
René Koch: Bevor ich Abteilungsleiter der IT-Infrastruktur wurde, war ich bereits IT-Sicherheitsbeauftragter am Köln Bonn Airport. Durch eine interne Umorganisation haben wir uns dann so aufgestellt, dass ich nun als Querschnittsressource beides in Personalunion verantworte, aber noch Mitarbeiter habe, die sich ausschließlich um die operative IT-Sicherheit kümmern.
Insgesamt führe ich 14 Mitarbeiter und berichte an den CIO. Bei mir laufen alle regulatorischen und prozessualen IT-Angelegenheiten rund um Infrastruktur und Sicherheit zusammen, die Abstimmung mit den Führungskräften, die Kommunikation in die Teams hinein.
Lässt sich das Aufgabenspektrum noch hochskalieren - wenn das Wachstum in der jetzigen Geschwindigkeit weiterhin anhält?
René Koch: Durch die angesprochene interne Umorganisation haben wir die Voraussetzung dafür geschaffen. Wir erwarten von unseren Mitarbeitern, dass sie sich selbst dauerhaft weiterbilden, schaffen zusätzlich neue Stellen um den Anforderungen zu begegnen.
Wo wir noch besser werden wollen, ist die geschäftsbereichsübergreifende Zusammenarbeit, um Gewerke und Teilgewerke noch schneller zur Verfügung stellen und einzelne Module noch schneller zu einem fertigen Produkt entwickeln zu können. Deshalb stellen wir hier derzeit mit einem externen Dienstleister noch einiges auf den Prüfstand.
Was einen guten Manager ausmacht
Allgemein gefragt: Was macht einen guten IT-Manager aus?
René Koch: IT-Manager müssen sich in immer kürzeren Zyklen neu erfinden, sich selbst ständig reflektieren, heute schon wissen, was übermorgen nötig ist. Sie müssen ihr Geschäftsumfeld betrachten und am "Zahn der Digitalisierung" und am Innovationspuls der Partner und Hersteller sein.
Hinzu kommt, dass sich das Nutzungsverhalten der Endanwender verändert hat - das Bedürfnis nach Geschwindigkeit und Verfügbarkeit von Diensten. In keiner anderen Branche kann ich es so nachvollziehen, wie sich die Anforderungen der Anwender geändert haben. Die IT-Branche ist der Generator von Innovation und digitalen Produkten, die wir vor einiger Zeit noch gar nicht kannten. Der IT-Manager muss da mithalten - muss wissen, wie er seine Mitarbeiter entwickelt und darf sich selbst dabei nicht vergessen.
Und was einen guten IT-Security-Verantwortlichen?
René Koch: Die Geschwindigkeit und Komplexität der heutigen Security-Welt sind enorm. Der Geschwindigkeitsvorteil von jemandem, der schnell auf die Bedrohungslage reagieren kann, gegenüber jemandem, der das nicht kann, ist geschäftsentscheidend.
Der Sicherheitsbeauftragte muss Handeln und Wirken auf seinem eigenen Gelände beeinflussen, muss Krisen managen können, sich ständig weiterbilden und informiert an die aktuellen Entwicklungen herangehen. Die Kombination von Bereitstellung und Schutz von Lösungen sind das Entscheidende. Die entscheidende Frage ist: Wie betreibe ich meine IT und wie wirken sich verschiedene Lösungen aufeinander aus?
Welche wichtigen Security-Herausforderungen erwarten Sie für die nächste Zeit?
René Koch: Die wichtigste Innovation für Unternehmen wird sein, eine gewisse intelligente und automatische Sensorik im eigenen Netz und den Systemen aufzubauen, um die nächsten Angriffshandlungen und Gefahren zu erkennen. So wie es bei gängigen Firewalls schon seit Jahren Intrusion-Prevention- und Intrusion-Detection-Systeme gibt, die bei bestimmten Zugriffen automatische Prozesse anstoßen, erwarte ich von Security-Herstellern mehr ähnlich gelagerte Vorgehen auch für andere Security-Module. Diese Entwicklung hin zu Künstlicher Intelligenz in der IT-Sicherheit ist schon in vollem Gange - wichtige Stichworte in diesem Kontext sind "Security by Design" und "Privacy by Design".
Als Problem sehe ich Legacy-Anwendungen an, für die es zum Teil keine aktuellen Patches mehr gibt und die auch nicht so einfach gegen neue Systeme ausgetauscht werden können. Was mit denen geschieht, sehen wir regelmäßig in den Medien - jetzt erst wieder bei veralteten IT-Systemen der Bahn oder einiger Krankenhäuser, die der "WannaCry"- Ransomware zum Opfer gefallen sind.
"Von vorne bis hinten eine Überraschung"
Sprechen wir über Ihre Erfahrungen mit dem "CIO Leadership Excellence Program" - warum haben Sie am letzten Durchgang dieser Management-Weiterbildung teilgenommen?
René Koch: Es ist die perfekte Gelegenheit, angewandtes IT-Managerwissen aufzubauen und auszutauschen, dadurch, dass die Teilnehmergruppe so homogen ist. Es gibt dazu praktische Einblicke in Global Player wie HPE. Dieses Lernen verbunden mit dem persönlichen Austausch vor Ort eröffnet mir eine Perspektive, die ich ansonsten mit Mitte dreißig noch gar nicht haben könnte. So erkaufe ich mir auch einen Zeitvorteil gegenüber anderen Managern in meinem Alter.
Inwiefern haben sich Ihre Erwartungen, die Sie vor der Teilnahme hatten, erfüllt?
René Koch: Die Agenda des General-Management-Moduls in Düsseldorf war sehr planbar, da Agenda, Referenten und Themen vorher bereits bekannt waren. Deshalb wurden meine Erwartungen dort absolut erfüllt. Positiv überrascht hat mich dennoch die Geschwindigkeit, in der das frisch erlernte Wissen abgeholt wurde. Besonders Professor Högl ist mir da bis heute in sehr guter Erinnerung geblieben.
Das Modul "Interkulturelles Management" in Indien war dann von vorne bis hinten eine Überraschung - diese Vielfältigkeit der Themen vor Ort, von Besuchen bei Großkonzernen über das Lernen, wie wichtig Bildung in Schwellenländern ist bis hin zu privaten Initiativen und die gesamte Unterschiedlichkeit des Landes - das alles hat mich wirklich bewegt und ein Stück weit "aus der Bahn geworfen", wenn ich das formulieren darf. Ich reflektiere auch heute - mehrere Monate nach der Reise - immer noch Dinge, die ich in Indien wahrgenommen habe. Man hinterfragt sich ganz anders und geht auch anders mit seinen eigenen Mitarbeitern um.
"Mehr Selbstreflexion als früher"
Inwiefern?
René Koch: Ich lege heute mehr noch mehr Wert darauf, meinen 14 Mitarbeitern bestimmte, teilweise unpopuläre Entscheidungen zu erklären und die Hintergründe zu verdeutlichen. Auf den Stellenwert einzelner Entscheidungen zu reflektieren, fällt mir heute leichter als vorher. Der Besuch in Indien hat mir sehr deutlich gezeigt, wie wichtig die Unterscheidung zwischen Selbst- und Fremdwahrnehmung in diesem Kontext ist.
Noch einmal kurz zusammengefasst: Warum würden Sie das LEP weiterempfehlen?
René Koch: Erstens, das Programm ist umfassend und zeitgemäß, es zeigt Trends auf und verbindet sie in einen Sachzusammenhang - man kann Wissen direkt derart aufbauen, wie es später im Berufsalltag auch verfügbar sein muss.
Zweitens, mir gefällt die Geschwindigkeit, mit der ich neue Themen adaptieren kann. Ich kann aus zeitlichen Gründen nicht mehrere Seminare belegen, um die verschiedenen Dinge einzeln zu erlernen. Da hilft mir die zeitliche und inhaltliche Kompaktheit des LEP - aufgeteilt auf zweimal fünf Tage - schon sehr.
Drittens ist es der ganz persönliche Austausch mit einem Netzwerk erfahrener Manager. Ich profitiere von Managerwissen von A bis Z, erfahre, wie sich die IT auch branchenübergreifend weiterentwickelt. Das ist etwas, das ich sonst nur noch über einen jahrelangen persönlichen Austausch erfahren kann.
Jetzt für LEP 2017/18 bewerben!
Der nächste Durchgang des "Leadership Excellence Program" startet am 23. Oktober 2017. Informationen und Termine auch aller weiteren Weiterbildungsangebote finden Sie auf der Website von IDG Executive Education.