CIO: Welchen Mitarbeitern gewähren Sie mobile Zugänge?
Mrak: Bis vor einigen Jahren war bei Casinos Austria der mobile Access nur den Vorständen und Hauptabteilungsleitern sowie Power-Usern vorbehalten. Nach heutigem Stand können alle Mitarbeiter mit einer sicheren SSL-Verbindung auf ein Portal zugreifen.
Lentz: Bei Cap Gemini sind die meisten Mitarbeiter ständig unterwegs, bei Kunden, in Hotels, in Flughäfen oder Bahnhöfen. Deswegen haben fast alle mobilen Zugang. Das ist notwendig, denn eine kürzlich durchgeführte Mitarbeiterbefragung hat gezeigt, dass für sie der mobile Access die wichtigste IT-Dienstleistung ist. Auf Rang zwei folgten Verfügbarkeit und Redundanz. Unsere Maxime lautet deswegen: Access von überall, zu jeder Zeit, mit Sicherheit und zu den Kosten eines Ortsgespräches.
Maletzki: Das sieht bei Banken völlig anders aus. Nur etwa zwei Prozent der Mitarbeiter nutzen Mobile Access. Das sind häufig Manager, und meistens geht es nicht um den Zugriff auf kritische Daten.
Mrak: Bis vor einem Jahr hatten wir Webmail-Zugriff auf MS-Exchange. Zwar SSL gesichert, aber auf Grund der zunehmenden Sicherheitsprobleme mussten wir uns eine bessere Lösung einfallen lassen. Deswegen nutzen wir jetzt Citrix. Manche Mitarbeiter arbeiten auch in Home-Offices. Hier lassen wir sogar ISDN installieren, um einen sicheren Zugang zum Firmennetzwerk zu gewährleisten. Bei der Sicherheit verlassen wir uns auf Smart Cards und teilweise auf RSA Token. Ob wir aber auf Dauer zweigleisig fahren oder ob das einen Overkill bedeutet, ist noch nicht klar.
Lentz: Unsere Mitarbeiter haben vollen Zugang zu allen Firmen-Infos. Anders geht es gar nicht, wenn etwa ein Mitarbeiter für ein Projekt wochenlang außer Haus ist. Theoretisch wäre hierbei nicht nur ein mobiler Zugang via DSL oder IDSN, sondern auch via GPRS oder UMTS möglich, doch das ist zu teuer. Direct-Dial-In-Provider sind keine Alternative, weil das bei einem weltweiten Engagement nicht genügt. WLAN wiederum bietet unseren Mitarbeitern gute Möglichkeiten. Deswegen haben wir Agreements mit regionalen Providern, die minutengenau abrechnen. Damit fahren wir viel besser als mit Providern, die nur 30minütige Sessions zulassen. Unsere Überlegung: Externe wählen sich ein, synchronisieren ihre Mails, melden sich wieder ab, lesen und beantworten ihre Mails, loggen sich wieder ein und so weiter. Das könnte bei nicht minutengenauer Abrechnung teuer werden.
Maletzki: Die Kosten sind bei Banken weniger das Problem, wir kämpfen prinzipiell mit zwei Problembereichen. Da ist zum einen der Transport, wobei der pure Transport mit hoher Geschwindigkeit eine Commodity sein sollte. Punkt zwei allerdings, die Absicherung des Transportes - und da, Herr Mrak, spreche ich Ihnen wahrscheinlich aus der Seele -, ist massiv diffizil, da hier hohe regulatorische Anforderungen bestehen. MAK und MAH (Mindestanforderungen an das Kreditgeschäft beziehungsweise an das Handelsgeschäft) sind nur einige wenige Bestimmungen, die Banken die Flügel stutzen. Heutige Transportinfrastrukturen sind bei weitem nicht sicher genug, um wertschöpfende Prozesse zu transportieren. Diese sicher zu transportieren kommt zu teuer, da gibt es für uns keinen RoI in annehmbarer Zeit.
Lentz: Das hängt aber sehr davon ab, wie kritisch man wertschöpfende Prozesse einschätzt.
Mrak: Da die überwiegende Anzahl der Mitarbeiter nur Zugriff auf Mails benötigt und nur in Ausnahmefällen auf Files, bleibt unsere Wertschöpfungskette davon unberührt.
Schöffel: Dokumente und Files können sehr wohl wertschöpfend sein. Bei Philip Morris ist ein mobiler Zugriff auf Dokumente - beispielsweise für den Außendienst - zwingend erforderlich, und diese Dokumente gelten bei uns als wertschöpfend. Grundsätzlich unterscheiden wir zwei Arten von Access: für Business-Partner und für Mitarbeiter. Business-Partnern wie Logistik-Unternehmen erlauben wir - mit den notwendigen Sicherheitsvorkehrungen - den Zugriff auf unsere Systeme, aber nur auf bestimmte Applikationen. Bei Mitarbeitern haben wir wiederum drei Gruppen. Das ist erstens der mobile Mitarbeiter, etwa ein Brand Manager, der von unterwegs seine Files und Mails einsehen muss. Er darf auch mobile Applikationen nutzen, wenn er dazu berechtigt ist. In der zweiten Gruppe sind Mitarbeiter mit Home-Offices wie beispielsweise Außendienstmitarbeiter. Sie sind tagsüber mit dem Laptop unterwegs und synchronisieren am Abend die Daten. Die dritte Gruppe sind die Home-Office-User, die beispielsweise Bereitschaftsdienst leisten.
Mrak: Gibt es bei diesen Home-Office-Usern keine Probleme mit privater Internetnutzung?
Schöffel: Bis vor kurzem hatten nicht einmal alle Mitarbeiter Internet, zudem lief der Zugriff über die konzerneigene Firewall. Jetzt - und das war bis vor einem Jahr bei uns im Unternehmen noch nicht denkbar - gehen wir in Richtung VPN und installieren DSL für alle Home-Offices. Der Mitarbeiter sollte sich, wenn er online geht, erst im Konzern anmelden, damit wir sicherstellen, dass Patches und Updates ausgeführt werden. Alle PCs sind unternehmenseigen und entsprechend registriert und geschützt, andere Geräte sind nicht zugelassen, also auch keine PDAs. Das geschieht aus dem einfachen Grund, dass man diese Mobile Devices aus unserer Sicht aus Update-Gründen nicht ausreichend schützen kann.
Mrak: Der Bereich Mobile Devices, sprich PDAs, wird bei uns ebenso gehandhabt. Die lokale Synchronisation über Kabel ist möglich, aber ebenfalls nur für Kontakte und Kalender. Manchmal frage ich mich aber, ob das nicht doch zu restriktiv ist.
Schöffel: Sie kennen bestimmt auch die Berechnung, dass ein moderner PDA pro Jahr etwa einen Manntag Wartung benötigt, bei rund 200 Geräten wäre das ein Mannjahr - damit war das Thema bei Philip Morris durch.
Lentz: Wir lassen ebenfalls keine PDAs zu, allerdings vornehmlich aus Sicherheitsgründen. Allerdings experimentieren wir zurzeit mit der Managerfernsteuerung Blackberry. Die finde ich gut und attraktiv, allerdings immer noch zu teuer - besonders wenn jemand häufig internationale Roaming-Dienste in Anspruch nimmt.
Maletzki: Es ist immer das gleiche Problem: Da arbeitet man eine Sicherheitsstrategie aus, und bei Blackberrys wird alles über den Haufen geworfen.
Schöffel: Wir haben natürlich auch das Problem, dass Early Adopters ihr Spielzeug mitbringen, und das wollen dann alle haben. Dem begegnen wir dadurch, dass wir unsere Mobile Device Policies in sehr kurzen Abständen, also etwa alle sechs bis zwölf Monate, überprüfen. Noch sind wir aber der Auffassung, dass wir zwar Notebooks genügend und kostengünstig absichern können, aber keine anderen mobilen Devices. Wir müssen Dokumente und Mails mit größer Sorgfalt behandeln und dennoch die Kosten im Auge behalten.
Mrak: Klassifizieren Sie Dokumente?
Schöffel: Klassifizieren wäre der falsche Ausdruck, wir haben strenge Richtlinien zum Management von Dokumenten, etwa die Haltedauer, damit wir juristischen und sonstigen regulatorischen Bestimmungen nachkommen. Das könnte sonst teuer werden, genauso wie wenn man bei seiner Access-Strategie das Thema Zukunftssicherheit außer Acht lässt.
Mrak: Deswegen setzen wir hier auf Standards. Das bedeutet, dass wir vermehrt auf VPN-Tunnels mit dem Sicherheitsstandard Ipsec (Internet Protocol Security) setzen. Damit wollen wir langfristig und dort, wo es sinnvoll ist, die kostenintensiven ISDN-Home-Offices ablösen.
Lentz: Standards sind ein wichtiger Gesichtspunkt, doch mindestens ebenso bedeutsam sind Flexibilität und Dynamik. Was der Markt hier künftig bieten wird, ist einfach noch nicht abzusehen.
Schöffel: Es ist uns gelungen, unsere Total Cost of Ownership (TCO) eklatant zu reduzieren - durch konsequentes Remote Management. Alle zwei Jahre nehmen wir aber hiervon kurz Abschied, denn dann haben wir große Inspektion an. Wir sammeln dazu alle Feldgeräte ein, legen Hand an und bringen sie auf den neuesten Stand.
Maletzki: Das ist doch irrsinnig kostspielig.
Schöffel: Eigentlich nicht. Wir rufen die Geräte natürlich nicht aus dem Blauen zusammen, sondern fahren mit einer Task Force zu einer Außendienst-Konferenz, also wenn alle sowieso versammelt sind. Am Anfang sammeln wie alle Geräte ein, und am Ende des Wochenendtreffens erhalten alle ihre Devices wie neu zurück. Das ist durchaus kostensenkend.
Maletzki: Dann unterscheidet sich unsere Sichtweise nicht grundlegend, denn zukunftssicher korrespondiert für mich eng mit der TCO. Ich habe am Anfang starken Wert auf Commodities gelegt, das ist auch hier für mich das Schlüsselwort. Wir von der IT haben darauf zu achten, dass das, was transportiert wird, sicher verpackt ist, also Authenifizierung, Authorisierung und Verifizierung, der Rest wird, bitteschön, outgesourct.
Mrak: Bei uns ist einfach nicht die Masse da, um in diesem Bereich Outsourcing zu betreiben. Aber wir arbeiten natürlich - was den Remote-Zugriff über das Internet betrifft - mit einem bevorzugten Provider.
Maletzki: Eigentlich ist die fehlende Masse ein klassisches Outsourcing-Argument.
Mrak: Nein, wir haben es durchgerechnet, und es rentiert sich bei uns nicht.
Lentz: Wir nutzen - ich möchte sie nicht Outsourcer nennen - Dienstleister. Es macht für uns keinen Sinn, Call-Back selbst zu machen, deswegen setzen wir hier Dienstleister ein. Außerdem stellt sich bei uns das Problem, dass wir wegen unserer multinationalen Projekte bei einem Outsourcing-Dienstleister schnell auf der Wiese stehen würden.
Schöffel: Ich kann Ihnen von Outsourcing in diesem Bereich eher abraten. Mitte der 90er-Jahre haben wir erstmals den Außendienst mit Dial-In ausgestattet und den technischen Support einem großen deutschen Provider anvertraut.
Doch peu á peu haben wir den Vertrag wieder abgebaut und handhaben mittlerweile wieder alles inhouse. Die Fixkosten waren hoch, die Fallzahlen gering, die Betreuung war problembehaftet, weil auch der Provider mit lokalen Servicepartnern zusammenarbeitete, was wiederum lange Kommunikationsketten bedeutete.
Mittlerweile arbeiten wir lediglich mit einem Telekommunikations-Provider, und den Help-Desk managen wir mit einer zentralen Nummer.