Projektinterview: Die Schlüsselrolle des Mittelsmanns zwischen IT und Fachabteilungen

Sebastian Matzigkeit ist seit 2008 Teil des Teams bei ComConsult. Seine Karriere begann er als Auszubildender im Bereich Fachinformatik mit dem Schwerpunkt Systemintegration. Erste Projekterfahrungen sammelte er bei Kunden im Netzwerk- und Firewall-Betrieb. Im Jahr 2013 wechselte er in das ComConsult Competence Center IT-Sicherheit, wo er sich vornehmlich mit dem Themenfeld der Netzwerkzugangskontrolle (NAC) beschäftigte. Trotz seines Schwerpunkts in der IT-Sicherheit pflegte er weiterhin Kontakte zu den Kollegen der anderen Competence Center, insbesondere in den Bereichen Netzwerktechnik und Virtualisierung, und arbeitete an kleineren Projekten für verschiedene Teams. Ein bedeutender Teil seiner Erfahrungen in der IT-Sicherheit resultiert aus seiner Zusammenarbeit mit namhaften Unternehmen, darunter einem weltweit agierenden Konzern, bei dem er seit Beginn seiner Beraterlaufbahn an verschiedenen Projekten mitwirkte. In diesem Interview erzählt er von einem Projekt, bei dem für ihn und den Kunden seine jahrelange Mitarbeit und die daraus gewonnen Erfahrungen von großem Vorteil waren.

Wie kam das Projekt zustande?

Der Konzern hatte in der Nähe seines Hauptstandortes weitere Gebäude mit eigener Energiezentrale und extern betriebenem Leitstand gebaut. Dieser Leitstand war ebenso für das auf demselben Areal neu gebaute Rechenzentrum und weitere Gebäude zuständig. Die Gebäudesteuerung wurde von einer Tochter-Firma übernommen, die keine direkte Anbindung an die Konzern-IT hat. Hier kam ComConsult ins Spiel. Da ich für den Konzern über viele Jahre bis heute das Thema NAC bearbeite, war ich im Zuge dieser Tätigkeit auch der Ansprechpartner für verschiedene Gewerke, die Equipment an das Netzwerk anbinden wollten. In den Werkshallen gab es vermehrt Herausforderungen mit der Nutzung der eigenen IT-Prozesse, beispielsweise bei Zeiterfassungsgeräten oder anderen gebäudetechnischen Systemen.

Die Teams hatten oft Schwierigkeiten, die notwendigen Ressourcen zu beschaffen – sei es Server, Firewall-Freischaltungen oder Benutzerkonten. Das lag häufig daran, dass ihnen das nötige IT-Know-how fehlte, um die internen Prozesse effektiv zu nutzen. Es ist entscheidend, genau zu wissen, mit wem man spricht und welche spezifischen Begriffe man verwenden muss, um verstanden zu werden.

So kam es, dass ich über das NAC-Projekt hinaus im Jahr 2022 beauftragt wurde, als IT-Schnittstelle zwischen den Fachbereichen und der IT zu fungieren. Diese Rolle habe ich bis zu meiner Elternzeit im Jahr 2023 ausgefüllt. Während meiner Abwesenheit hat meine Kollegin meine Aufgaben übernommen. Jetzt arbeiten wir gemeinsam weiter – die Kollegin kümmert sich um die administrativen Aspekte, während ich mich auf die technischen Herausforderungen konzentriere.

Warum ist die Koordination der IT-Prozesse in einem Großkonzern so schwierig?

Die IT-Abteilung des Kunden ist riesig, doch auch sehr fragmentiert. Es gibt viele spezialisierte Teams, die in Silos organisiert sind, was die Kommunikation und Zusammenarbeit erschwert. Es gibt beispielsweise ein Netzwerkteam, das sich mit Themen wie Firewalls, Netzwerk, Load Balancing, VPN und so weiter beschäftigt. Daneben existieren weitere Teams für den Betrieb der Clients, Server, Applikationen, Datenbanken und Co. Die einzelnen Teams arbeiten mit externen Dienstleistern zusammen. Allein im Netzwerkteam gibt es mehrere Dienstleister. Insgesamt schätze ich, dass rund 1.000 Personen involviert sind, wenn man alle zusammenzählt.

Das Projekt für den Aufbau der Energiezentrale hatte zwischenzeitlich erwogen, einen internen Business Partner Manager zu beauftragen, der als übergeordneter Planer die IT-Prozesse koordiniert. Diese sind aber rar gesät und haben oft nicht die nötige Expertise, um wirklich in die technischen Details einzutauchen. Die IT-Prozesse in einem so großen Konzern sind dermaßen komplex und schwierig, dass weder ein normaler Mitarbeiter noch ein gut ausgebildeter Planer sie überblicken kann.

Letztendlich war es die bessere Lösung, mich als Mittelsmann zwischen den Gewerken und der IT einzusetzen. Es war im Prinzip ein ständiges „Vernetzen“ zwischen den Gewerken. Wenn ich ein Problem hatte, wusste ich oft genau, wen ich ansprechen konnte. Wenn ich zum Beispiel vor fünf Jahren mit jemandem zusammengearbeitet habe, konnte ich diese Person kontaktieren und fragen, an wen ich mich jetzt mit meinem Anliegen wenden muss.

Worin bestand die größte Herausforderung?

Wie gesagt war ich von meinen vorherigen Projekten mit vielen Prozessen schon vertraut. Zur Einarbeitung haben wir für den neuen Betreiber alle relevanten Informationen wie Links, Ansprechpartner und Vordrucke gesammelt und in einem Wiki dokumentiert. Natürlich sind IT-Prozesse oft nur für kurze Zeit aktuell, da sie sich ständig ändern. Das stellt eine Herausforderung dar, denn was heute gilt, kann morgen schon überholt sein. Es ist wichtig, flexibel zu bleiben und sich kontinuierlich anzupassen.

Die Hauptproblematik ist, dass die betreffenden Prozesse jeweils nur von den für die entsprechenden Aufgaben zuständigen Abteilungen entwickelt wurden. Beispielsweise weiß ein Mitarbeiter aus dem IT-Security- oder Netzwerkteam natürlich, was bei der Freischaltung einer Firewall zu beachten ist. Ein Kollege, der Heizungen oder Gebäudecontroller installiert, ist jedoch überfordert, wenn dabei zum Beispiel Kommunikationsbeziehungen und Verschlüsselungsverfahren abgefragt werden. Hier wäre mehr Anwenderfreundlichkeit wünschenswert. Zu dieser Thematik wird in der Mai-Ausgabe des Netzwerk Insiders ein Artikel erscheinen, den ich zusammen mit meiner Kollegin geschrieben habe.

Eine der größten thematischen Herausforderungen in dem Projekt war der Umzug der Server in eine neue Sicherheitszone.

Wieso war es von Vorteil, dass du den Umzug der Bestandsserver begleitet hast?

Eine IT-Sicherheitsrichtlinie erforderte, dass die Server der Energiezentrale von ihrem ursprünglichen Standort hinter eine Firewall in eine Sonderzone umziehen mussten. Ich habe diesen Umzug begleitet – das wäre für einen Mitarbeiter, der nicht aus der IT kommt und die Kontaktpersonen nicht kennt, unmöglich gewesen. Ich habe mir die relevanten Dienstleister und Ansprechpartner herausgesucht und musste auf der Seite des Serverbetriebs die richtigen Kontakte herstellen – und das waren mehrere Personen, da wir verschiedene Betriebssysteme nutzen und daher eigene Betriebsteams für Linux, Windows und Virtualisierung koordinieren mussten. Zusätzlich brauchte ich den richtigen Ansprechpartner zum Thema DNS, weil auch IP-Adressen und DNS-Namen angepasst werden mussten.

Wir hatten einen festgelegten Umzugstermin, doch zu diesem Termin ist das Netzwerkteam nicht erschienen. Dieser Umzug war kein Standardprozess, und daher waren auch nicht alle notwendigen Parteien allen anderen Beteiligten von Vornherein bekannt. Ich musste mir spontan selbst einen Ansprechpartner suchen. Glücklicherweise konnte ich auf mein Netzwerk aus zwölf Jahren Projektarbeit und in diesem Fall speziell auf meine Kontakte aus dem Netzwerkteam, in dem ich lange Zeit vor Ort gearbeitet habe, zurückgreifen, sodass ich die richtigen Personen kannte und sie direkt anrufen konnte.

Auf welche Schwierigkeiten seid ihr bei der Implementierung einer Automationslösung für die Gebäudesteuerung gestoßen?

Das Projekt hatte die Integration einer Applikation für die Gebäudesteuerung geplant, die alle Gewerke von Luft über Wasser bis hin zu Gas und Strom für das ganze Gebäude steuern sollte. Einige Steuerprozesse sollten automatisiert werden, indem auf Echtzeit-Daten zugegriffen wurde. Zum Beispiel sollte das System erkennen, wenn der Strompreis fällt, und dann automatisch auf einen günstigeren Anbieter umschalten.

Die ausgewählte Applikation war so ausgelegt, dass für den Einsatz der volle Zugriff auf die Kunden-Datenbank erforderlich war. Dies stand im Konflikt zu den IT-Sicherheitsrichtlinien unseres Kunden, der nur eingeschränkte Administratorrechte für externe Dienstleister zulässt, um unbefugte Zugriffe von außen auf bestimmte Projekte zu vermeiden. Wir mussten also zusammen mit dem Dienstleister die Lösung so anpassen, dass sie mit den Sicherheitsrichtlinien unseres Kunden kompatibel war. Das war eine ziemliche Herausforderung, weil wir ständig als Mittelsmann agieren mussten. Denn das Konstrukt aus Dienstleistern und beteiligten Parteien wuchs damit noch weiter: Applikationsdienstleister, Betriebsdienstleister, Netzwerkdienstleister – und mittendrin die ComConsult als IT-Beratungs-Dienstleister. Letztendlich haben wir es aber geschafft, das Produkt so anzupassen, dass es allen Anforderungen gerecht wurde.

Wie läuft generell das Berechtigungsmanagement der Dienstleister ab?

Der Prozess des Onboardings von Dienstleistern ist bei einem Großkonzern wesentlich komplizierter als bei kleineren Unternehmen. Es gibt viele Schritte, die man durchlaufen muss, um die nötigen Berechtigungen zu erhalten. Man braucht einen Benutzerzugang, einen Token für die Anmeldung als zweiten Faktor, spezielle Berechtigungen für Anwendungen und Dienste, zum Beispiel um sich von außen auf einem virtuellen Desktop einwählen zu können. Der Benutzer benötigt zusätzlich zu seinem normalen Benutzerkonto ein separates Adminkonto und dieses wiederum benötigt Zugriffsrechte auf einzelne Server und die Berechtigung, Server verschiedener Betriebssysteme zu administrieren.

Diese Anträge müssen einzeln durchgeführt werden; sie sind nicht miteinander verknüpft, und es gab kein festgelegtes Ablaufdiagramm. Wir mussten uns nach und nach durch die verschiedenen Anforderungen arbeiten und dabei herausfinden, was genau wir für den Zugriff und die Berechtigungen brauchten. Es war Lernen im Projekt, bei dem wir Schritt für Schritt alles so angepasst haben, dass es funktionierte.

Wie funktioniert die Kommunikation zwischen den vielen Abteilungen und ihren externen Dienstleistern?

Auch wenn es zwischen den externen Dienstleistern auf einer höheren Ebene in den leitenden Positionen sicherlich einen Austausch in Meetings gibt, kennt auf der operativen Ebene niemand den anderen wirklich. Zum Beispiel hat ein Mitarbeiter des Dienstleisters A für den Firewall-Betrieb keinen direkten Kontakt zum Dienstleister B, der sich etwa mit der Planung des Netzwerks befasst. Wenn die Mitarbeiter, die wirklich an den Projekten arbeiten, die anderen Mitwirkenden nicht kennen, macht das eine Zusammenarbeit natürlich sehr schwierig. Diese Situation hat sich zunehmend verschärft, weil immer mehr IT-Dienstleistungen ausgelagert werden.

Früher, als noch viele IT-Aufgaben intern erledigt wurden, konnte man einfach ins Büro des Kollegen gehen und sich austauschen. Aber heute, mit dem zunehmenden Outsourcing, arbeiten viele von diesen Dienstleistern gar nicht mehr vor Ort, sondern sind irgendwo in Gewerbegebieten oder sogar in anderen Ländern ansässig. Dadurch wird die Kommunikation noch schwieriger, weil die Mitarbeiter nicht mehr direkt, sondern nur remote erreichbar sind und oft über Ticketsysteme arbeiten müssen, die den Austausch verzögern.

Wie ist der aktuelle Stand des Projekts?

Wir sind mit diesem Projekt mittlerweile fast am Ziel. Die meisten IT-Systeme sind implementiert und der Realbetrieb läuft bereits. Es gibt nur noch wenige offene Punkte, die wir klären müssen. In Kürze werde ich für einige Monate in meine zweite Elternzeit gehen. Während meiner Abwesenheit wird der Wechsel zu einem neuen Netzwerkdienstleister stattfinden. Damit werden sich wieder Ansprechpartner und Prozesse ändern. Ich bin gespannt, ob ich das Projekt bei meiner Rückkehr weiter unterstützen werde, oder ob bis dahin alle offenen Themen bearbeitet werden konnten.