Projektinterview: IT-Strategie für einen öffentlichen Auftraggeber

Dr. Philipp Rüßmann arbeitete nach seinem Studium der Physik und seiner Promotion an einer nationalen Forschungseinrichtung zunächst in der Wissenschaft mit dem Fokus auf Materialforschung und Materialsimulationen auf modernen Supercomputern. Seit Anfang 2025 setzt er sein in der Forschung erworbenes Wissen bei ComConsult im Competence Center Cloud und Data Center für die berufliche Projektpraxis ein. Dort beschäftigt er sich unter anderem mit Themen zur IT-Strategie und mit der ganzheitlichen Betrachtung der Infrastruktur, ausgehend vom Rechenzentrum und den dazugehörigen Themenfeldern wie der IT-Sicherheit, und begleitet Kunden bei der Ausschreibung von Komponenten und Software.

ComConsult hat für einen öffentlichen Auftraggeber eine IT-Strategie entwickelt, um den Kunden in den nächsten Jahren zukunftsfähig aufzustellen. Was waren dafür die wesentlichen Treiber?

Zum einen war der bevorstehende Umzug unseres Kunden in ein neues Verwaltungsgebäude ein entscheidender Grund, eine IT-Strategie anzustoßen. Wenn sich Rahmenbedingungen ändern, dann können auch Strukturen, Abhängigkeiten und Perspektiven der IT beim Auftraggeber im Ganzen bewertet und der Unterbau der digitalen Transformation langfristig gestärkt werden. Zum anderen ist der Fachkräftemangel einer der wesentlichen Treiber der IT-Strategie, denn in der öffentlichen Verwaltung besteht grundsätzlich ein erheblicher Bedarf an Fachkräften, insbesondere vor dem Hintergrund der fortschreitenden Digitalisierung der Verwaltungsdienste und -angebote. In diesem Zusammenhang gilt es, veraltete Strukturen zu modernisieren und aufzubrechen. Daher erhielten wir den Auftrag, eine IT-Strategie zu entwickeln: in die Zukunft zu schauen, zu analysieren, was bereits gut läuft, was weitergeführt werden kann und wo Betriebsmodelle sowie Infrastruktur weiterentwickelt werden müssen, um für die Zukunft gewappnet zu sein.

Wie seid ihr bei der Strategieentwicklung vorgegangen?

Bei der Strategieentwicklung wählten wir einen Bottom-up-Ansatz, bei dem die Lösungen und Systeme zunächst auf der Ebene der einzelnen Komponenten betrachtet wurden. Dazu erfassten und dokumentierten wir systematisch die gesamte IT-Infrastruktur – vom Rechenzentrum über die eingesetzten Server, Switches und Firewalls bis hin zur Nutzung der Fachverfahren in der Verwaltung. Darauf aufbauend führten wir eine Schwachstellenanalyse durch und ermittelten, wo konkret Handlungsbedarf bestand. In der Zusammenarbeit mit der Projektgruppe beim Kunden legten wir strategische Ziele und Handlungsfelder fest und leiteten daraus konkrete Handlungsmaßnahmen ab.

Insgesamt wechselten wir somit die Flughöhe von sehr tief (detaillierte Analyse des Status quo) zu hoch (übergeordnete Vision und Strategieentwicklung) und dann wieder runter (einzelne Maßnahmen zur Umsetzung der Strategie) und versuchten, eine gesunde Mischung aus langfristiger Vision und pragmatischer Umsetzbarkeit zu erreichen.

Was wurde bei der Ermittlung der Ist-Situation aufgenommen?

Wir begannen unsere Untersuchung im Rechenzentrum und schauten uns zunächst die Standorte an, die aus einem Betriebsverbund von zwei Rechenzentren bestanden. Dort analysierten wir die geographische Lage und prüften, welche Gefährdungen durch natürliche Ereignisse wie beispielsweise Hochwasser auftreten könnten. Anschließend untersuchten wir die vorhandenen Komponenten: die Server-, die Storage- und Backup- sowie die Netzwerk-Infrastruktur. Weiterhin beschäftigen wir uns mit den Sicherheitskomponenten wie Firewalls und weiteren Filtern, zum Beispiel für den E-Mail-Verkehr. Von der Infrastruktur aus richteten wir unseren Blick auf die Anwendungen und überlegten, welche Programme von unterschiedlichen Gruppen genutzt werden müssen, um die Dienstleistungen zu erbringen, und welche Anforderungen das Zusammenspiel zwischen Infrastruktur und Anwendungen prägen.

Bei der betrachteten öffentlichen Verwaltung gibt es weit über 1.000 Dienstleistungsprozesse, die den Bürgern bereitgestellt werden. Das Spektrum reichte von Fällen im Jugendamt über die Finanzverwaltung und Wirtschaftsförderung bis hin zu alltäglichen Anfragen wie Sperrmüllabholung. Unsere Hauptansprechpartner auf Kundenseite waren drei Experten, die für die Infrastruktur zuständig waren und die Verantwortung für das Rechenzentrum sowie den gesamten Betrieb trugen. Zusammen verschafften wir uns in der Projektgruppe einen Überblick über die Prozesse. Bei spezifischen Detailfragen oder weiteren Themen unterstützten uns zusätzlich noch andere Beschäftigte des Auftraggebers.

Wie habt ihr den Status quo analysiert?

Die Bewertung der aktuellen Situation basierte auf einem Abgleich mit dem Stand der Technik und berücksichtigte aktuelle Entwicklungen. Dies trugen wir mittels einer sogenannten SWOT-Analyse zusammen. Sie gliederte sich in vier Teile: interne Faktoren wie Strengths (Stärken), Weaknesses (Schwächen) sowie externe Faktoren wie Opportunities (Möglichkeiten) und Threats (Bedrohungen).

Beginnen wir mit den Stärken: Die bestehende IT-Infrastruktur unseres Auftraggebers ist für den aktuellen Bedarf gut ausgelegt, was für eine öffentliche Verwaltung nicht selbstverständlich ist. Wir konnten beobachten, dass die Fachkräfte eine hohe Kompetenz aufweisen. Die Altersstruktur der Mitarbeiter ist insgesamt ausgewogen, weshalb in den kommenden Jahren kein unerwartet starker Fachkräfteverlust zu erwarten ist. Gleichzeitig ist genügend Nachwuchs vorhanden, wodurch der Übergang planbar und stabil verlaufen sollte.

Im Bereich der Dokumentation der Infrastruktur und von Prozessen konnten wir einige Defizite feststellen. Wenn detaillierte und umfängliche Dokumentationen vorliegen, ist das Wissen im Unternehmen verankert, und neue Mitarbeitende können auch ohne Hilfe älterer Kollegen verstehen und nachvollziehen, wie die firmeninternen Systeme aufgebaut sind, wie sie miteinander interagieren und welche Standards gelten. Die fehlende und unzureichende Dokumentation stellt jedoch eine Schwäche dar und ist keine Besonderheit der öffentlichen Verwaltung: Dokumentationen und Prozesse sind häufig die Achillesferse – sowohl bei einem KMU als auch bei Großkonzernen.

Im ersten Teil unserer IT-Strategie diskutierten wir sämtliche Aspekte der aktuellen Situation ausführlich und schrieben sie nieder. Somit entstand ein sehr umfangreiches Dokument, das für die Zukunft Transparenz, Wiederholbarkeit und Nachhaltigkeit bringen wird. Eine weitere Schwäche bestand darin, dass sehr viele Vorgänge eigenständig erledigt wurden und der Grad externer Unterstützung relativ gering war. Hier sahen wir in dem Ausbau des IT-Outsourcing bzw. Outtasking Potenzial. Auch im Bereich der IT-Sicherheit konnten Mängel aufgedeckt werden.

Mögliche Bedrohungen, die in die Analyse mit einbezogen werden mussten, waren externe Faktoren, die zum Beispiel mit der gesamtgesellschaftlichen Lage zusammenhängen. Wir haben in Deutschland einen umfangreichen Rechts- und Regulierungsrahmen, der gerade auch öffentliche Auftraggeber betrifft. Gleichzeitig wächst der Druck, stärker zu digitalisieren und neue Technologien zu nutzen. Es besteht ein Wettbewerb um Fachkräfte, die öffentliche Hand zahlt weniger als die freie Wirtschaft, was die Situation nicht vereinfacht. Trotz einer guten Altersstruktur gibt es erfahrene Kollegen, die Kernbereiche wie beispielsweise den Netzwerkbetrieb jahrzehntelang betreuen und altersbedingt ausscheiden werden. Auch darauf muss man vorbereitet sein.

Bedrohungen gibt es ebenso im Bereich der IT-Sicherheit, insbesondere für die Verfügbarkeit von Diensten, die über das Internet bereitgestellt werden. Das eröffnet grundsätzlich Möglichkeiten für Cyberangriffe. Unser Auftraggeber war bislang nicht betroffen; in der Region kam es jedoch vor einigen Jahren zu einem größeren Ransomware-Vorfall, der das Bewusstsein deutlich geschärft hat, sich auf Cyberbedrohungen hinreichend vorzubereiten. Wir haben daher eine Zero-Trust-Strategie empfohlen, deren Umsetzung angestoßen und schrittweise realisiert werden musste, um den Auftraggeber nachhaltig sicher für die Zukunft aufzustellen.

Durch den Neubau des Verwaltungsgebäudes eröffneten sich für den Auftraggeber zahlreiche weitere Möglichkeiten, insbesondere im Hinblick auf die Umsetzung eines Smart-Building-Konzepts. Dadurch konnte die Infrastruktur langfristig vernetzter, intelligenter und energieeffizienter gestaltet werden. Insgesamt entstand so ein wirtschaftlich und technologisch zukunftsfähiges Gesamtgebilde. Der Umzug in den Neubau bot zudem die Chance, bestehende Strukturen grundlegend zu überdenken und vollständig neu zu gestalten.

Wie habt ihr die strategischen Ziele entwickelt und welche waren es?

Bei der Entwicklung der strategischen Ziele gingen wir pragmatisch vor und legten zunächst eine übergeordnete, langfristig ausgerichtete Vision fest. Aus dieser Vision leiteten sich die konkreten Ziele ab, die wir definierten. Bei der Zielentwicklung betrachteten wir, für wen welches Ziel relevant war – wer also beispielsweise von den Anwendern in der Verwaltung oder den Mitarbeitern im IT-Betrieb betroffen war. Anschließend legten wir das konkrete Ergebnis des jeweiligen Ziels fest. Schließlich klärten wir, welche Erfolgskriterien nötig waren, um die Erfüllung eines Ziels messen zu können. Wichtig bei der Erarbeitung strategischer Ziele war dabei der Dialog: Innerhalb der Projektgruppe brachten wir unsere Erfahrungen und Erkenntnisse ein und unterbreiteten Vorschläge. Da die Umsetzung der IT-Strategie letztlich beim Auftraggeber und dessen Personal lag, mussten zentrale Stakeholder (z.B. Fachpersonal aus dem IT-Betrieb) in die Diskussion, Abstimmung und Festlegung der strategischen Ausrichtung eingebunden werden. Der langfristige Erfolg einer IT-Strategie konnte nur gelingen, wenn Akzeptanz und Veränderungswille bei den Personen, die sie am Ende umsetzen mussten, geschaffen werden konnten.

Konkret formulierten wir sechs strategische Ziele, die in Summe dazu beitrugen, die langfristige Vision und Ausrichtung des Auftraggebers zu untermauern. Ein Schwerpunkt lag auf der Weiterentwicklung der IT-Infrastruktur und der Sicherstellung eines stabilen IT-Betriebs. Ebenso zentral war die dauerhafte Gewährleistung eines hohen IT-Sicherheitsstandards. Darüber hinaus galt es, Nachhaltigkeit und moderne IT-Dienste fest zu verankern. Ein weiteres Kernthema bildete die Verfügbarkeit, Verwaltung und Verarbeitung von Daten – insbesondere im Hinblick auf den Aufbau geeigneter Dateninfrastrukturen. Darauf aufbauend entwickelten wir digitale Zukunftsthemen, etwa Potenziale aus der Nutzung von Daten durch den Einsatz Künstlicher Intelligenz. Schließlich war es ein wichtiges Ziel, den Kunden als attraktiven Arbeitgeber zu positionieren, um dem Fachkräftemangel wirksam zu begegnen.

Welche Handlungsfelder und Maßnahmen habt ihr aus den Zielen abgeleitet?

Aus den Zielsetzungen ergaben sich Handlungsfelder, aus denen wir den erforderlichen Handlungsbedarf und konkrete Maßnahmen ableiteten. Um einen stabilen und sicheren IT-Betrieb zu gewährleisten, prüften wir, welche Komponenten unter welchen Rahmenbedingungen in die Cloud verlagert werden sollten, statt im eigenen Rechenzentrum betrieben zu werden. Dazu entwickelten wir einen Entscheidungsbaum, der bei der Betrachtung der Applikationen unterstützte. Er diente als Entscheidungshilfe, ob eine Anwendung in die Cloud verlagert werden durfte. Insbesondere bei der Übermittlung von sensiblen Bürgerdaten in Hyperscaler-Clouds waren Alternativen wie die Speicherung in einer privaten Cloud zu erwägen, damit die Daten in Deutschland oder im Rechtsraum der EU verblieben. Auch prüften wir die Möglichkeit eines öffentlich-rechtlichen Rechenzentrums, das von einem kommunalen Dienstleister betrieben wird und Ressourcen speziell für die öffentliche Verwaltung bereitstellt.

Ein weiteres Handlungsfeld betraf das Thema Nachhaltigkeit und knüpfte an die Dokumentation an. Im laufenden Betrieb sollten nicht nur Pläne zur IT-Infrastruktur entstehen, sondern auch Daten gesammelt und Logging- sowie Monitoring-Informationen zur Nachhaltigkeit, beispielsweise zum Stromverbrauch, erfasst werden. Dazu gehörten auch Aspekte, die den Betrieb nicht unmittelbar betrafen, wie Zertifizierungen, die Nachhaltigkeit bereits im Beschaffungsprozess belegen konnten. Hier galt es, bei der Anschaffung neuer Geräte deren Nutzungsdauer und die Dauer der Supportleistungen zu prüfen und zu optimieren.

Die Ausgestaltung von Dateninfrastrukturen und -Plattformen stellte als Zukunftsthema ein weiteres zentrales Handlungsfeld dar, um die Digitalisierung voranzutreiben. Zunächst musste eine solide Datengrundlage geschaffen und eine Metadateninfrastruktur aufgebaut werden, um beispielsweise die Möglichkeiten von Künstlicher Intelligenz gewinnbringend nutzen zu können. In den Organisationen existierten große Datenmengen, die von unterschiedlichen Anwendungen genutzt wurden, auf unterschiedlichen Systemen lagen und vielleicht auch in unterschiedlichen Datenbanken verfügbar waren. Zur Erreichung eines Gesamtbilds über alle verfügbaren Daten galt es, ein Verzeichnis zu erstellen, das alle Informationen über den Ablageort und die Zugriffsmöglichkeiten der Daten abbildete. Ziel war die Schaffung eines Data Lakes, eines zentralen Speichers, der alle Daten zur Verfügung stellte – unabhängig davon, ob es sich um Datenbanken, Word-Dokumente oder andere Dateien handelte. Bereits zuvor kamen Data Lakes im Zusammenhang mit Big-Data-Analysen und maschinellem Lernen zum Einsatz. Doch zunächst musste der zentrale Speicherort geschaffen werden, um den Datenzugriff zu ermöglichen.

Im Bereich der Informationssicherheit identifizierten wir für unseren Auftraggeber Bausteine, die schrittweise implementiert werden konnten, um den Übergang zu einer Zero-Trust-Architektur zu realisieren. Gemäß dem Grundgedanken „Vertraue niemandem – überprüfe alles.“ wurden bei Zero Trust die Netzbereiche in möglichst kleine Abschnitte unterteilt, um sämtliche Zugriffe auf Daten oder Systeme ständig überprüfen, authentifizieren und autorisieren zu können. Diese Vorgehensweise der Mikrosegmentierung war eine Teilmaßnahme, mit der wir uns als einem der Bausteine auf dem Weg hin zu einer Zero-Trust-Architektur beschäftigten.

Welche weiteren Maßnahmen habt ihr empfohlen?

Ein weniger technisches Handlungsfeld ist das Thema Arbeitgeberattraktivität. Diese spielt eine zentrale Rolle, um qualifizierte Fachkräfte langfristig zu binden und neue Talente zu gewinnen. Als eine wichtige Maßnahme sehen wir hierbei die kontinuierliche Aus- und Fortbildung. Sie ermöglicht es, sich in einem dynamischen von IT geprägten Umfeld stetig weiterzuentwickeln und den Wandel aktiv mitzugestalten. Darüber hinaus ist die Einführung geeigneter Instrumente zur regelmäßigen Erfassung der Mitarbeiterzufriedenheit und des Feedbacks von großer Bedeutung. Hierbei sollen Verfahren etabliert werden, die niedrigschwellige und zeitnahe Rückmeldungen ermöglichen – etwa durch kurze, themenspezifische Befragungen, die sich problemlos in den Arbeitsalltag integrieren lassen. Solche Formate fördern eine höhere Beteiligung und bieten die Möglichkeit, Entwicklungen und Stimmungen innerhalb der Belegschaft frühzeitig zu erkennen und gezielt darauf zu reagieren.

Ich komme noch einmal auf das Thema Rechenzentrum zurück. Hier lässt sich allgemein der Trend beobachten, dass ein direkter Umstieg in die Cloud nach dem sogenannten Lift-and-Shift-Prinzip – also die unveränderte Überführung bestehender Systeme in eine Public-Cloud-Umgebung – häufig nicht wirtschaftlich ist. Gleichzeitig steigen die Anforderungen an den Eigenbetrieb eines Rechenzentrums kontinuierlich. Aspekte wie Energieversorgung, Klimatisierung, physischer Zutrittsschutz und bauliche Sicherheitsmaßnahmen erfordern erhebliche Investitionen und sorgfältige Planung. Vor diesem Hintergrund bietet es sich an, die eigenen Server in einem externen Rechenzentrum zu betreiben und mit spezialisierten Dienstleistern zusammenzuarbeiten, beispielsweise sogenannten Housing- oder Colocation-Anbietern. Diese stellen die notwendige Infrastruktur und Umgebung bereit, während die eigene IT-Hardware weiterhin selbst betrieben wird. Auf diese Weise bleibt die volle Kontrolle über die Systeme und Daten – einschließlich der Datenhoheit – erhalten. Dies stellt aus unserer Sicht eine empfehlenswerte Option dar, um hohe Sicherheitsanforderungen zu erfüllen, gleichzeitig den wirtschaftlichen Aufwand im Rahmen zu halten und Kernkompetenzen im Haus zu behalten und damit einen (kleinen) Beitrag zur digitalen Souveränität leisten zu können.

Gibt es einen Zeitplan für die Umsetzung der Maßnahmen bis zum Wunschtermin des Kunden?

Die Maßnahmen werden sich über mehrere Jahre erstrecken. Bei der Erstellung des Zeitplans für die Umsetzungsmaßnahmen prüften wir jeweils, wie dringlich die einzelnen Schritte waren. Maßnahmen, die insbesondere Schwachstellen in der Informationssicherheit betrafen, haben wir priorisiert und an den Beginn der Planung gestellt. Langfristig angelegte Themen wurden entsprechend nachgeordnet.

Teilweise war die Priorisierung auch von äußeren Rahmenbedingungen abhängig. So war es beispielsweise nicht möglich, bestimmte Maßnahmen vor der Fertigstellung des neuen Gebäudes umzusetzen. Diese Faktoren hatten den zeitlichen Rahmen maßgeblich beeinflusst.

Darüber hinaus bewerteten wir den geschätzten Aufwand für jede Maßnahme, um ein realistisches Verhältnis zwischen Dringlichkeit und Umsetzbarkeit herzustellen. Auf dieser Grundlage wurde die zeitliche Reihenfolge festgelegt. Bei der Aufwandsschätzung konnten wir auf die umfangreiche Erfahrung von ComConsult zurückgreifen. Ich konnte durch den fachlichen Austausch mit meinen erfahrenen Kolleginnen und Kollegen zusätzliches Expertenwissen in die Bewertung der einzelnen Themen einfließen lassen. Diese interne Expertise war für die Erstellung eines fundierten und ausgewogenen Zeitplans von großem Vorteil.

Ist das Projekt abgeschlossen? Was ist dein persönliches Fazit?

Das gesamte Projekt erstreckte sich über einen Zeitraum von rund sechs Monaten und ist nun abgeschlossen. Unser Auftrag umfasste die Entwicklung der Strategie. Mit dem Abschluss der Erstellung der IT-Strategie begann erst die eigentliche Arbeit beim Kunden. Die Umsetzung und deren Begleitung war allerdings nicht mehr Bestandteil unserer Leistungen. Es gab jedoch Themenbereiche, bei denen wir potenziellen Unterstützungsbedarf auf Kundenseite identifiziert hatten. Hier könnten wir bei Bedarf weiter unterstützen.

Ich habe es als sehr positiv empfunden, im Rahmen des Projekts einen umfassenden Überblick zu gewinnen und den gesamten thematischen Querschnitt betrachten zu können. Die Zusammenarbeit mit dem Projektteam des Kunden war ausgesprochen angenehm und konstruktiv. Die regelmäßigen Treffen zum Austausch über den Fortschritt haben wesentlich zum Gelingen beigetragen. Besonders reizvoll fand ich die inhaltliche Vielfalt des Projekts, die unterschiedliche Perspektiven zusammengeführt und das Arbeiten daran besonders interessant gemacht hat.