Über Herausforderungen, verteilte Architekturen und Cloud-Mythen in der unternehmensinternen IT.
Dr. Dominik Schön verantwortet seit dem 1. Januar 2023 die IT bei Schmitt + Sohn Aufzüge. Sein Studium und seine Promotion absolvierte er an der Universität Regensburg und war danach bei einem Start-up-Unternehmen tätig.
Dass seine Leidenschaft der IT gehört, merkt man im Gespräch schnell, aber auch, dass er ein unheimlich kommunikativer Mensch ist: Er kann Sachverhalte präzise erklären, überzeugend argumentieren und ist in jedem Fall eine den Menschen zugewandte Persönlichkeit.
Kurz nach seinem Start bei Schmitt + Sohn Aufzüge haben wir mit ihm ein Interview geführt und dabei relevante Themen auf seinem Gebiet beleuchtet.
S+: Sehr geehrter Herr Dr. Schön: Herzlich willkommen bei Schmitt + Sohn. Wir freuen uns sehr, dass Sie bei uns sind. Sie haben vorher in einem erfolgreichen Start-up-Unternehmen gearbeitet, das ein fester Bestandteil der Nürnberger IT-Szene ist. Sie waren dort als Mitglied der Geschäftsleitung für die IT verantwortlich und haben ein Team von 120 Mitarbeitenden geführt. Warum haben Sie sich jetzt für die Position eines IT-Leiters in einem mittelständischen Familienunternehmen, das bereits in der 6. Generation geführt wird, entschieden?
Dr. Dominik Schön: Richtig, mein vorheriger Arbeitgeber ist nicht nur ein Start-up, sondern auch eine Tochtergesellschaft eines hiesigen Konzerns. Dieses Spannungsfeld war oft anspruchsvoll. Der Mittelstand und insbesondere die Maschinenbaubranche reizen mich jedoch schon lange. Schon als Kind habe ich am PC gespielt und schon früh erste Programmiererfahrung gesammelt. Ich habe mit Elektronik-Baukästen und Radios experimentiert oder Schaltungen und allerhand blinkendes und piependes Zeug gebaut. Die Affinität dazu ist mir wohl in die Wiege gelegt worden.
Die Budgetsituation im Mittelstand ist üblicherweise eine andere als in Konzernen, was einen dazu bringt, mehr Fokus auf Effektivität zu legen. Mittelstand – und gerade im Maschinenbau in Deutschland – bedeutet meist auch einen eher niedrigeren Digitalisierungsgrad. Das war die klare Herausforderung, die ich gesucht habe.
S+: Was reizt Sie an dieser Aufgabe besonders?
Dr. Dominik Schön: Zugegeben, in meinem vorherigen Unternehmen waren wir sehr progressiv. Es gab keinen einzigen Server im Unternehmen, wir waren zu 100 % in der Cloud. Das ist hier etwas anders. Bei S+ haben wir ein deutlich kleineres IT-Team, keine Cloud, aber auch deutlich weniger Governance als in einem Konzern. Ich freue mich, diese beiden Welten zu vereinen und einen gesunden Mittelweg zu finden, der zu S+ passt. Das erfordert strategisches Denken und eine klare Priorisierung der Themen und Projekte nach Dringlichkeit und Wichtigkeit – nach Aufwand und Outcome.
S+: Was macht in Ihren Augen eine gute IT-Strategie aus, gerade auch mit dem Fokus auf ein Unternehmen, das wie wir dezentral organisiert ist?
Dr. Dominik Schön: Eine Strategie ist für mich ein sehr langfristiges Thema. Sie sollte verhindern, alle paar Jahre den Kurs ändern zu müssen und dient als Grundlage zur Ausrichtung und Gestaltung von IT-Services im Haus. Für die IT ist das besonders anspruchsvoll, wenn man bedenkt, dass ich gerade einmal 8 Jahre alt war, als Windows 95 herauskam und wie sich unsere digitalisierte Welt in diesen letzten 28 Jahren seitdem verändert hat.
Kern einer jeden IT-Strategie sollte für mich daher Anpassungsfähigkeit sein. Nicht nur, wenn man den Fokus auf ein Unternehmen wie S+ legt. Was heute richtig ist, kann morgen schon falsch sein. Sicherheitslücken werden über Nacht aufgedeckt und Trends wie Machine Learning und künstliche Intelligenz entwickeln sich mit einer nie da gewesenen Geschwindigkeit.
Konkret für ein dezentral organisiertes Unternehmen sind Themenbereiche wie Zero Trust und verteilte Systeme essenziell. Unter Zero Trust versteht man beispielsweise, dass man, anders als noch vor einigen Jahren üblich, die IT-Security nicht hauptsächlich um das Unternehmen als Ganzes spannt, sondern jedes Endgerät, jeden Account und jedes Softwaresystem isoliert betrachtet und stärker sichert. Das schafft zum einen die Möglichkeit, künftig leichter über Themen wie Cloud, verteilte Systeme und verteiltes Arbeiten nachzudenken, zum anderen schützt dieses Denkmuster aber auch deutlich besser vor Angriffen innerhalb des Unternehmensnetzwerks. Verteilte Architekturen helfen uns, unsere Systeme wartbarer und resilienter zu gestalten. Je kleiner die Komplexität einer IT-Komponente ist, desto weniger fehleranfällig ist sie. Je weniger Funktionen in einer Einheit konsolidiert sind, desto geringer sind die Auswirkungen eines Ausfalls eines einzelnen Systems.
S+: Wo sehen Sie grundsätzlich die größten Herausforderungen in der IT für mittelständische Unternehmen?
Dr. Dominik Schön: Vermutlich gar nicht in der IT selbst. Als Mittelständler mit einer sehr schlanken Personalstruktur in Querschnittsfunktionen wie der IT ist eine große Herausforderung die mittlerweile von vielen Stellen geforderte Governance. Nehmen wir die DSGVO (Datenschutz-Grundverordnung) als Beispiel: Es reicht leider nicht, nur Datenschutzvorgaben zu beachten. Die ergriffenen Maßnahmen, die Stellen, an denen personenbezogene Daten verarbeitet werden etc., müssen akribisch dokumentiert und diese Dokumentation jederzeit aktuell gehalten werden. Manuell ist das nahezu unmöglich und die Strafen bei Zuwiderhandlung (egal, ob mutwillig oder nicht) können existenzbedrohend sein. Das ist einer der Gründe, warum wir als IT in den kommenden Jahren einen starken Fokus auf die Automatisierung unserer eigenen Prozesse legen werden.
S+: Wie wichtig ist eine resiliente IT-Infrastruktur für unsere Kernwertschöpfungsprozesse, also für das Bauen und Warten von Aufzügen?
Dr. Dominik Schön: Ohne unsere IT-Infrastruktur hätten wir gerade in der Produktion ziemlich schnell Stillstand. Die weitgehend automatisierte Erstellung von Stücklisten, Schnittmustern für die Laser-Schneidmaschinen oder Abkantanleitungen hat mich in den ersten Tagen ziemlich fasziniert. Aber auch im Service haben wir schon einen sehr hohen Grad an Digitalisierung. Die mobile Datenerfassung für unsere Monteure und Servicetechniker ist flächendeckend im Einsatz. Ohne IT-Infrastruktur könnten die Kolleginnen und Kollegen im Notfall sicherlich ein paar Stunden oder im Zweifel auch ein paar Arbeitstage überbrücken, ein dauerhafter Betrieb ohne IT ist aber sicher unvorstellbar – nicht nur für mich. Es gibt aber natürlich auch Verbesserungspotenzial. Wir können beispielsweise eine stärkere Prozessorientierung und ein Prozesswissen im Haus etablieren, technische Werkzeuge im Haus noch stärker ausbauen und Abhängigkeiten zu einzelnen Lieferanten von Softwaresystemen weiter reduzieren.
S+: Was sind Ihrer Meinung nach die wichtigsten Maßnahmen hinsichtlich der Verfügbarkeit der IT-Infrastruktur für ein funktionierendes Unternehmen?
Dr. Dominik Schön: Ich sehe hier eine verwaltbare Dezentralisierung als übergeordnete Maßnahme. Bei vielen Unternehmen nehme ich eine Tendenz zur Zentralisierung wahr. Diese ist aus Gründen der einfachen Verwaltung auch nachvollziehbar. Für ein verteilt agierendes Unternehmen mit verschiedenen Produktions-, Service- und Vertriebsstandorten wie S+ ist das umso relevanter. Gerade wenn man an Resilienz denkt, ist es doch viel besser, wenn nur ein Teilsystem ausfällt, als dass das gesamte Kartenhaus in sich zusammenfällt. Ebenso sollten moderne Lösungsansätze und Best Practices, wie automatisierte Lastverteilung, Orchestrierung, DevOps und selbstheilende Infrastrukturen, eine nennenswerte Rolle in der IT von morgen spielen.
S+: Wie sollten sich mittelständische Unternehmen wie das unsere bzgl. der K-Fall-Vorsorge aufstellen? Welche konkreten Maßnahmen hinsichtlich der Verfügbarkeit, der Service-Level-Agreements mit Dienstleistern und Lieferanten, das Vorhalten von Personal für IT-Notfälle sowie das immer wiederkehrende Durchführen von Notfallübungen mit anschließender Verbesserung (PDCA-Zyklus) der Disaster-Recovery-Pläne empfehlen Sie hier?
Dr. Dominik Schön: In meinem letzten Job hatten wir vor ca. 2 Jahren einen nennenswerten Systemausfall. Ausgelöst durch ein Datenbankupdate, während ein Team eine neue Version der Software ausgeliefert hat. Wir waren als sogenannter Kontoinformationsdienstleister durch die BaFIN verpflichtet, ein besonderes Augenmerk auf Business Continuity Management (BCM) zu legen.
Viele von diesen Ansätzen lassen sich auch im Mittelstand ohne übermäßige Governance und Dokumentationsflut umsetzen. Aber gerade, wenn es heikel wird, ist man froh um ein Stück Papier (oder digitale Dokumentation), auf dem minutiös steht, wer was wann zu tun hat – quasi wie die Notbefreiungsanleitung im Aufzug. Der wichtigste Schritt dabei ist aber – mal wieder – der Fokus. Wir haben hierbei das Augenmerk auf die essenziellen Prozesse und Teile des Unternehmens wie etwa die Notrufleitstelle im Haus. Unsere Kunden vertrauen auf eine schnellstmögliche Lokalisierung und Befreiung eingeschlossener Personen durch uns. Hochverfügbare IT-Systeme sind dafür unerlässlich. Die Buchhaltung hat hier – ohne den Kolleginnen und Kollegen zu nahe treten zu wollen – eher geringere Anforderungen an die 24/7-Verfügbarkeit, ausgenommen natürlich zu wichtigen Stichtagen und Zahlungsläufen.
S+: Was sind die größten Chancen der Digitalisierung von Geschäftsprozessen?
Dr. Dominik Schön: Digitalisierung heißt für mich die konsequente und holistische Ausrichtung eines Unternehmens am Bedarf des Kunden mit Unterstützung der IT. Das klingt etwas esoterisch und wenig technisch, ist das aber nicht Chance genug? Was könnte einem Unternehmen mehr helfen, als konsequent jeden Prozess danach auszurichten, was dem Kunden am meisten Nutzen bringt? Und das beginnt natürlich bei Prozessen, allen voran der Produktentwicklung und dem Kundenservice. IT-Systeme sind dem Kunden nämlich meistens herzlich egal, denn er möchte nur, dass jemand antwortet, wenn er den Notrufknopf im Aufzug drückt oder dass so schnell wie möglich ein Servicetechniker bei ihm ist.
S+: Was sind Ihrer Meinung nach die Hauptbestandteile einer guten Cloudstrategie für Mittelständler? Welche Teile der IT sollten/können oder sollten lieber nicht ausgelagert werden?
Dr. Dominik Schön: Ich bin überzeugt, dass generell alle Teile des IT-Betriebs in die Cloud ausgelagert werden KÖNNEN. Der Mythos, die Cloud wäre unsicherer als eine lokale Datenspeicherung, hält sich konsequent, ist in meinen Augen aber eben nur ein Mythos. Ob man alle Teile der IT in die Cloud auslagern SOLLTE, ist dann eine individuelle Entscheidung. Hat man das entsprechende Know-how und ist es betriebswirtschaftlich sinnvoll?
Cloud – und damit beginnt die strategische Sicht auf das Thema – erfordert ein anderes Denken im Umgang mit IT-Systemen und Daten. Es gibt auf einmal nicht mehr das (meist leider nur vermeintlich) hochsichere Unternehmensnetzwerk, in dem man seine Daten sicher gespeichert hat, sondern die Cloud. Die Wahrnehmung, man hätte auf einmal keinerlei Kontrolle mehr über seine Daten, ist naheliegend, sie sind ja per se schon mal „draußen“ und damit genau da, wo man sie eigentlich nicht haben will.
Genau das Gegenteil ist in meinen Augen aber der Fall, wenn man konsequent in „Cloud“ denkt. Moderne Cloud-Systeme bieten sehr ausgefeilte, sogenannte Data-Loss-Prevention-Mechanismen, die es ermöglichen (und erfordern), Daten zu klassifizieren und systemübergreifend Regeln zu etablieren. Damit ist es einem Mitarbeitenden technisch schlicht nicht mehr möglich, ein als intern klassifiziertes Dokument an einen E-Mail-Empfänger außerhalb der eigenen Organisation zu senden.
Dieses Beispiel zeigt gut, dass es auf dem Weg zu einer Cloud-Strategie also nicht ausreichend ist, sich nur zu überlegen, welche Systeme, welche Daten oder welche Prozesse man als Unternehmen bereit ist, in die Cloud auszulagern, sondern dass man gezwungen ist, sich ganzheitlich mit seinem Unternehmen und möglichen Angriffsszenarien zu beschäftigen.
Andererseits werden wir vermutlich in wenigen Jahren keine Wahl mehr haben. Alle großen Software-Anbieter streichen nach und nach ihre Produkte On-Premises aus dem Portfolio.
S+: Was ist Ihre Idee bzgl. Internet of Things (IoT) in der Aufzugsbranche? Also die Vernetzung der Anlagen, das Sammeln und Auswerten von Daten (Big Data) bis hin zu Predictive-Maintenance-Möglichkeiten?
Dr. Dominik Schön: Als ich Anfang Januar hier gestartet habe, kam ich mit genau dieser Frage ins Unternehmen. Das Spielkind in mir hat genau danach geschrien. Natürlich brennt mir das Thema unter den Nägeln. Die Kolleginnen und Kollegen konnten mich aber überzeugen: Wir sind auch ohne Predictive Maintenance so gut aufgestellt, dass binnen kürzester Zeit die meisten Aufzüge repariert werden können. Aufgrund der vorgeschriebenen engen Serviceintervalle fallen Verschleißerscheinungen an üblichen Bauteilen ohnehin vorher auf. Predictive Maintenance by default, quasi – auch ganz ohne Big Data und Machine Learning.
S+: Was sind die größten Bedrohungen im Cyber-Security-Umfeld und welche Maßnahmen empfehlen Sie dazu?
Dr. Dominik Schön: Hier sehe ich zwei Risiken:
- Denial of Service: Jedes Unternehmen mit lokaler IT-Infrastruktur ist anfällig für Angriffe auf die Verfügbarkeit der Systeme. Trotz des redundanten Aufbaus sind die Infrastrukturen gegen einen gesteuerten Angriff eines sogenannten Botnetzes aber leider machtlos. Eine Option hier Gegenmaßnahmen zu ergreifen, ist ein hybrides Set-Up mit Komponenten in der Cloud und der Abbau von Single-Points-of-Failure. Darunter versteht man Komponenten, von denen ein Großteil der IT-Systeme abhängig ist.
- Ransomware: Kaum eine Angriffsart hat in den vergangenen Jahren so rasant an Bedeutung gewonnen wie Ransomware, im Volksmund auch als Erpressungstrojaner bekannt. Die Gegenmaßnahmen können dafür beispielsweise Offline-Back-ups sein oder auch, dass Mitarbeitende nicht einfach beliebig Software auf ihren Rechnern installieren können und ein- und ausgehende E-Mails werden vorab durch einen Virenscanner geprüft.
S+: Welche Möglichkeiten zur Effizienz- und Reduzierung des CO2-Fußabdrucks sehen Sie bei unserer jetzigen IT-Umgebung?
Dr. Dominik Schön: Hier sind wir meines Erachtens schon gar nicht so schlecht unterwegs. Unsere IT-Serverinfrastruktur ist vollständig virtualisiert. Das führt zu einer sehr effizienten Ressourcennutzung der zugrunde liegenden Hardware. Eine Optimierungsmöglichkeit wäre sicherlich der Standort dieser Hardware. Ein dediziertes Rechenzentrum wird gerade im Bereich der Klimatisierung deutlich energieeffizienter arbeiten können als ein Mittelständler mit eigenem kleinen Datacenter.
Ein großer Punkt ist aus IT-Sicht natürlich auch der Papierausstoß. Ich bin in meinem Arbeitsalltag persönlich weitestgehend papierlos unterwegs. Höchstens mal wird eine erste Skizze für ein Konzept auf Papier gezeichnet. Mit Bleistift und vor allem Radiergummi. Das geht einfach schneller. Unterlagen auszudrucken, ist für mich aber schon lange aus dem Arbeitsalltag verschwunden.
S+: Durch die neuen Arbeitswelten bzgl. mobilem Arbeiten oder auch „Work from Anywhere“ entstehen für die unternehmensinterne IT sehr viele Herausforderungen. Was sind hierbei Ihre Ideen und Herangehensweisen, wie die künftige digitale Zusammenarbeit auch abteilungsübergreifend aussehen kann?
Corona hatte einen starken Anteil daran, dass wir uns nun über diese Herausforderungen Gedanken machen müssen, bietet aber zum Glück auch viele Chancen. So wurden Videotelefonie und remote Meetings alltäglich und kreative Prozesse lassen sich heute wunderbar remote gestalten.
Ein Paradigmenwechsel ist in der IT aber ohnehin notwendig, wie ich vorhin schon angerissen habe. Wir müssen daher weg von der großen Burgmauer um das gesamte Unternehmen, hin zu einer „Zero-Trust“-Denke, die jedes Gerät und jede Anwendung separat betrachtet und Benutzereingaben speziell validiert. Dann ist es auf einmal egal, ob ein Gerät innerhalb oder außerhalb des Unternehmensnetzwerks ist. Und ob das Gerät im Home-Office, im Hotel-WLAN oder hinter der Firmen-Firewall angemeldet ist. Das Gerät muss gesichert, die Identität des Nutzers verifiziert und die Anwendungen geschützt sein – dann ist es egal, wo wir uns gerade befinden.
S+: Verraten Sie uns Ihren größten Misserfolg bei IT-Projekten, der aber gleichzeitig Ihr lehrreichster war?
Dr. Dominik Schön: Klar! Ich war parallel zum Studium mit einer App-Agentur selbstständig. Klein und fein, mit ein paar Kommilitonen – ein gut bezahlter Studentenjob. Wir haben eine App für Android und iOS entwickelt, die für ein lokales, aber national agierendes Unternehmen im Gastrobereich zum Einsatz kommen sollte. Die gesamte Projektlaufzeit lag inzwischen bei gut drei Jahren und wir entwickelten mittlerweile bereits seit gut einem Jahr die zweite große Version der App. Am 23.12.2011 – ja, ich erinnere mich wirklich an den Tag – rief mich mein Vater an. Es sei ein Brief an die Geschäftsadresse (damals bei meinen Eltern) gekommen. Eine Schadensersatzforderung in mittlerer 5-stelliger Höhe aufgrund von Schlechtleistung.
Nun, wir konnten uns am Ende außergerichtlich einigen, die Zahlung fiel deutlich geringer aus und die gemeinsame Zusammenarbeit wurde unrühmlich beendet.
Damals war ich erstens stinksauer und zweitens sehr verunsichert. Heute weiß ich, dass Dokumentation das „A & O“ ist. Es gab in dem Projekt weder eine saubere Anforderungsbeschreibung, die im Verlauf des Projekts aktuell gehalten wurde, noch gab es dokumentierte Abnahmen seitens des Kunden. Das ist mir mehr oder weniger zum Verhängnis geworden – nicht die Tatsache, dass die App kleinere Bugs hatte, was in dieser Projektphase vollkommen normal war.
Liebe Kollegen in der IT, ich entschuldige mich vorab, dass ich bezüglich Dokumentation und Anforderungsmanagement so penetrant bin – jetzt kennen Sie wenigstens die Geschichte dahinter.
S+: Vielen Dank für das Gespräch, Herr Dr. Schön. Wir wünschen Ihnen viel Erfolg und alles Gute für Ihre neue Aufgabe bei uns.
Sie wollen unser IT-Team um Dr. Dominik Schön unterstützen? Hier finden Sie unsere aktuellen Stellenangebote.
Das Interview führte Marina Sippel/S+ Unternehmenskommunikation.