Ich war fast zwei Jahrzehnte Informatiker, vom Entwickler und PC-Bastler zum Infrastrukturtechniker zum Projektleiter und „Mitumsetzer“ von grösseren Projekten und Lösungen. Schon da war immer wieder die Sicherheit ein Thema und zumindest in einem Projekt auch die dazugehörigen Prozesse und Kontrollen. Seit jetzt dann auch bald wieder zwei Jahren arbeite ich als „Projektleiter“ bei einer reinen IT-Sicherheitsberatungsfirma (NTT Com Security). Die Idee da war, IT Projekte im Bereich IT Sicherheit im Namen der Firma beim Kunden zu leiten.

Allerdings ist das mit der Projektleitung so eine Sache. Unsere Firma macht sehr viele Projekte, einige davon – wenn nicht die meisten – sind stark von Technologien abhängig und oft  punktuell. Daraus ergibt sich meist ein recht kleiner Koordinationsaufwand da weder viele Ressourcen noch sonst irgendwo viele Abhängigkeiten entstehen. Also kam es eigentlich bisher praktisch nie zu diesen projektleitenden Aufgaben für mich.

Auf der faulen Haut sitzen und warten bis ein Projekt am Horizont auftaucht – das wäre eine Option gewesen. Leider – und das leider meine ich manchmal sogar ernst – bin ich dazu nicht in der Lage. Ohne Arbeit bin ich schnell mal angepisst und wieder weg. Viel mehr Spass macht ein richtiges Mass an Leistungsdruck und Auslastung. Also habe ich mich zu Aufträgen bereit erklärt, die eher am Rande meiner eigentlichen Kernkompetenzen liegen. Aufträge bei denen es darum geht, Kontrollen oder Weisungen zu designen, zu dokumentieren, Abläufe zu hinterfragen.

Diese Arbeit ist durchaus spannend und an vielen Tagen vergeht die Zeit sehr schnell. Dass das nicht immer so ist – naja, ich denke, das ist normal, es gab auch vorher schon Tage die irgendwie nicht zu Ende gehen wollten. Da ich immer auch gleichzeitig mit der Bearbeitung viel lernen muss ist die Geschichte auch oft gefühlt anstrengender als Aufgaben in Gebieten in denen man sich mehr oder weniger blind bewegen kann. Gleichzeitig habe ich aber auch eine Freude daran, dass ich im Finanzsektor nun wirklich auch sehr tiefe Kenntnisse aus der Praxis IT-fremder Bereiche holen konnte, welche ich als Informatiker nicht hätte aufbauen oder vertiefen können. Das wird definitiv auch meine Haltung in IT-Projekten für immer nachhaltig beeinflussen (ich finde diese Veränderung gut – ob die mitarbeitenden Informatiker das auch so sehen werden muss sich in Zukunft noch zeigen).

Allerdings stehe ich immer in einem grossen Dilemma. Als Informatiker habe ich mal definiert, jegliche Revision oder alle internen Audits sind mein natürlicher Feind. Die wollen mich nur irgendwie beschäftigen, bringt alles nichts und so weiter. Und jetzt? Wenn ich es so aufschreibe bin ich fast ein bisschen schockiert. Ich habe nichts anderes gemacht als die Seiten komplett gewechselt, vom Gejagten zum Jäger mutiert. Tönt gut, fühlt sich aber nicht immer gut an.

Ich habe mir gedacht es sei hilfreich, wenn ich die Leute versehe die Kontrollen oder Prozessen ausgesetzt werden. Tatsächlich bewahrheitet hat sich, dass ich die Leute verstehe – allerdings ist das nicht hilfreich sondern eher erschwerend. Ich verstehe nur zu gut wenn Reklamationen kommen (noch mehr Prozesse und Abläufe, noch mehr Kontrollen – das „wir können nicht mehr arbeiten“ Argument ist täglicher Begleiter in solchen Positionen) – teilweise kann ich die Einwände formulieren bevor sie Tatsache werden!

Und trotzdem nützt das alles nichts. „Wir“ Informatiker klopfen seit Jahrzehnten Sprüche im Sinne „Dokumentation ist für Feiglinge“ oder „guter Code braucht keine Doku sondern erklärt sich selbst“. Schon „ewig“ wissen wir um die Probleme die dadurch entstehen (ist mal einer krank weiss keiner wie es geht und nachschauen kann auch keiner -> weil es nichts nachzuschauen gibt…) können – und trotzdem hat es keiner freiwillig besser gemacht.

Jetzt ist es halt so – Vorgaben kommen aus den verschiedensten Geschäftsbereichen und zumindest im Finanzsektor auch von Regulatoren mit gesetzlichen Vorgaben an die sich eine gesamte Unternehmung halten muss. Die Zeiten in denen die IT eine spezielle Position einnehmen konnte und machen was sie will sind vorbei. Die Position der IT in den meisten Betrieben ist heute von derart entscheidender Wichtigkeit, dass eben gerade die IT kritisch ist. Und dort gehören Prozesse, Methoden und Kontrollen hin.

Natürlich wird auch der IT erzählt, dass das alles nur zu ihrem Schutz da ist – wer in einem sauberen Governance-Modell sich gut einbettet und alles nach definiertem Prozess abarbeitet hat nichts zu befürchten (bei eventuellen Fehlern die der Prozess zulässt geht dann eine Maschinerie los die den Prozess verbessert, die Kontrollen verfeinert usw – aber Mitarbeitende haben gemacht was man ihnen gesagt hat und sind deshalb geschützt).  Allerdings geht es nach meiner Erfahrung durchaus auch darum, dass die Tätigkeiten der IT transparenter in Richtung Management gebracht werden können. Riesige Incident-Listen stellen der IT kein gutes Zeugnis aus und dann ist dann bald mal vorbei mit dem Schutzwillen des Managements sondern es geht um Qualitätsmanagement und ähnliche Dinge. Aufgedeckt durch den Schutzwillen der Mitarbeiter – und plötzlich muss einer auf Grund all der Schutzmassnahmen doch gehen.

Fazit: Ich habe die Seiten gewechselt und irgendwie tut mir das leid – obwohl die Arbeiten in etwa denselben interessanten Anteil aufweisen wie das Leiten von IT Projekten. Ich auferlege Personen heute Dinge, die ich selbst nur unter Zwang annehmen würde und auch mit dem entsprechender Motivation bei der Sache wäre – so ergibt sich natürlich auch eine „interessante“ Zusammenarbeit – wie man es auch immer dreht, im Normalfall bringe ich Mehrarbeit was natürlich – da es ja nur zum Schutz da ist – immer sehr geschätzt wird.