"Komplexität skaliert nicht; was aber skaliert ist das Management von Komplexität", so begründet Ralf Schneider die vor zweieinhalb Jahren begonnene Virtualisierung der Allianz-Systeme: "Unsere Strategie funktioniert ähnlich wie die Automobilfertigung; es gibt eine hochstandardisierte Plattform, aber das Frontend ist hochflexibel", so der IT-Vorstand und CIO des Versicherungsriesen.
Doch der Reihe nach: Wie viele Unternehmen hatte auch die Allianz erkannt, dass sie eine Plattform braucht, mit der sich die wachsende Komplexität beherrschen lässt. "Wir konnten ja nicht anfangen, die Devices zu standardisieren, das würde den Bedürfnissen unserer Nutzer im Wege stehen", erläutert Schneider, "vielmehr muss man erst mal seine Softwarelandschaft auf eine andere Basis stellen."
Das Ergebnis würde man heute eine "Private Cloud" nennen, sagt Schneider. Daraus ergebe sich zum einen ein enormer Kostenvorteil - vor allem deshalb, weil die Softwareverteilung sowie die Absicherung der Daten und Programme wegfielen: "Sie glauben ja nicht, wie viel Geld Sie investieren müssen, um 240.000 Devices sicher und performant zu machen beziehungsweise die Daten und Programme dort drauf zu bekommen." Zum anderen mache sich die Allianz auf diese Weise unabhängig von den eingesetzten Devices.
Mobile beschleunigt Virtual
Die Mitarbeiter müssen also nicht immer denselben Desktop oder Laptop nutzen. Sie können theoretisch sogar jedes Gerät im Haus verwenden, um sich einzuloggen, beschreibt Schneider seine Zukunftsvision: "Wenn Sie im Büro sind, machen Sie Ihren Laptop gar nicht mehr auf, sondern gehen irgendwo hin, wo ein Screen steht, und loggen sich dort ein. Dann drücken Sie auf einen Knopf, und innerhalb von fünf Sekunden sind Sie in Ihrer virtualisierten Anwendung."
Nach demselben Prinzip können die Mitarbeiter auch mobil auf die Unternehmensapplikationen zugreifen - mit Geräten unterschiedlichster Art. Die Entwicklungen im Mobile-Bereich hätten die Virtualisierungsstrategie durchaus beschleunigt, konstatiert Schneider. Druck machten vor allem die "High-Mobility-User". Sie wollten ja unterwegs nur noch die leichtgewichtigen Devices mitnehmen und zu Hause an ihren PCs weiterarbeiten. Deshalb müsse die Applikation unabhängig vom Gerät laufen - zu Hause, im Büro und im Internet-Café, auf dem PC, dem Laptop und dem iPad.
Die sicherste IT-Nutzung überhaupt
Zu diesem Zweck arbeitet die Allianz bereits seit längerem an sichereren Lösungen für den Zugriff auf die Unternehmensapplikationen. Gerade bei einem Versicherungskonzern spielt das Thema Security eine große Rolle. Grundsätzlich sei diese Art der Virtualisierung "die sicherste Variante der IT-Nutzung, die man überhaupt haben kann", so Schneider: "Wenn Sie keine Daten oder Programme mehr auf dem Device haben, kann niemand mehr die Daten stehlen noch die Programme hacken." Aber die Zugangsdaten sind dennoch ein Risiko, das sorgfältig gemanagt werden muss, wie auch der Allianz-Vorstand einräumt.
Selbstredend hat der Konzern eine dreifache Sicherheitssperre eingebaut, berichtet Schneider: "Sie müssen nicht nur ein Passwort, sondern auch ein Token sowie eine zusätzliche PIN haben." In seinem Fall sei das ein Token in Form eines Schlüsselanhängers, ein "Dongle". Andere zögen eine Identifizierung über den Personalausweis vor oder auch eine softwaregenerierte TAN, die auf das jeweilige Device geschickt wird: "Wir bieten da verschiedene Möglichkeiten an, aber es müssen drei verschiedene Komponenten sein."
Allerdings haben erst kürzlich ein paar Computerexperten für sich reklamiert, dass sie den "SecureID"-Token von RSA, den auch die Allianz verwendet, in 13 Minuten entschlüsseln könnten. Und auch das Soft-Token hat seine Schwachstellen: "Wenn Sie es ganz sicher machen wollen, muss der Token auf einem anderen Device empfangen werden", bestätigt Schneider. Sein Fazit: "Hundertprozentige Sicherheit gibt es nie - aber wir sind extrem nah dran. IT Security ist Risiko-Management - und das ist quasi in der DNA der Allianz."
Sandbox für berufliche E-Mails
Damit die mobilen Allianz-Mitarbeiter auch unterwegs auf ihre Emails, Kontakte und Termine zugreifen können, ist auf ihren Endgeräten eine "Sandbox" installiert. Darunter ist eine Security-Lösung zu verstehen, die beispielsweise den beruflichen eMail-Verkehr gegen Kontakt mit anderen Apps und Daten sowie gegen den unberechtigten Zugriff von außen absichert. Die Allianz nutzt das Produkt "Good for Enterprise" des Marktführers Good Technology. "Die Business-Applikationen laufen in ein Fenster hinein, die privaten Apps wie gewohnt nebenher", führt Schneider aus.
Für die Anwender ist dieses Verfahren oft ein wenig lästig, weil sie ihre Passwörter immer wieder neu eingeben müssen. Aber die Security-Verantwortlichen in den Unternehmen schlafen dank dieser Funktion besser. Noch lästiger aus Sicht der mobilen Manager ist, dass sie ihr Lieblings-Tool nicht auf ihrem Lieblings-Device nutzen können. "Es gibt derzeit noch kein gutes Powerpoint in einer hoch verschlüsselten Sandbox auf dem iPad", konstatiert Schneider, "es sei denn, wir spielen dort Windows auf". Aber das sei quasi "von hinten durch die Brust ins Auge geschossen". Jetzt sucht die Allianz nach einer ganzheitlichen Lösung, die das Editieren von Dokumenten auf Tablets in einer Sandbox ermöglicht.
Voll virtualisierter Arbeitsplatz
Den Zugriff auf die Unternehmensapplikationen ermöglicht der "Allianz Virtual Client", den die interne Shared-Services-Gesellschaft Amos (Allianz Managed Operations & Services) entwickelt hat. Hierbei handelt es sich, wie Schneider erläutert, um einen "voll virtualisierten Arbeitsplatz mit SAP-Zugriff und allen unternehmenskritischen Funktionen: Policy Handling, Claims Handling, Kundenkontakt-Center etc." Da dieser virtuelle Arbeitsplatz über alle gängigen Betriebssysteme und Devices - also auch über das iPad - erreichbar ist, bietet er auch die beste Lösung für die "High Mobility User", wie Schneider die Vielreisenden nennt.
Gleichzeitig ist dies die Standardlösung für den Applikationszugriff innerhalb des Unternehmens. "Das iPad ist quasi das, was früher das 3270-Terminal war - nur viel chicer und dynamischer", scherzt Schneider. Was in den 80er Jahren als der Nachteil der 3270-Technologie galt, nämlich dass eine Applikation mit keiner anderen auf demselben Device interagieren konnte, sei heute "genau das, was wir wollen". Denn auf diese Weise kämen die Business-Applikationen gar nicht erst mit Malware in Berührung.
Bring oder use your own device?
Die mobilen Devices sind laut Schneider durchweg "gemanagte Business-Devices", also Smartphones, Notebooks oder Tablets, die von der Allianz zur Verfügung gestellt werden. Mit dem Modethema BYOD (Bring your own Device) hat das nicht viel zu tun. Schneider spricht auch lieber von Use your own Device, weil in seiner Variante der Arbeitnehmer sein privates Gerät zusätzlich im Beruf nutzen kann. "Use your own Device hat zwei Vorteile", erläutert der IT-Vorstand: "Zum einen macht es die Anwender glücklich, zum anderen liegt es im Trend, wonach sich die Lebensbereiche vermischen: Zu Hause, im Büro, unterwegs - man kann eigentlich keinem mehr erklären, warum er drei Devices braucht."
Die Allianz hat bereits eine Policy herausgegeben, die den Umgang mit Use your own device regelt. "Sie beinhaltet zum Beispiel die unbedingte Nutzung der vorab diskutierten Sandbox-Lösung fürs Business auf privaten Smartphones", verrät Schneider. Auf privaten Laptops oder Tablets komme ebenfalls der Allianz Virtual Client ins Spiel.
Verglichen mit Use your own Device ist Bring your own Device noch komplizierter. Bei der Umsetzung steht die Allianz "noch ganz am Anfang", räumt Schneider ein: "Wenn das Privatgerät auf einmal zur Business-Device wird, wirft das jede Menge Haftungsfragen, Steuerfragen und Management-Fragen auf. Das Gerät selbst erfordert zwar fast kein Management mehr, aber wenn es persönlich ist, liegt ja auch andere Software drauf. Ich will auf keinen Fall den Privat-PC eines Mitarbeiters managen. Das Einzige, was wir managen, ist das Fenster." Und damit ist die Allianz wieder zum Thema Use your own device zurückgekehrt.
Einen oft anzutreffenden Vorbehalt hingegen kann Schneider nicht nachvollziehen: "Viele Unternehmen machen sich Gedanken darüber, ob die Privatgeräte vielleicht doch häufiger kaputt gehen als die vom Unternehmen zur Verfügung gestellten. Denn wenn das Gerät während der Arbeit runterfällt, ist das so, als hätten Sie einen Unfall mit einem Privatwagen, den Sie dienstlich nutzen; dann müssen die Unternehmen es ersetzen." Es werde sicher den Einen oder Anderen geben, der diesen Sachverhalt in betrügerischer Absicht ausnutze, weil er etwas Neues wolle: "Aber wenn man sich das genauer ansieht, stellt man fest, dass die Menschen im Großen und Ganzen ehrlicher sind, als viele annehmen."
Schneider plädiert deshalb dafür, positiv zu denken -aber die Schadensrate mitzuverfolgen: "Sollten wir feststellen, dass wir pro Monat 1000 Geräte ersetzen müssen, werden wir die Konsequenzen ziehen. Aber wir dürfen nicht über etwas spekulieren, das wir gar nicht wissen. Die teuersten Entscheidungen sind doch die, die nicht getroffen werden."
Eine Reihe von offenen Fragen
Im Augenblick seien die IT-Fachleute der Allianz aber noch damit beschäftigt, alle Vor- und Nachteile der unterschiedlichen Strategien abzuwägen, sagt Schneider: "Ich weiß ja, dass die Mitarbeiter gern ihre eigenen Geräte nutzen. Aber wenn ich die Business-Anwendungen sowieso nur im Festnetz als Bildschirm anbiete, ergibt es überhaupt keinen Sinn, ein eigenes Device mitzubringen."
Vor einer Entscheidung seien zudem noch einige interne Fragen zu klären, wirft Schneider ein: "Wem geben Sie private Geräte zum dienstlichen Gebrauch? Müssen Sie sie allen geben? Oder wollen Sie das auf mobile Mitarbeiter beschränken? Ist das ein Incentive? Wer ist beleidigt, wenn er keins bekommt?"
Es müsse darüber eine generelle Regelung geschlossen werden, erinnert der IT-Vorstand, und zwar unter Einbezug des Betriebsrats: "Und hier gibt es ein Argument, das man nicht vernachlässigen sollte: Die Arbeitszeit der Mitarbeiter darf nicht beliebig rund um die Uhr ausgedehnt werden." Derartige Dinge könne man eben nicht einfach ausprobieren, sondern man müsse sich vorher überlegen, wie man es macht, sinniert Schneider. Deshalb seien für den Pilotversuch bislang ausschließlich Executives ausgewählt worden.