Tischgespräch Teil II

Wie Banken die Übersicht über IT-Schwachstellen behalten

Ein Artikel von Stefanie Walter, Fachredakteurin | 01.03.2022 - 10:19
Bild_Andreas_Meyer_Union.jpg

Andreas Meyer, Leiter Arbeitskreis „Change the Bank“ (DZ BANK Gruppe), Union IT Service © Union IT Service

Gibt es bei Ihrer Prozess­optimierung Projektteams, die übergreifend zusammenarbeiten? 

Von der Hardt: Sowohl im operativen Prozessmanagement als auch bei Initiativen zur Prozessoptimierung gibt es abteilungs- und bankübergreifende Teams/Squads. Speziell bei der RPA-Automatisierung arbeiten Fachbereiche und der IT-Bereich übergreifend zusammen.

Demski: Bei uns ist das jetzt ein festes, sehr breit aufgestelltes Team. Darunter sind Kollegen aus der Organisationsentwicklung, die sich schon immer mit dem Prozessmanagement beschäftigt haben. Aus diesem Kreis haben wir das RPA-Team rekrutiert und um Kollegen aus der IT und Technik ergänzt. Hinzu kommen dann noch Experten aus den Fachabteilungen der betreffenden Prozesse. Gemeinsam schauen sie sich die Prozess-Seite genau an, analysieren, was sich automatisieren lässt und steigen dann in die Entwicklung ein. Das Vorgehen ist dabei eher iterativ im Sinne der Agilität. Eine erste Version eines automatisierten Prozesses muss dabei nicht zwingend 100 Prozent aller Fälle abdecken. Was dabei den größten Nutzen bringt können die Entwickler mit den Fachabteilungen am besten gemeinsam ermitteln.

Meusel: Es geht immer darum, möglichst vielen Leuten Gehör zu geben, die am Ende Nutzer von Prozessabläufen und -ergebnissen sind. Uns ist dabei wichtig, das richtige Maß an Beteiligung zu finden, damit wir uns in der Weiterentwicklung nicht in einem zu breiten basis-demokratischen Prozess verlieren. Es geht hier ganz klar um Qualität, um den Return of Invest, wieviel Zeit ich investieren muss, um die Prozesse zu verbessern und was der tatsächliche Effekt ist. Wir haben beispielsweise mit dem Automation-Team für RPA- und OCR-Lösungen klare Leitplanken definiert. Hinzu kommt immer ein Abgleich mit den strategische Zielen. Oftmals müssen wir diverse Parameter mit knappen personellen Ressourcen erfüllen. Neben dem Einbinden der richtigen Leute wollen wir den gesamten Weg möglichst transparent gestalten, um Entscheidungen verständlich zu machen. Wir arbeiten sehr kollaborativ, anstatt jede Auswertung auf den Tisch zu legen und zu sagen, so machen wir das jetzt. 

Meyer: Größere Veränderungen führen wir seit jeher im Rahmen eines Projektportfolios in Zusammenarbeit zwischen IT und Fachbereich durch. Wir betrachten immer den Aufwand plus Folgekosten/-nutzen von fünf Jahren. Davon abgeleitet haben wir ein Ranking und ordnen den Projekten entsprechend Ressourcen zu. Nicht jeden Teilprozess, der automatisierbar wäre, fassen wir an, weil es sich einfach nicht rechnet.

Bild_Jochen_Werne_Prosecur.jpeg

Jochen Werne, Chief Development Officer,  Mitglied der Geschäftsleitung,  Prosecur Germany © Prosecur Germany

Nutzen Sie spezielle Analysetools, um Schwachstellen zu entdecken?

Meusel: Wir haben für unsere wesentlichen Anwendungen immer auch Auswertungsmöglichkeiten. Herausfordernd ist jedoch die Vernetzung und Visualisierung der einzelnen Systeme und Analysen. Dabei spielt das richtige Maß an betrachteten Systemen und Subsystemen eine wichtige Rolle. Es gibt hier durchaus vielversprechende Angebote am Markt. Da Process Mining ein wichtiges Feld für uns ist, stehen wir hier schon mit Dienstleistern im Austausch. Unsere bisherigen Gespräche zeigten aber auch, dass guter Rat teuer ist. 

Werne: Das Performance Engineering im Zusammenhang mit unterschiedlichen Systemen hinzubekommen, so dass sie skalierbar und vergleichbar sind, ist, trotz mehrerer Analyse-Tools, die wir nutzen, manchmal nicht so leicht. Die Eier legende Wollmilchsau, bei der man nur anklickt und dann genau weiß, was welche Performance bringt, haben wir noch nicht gefunden. Ich bezweifele, dass es das jemals in dem Detailgrad geben wird, wie die Theorie es impliziert. Haben wir einen Gesamtüberblick? Die Antwort ist natürlich, ja. Das müssen nicht nur Banken haben, sondern alle Unternehmen mit kritischen Infrastrukturen. Und dies nicht nur, weil die Aufsicht es erwartet. Bei nahezu täglicher Einführung neuer Prozesse ist die größte Herausforderung, diese perfekt zu integrieren, um weiterhin die gewohnte Performance zu leisten. 

Meyer: Der Einsatz solcher Tools ­bezüglich der IT-Infrastruktur erfolgt durch unsere IT-Provider. Bei der Union Investment selbst setzen wir solche Tools erfolgreich für die Analyse der Geschäftsprozesse ein. Inzwischen können wir die für die Analyse erforderlichen Daten aus den zugrunde liegenden Applikationen in ein Process Intelligence Tool laden und identifizieren systematisch Durchlaufzeiten und Wege, Mengengerüste, manuelle Bearbeitungsschritte und deren Prozessaufwand. Denn heute hinterlässt nahezu jeder Bearbeitungsschritt einen digitalen Fußabdruck in den Datenbanken – und das Tool generiert das gesamte Prozessmodell nahezu eigenständig. 

Diener: Wir haben in den vergangenen Jahren vieles angestoßen: Zum einen aus der reinen Werkzeugsicht, zum anderen aber auch organisatorisch. System- und Anwendungsmonitoring sollten verschmelzen, das gesamte Monitoringverfahren auf neue Beine gestellt werden. Insbesondere investierten wir in eine umfassende Lösung aus dem Hause Dynatrace. Deren Software-Intelligence-Plattform nutzt eine proprietäre Form der Künstlichen Intelligenz, um Anwendungen, Microservices, Container-Orchestrierungsplattformen und IT-Infrastrukturen übersichtlich zu visualisieren und zu überwachen und bietet eine automatisierte Problemerkennung. Analysen unter einer hoch dynamischen Plattform, wie beispielsweise Openshift, sind nur noch automatisiert durchführbar.

Wir wollen eine hundertprozentige Visibilität über alle 50.000 Systeme, die wir zurzeit im Einsatz haben, um Störungen schon im Vorfeld zu erkennen. Bei der Dynamik der Kommunikation zwischen den Technologien ist es nicht mehr möglich, genau zu sagen, über welche Komponenten eine einzelne Kommunikation läuft. Deswegen ist es so wichtig, dass wir dies über die KI überwachen lassen und uns bei Abweichungen von der Norm signalisieren lassen, dass wir aktiv werden müssen oder von vornherein Automatismen nutzen, die das entsprechend heilen. 

Von der Hardt: Unser Prozessteam muss sehr genau identifizieren, wo Schwachstellen im Gesamtprozess sind. Hierfür nutzen wir noch keine speziellen Analysetools aus dem Process Mining. Ich persönlich glaube, wir brauchen erstmal eine generelle Verschlankung einiger Prozesse. Denn wir kommen vor lauter Veränderungen von Prozessen gar nicht mehr dazu, diese signifikant zu optimieren. Wir verkomplizieren sie laufend durch neue regulatorische Anforderungen. 

Bild_Marion_Gratenberg.jpg

Marion Gratenberg, Prozessleiterin Kundenservice, Product Ownerin Squad Bestandskundenprozesse, Targo © Targo

Konnte durch Prozessoptimierungen die Kundenzufriedenheit verbessert werden?

Gratenberg: Wir können sagen, dass wir deutlich weniger Beschwerden und verbesserte Kundenbewertungen bei Prozessen haben, die sehr standardisiert und automatisiert sind. Dabei existieren verschiedene Automatisierungsgrade. Teils sind Mitarbeiter in die Prozesse involviert, wenn sie sehr komplex sind. Nach dem Auslesen von Kundenbriefen können beispielsweise sehr verschiedenartige Bearbeitungen notwendig werden, die teils doch noch einer menschlichen Einordnung bedürfen. Neben der Entlastung und Fehlerfreiheit gibt es bei der Automatisierung natürlich auch weiterhin Herausforderungen, die sich nur ein bisschen anders gestalten als zuvor. Wenn Systeme ausfallen, kann ein Roboter nicht arbeiten. Ein Mitarbeiter kann immer noch einen Workaround nutzen. Aber da gibt es immer Lösungen. Die Bearbeitung durch den Roboter könnte, je nach Dringlichkeit, zeitlich verschoben erfolgen. Eventuell ist es auch möglich, einen Ersatz-Roboter einzusetzen, mithilfe einer weiteren Lizenz.

Wie kann Performance ­Engineering dazu beitragen, die Sicherheit zu erhöhen? 

Diener: Wenn Kunden Störungen melden, müssen wir sehr schnell erkennen, ob es sich um einen Einzelvorfall handelt oder um ein großflächiges Problem. Ferner war es in der Vergangenheit oftmals schwer erkennbar, ob ein System die Ursache einer Störung war oder nur leidtragend von einer Störung anderen Ursprungs war. Zentrales Ziel ist es ­jedoch, präventiv Störungen oder Schwächen zu erkennen. 2018 hatten wir über 60 Monitoring-Werk­zeuge. Mittlerweile verfügen wir mit der Dynatrace-Plattform über ein ganzheitliches Performance Data Warehouse als zentralen Bestandteil unserer Monitoringstrategie. Die Anzahl der Werkzeuge konnte durch Konsolidierung verringert werden. Bei einer Störungsmeldung können wir somit schnell feststellen, welche Gruppen von Benutzern und genauen Funktionen es betrifft. Wir sind in der Lage, mögliche Ursachen schnell einzugrenzen, um das Problem dauerhaft zu beheben. Vorfälle werden gezielt an denjenigen weitergeleitet, der sie auch lösen kann. 

Meyer: Für rund 170 Applikationen werden in den Rechenzentren unseres IT-Providers Atruvia rund 500 Server für uns betrieben. Diese werden anhand von über 20.000 Messpunkten permanent überwacht. Wenn irgendwo ein Lüfter ausfällt und ein Server zu warm wird, erwartete Datenübertragungen nicht stattfinden und ähnliches, werden die zuständigen Applikationsmanager oder der Atruvia-Leitstand sofort informiert. Unsere serviceorientierte Organisation hat hierfür geregelte Standardprozesse. In solchen Fällen ist sofort das Incident- oder Problemmanagement aktiv. Je nach Art der Störung, entweder bei der Atruvia und/oder bei der Union IT Service.

Meusel: Je kleiner oder individueller eine Bank aufgestellt ist, um so ­herausfordernder ist ein eigenes Process Engineering. Wir sind dankbar, dass wir hier eng mit Atruvia  ­zusammenarbeiten. Wenn es um regula­torische Anforderungen geht, Innovationen, Verfügbarkeit und Performance­überwachung können wir gemeinsam mit unseren zentralen Dienstleistern die Komplexität sehr viel besser stemmen. Oftmals kann unser interner Leitstand schnell mit zentralisierten Informationen versorgt werden und die Kommunikation mit Kunden und Mitarbeitern in den Fokus nehmen. Zentraler Hebel von Performance Engineering ist die Reduzierung eigener Anwendungen und deren Überwachung. 

Demski: Wir setzen größtenteils auf die Atruvia für die IT-Infrastruktur und profitieren damit natürlich direkt oder indirekt von deren Monitoring-Systemen. Gleichzeitig betreiben wir auch ein eigenes Monitoring für kritische Parameter der dezentralen bzw. selbst betriebenen Systeme. Neben den schon erwähnten kurzfristigen Störungen sind die gemessenen Werte natürlich auch Anhaltspunkte für die Auslastung und Performance von Systemen und möglichen Problemen, zum Beispiel geben die Laufzeiten für Datensicherungen oder Ladepro­zesse in den nächtlichen Wartungsfenstern Aufschluss.

Haben Sie ein konkretes Beispiel aus der Praxis für Schwachstellen-Management?

Von der Hardt: Manchmal hören wir erst vom Kunden, dass wir ein Problem haben. Gibt es eins, sucht sich der Kunde einen Weg. Dann merkt man erst, wie viele Kontaktkanäle man hat, die teils gar nicht dafür vorgesehen waren. IT-Probleme kann man systemisch meist schnell finden und beheben. Schwieriger wird es bei Ausfällen anderer Unternehmen. Externe Betriebsausfälle während der Coronazeit oder die Insolvenz eines Reiseanbieters sind hier Beispiele, wo sich viele Kunden mit persönlichen und finanziellen Anliegen über mehrere Kanäle melden und Zahlungsabwicklungen kurzfristig geprüft werden müssen. Dann ist Geschwindigkeit und eine gute Vernetzung der Informationskanäle innerhalb des Unternehmens sowie zu weiteren Dritt-Dienstleistern entscheidend. Da haben wir noch Hausaufgaben zu machen. Wir müssen den Informationsfluss um den Kunden so gewährleisten, dass wir ihm kurzfristig eine zufriedenstellende Rückmeldung geben können. 

Meyer: Ein Beispiel war die Anfang Dezember bekannt gewordene kritische Sicherheitslücke namens Log4Shell in der weitverbreiteten ­Java-Logging-Bibliothek Log4j. Durch diese konnten Angreifer einen beliebigen Code ausführen lassen. Gemeinsam mit unserem IT-Provider haben wir Krisenstäbe eingesetzt, Tools für Schwachstellen-Scans sofort und wirkungsvoll eingesetzt, und dort, wo erforderlich, die entsprechenden Sicherheitspatches innerhalb kürzester Zeit durchgeführt. 

Teil I des Digitalen Expertengesprächs können Sie hier nachlesen.