Читать книгу Projekt Phoenix - Kevin Behr - Страница 16

Als der Wecker um 6:15 klingelt, bin ich schlagartig wach. Mein Kiefer tut weh, weil ich die ganze Nacht angespannt war. Die trostlose Aussicht auf den anstehenden Phoenix-Launch ließ sich nicht aus meinen Gedanken vertreiben.

Wie immer werfe ich vor dem Aufstehen schon kurz einen Blick auf mein Handy, um nach schlechten Neuigkeiten zu suchen. Normalerweise verbringe ich rund zehn Minuten mit dem Beantworten von E-Mails – es ist immer praktisch, schon gleich am Morgen ein paar Bälle von meiner Seite des Felds weggeschlagen zu haben.

Dann sehe ich etwas, das mich so schnell aufsetzen lässt, dass ich Paige aufwecke. »Mein Gott, was ist los?«, fragt sie erschrocken und noch nicht ganz wach.

»Eine neue Mail von Steve. Leg dich wieder hin, Schatz ...«, sage ich zu ihr, während ich meine Augen mal wieder zusammenkneife, um die Mail zu lesen.

Von: Steve Masters

An: Bill Palmer

Cc: Nancy Mailer, Dick Landry

Datum: 4. September, 06:05

Wichtigkeit: Hoch

Betreff: DRINGEND: Review zu SOX-404-IT-Audit-Ergebnissen

Bill, bitte schauen Sie sich das ASAP an. Ich muss Ihnen nicht sagen, wie wichtig es ist, ein sauberes SOX-404-Audit abzuliefern.

Nancy, bitte arbeiten Sie mit Bill Palmer zusammen, der jetzt für IT Operations verantwortlich ist.

Steve

>>>Beginn der weitergeleiteten Nachricht:

Wir haben gerade unseren internen Audit von Q3 abgeschlossen, um für das anstehende externe SOX-404-Audit bereit zu sein. Dabei sind uns einige besorgniserregende Defizite aufgefallen, die wir besprechen müssen. Aufgrund der Schwere und Dringlichkeit der Ergebnisse müssen wir uns gleich morgens mit IT treffen.

Nancy

Und tatsächlich gibt es in meinem Kalender ein zweistündiges Meeting um 8 Uhr, angesetzt von Nancy Mailer, Chief Audit Executive.

Heilige Scheiße. Nancy ist ausgesprochen klug und anspruchsvoll. Vor Jahren habe ich erlebt, wie sie beim Eingliedern einer aufgekauften Handelskette einen Manager gegrillt hat. Er präsentierte seine Finanzzahlen, als sie mit schnellen Fragen nachhakte – wie eine Mischung aus Columbo, Matlock und Scarface.

Er brach ziemlich schnell ein und gab zu, die Ergebnisse seiner Abteilung zu positiv dargestellt zu haben.

Bei der Erinnerung an dieses Meeting fange ich an zu schwitzen. Ich habe nichts falsch gemacht. Aber angesichts des Tons der E-Mail ist Nancy etwas Wichtigem auf der Spur, und Steve hat mich ihr in den Weg geworfen.

In meiner Midrange-Technology-Gruppe habe ich immer ein strenges Regiment geführt. So hatten wir nie großen Ärger mit der Audit-Gruppe. Sicher, es gab immer viele Fragen und Dokumentationsanforderungen, für die wir ein paar Wochen zum Sammeln von Daten und Vorbereiten der Antworten brauchten. Gelegentlich wurde etwas gefunden, aber das war dann schnell behoben.

Ich habe uns bisher immer in einer respektvollen Arbeitsbeziehung gesehen – aber diese E-Mail klingt unheilvoll.

Ein Blick auf die Uhr. Das Meeting beginnt in 90 Minuten, und ich habe noch keine Ahnung, worüber Nancy reden will.

»Mist«, rufe ich aus und wecke Paige vorsichtig. »Schatz, kannst du die Kinder heute zur Schule bringen? In der Firma ist es schon wieder kritisch, die Chief Audit Executive und Steve sind mit im Boot. Ich muss noch telefonieren und pünktlich im Büro sein.«

Genervt sagt sie: »Seit zwei Jahren bringst du die Kinder donnerstags zur Schule! Ich muss heute auch früh los!«

»Es tut mir leid, Schatz. Das ist wirklich wichtig. Der CEO der Firma hat mich gebeten, mich darum zu kümmern. Steve Masters. Du weißt schon, der Kerl aus dem Fernsehen, der auch bei der Weihnachtsfeier die große Ansprache hält? Da darf nicht schon wieder so etwas wie gestern schiefgehen. Und die Zeitungsmeldungen von vorgestern ...«

Ohne ein Wort stürmt sie die Treppe hinunter.

Als ich endlich den Besprechungsraum für das Acht-Uhr-Meeting finde, bemerke ich sofort, wie ungewöhnlich still es ist. Sonst gibt es immer Small Talk, während die Teilnehmer nach und nach eintrudeln.

Nancy sitzt am einen Ende des Tischs, um sie herum vier weitere Personen. Direkt neben ihr sitzt John – wie immer mit seiner schwarzen Mappe. Und wie immer bin ich überrascht, wie jung er ist. Mit seinem dichten, lockigen, schwarzen Haar muss er Mitte dreißig sein.

Er hat einen verhärmten Blick, und wie viele Uniabsolventen hat er in den drei Jahren, die er bei Parts Unlimited ist, zugenommen. Vermutlich aufgrund des Stresses, den er mit seinem wenig erfolgreichen moralischen Feldzug hat.

John erinnert mich in diesem Moment tatsächlich sehr an Brent. Aber anders als Brent, der normalerweise ein Linux-T-Shirt trägt, hat John ein gestärktes Hemd an, das ihm ein bisschen zu groß ist.

Wes ist deutlich underdressed im Vergleich zu allen anderen hier im Raum, aber es scheint ihn nicht zu stören. Die letzte Person im Raum ist ein junger Mann, den ich nicht kenne – vermutlich der IT-Auditor.

Nancy beginnt: »Wir haben gerade unser internes Audit für Q3 als Vorbereitung für die anstehenden externen SOX-404-Audits abgeschlossen. Und dabei gibt es eine kritische Situation. Tim, unser IT-Auditor, fand eine erstaunlich große Zahl von Problemen mit IT-Sicherheitsmaßnahmen. Schlimmer noch ist, dass es sich bei vielen davon um Wiederholungstäter handelt, die schon seit drei Jahren auftauchen. Wenn wir diese Probleme nicht lösen, können sie dafür sorgen, dass die Firma zugeben muss, keine ausreichende Kontrolle über die Genauigkeit ihrer Bilanzen zu haben. Das könnte wiederum zu unschönen Kommentaren der externen Auditoren in den 10-K-Dokumenten für die US Securities and Exchange Commission führen.

Wir haben bisher zwar nur vorläufige Ergebnisse, aber aufgrund des Ernstes der Situation habe ich das Audit-Komitee schon mündlich darüber informiert.«

Ich werde bleich. Ich verstehe zwar nicht den ganzen Audit-Jargon, weiß aber genug, um zu erkennen, dass Dicks Tag damit gelaufen ist und es möglicherweise weitere schlechte Nachrichten über uns in den Zeitungen geben wird.

Zufrieden, dass ich den Ernst der Lage verstehe, nickt Nancy. »Tim, bitte stellen Sie uns Ihre Ergebnisse vor.«

Er holt einen dicken Stapel getackerte Papiere hervor und gibt jedem von uns ein Exemplar. »Wir sind gerade mit unserem Audit der IT General Controls bei Parts Unlimited für die ganzen kritischen Finanzsysteme fertig geworden. Vier Leute haben acht Wochen gebraucht, um diese Zusammenfassung zu erstellen.«

Meine Fresse. Ich hebe den dicken Stapel Papier hoch. Wo haben die einen Tacker gefunden, der das zusammenfasst?

Es handelt sich um ein ausgedrucktes Excel-Sheet, jeweils mit 20 Zeilen pro Seite in winziger Acht-Punkt-Schrift. Die letzte Seite trägt die Nummer 189. Ungläubig sage ich: »Das müssen über 1000 Punkte sein!«

»Leider ja«, antwortet Tim und kann dabei seine selbstgefällige Genugtuung nicht ganz verbergen. »Wir haben 952 IT-General-Control-Mängel gefunden, von denen 16 signifikante und 2 potenzielle wesentliche Schwachstellen sind. Das hat uns ganz offensichtlich alarmiert. Angesichts der Kürze der Zeit, die bis zum Beginn des externen Audits bleibt, brauchen wir Ihren Plan zur Nachbesserung so schnell wie möglich.«

Wes hängt gebeugt über dem Tisch, eine Hand an seiner Stirn, mit der anderen blättert er die Seiten durch. »Was für ein verdammter Mist ist das denn?«

Er hält auf einer Seite inne. »›Punkt 127. Unsichere Windows-Einstellung MAX_SYN_COOKIE‹? Soll das ein Witz sein? Falls Sie es noch nicht mitbekommen haben – wir müssen eine echte Firma am Laufen halten. Es tut mir leid, wenn das diesem Vollzeit-Audit-Geraffel in die Quere kommt.«

Auf Wes kann man sich verlassen. Er sagt die Dinge, die die Leute denken, die aber schlau genug sind, sie nicht zu sagen.

Nancy antwortet ernst: »Leider ist jetzt die Phase der Control Reviews und Tests vorbei. Wir brauchen von Ihnen den ›Management Response Letter‹. Sie müssen jeden dieser Punkte untersuchen, bestätigen und dann einen Plan zur Nachbesserung erstellen. Wir werden den dann begutachten und dem Audit-Komitee sowie dem Aufsichtsrat vorstellen. Normalerweise hätten Sie ein paar Monate Zeit dafür, Ihren Response Letter vorzubereiten und den Nachbesserungsplan umzusetzen«, fährt sie fort und hat dabei einen entschuldigenden Gesichtsausdruck. »Leider haben wir angesichts des Audit-Testplans dieses Mal nur drei Wochen, bevor die externen Auditoren eintreffen. Das ist bedauerlich. Wir werden darauf achten, IT in der nächsten Audit-Runde mehr Zeit einzuräumen. Aber dieses Mal brauchen wir Ihre Antwort bis ...«

Sie schaut in ihren Kalender. »... Montag in einer Woche – spätestens. Meinen Sie, das ist möglich?«

Oh nein.

Das sind gerade einmal sechs Arbeitstage. Wir brauchen schon drei Tage, um das ganze Dokument überhaupt zu lesen.

Unsere Auditoren, von denen ich bisher immer dachte, sie stünden für Gerechtigkeit und Objektivität, hauen uns jetzt in die Pfanne?

Ich schnappe mir auch den dicken Stapel Papier und schaue mir ein paar Seiten an. Es gibt viele Einträge wie den, den Wes vorgelesen hat, aber andere verweisen auf unpassende Sicherheitseinstellungen, das Vorhandensein von Ghost-Accounts und Probleme mit dem Change-Management oder der Funktionstrennung.

John blättert in seiner Mappe und sagt diensteifrig: »Bill, ich habe viele dieser Punkte schon bei Wes und Ihrem Vorgänger angesprochen. Sie haben den CIO überredet, einen Management Waiver abzuzeichnen, in dem steht, dass er das Risiko akzeptiert – und dann nichts getan. Wenn einige dieser Punkte jetzt unter den wiederkehrenden Problemen zu finden sind, glaube ich nicht, dass wir uns dieses Mal da rauswinden können.«

Er wendet sich Nancy zu: »Bei den vorherigen Managern waren IT Controls ganz klar nicht im Fokus, aber ich bin zuversichtlich, dass Bill dem mehr Beachtung schenken wird, wenn sich die ganzen Probleme jetzt nicht mehr verstecken lassen.«

Wes schaut John verächtlich an. Auch ich kann nicht glauben, dass sich John vor den Auditoren so produziert. In solchen Momenten frage ich mich, auf wessen Seite er steht.

Unbeirrt von Wes und mir sagt John zu Nancy: »Meine Abteilung hat ein paar andere Punkte gerade gezogen, für die wir positiv erwähnt werden sollten. So haben wir zum Beispiel das Verschlüsseln der PII in unseren kritischen Finanzsystemen abgeschlossen, sodass wir zumindest dort aus dem Schneider sind.«

Nancy sagt trocken: »Interessant. Das Vorhandensein von PII steht nicht im Fokus des SOX-404-Audits, daher wäre aus dieser Perspektive ein Konzentrieren auf die IT General Controls besser gewesen.«

Moment. Johns dringende Verschlüsselungsänderung war überflüssig?

Wenn das stimmt, müssen John und ich reden. Später.

Ich sage langsam: »Nancy, ich weiß wirklich nicht, was wir bis Freitag liefern können. Wir stecken bis zum Hals in Arbeit mit dem Wiederherstellen der Systeme und kämpfen schon damit, den anstehenden Phoenix-Roll-out zu unterstützen. Welche dieser Punkte sind die, auf die wir auf jeden Fall reagieren sollten?«

Nancy nickt Tim zu, der sagt: »Sicher. Der kritischste Punkt ist die potenzielle wesentliche Schwachstelle, die Sie auf Seite 7 finden. Dabei geht es darum, dass eine nicht genehmigte oder ungetestete Änderung an einer Anwendung für das Rechnungswesen in die produktive Umgebung gelangen kann. Das führt potenziell zu einer wesentlichen Schwachstelle –absichtlich oder ungewollt. Das Management hat keine Möglichkeit, solch eine Änderung zu erkennen oder gar zu verhindern.

Zudem sind von Ihrer Gruppe keinerlei Protokolle der Change-Management-Meetings erstellt worden, die eigentlich laut Ihrer Richtlinien wöchentlich stattfinden sollten.«

Ich versuche, mich nicht allzu deutlich zu winden, als ich daran denke, dass gestern keiner zum CAB-Meeting gekommen ist. Und während des Payroll-Problems waren wir so sehr auf Johns Verschlüsselungsänderung fokussiert, dass das SAN schließlich zerschossen war.

Wenn wir schon solche Änderungen nicht mitbekommen, bezweifle ich, dass wir es erkennen würden, wenn jemand eine Sicherung abstellt, um eine kleine betrügerische Transaktion von vielleicht 100 Millionen Dollar durchzuführen.

»Wirklich? Das ist unglaublich. Ich werde mir das genauer anschauen«, sage ich mit der hoffentlich passenden Menge an Überraschung und Empörung. Während ich so tue, als würde ich mir auf meinem Notizblock ein paar Details aufschreiben, und dabei zufällige Wörter umkreise und unterstreiche, nicke ich Tim zu, damit er fortfahren kann.

»Als Nächstes haben wir eine Reihe von Servern gefunden, bei denen Entwickler administrativen Zugriff auf produktive Anwendungen und Datenbanken haben. Das verletzt die Funktionstrennung, mit der betrügerische Vorgänge verhindert werden sollen.«

Ich schaue zu John hinüber. »Wirklich? Das ist ja ein Ding. Entwickler nehmen Änderungen an Anwendungen vor, ohne vorher eine Genehmigung dafür zu haben? Das klingt deutlich nach einem Sicherheitsrisiko. Was würde wohl passieren, wenn jemand einen Entwickler überredet, zum Beispiel Max, etwas Ungenehmigtes zu tun? Da müssen wir auf jeden Fall etwas gegen tun, oder, John?«

John wird rot, sagt aber höflich: »Ja, natürlich. Ich stimme dem zu und helfe gerne mit.«

Tim sagt: »Gut. Kommen wir nun zu den 16 signifikanten Punkten.«

Eine halbe Stunde später leiert Tim immer noch Punkte herunter. Ich starre mürrisch auf die lange Liste. Die meisten Punkte haben die gleiche Qualität wie die langen, nutzlosen Berichte, die wir von der Information Security bekommen – ein weiterer Grund, warum John einen so schlechten Ruf hat.

Das ist das unendliche Hamsterrad des Schmerzes: Die Information Security schickt Quartal für Quartal E-Mails mit langen Listen voll mit Empfehlungen zum sicheren Arbeiten.

Als Tim endlich fertig ist, meldet sich John freiwillig: »Wir müssen diese angreifbaren Systeme patchen. Mein Team hat viel Erfahrung beim Patchen von Systemen, falls Sie Unterstützung brauchen. Diese Audit-Ergebnisse sind eine tolle Gelegenheit, einige der großen Sicherheitslücken zu schließen.«

»Ihr beide habt doch gar keine Ahnung, was ihr da tun wollt!«, sagt Wes zu John und Tim – ganz offensichtlich außer sich vor Wut. »Einige der Server, auf denen diese ERP-Systeme laufen, sind schon über 20 Jahre alt. Die halbe Firma wird stillstehen, wenn sie abstürzen, und den Hersteller gibt es schon seit Ewigkeiten nicht mehr! Diese Kisten sind so fragil, dass sie schon bei einem schiefen Blick zur falschen Tageszeit abstürzen und dann mit allerlei Voodoo wieder zum Leben erweckt werden müssen. Die von euch vorgeschlagenen Änderungen würden die niemals überstehen!«

Er lehnt sich über den Tisch und deutet mit seinem Finger auf John. »Sie wollen die Systeme selbst patchen? Bitte sehr. Aber ich will ein von Ihnen unterschriebenes Dokument, in dem steht, dass Sie zu allen Werken fliegen und bei den dortigen Chefs zu Kreuze kriechen, wenn das System zum Stillstand kommt. Und gleichzeitig können Sie auch erklären, warum keiner seine Ziele erreichen wird. Okay?«

Meine Augen weiten sich vor Erstaunen, als sich John Wes’ Finger noch entgegenlehnt und empört sagt: »Oh ja? Was wäre denn, wenn wir überall in den Nachrichten sind, weil wir Kundendaten verloren haben, die wir hätten schützen müssen? Werden Sie sich dann persönlich bei den Millionen Familien entschuldigen, deren Daten an die russische Mafia verkauft wurden?«

Ich sage: »He, jetzt beruhigt sich jeder mal. Wir wollen alle das Richtige für die Firma tun. Der Trick ist, herauszufinden, wofür wir Zeit haben und welche Systeme sich tatsächlich patchen lassen.«

Ich schaue mir den Stapel Papier an. Wes, Patty und ich können ein paar Leute beauftragen, die Punkte durchzuschauen, aber wer erledigt die dann liegen bleibende Arbeit? Wir haben schon mit Phoenix zu viel um die Ohren, und ich fürchte, dass uns dieses neue große Projekt das Genick brechen wird.

Zu Nancy sage ich: »Ich werde mit meinem Team gleich loslegen, und wir werden einen Plan vorstellen. Ich kann nicht versprechen, dass wir unseren Response Letter bis dahin fertig haben, aber ich kann versprechen, dass wir alles tun, was möglich ist. Ist das ausreichend?«

»Ja, das ist es«, sagt Nancy gütlich. »Ziel dieses Meetings war nur, die vorläufigen Audit-Ergebnisse durchzugehen und die nächsten Schritte festzulegen.«

Als das Meeting zu Ende ist, bitte ich Wes, noch kurz zu warten.

John bekommt das mit und bleibt auch da. »Das ist ein Desaster. All meine Ziele und Boni hängen daran, einen sauberen Compliance-Report für die SOX-404- und PCI-Audits zu haben. Das wird dieses Jahr nicht klappen – und nur, weil ihr Ops-Leute eure Aufgaben nicht erledigt!«

»Willkommen im Klub«, sage ich.

Um ihn loszuwerden, fahre ich fort: »Sarah und Steve haben entschieden, den Deployment-Termin für Phoenix auf nächsten Freitag vorzuziehen. Sie wollen alle Sicherheits-Reviews absagen. Es ist wohl besser, wenn Sie direkt mit Chris und Sarah sprechen.«

Wie erwartet, flucht John und stürmt hinaus.

Ermattet lehne ich mich in meinem Stuhl zurück und sage zu Wes: »Das ist nicht unsere Woche.«

Wes lacht humorlos. »Ich habe dir doch gesagt, dass dir die Geschwindigkeit hier den Kopf platzen lassen wird.«

Ich zeige auf die Audit-Ergebnisse. »Wir sollen all unsere wichtigen Ressourcen für Phoenix freihalten, aber damit sind alle beschäftigt. Wir können nicht zufällig einen Haufen Leute aus dem Hut zaubern, oder?«

Wes schüttelt den Kopf, sein Gesicht ist ungewöhnlich angespannt.

Er blättert den Stapel Papier erneut durch. »Die Technologiechefs müssen auf jeden Fall dabei sein. Aber wie du schon sagst – sie sind alle mit Phoenix beschäftigt. Sollen wir hier umplanen?«

Ich weiß es ehrlich nicht. Wes starrt einen Moment auf eine der Seiten. »Ach ja, für einen ganzen Haufen dieser Punkte werden wir Brent brauchen.«

»Oh komm«, maule ich. »Brent, Brent, Brent, Brent! Können wir denn gar nichts ohne ihn machen? Schau uns an! Wir versuchen, auf Management-Ebene über Zusagen und Ressourcen zu reden, und es geht immer nur um eine Person! Es ist mir egal, wie begabt er ist. Wenn du mir sagen willst, dass unsere Organisation ohne ihn nichts auf die Reihe bekommt, haben wir echt ein Problem.«

Wes zuckt etwas verlegen seine Schultern. »Er ist ohne Zweifel einer unserer besten Leute. Er ist wirklich pfiffig und weiß viel über so gut wie alles, was wir hier einsetzen. Zudem ist er einer der wenigen, der tatsächlich versteht, wie die ganzen Anwendungen hier in der Firma untereinander in Verbindung stehen. Mann, der Kerl weiß vermutlich mehr darüber, wie diese Firma läuft, als ich.«

»Du bist ein Senior Manager. Das sollte für dich genauso inakzeptabel sein wie für mich!«, sage ich steif. »Wie viele Brents brauchst du denn mehr? Einen, zehn oder hundert? Steve muss all diese Arbeit priorisieren. Von dir muss ich wissen, welche Ressourcen wir brauchen. Wenn ich Steve nach mehr Ressourcen frage, will ich nicht erst bei euch nachhaken müssen.«

Er verdreht die Augen. »Ich werde dir erzählen, was passieren wird. Wir werden zum Management gehen und unseren Fall vorstellen. Sie werden nicht nur Nein sagen, sondern uns auch noch das Budget um fünf Prozent kürzen.

Das ist die letzten fünf Jahre passiert. Und weiterhin wird jeder alles gleichzeitig haben wollen und unsere To-do-Liste immer weiter füllen.«

Aufgeregt redet er weiter: »Und nur damit du es weißt: Ich habe schon versucht, mehr Brents einzustellen. Weil ich nie zusätzliches Budget erhalten habe, musste ich eine ganze Reihe von Positionen wegfallen lassen, um vier sehr erfahrene Entwickler einzustellen, die ähnlich gut wie Brent sind. Und weißt du, was passiert ist?«

Ich hebe fragend eine Augenbraue.

»Die Hälfte hat innerhalb von einem Jahr gekündigt, und die, die noch da sind, sind bei Weitem nicht so produktiv, wie ich es gern hätte. Ich habe zwar keine Daten, die das beweisen können, aber ich vermute, Brent ist mehr unter Wasser als je zuvor. Er beschwert sich, dass er zu viel Zeit damit verbringt, die neuen Leute zu trainieren und ihnen zu helfen. Mittlerweile ist er echt am Ende. Und gleichzeitig ist er überall dabei.«

Ich antworte: »Du sagst, dass die Leute ›unsere To-do-Liste füllen‹. Wie sieht die Liste im Moment aus? Wo kann ich eine Kopie bekommen? Wer verwaltet die Liste?«

Wes antwortet langsam: »Nun, da sind die Businessprojekte und die verschiedenen IT-Infrastrukturprojekte. Aber viele der Zusagen sind gar nicht dokumentiert.«

»Wie viele Businessprojekte? Wie viele Infrastrukturprojekte?«, frage ich.

Wes schüttelt den Kopf. »Ich weiß es nicht auswendig. Ich kann die Liste der Businessprojekte von Kirsten organisieren, aber ich bin nicht sicher, ob irgendjemand die Antwort auf deine zweite Frage kennt. Diese Projekte kommen nicht beim Projektmanagement-Büro vorbei.«

Langsam wird mir flau im Magen. Wie können wir die produktiven Systeme ordentlich betreuen, wenn wir nichts über die Anforderungen, die Prioritäten, den Arbeitsfortschritt und die verfügbaren Ressourcen wissen? Ich ärgere mich, dass ich diese Fragen nicht gleich am ersten Tag gestellt habe.

Aber endlich denke ich wie ein Manager.

Ich rufe Patty an. »Wes und ich wurden gerade vom Audit auseinandergenommen. Sie brauchen eine Reaktion bis Montag nächster Woche. Du musst mir dabei helfen, herauszufinden, was für Zusagen wir bisher gemacht haben, sodass ich eine Grundlage für ein Gespräch mit Steve über neue Ressourcen habe. Können wir uns darüber unterhalten?«

Sie sagt: »Da bin ich dabei. Kommt einfach her.«

Nachdem Wes Patty kurz über die Folgen des Mammut-Audit-Berichts unterrichtet hat, den er auf ihren Tisch fallengelassen hat, pfeift sie durch die Zähne.

»Weißt du, ich wünschte, du wärst bei dem Meeting mit den Auditoren dabei gewesen«, sage ich. »Die meisten kritischeren Punkte drehten sich darum, dass wir keinen funktionierenden Change-Management-Prozess haben. Ich glaube, du wärst zum Schluss der beste Freund der Auditoren gewesen.«

»Auditoren haben Freunde?«, lacht sie.

»Ich möchte, dass du Wes dabei hilfst, bis Montag abzuschätzen, wie viel Aufwand es bedeutet, die Audit-Punkte zu beheben«, bitte ich sie, »aber jetzt geht es erst mal um etwas anderes. Ich versuche, eine Liste mit allen Zusagen zu bekommen, die IT irgendwem in der Firma gegeben hat. Wie groß ist diese Liste, und wie wird sie gefüllt?«

Nachdem sie gehört hat, was Wes mir erzählte, antwortet Patty: »Wes hat recht. Kirsten verwaltet die offizielle Liste mit den Businessprojekten, bei denen wir fast überall irgendwie beteiligt sind. Und wir haben unsere eigenen IT Operations-Projekte, die meist von den Budget-Ownern betreut werden – dafür gibt es keine zentrale Liste.«

Patty fährt fort: »Wir haben zudem alle Anfragen an den Service Desk – egal ob es Wünsche nach etwas Neuem oder Fehlermeldungen sind. Aber diese Liste wird auch unvollständig sein, weil sich viele Kollegen lieber direkt an ihren Lieblings-ITler wenden. Das passiert alles informell.«

Ich frage langsam: »Du sagst also, dass wir keine Ahnung haben, wie die Liste mit unseren Zusagen aussieht? Wirklich?«

Wes verteidigt sich: »Bisher hat danach noch nie jemand gefragt. Wir haben immer kluge Leute eingestellt und ihnen einen bestimmten Aufgabenbereich übertragen. Darum mussten wir uns noch nicht kümmern.«

»Nun, dann müssen wir damit anfangen. Wir können nicht dauernd neue Zusagen machen, wenn wir nicht einmal wissen, was wir aktuell zu tun haben!«, sage ich. »Zuerst muss ich jetzt aber wissen, wie hoch der Aufwand ist, die Audit-Ergebnisse umzusetzen. Dann brauche ich über jeden daran Beteiligten die Information, was er sonst noch zu tun hat, von dem wir ihn dann abziehen würden.«

Ich denke einen Moment nach, dann ergänze ich: »Macht das bitte auch für alle, die mit Phoenix zu tun haben. Ich gehe davon aus, dass wir überlastet sind, aber ich will wissen, wie sehr. Ich möchte den Leuten proaktiv Bescheid sagen können, wenn wir Projekte mit ihnen stoppen müssen, damit sie dann nicht überrascht sind, wenn wir nicht liefern können.«

Sowohl Wes als auch Patty sind überrascht. Wes fängt sich als Erster: »Aber ... aber wir müssten dann ja mit so gut wie jedem reden! Patty mag ihre Freude daran haben, die Leute bezüglich ihrer Änderungspläne in die Mangel zu nehmen, aber wir können doch nicht herumlaufen und die Zeit unserer besten Leute verplempern. Die müssen arbeiten!«

»Ja, ich weiß, dass sie Arbeit zu erledigen haben«, sage ich genervt. »Ich will doch nur eine ganz kurze Beschreibung dessen, woran sie gerade arbeiten und wie lange es ihrer Meinung nach dauern wird!«

Als mir bewusst wird, wie das klingen kann, ergänze ich: »Sagt den Leuten auf jeden Fall, dass wir das machen, um mehr Ressourcen zu bekommen. Es soll keiner denken, dass wir Leute rausschmeißen oder Arbeit outsourcen wollen, okay?«

Patty nickt. »Wir sollten das schon längst mal gemacht haben. Andauernd ist ein Projekt besonders wichtig, aber wir wissen nie genau, was deswegen hinten runterfällt. Bis jemand schreit und wissen will, warum wir irgendetwas nicht liefern konnten.«

Sie tippt auf ihrem Laptop. »Du willst eine Liste mit Zusagen der IT-Organisation von unseren wichtigsten Mitarbeitern, und zwar jeweils mit einer kurzen Beschreibung, was sie gerade tun und wie lange das dauern wird. Wir werden mit den Leuten beginnen, die für Phoenix oder das Lösen der Audit-Punkte nötig sind, aber dann auch den Rest der IT-Organisation abfragen. Ist das so richtig?«

Ich lächle und freue mich, dass Patty es so gut zusammengefasst hat. Ich weiß, dass sie das richtig machen wird. »Genau. Bonuspunkte gibt es, wenn ihr zwei herausfindet, welche Ressourcen am meisten überlastet sind und wie viele neue Ressourcen wir brauchen. Das wäre die Grundlage, um Steve nach mehr Personal zu fragen.«

Patty sagt zu Wes: »Das sollte recht einfach sein. Wir können 15-minütige Gespräche aufsetzen, Daten aus unserem Service-Desk- und Ticket-System ziehen, die Projektliste von Kirsten organisieren ...«

Überraschenderweise stimmt Wes zu und ergänzt: »Wir könnten auch in unsere Budget-Tools schauen, um herauszufinden, was für Personal- und Hardwareanforderungen wir gestellt haben.«

Ich stehe auf. »Super, Leute. Setzt ein Meeting auf, in dem ihr mir erzählt, was ihr herausgefunden habt. Nicht später als Freitag. Ich will am Montag zu Steve gehen und brauche dafür echte Daten.«

Patty gibt mir ein »Daumen hoch«. Jetzt kommen wir voran.