Die Nutzungsmöglichkeiten des Internets – insbesondere die Diskussionen über Web 2.0, Enterprise 2.0 und der erwartete Einfluss der Konsumgüter auf Nutzungsgewohnheiten und Erwartungen der IT-Anwender – zeigen, dass die zukünftigen Anforderungen an die IT-Organisation sich stark verändern werden.

Aber wie soll zukünftig eine angemessene Balance zwischen flexiblen und produktiven IT-Nutzern und einer sicheren, verfügbaren und effizient verwalteten IT-Infrastruktur in einer großen verteilten Organisation aussehen?

Auf welchen Ebenen sind einheitliche Richtlinien für alle IT-Nutzer in einem Unternehmen sinnvoll oder müssen unterschiedliche Nutzerklassen mit angepassten Regeln definiert werden, um die richtige Balance der divergierenden Ansprüche zu finden?

Können IT-Nutzer überhaupt kontrolliert werden? Es gibt doch eine Reihe von Anwendungen, die keine Administrationsrechte benötigen und zudem wird es nicht gelingen, die Nutzungsmöglichkeiten des Internets zu verbieten?

Kann ich einen unkontrollierten Zoo von Anwendungen und Diensten aus Kosten- und Verfügbarkeitsgründen überhaupt zulassen? Je standardisierter die IT-Umgebung, desto einfacher und kostengünstiger sind Kompatibilitätstests und das Sicherheits-Patchmanagement durchzuführen. Von Fragen des effizenten Lizenzmanagements und der unkontrollierten Weitergabe von Unternehmensinformationen an externe Quellen mal ganz abgesehen.

Wie könnte ein sinnvolles Management-Framework aussehen, um die unterschiedlichen Rollen von Software-Entwicklern, Call-Center Mitarbeitern, mobilen Anwendern und geschäftspezifischen Anwendern in einer Organisation mit mehr als 10.000 Beschäftigten “unter einen Hut” zu bekommen?

Hier sind einige Hinweise zusammengetragen, um die oft etablierte Herangehensweise “Frage nicht, mach es einfach und erzähle es keinem” zu vermeiden:

1. Klassifizierung von Nutzergruppen

Nutzer in verschiedene Klassen einteilen, je nach Aufgabengebiet, erforderlichen Fähigkeiten und Anforderungen an Mobilität und innovativen Werkzeugen. Für die verschiedenen Nutzer jeweils spezielle Richtlinien und Prozesse bei Fehlerbehebungen/Störungsbearbeitung erstellen. Nutzergruppen mit erweiterten Berechtigungen und Möglichkeiten müssen organisatorisch stärker zur Verantwortung gezogen werden, haben anderen Anspruch bei Ausfall von Diensten und andere Servicevereinbarungen.

2. Standardnutzer mit starken Einschränkungen

Diese haben keine administrativen Berechtigungen auf Ihrem PC-Arbeitsplatz. Es existiert ein Warenkorb an zugelassenen Softwareprodukten, die zusätzlich installiert werden können. Die Änderungs- und Abnahmeprozesse zur Aufnahme/Abkündigung des Warenkorbs sind mit verantwortlichen Rollen definiert. Automatische Konfigurations- und Patchmanagementlösungen sind etabliert. E-Mailrichtlinien und das Monitoring und Filtern von Inhalten sind eingerichtet.

3. Nutzergruppen mit mehr Flexibilität

Aufstellen verschiedener Softwarelisten (grün, gelb und rot). Grüne Softwareprodukte können eigenständig installiert werden. Gelbe Softwareprodukte können je nach Befähigung der Nutzerklasse und Testerfahrung durch die IT flexibel freigegeben werden. Rote Softwareprodukte sind nicht zum Einsatz genehmigt. Inventatisierungsagenten prüfen hierbei den jeweiligen Lizenzierungsstatus. Für spezielle Anwendungsbereiche können Virtuelle Maschinen erstellt werden, um keine Konflikte mit von Anwender eigenständig installierten Anwendungen zu erhalten. Sicherheitsrichtlinien und Netzwerkzugriffsschutz prüfen weiterhin bei der Anmeldung ans Unternehmensnetz, ob der PC die erforderlichen Sicherheitspatche hat und keine Softwareprodukte installiert wurden, die auf der roten Softwareliste stehen. Soweit einzelne Nutzergruppen auch nicht firmenspezifische Hardware einsetzen müssen, kann eine komplette Virtualisierung des unternehmensweiten Standardimage sinnvoll sein.

Die IT-Abteilung kann sicherlich die Klassifizierung der unterschiedlichen Nutzergruppen und Berechtigungen nicht eigenständig vornehmen. Hierbei sollten die Prozessverantwortlichen für die operativen Kernprozesse stark eingebunden werden. Diese müssen auch besonders auf die Vorteile und den Nutzen von PC-Standardisierung und einheitlichen Prozessen hingeweisen werden.

Es bleibt abzuwarten, welche Methoden sich zukünftig als erfolgsversprechend herausstellen. Auf jeden Fall werden die Ansprüche an Flexibilität und Innovationsfähigkeit an die IT-Organisation erheblich wachsen…

Stanford Professor Larry Lessig über Kreaktivität und Recht:

[TEDTALKS LARRYLESSIG-2007_high.flv]