WirtschaftsWoche: Herr Abolhassan, jedes Unternehmen träumt davon, fehlerfrei zu sein. In der IT-Industrie sind Soft- und Hardware-Lieferanten aber weiter denn je davon entfernt. Digitalisierung macht alles zur Software - und die ist inzwischen so komplex, dass vermehrt Schwachstellen auftreten können. Wieso packt jetzt ausgerechnet die Deutsche Telekom dieses schwierige Thema an?
Ferri Abolhassan: Ich wechselte 2008 von SAP in die Geschäftsführung von T-Systems und übernahm 2010 auch die Verantwortung für die IT-Produktion, also unsere Fabrik. Und da war mein Tagesablauf plötzlich von Systemausfällen bestimmt. Das gehört zum Berufsbild, aber 350 große Störfälle im Jahr waren mir einfach zu viel. Und Sie können mir glauben: Wenn bei einem Dax-30-Unternehmen oder einem anderen internationalen Großkunden die IT-Systeme ausfallen, wird der Ton schon nach zehn Minuten rauer. Ich war ständig gezwungen, mich persönlich einzuschalten, eine schnelle Lösung zu finden und die Emotionen zu deeskalieren.
Das hört sich dramatisch an. Und mir leuchtet sofort ein, dass ein verantwortlicher Manager nach Lösungen sucht, um Störfälle zu vermeiden. Aber in einer IT-Industrie, die Software nach dem Prinzip „quick and dirty“ produziert, ist das doch ein aussichtsloses Projekt.
Sie haben völlig recht. Die steigende Vielfalt und Komplexität von Software macht uns das Leben richtig schwer. Bei vielen Millionen Programmierzeilen sind immer Fehler möglich. Trotzdem gibt es auch heute schon gesellschaftliche Bereiche wie die Luftfahrtindustrie und die Militärs, die solche Fehler nicht tolerieren und einen riesigen Strauß von Vorkehrungen und Vorsichtsmaßnahmen treffen, um die Ausfallsicherheit ihrer IT-Systeme auf Top-Werte von mehr als 99,9 Prozent zu steigern. Das ist für uns der Maßstab.
Zur Person
Ferri Abolhassan, 51, ist promovierter Informatiker und seit 2008 Mitglied der Geschäftsführung von T-Systems, der IT-Sparte der Deutschen Telekom. Seit 2015 leitet der Sohn deutsch-persischer Eltern die IT-Division. Anfang 2016 übertrug ihm Telekom-Chef Tim Höttges auch noch den Aufbau des neuen Geschäftsbereichs Telekom Security.
Wo haben Sie denn bei solch einem Mammutprojekt begonnen?
Streng systematisch. Unser Fokus lag zunächst beim Aufbau einer extrem schnellen und professionellen Feuerwehr. Zuerst kam es uns darauf an, alles über kritische Ausfälle zu wissen und sofort ohne Zeitverzug zu handeln. Die Notfall-Teams mussten wir so aufstellen, dass sie parallel mehrere Lösungsansätze verfolgen können. Dazu gehört auch die Einrichtung eines Rund-um-die-Uhr-Notdienstes, an dem sich reihum alle Topmanager beteiligen.
"Beim einen Kunden klappt es, beim nächsten kann alles zusammenbrechen"
Damit haben Sie das Problem aber nicht an der Wurzel gepackt, sondern nur den Heilungsprozess beschleunigt.
Richtig, das war auch nur der erste Schritt. Als nächstes schauten wir uns die Technologie-Plattformen und Prozesse an. Dabei stellten wir fest, dass die größten Risiken beim Patch- und Releasemanagement entstehen. Ständig wollen die Software-Anbieter Updates in ihre Produkte einspielen, ohne vorher zu prüfen, wie sich solch ein Update auf das Zusammenspiel der anderen Komponenten auswirkt.
Weil bei jedem Kunden eine eigene Ansammlung aus individuell zusammen gestellten IT-Komponenten läuft, lassen sich auch die Störungen nur schwer vorhersagen und abschätzen. Bei dem einen Kunden klappt der Patch, beim nächsten kann alles zusammenbrechen. Wichtigster Baustein ist deshalb eine stärkere Standardisierung auf allen technischen Ebenen. Vielfalt ist der Feind einer nachhaltigen und bezahlbaren Qualität. Das alles bringt aber nichts, wenn nicht die Einstellung der Führungskräfte und Mitarbeiter stimmt. Ein einheitliches und verbindliches Training für alle Mitarbeiter und Führungskräfte ist deshalb extrem wichtig. Mehr als 22.000 Beschäftigte haben unsere dafür notwendige Zero-Outage-Schulung deshalb mittlerweile durchlaufen.
Das Zehn-Punkte-Programm der Telekom zur Cyber-Sicherheit
Die Erkenntnisse, die Edward Snowden zur Verfügung gestellt hat, müssen vollständig offengelegt und zugänglich gemacht werden. Nur so können mögliche Schwachstellen im Netz identifiziert und unverzüglich geschlossen werden.
Innerhalb der EU sollten die Mitgliedsländer auf gegenseitiges Ausspionieren des Telekommunikations- und Internetverkehrs verzichten. Auch mit den USA sollte weiterhin ein Abkommen über einen Spionage-Verzicht angestrebt werden.
Sicherheitsbehörden sollten transparent machen, welche Informationen sie über Telekommunikations- und Internetnutzer abfragen. Dazu gehören Anzahl und Art der erfolgten Anfragen und Auskünfte sowie der überwachten Anschlüsse.
Unternehmen müssen Transparenz über Sicherheitsstandards und erfolgte Angriffe schaffen. Nur durch gegenseitige Ergänzung wird ein möglichst umfassender Schutz vor Cyberangriffen erreicht. Die Telekom hat ihre technischen Sicherheitsstandards unter www.telekom.com/sicherheit veröffentlicht und macht Cyberangriffe unter www.sicherheitstacho.eu transparent.
Forschung und Bildung zu Cybersicherheitsthemen müssen verstärkt werden. Die Telekom richtet einen Lehrstuhl für Datenschutz und Datensicherheit an der Hochschule für Telekommunikation in Leipzig ein. Mit der Plattform Teachtoday.de stellt die Telekom zudem Unterrichtsmaterialien für Schulen zum Themenkomplex Sicherheit und Datenschutz bereit.
Analytik und Forensik zur Netzsicherheit müssen verstärkt werden. Dafür sollten die Cyber Emergency Response Teams (CERT) in den Unternehmen ausgebaut und enger verzahnt werden. Neben der Verstärkung ihres Teams fördert die Telekom die Ausbildung von Spezialisten: Gemeinsam mit der IHK Köln wurde 2014 ein neues Qualifikationsprogramm „Cyber Security Professional“ geschaffen. Die Telekom wird in den nächsten Jahren mehrere hundert Mitarbeiter zu IT-Sicherheitsexperten weiterqualifizieren.
Perspektivisch sollten die Inhalte auf dem Übertragungsweg Ende zu Ende verschlüsselt werden. Hier sind Hersteller, Netzbetreiber und Diensteanbieter gleichermaßen gefordert, einfache Lösungen für Kunden zu entwickeln. Die Telekom setzt sich bei den Standardisierungsgremien für einheitliche Verschlüsselungstechniken ein.
Netzbetreiber dürfen sich nicht von einzelnen Herstellern kritischer Infrastrukturkomponenten abhängig machen. Die Telekom führt für diese Elemente eine so genannte georedundante Dual-Vendor-Strategie ein. Bei kritischen Komponenten setzt die Telekom Produkte von mindestens zwei Herstellern aus unterschiedlichen geographischen Regionen ein.
Hersteller von Hard- und Software müssen genauso wie Netz- und Diensteanbieter bekannte Schwachstellen unverzüglich beseitigen. Die Telekom wird ihre Zulieferer dazu verpflichten. Bei besonders kritischen Komponenten sollte die Sicherheit der Produkte durch eine unabhängige Prüfstelle nachgewiesen werden. Das IT-Sicherheitsgesetz sowie die entsprechende Richtlinie der EU sollten das aufgreifen.
Daten dürfen beim Transport durch das Internet keine Umwege durch andere Rechtsräume nehmen. Im Telekom-Netz ist das Internet der kurzen Wege bereits realisiert. Diesen Ansatz will die Telekom mit einer Selbstverpflichtung aller Internetprovider weiter vorantreiben. Damit würde ein unberechtigter Zugriff auf die in Europa transportierten Daten von außerhalb deutlich erschwert.
Damit bekommen Sie aber nur Ihre eigenen Probleme in den Griff. Wie wollen Sie Ihre Lieferanten auf qualitativ hochwertige Software ohne Fehler einschwören?
Mittlerweile sehen alle ein, dass wir gemeinsam an einem Strang ziehen müssen. Informationstechnik zieht sich durch alle Bereiche des beruflichen und privaten Lebens, da wächst auch das Pflichtgefühl für Qualitätssicherung. Die Telekom wird als Partner und Kunde sehr geschätzt, deshalb können wir unseren Lieferanten konkrete Qualitätsvorgaben machen. Wichtig ist jetzt, dass wir eine branchenweite Debatte über qualitativ hochwertige Hard- und Software, Plattformen und Prozesse lostreten.
Wir müssen das Null-Fehler-Prinzip zum Marktstandard und Gütesiegel entwickeln. Insbesondere beim Aufbau und Betrieb superkritischer IT-Systeme brauchen wir einen Baukasten mit fehlerfreien Komponenten, auf den wir jederzeit zugreifen können. Wir sind mit einigen Herstellern im Gespräch, wie wir noch in diesem Jahr zu einem übergreifenden Industriestandard kommen zum Beispiel für Release Management, Testzyklen, robuste Bauart technischer Komponenten, Prozesse im Störungs-Management und einheitliche Zertifizierung der Mitarbeiter. Genau diese Diskussion wollen wir am 9. Juni in unserer ersten Zero-Outage-Konferenz in Berlin öffentlich starten, zu der wir über 100 Manager aus 15 unterschiedlichen Industrien eingeladen haben.