Projekt Phoenix. Kevin Behr
brauchen. Diese Audit-Ergebnisse sind eine tolle Gelegenheit, einige der großen Sicherheitslücken zu schließen.«
»Ihr beide habt doch gar keine Ahnung, was ihr da tun wollt!«, sagt Wes zu John und Tim – ganz offensichtlich außer sich vor Wut. »Einige der Server, auf denen diese ERP-Systeme laufen, sind schon über 20 Jahre alt. Die halbe Firma wird stillstehen, wenn sie abstürzen, und den Hersteller gibt es schon seit Ewigkeiten nicht mehr! Diese Kisten sind so fragil, dass sie schon bei einem schiefen Blick zur falschen Tageszeit abstürzen und dann mit allerlei Voodoo wieder zum Leben erweckt werden müssen. Die von euch vorgeschlagenen Änderungen würden die niemals überstehen!«
Er lehnt sich über den Tisch und deutet mit seinem Finger auf John. »Sie wollen die Systeme selbst patchen? Bitte sehr. Aber ich will ein von Ihnen unterschriebenes Dokument, in dem steht, dass Sie zu allen Werken fliegen und bei den dortigen Chefs zu Kreuze kriechen, wenn das System zum Stillstand kommt. Und gleichzeitig können Sie auch erklären, warum keiner seine Ziele erreichen wird. Okay?«
Meine Augen weiten sich vor Erstaunen, als sich John Wes’ Finger noch entgegenlehnt und empört sagt: »Oh ja? Was wäre denn, wenn wir überall in den Nachrichten sind, weil wir Kundendaten verloren haben, die wir hätten schützen müssen? Werden Sie sich dann persönlich bei den Millionen Familien entschuldigen, deren Daten an die russische Mafia verkauft wurden?«
Ich sage: »He, jetzt beruhigt sich jeder mal. Wir wollen alle das Richtige für die Firma tun. Der Trick ist, herauszufinden, wofür wir Zeit haben und welche Systeme sich tatsächlich patchen lassen.«
Ich schaue mir den Stapel Papier an. Wes, Patty und ich können ein paar Leute beauftragen, die Punkte durchzuschauen, aber wer erledigt die dann liegen bleibende Arbeit? Wir haben schon mit Phoenix zu viel um die Ohren, und ich fürchte, dass uns dieses neue große Projekt das Genick brechen wird.
Zu Nancy sage ich: »Ich werde mit meinem Team gleich loslegen, und wir werden einen Plan vorstellen. Ich kann nicht versprechen, dass wir unseren Response Letter bis dahin fertig haben, aber ich kann versprechen, dass wir alles tun, was möglich ist. Ist das ausreichend?«
»Ja, das ist es«, sagt Nancy gütlich. »Ziel dieses Meetings war nur, die vorläufigen Audit-Ergebnisse durchzugehen und die nächsten Schritte festzulegen.«
Als das Meeting zu Ende ist, bitte ich Wes, noch kurz zu warten.
John bekommt das mit und bleibt auch da. »Das ist ein Desaster. All meine Ziele und Boni hängen daran, einen sauberen Compliance-Report für die SOX-404- und PCI-Audits zu haben. Das wird dieses Jahr nicht klappen – und nur, weil ihr Ops-Leute eure Aufgaben nicht erledigt!«
»Willkommen im Klub«, sage ich.
Um ihn loszuwerden, fahre ich fort: »Sarah und Steve haben entschieden, den Deployment-Termin für Phoenix auf nächsten Freitag vorzuziehen. Sie wollen alle Sicherheits-Reviews absagen. Es ist wohl besser, wenn Sie direkt mit Chris und Sarah sprechen.«
Wie erwartet, flucht John und stürmt hinaus.
Ermattet lehne ich mich in meinem Stuhl zurück und sage zu Wes: »Das ist nicht unsere Woche.«
Wes lacht humorlos. »Ich habe dir doch gesagt, dass dir die Geschwindigkeit hier den Kopf platzen lassen wird.«
Ich zeige auf die Audit-Ergebnisse. »Wir sollen all unsere wichtigen Ressourcen für Phoenix freihalten, aber damit sind alle beschäftigt. Wir können nicht zufällig einen Haufen Leute aus dem Hut zaubern, oder?«
Wes schüttelt den Kopf, sein Gesicht ist ungewöhnlich angespannt.
Er blättert den Stapel Papier erneut durch. »Die Technologiechefs müssen auf jeden Fall dabei sein. Aber wie du schon sagst – sie sind alle mit Phoenix beschäftigt. Sollen wir hier umplanen?«
Ich weiß es ehrlich nicht. Wes starrt einen Moment auf eine der Seiten. »Ach ja, für einen ganzen Haufen dieser Punkte werden wir Brent brauchen.«
»Oh komm«, maule ich. »Brent, Brent, Brent, Brent! Können wir denn gar nichts ohne ihn machen? Schau uns an! Wir versuchen, auf Management-Ebene über Zusagen und Ressourcen zu reden, und es geht immer nur um eine Person! Es ist mir egal, wie begabt er ist. Wenn du mir sagen willst, dass unsere Organisation ohne ihn nichts auf die Reihe bekommt, haben wir echt ein Problem.«
Wes zuckt etwas verlegen seine Schultern. »Er ist ohne Zweifel einer unserer besten Leute. Er ist wirklich pfiffig und weiß viel über so gut wie alles, was wir hier einsetzen. Zudem ist er einer der wenigen, der tatsächlich versteht, wie die ganzen Anwendungen hier in der Firma untereinander in Verbindung stehen. Mann, der Kerl weiß vermutlich mehr darüber, wie diese Firma läuft, als ich.«
»Du bist ein Senior Manager. Das sollte für dich genauso inakzeptabel sein wie für mich!«, sage ich steif. »Wie viele Brents brauchst du denn mehr? Einen, zehn oder hundert? Steve muss all diese Arbeit priorisieren. Von dir muss ich wissen, welche Ressourcen wir brauchen. Wenn ich Steve nach mehr Ressourcen frage, will ich nicht erst bei euch nachhaken müssen.«
Er verdreht die Augen. »Ich werde dir erzählen, was passieren wird. Wir werden zum Management gehen und unseren Fall vorstellen. Sie werden nicht nur Nein sagen, sondern uns auch noch das Budget um fünf Prozent kürzen.
Das ist die letzten fünf Jahre passiert. Und weiterhin wird jeder alles gleichzeitig haben wollen und unsere To-do-Liste immer weiter füllen.«
Aufgeregt redet er weiter: »Und nur damit du es weißt: Ich habe schon versucht, mehr Brents einzustellen. Weil ich nie zusätzliches Budget erhalten habe, musste ich eine ganze Reihe von Positionen wegfallen lassen, um vier sehr erfahrene Entwickler einzustellen, die ähnlich gut wie Brent sind. Und weißt du, was passiert ist?«
Ich hebe fragend eine Augenbraue.
»Die Hälfte hat innerhalb von einem Jahr gekündigt, und die, die noch da sind, sind bei Weitem nicht so produktiv, wie ich es gern hätte. Ich habe zwar keine Daten, die das beweisen können, aber ich vermute, Brent ist mehr unter Wasser als je zuvor. Er beschwert sich, dass er zu viel Zeit damit verbringt, die neuen Leute zu trainieren und ihnen zu helfen. Mittlerweile ist er echt am Ende. Und gleichzeitig ist er überall dabei.«
Ich antworte: »Du sagst, dass die Leute ›unsere To-do-Liste füllen‹. Wie sieht die Liste im Moment aus? Wo kann ich eine Kopie bekommen? Wer verwaltet die Liste?«
Wes antwortet langsam: »Nun, da sind die Businessprojekte und die verschiedenen IT-Infrastrukturprojekte. Aber viele der Zusagen sind gar nicht dokumentiert.«
»Wie viele Businessprojekte? Wie viele Infrastrukturprojekte?«, frage ich.
Wes schüttelt den Kopf. »Ich weiß es nicht auswendig. Ich kann die Liste der Businessprojekte von Kirsten organisieren, aber ich bin nicht sicher, ob irgendjemand die Antwort auf deine zweite Frage kennt. Diese Projekte kommen nicht beim Projektmanagement-Büro vorbei.«
Langsam wird mir flau im Magen. Wie können wir die produktiven Systeme ordentlich betreuen, wenn wir nichts über die Anforderungen, die Prioritäten, den Arbeitsfortschritt und die verfügbaren Ressourcen wissen? Ich ärgere mich, dass ich diese Fragen nicht gleich am ersten Tag gestellt habe.
Aber endlich denke ich wie ein Manager.
Ich rufe Patty an. »Wes und ich wurden gerade vom Audit auseinandergenommen. Sie brauchen eine Reaktion bis Montag nächster Woche. Du musst mir dabei helfen, herauszufinden, was für Zusagen wir bisher gemacht haben, sodass ich eine Grundlage für ein Gespräch mit Steve über neue Ressourcen habe. Können wir uns darüber unterhalten?«
Sie sagt: »Da bin ich dabei. Kommt einfach her.«
Nachdem Wes Patty kurz über die Folgen des Mammut-Audit-Berichts unterrichtet hat, den er auf ihren Tisch fallengelassen hat, pfeift sie durch die Zähne.
»Weißt du, ich wünschte, du wärst bei dem Meeting mit den Auditoren dabei gewesen«, sage ich. »Die meisten kritischeren Punkte drehten sich darum, dass wir keinen funktionierenden Change-Management-Prozess