Projekt Phoenix. Kevin Behr
anschaffen. Die Vierzig sind schließlich nicht mehr fern.
Ich wähle die Nummer, und nach einem Klingeln wird abgenommen. »John hier.«
Ich erzähle ihm kurz von den Problemen mit dem Payroll-Lauf und dem SAN und frage dann: »Haben Sie gestern irgendwelche Änderungen an der Zeiterfassungsanwendung vorgenommen?«
Er sagt: »Das klingt nicht gut, aber ich kann versichern, dass wir nichts an Ihren Midrange-Systemen getan haben. Tut mir leid, da kann ich nicht helfen.«
Ich seufze. Eigentlich hätte doch mittlerweile Steve oder Laura eine Info zu meiner Beförderung herumschicken können. Anscheinend muss ich meine neue Rolle heute jedem erklären.
Vielleicht wäre es einfacher, die Ankündigung selbst zu verschicken.
Also wiederhole ich in Kurzform meine hastige Beförderung. »Wes, Patty und ich haben gehört, dass Sie gestern mit Max irgendetwas Wichtiges ausgeliefert haben. Worum ging es da?«
»Luke und Damon sind weg?« John klingt überrascht. »Ich hätte nie gedacht, dass Steve tatsächlich beide wegen der Resultate eines Compliance-Audits feuern würde. Aber wer weiß? Vielleicht ändert sich jetzt hier mal etwas. Lassen Sie sich das eine Lehre sein, Bill. Die Operations-Leute können Security-Fragen nicht immer mit Füßen treten. Nur ein freundlicher Rat ...
Da wir gerade dabei sind – ich frage mich sowieso, wie uns die Konkurrenz immer wieder zuvorkommen kann«, fährt er fort. »Wie sagt man so schön: Einmal ist Zufall, zweimal ist Glück, dreimal muss der Feind seine Finger im Spiel gehabt haben. Vielleicht sind die E-Mail-Systeme des Vertriebs gehackt worden. Das würde erklären, warum uns so viele Abschlüsse durch die Lappen gehen.«
John redet weiter, aber ich denke immer noch über seine Vermutung nach, dass Luke und Damon vielleicht wegen einer Security-Sache gefeuert wurden. Das ist möglich – John kennt eine ganze Menge wichtiger Menschen, zum Beispiel Steve und den Aufsichtsrat, aber auch interne und externe Auditoren.
Wie auch immer, ich bin sicher, dass Steve als Grund für die Kündigung von Luke und Damon weder John noch die Information Security genannt hat – nur die Notwendigkeit, sich auf Phoenix zu konzentrieren.
Ich schaue Patty fragend an. Sie verdreht die Augen und tippt sich an die Stirn – sie ist eindeutig der Meinung, dass John spinnt.
»Hat Steve Ihnen irgendwelche Einblicke in die neue Organisationsstruktur gegeben?«, frage ich aus reiner Neugier. John beschwert sich immer darüber, dass die Information Security zu wenig Priorität besitzt. Er versucht ständig, mit dem CIO gleichgestellt zu werden, weil dadurch ein inhärenter Interessenkonflikt gelöst würde. Meines Wissens hatte er damit bisher keinen Erfolg.
Es ist kein Geheimnis, dass Luke und Damon John so weit wie möglich außen vor ließen, damit er keinen Einfluss auf die Leute bekam, die die eigentliche Arbeit erledigten. Aber trotz ihrer Bemühungen schaffte John es immer wieder, bei Besprechungen dabei zu sein.
»Was? Ich habe keine Ahnung, was passiert«, sagt er gekränkt. Offensichtlich habe ich da einen Nerv getroffen. »Ich werde wieder im Dunkeln gelassen, wie immer. Vermutlich bin ich der Letzte, der es erfährt. Bis Sie mir davon erzählt haben, dachte ich, ich würde weiterhin an Luke berichten. Und jetzt weiß ich gar nicht, wer mein Chef ist. Haben Sie das von Steve erfahren?«
»Das ist nicht meine Gehaltsklasse – ich weiß so wenig wie Sie«, antworte ich und spiele den Dummen. Schnell wechsle ich das Thema und frage: »Was können Sie uns über die Änderungen an der Zeiterfassungs-App sagen?«
»Ich werde Steve anrufen und herausfinden, was da vor sich geht. Vermutlich hat er vergessen, dass Information Security überhaupt existiert«, fährt er fort und ich frage mich, ob wir überhaupt noch über die Payroll sprechen können.
Zu meiner Erleichterung sagt er: »Ach ja, Sie haben nach Max gefragt. Wir hatten ein dringendes Audit-Problem beim Speichern von PII – also Personally Identifiable Information –, etwa bei den SSNs, also den Sozialversicherungsnummern, aber auch bei den Geburtstagen und so weiter. Das EU-Recht und mittlerweile viele US-Staaten verbieten das Speichern solcher Daten. Das war ein großes Thema beim letzten Audit. Ich wusste, dass mein Team die Firma mal wieder vor sich selbst würde schützen müssen, bevor wir erneut eins auf die Mütze bekommen. Das wäre ein gefundenes Fressen für die Medien, oder?«
Er fährt fort: »Wir haben ein Produkt gefunden, das diese Information verschlüsselt, sodass wir die SSNs nicht länger speichern müssen. Das sollte schon vor über einem Jahr installiert werden, aber trotz meines Drängens ist das nie geschehen. Jetzt ist uns die Zeit davongelaufen. Die Auditoren der Payment Card Industry – also PCI – kommen Ende des Monats, und ich habe Druck gemacht, damit das Zeiterfassungsteam endlich etwas tut.«
Sprachlos starre ich das Telefon an.
Einerseits bin ich verzückt, dass wir John sozusagen noch mit rauchender Pistole in der Hand erwischt haben. Johns Beschreibung vom SSN-Feld passt genau zu Anns Beschreibung der kaputten Daten.
Andererseits: »Mal sehen, ob ich das richtig verstanden habe ...«, sage ich langsam. »Sie haben diese Verschlüsselungsanwendung installiert, um ein Audit-Problem zu beheben. Dadurch konnte die Gehaltsabrechnung nicht durchlaufen, und Dick und Steve gehen jetzt die Wände hoch?«
John reagiert gereizt. »Erstens bin ich ziemlich sicher, dass das Verschlüsselungsprodukt nicht die Ursache für das Problem ist. Das ist undenkbar. Der Hersteller hat uns versichert, dass es keine Probleme machen wird, und wir haben all ihre Referenzen geprüft. Zweitens haben Dick und Steve jeden Grund, die Wände hochzugehen: Compliance ist nicht optional. Es ist Pflicht. Meine Aufgabe ist es, sie aus den orangefarbenen Overalls herauszuhalten, darum habe ich getan, was ich tun musste.«
»Orangefarbene Overalls?«
»Na ja, halt das, was man im Gefängnis trägt. Mein Job ist es, dafür zu sorgen, dass das Management alle relevanten Gesetze, Vorschriften und Verträge einhält. Luke und Damon waren viel zu sorglos. Sie haben zu viel davon ignoriert, sodass unser Audit- und unser Security-Stand ernsthaft bedroht waren. Wenn ich nicht wäre, würden wir vermutlich mittlerweile alle im Gefängnis sitzen.«
Ich dachte, wir würden hier über ein Problem mit der Gehaltsabrechnung reden, nicht über Gefängnisaufenthalte.
»John, wir haben Prozesse und Prozeduren, wie man Änderungen auf Produktivsystemen einführt«, meldet sich Patty zu Wort. »Sie haben sie umgangen und für ein weiteres großes Problem gesorgt, das wir nun beheben müssen. Warum haben Sie sich nicht an den Prozess gehalten?«
»Ha! Ein guter Witz, Patty«, schnaubt John. »Ich habe mich an den Prozess gehalten. Wissen Sie, was Ihre Leute mir gesagt haben? Die nächste Möglichkeit für ein Deployment wäre in vier Monaten. Hallo? Die Auditoren kommen nächste Woche!« Unnachgiebig fährt er fort: »Sich an Ihren bürokratischen Prozess zu halten, war einfach nicht möglich. Wenn Sie an meiner Stelle gewesen wären, hätten Sie dasselbe getan.«
Patty wird rot. Ich sage ruhig: »Laut Dick haben wir weniger als fünf Stunden, um die Zeiterfassungsanwendung wieder zum Laufen zu bringen. Nachdem wir wissen, dass es eine Änderung bezüglich der SSNs gab, haben wir, glaube ich, alles, was wir brauchen.«
Ich fahre fort: »Max, der bei der Änderung geholfen hat, ist heute in Urlaub. Wes oder Brent werden Sie kontaktieren, um mehr über das Verschlüsselungsprodukt zu erfahren, das Sie eingesetzt haben. Ich gehe davon aus, dass Sie ihnen alles erzählen, was sie wissen müssen. Das ist sehr wichtig.«
John stimmt zu, und ich danke ihm, dass er Zeit für uns übrig hatte. »Moment, eine Frage noch. Warum glauben Sie, dass das Produkt nicht für den Fehler verantwortlich ist? Haben Sie die Änderung getestet?«
Es ist kurz still in der Leitung, bevor John antwortet. »Nein, wir konnten die Änderung nicht testen. Es gibt keine Testumgebung. Anscheinend hat Ihr Team vor Jahren Budget angefordert, aber ...«
Ich hätte es wissen müssen.
»Nun, das sind doch gute Neuigkeiten«,