6. CIO-Austausch zur Corona-Krise: Return to Office Strategie

Analog zu den rĂŒcklĂ€ufigen tĂ€glichen Neuansteckungen sowie den Lockerungsdiskussionen in Politik und Wirtschaft haben die Unternehmen begonnen, Ihre Return to Office Strategien festzuklopfen. Außerdem diskutierten die wiederum 60 Teilnehmer des virtuellen Meetings ĂŒber den Umgang mit Software-Anbietern in der Krise und ĂŒber einige kritische SicherheitsvorfĂ€lle der vergangenen Woche.

Der Group CIO eines deutschen DAX Konzerns stellte die Return to Office Strategie seines Unternehmens vor, das 60 Business Units und weltweit 3000 Standorte hat. Dabei gibt der Konzern Prinzipien vor, an die sich alle Niederlassungen weltweit halten mĂŒssen. Wenn Sie davon abweichen wollen, mĂŒssen die Niederlassungen sich vorher gegenĂŒber der Zentrale erklĂ€ren Einige dieser Prinzipien sind:

  • Jede Landesniederlassung erfĂŒllt die Regelungen und Gesetze des jeweiligen Landes
  • Nach Aufhebung des Shutdowns gibt sich das Unternehmen noch einen Puffer von einer Woche und beginnt danach mit dem Return to Office.
  • Bis zum Ende der Pandemie ist Home-Office der Standard.
  •  Wie der Return to Office im jeweiligen Land erfolgt, wird von der Niederlassungsleitung im Land entschieden.
  • Das Social Distancing in den BĂŒros muss eingehalten werden
  • Risiko-Mitarbeiter (z.B. ĂŒber 60igjĂ€hrige, Schwangere) dĂŒrfen auch bei Lockerungen nicht zurĂŒck ins BĂŒro. Sie dĂŒrfen erst nach Ende der Pandemie.

RĂŒckkehr in 3 Wellen

Das Unternehmen unterteilt die RĂŒckkehr ins BĂŒro in die Phasen Vorbereitung, Kommunikation, RĂŒckkehr in 3 Wellen. Zur Vorbereitung zĂ€hlen zum Beispiel entsprechende Facilitymanagement-Maßnahmen oder auch die stĂ€rkere Aktivierung des Helpdesks in der IT. Bei der Kommunikation geht es unter anderem darum, den Zeitpunkt zu klĂ€ren, an dem die RĂŒckkehr stattfinden soll und wie er den Mitarbeitenden kommuniziert wird. Ebenfalls in diesen Handlungsbereich gehört die Festlegung und Kommunikation der lokalen Vorgehensweise. Dabei gilt: Es gibt nur eine Vorgehensweise pro Land.  Die eigentliche RĂŒckkehr erfolgt in drei Wellen. In der ersten Welle kehren höchstens 30 Prozent der Mitarbeitenden zurĂŒck ins BĂŒro. Nach 4 Wochen rĂŒcken weitere Mitarbeiter nach, bis 50 % der Belegschaft wieder im Office arbeiten. Nach weiteren 4 Wochen sollen alle Mitarbeiter wieder im Office arbeiten. Vorausgesetzt es gibt keine neuerlichen EinschrĂ€nkungen.

Home-Office und Dienstreisen genauer betrachten

Nach „offiziellem“ Ende der Krise, hat sich der Konzern vorgenommen „sehr genau darauf zu schauen, was wir gelernt haben“.  In jedem Fall wĂŒrden die Themen Home-Office und Dienstreisen genauer betrachtet.

In der anschließenden Diskussion wurden noch einige andere Punkte und Erfahrungen angesprochen:

  • Der CIO eins anderen großen Unternehmens berichtete, dass ab Ende nĂ€chster Woche Mitarbeitende wieder in ihre BĂŒros zurĂŒckzukehren beginnen. Das dĂŒrfen in einem ersten Schritt aber nicht mehr als 10 bis 15 Prozent der Belegschaft sein. Der Arbeitgeber achtet auf die MindestabstĂ€nde, stellt Masken und Desinfektionsmittel bereit. Die RĂŒckkehr wird wĂ€hrend der Pandemie nicht angeordnet. Die IT verlĂ€ngert ihre Zeit im Home-Office bis Ende Mai. Die bisherigen Erfahrungen zeigen, dass dort sehr effizient gearbeitet wird.
  • Ähnlich verhĂ€lt es sich bei einem internationalen Automobilzulieferer. Die BĂŒros sind weitgehend verwaist. Wer will kann ins BĂŒro, Masken und Desinfektion werden zur VerfĂŒgung gestellt.
  • Onboarding neuer Mitarbeiter: Ein Teilnehmer berichtete, dass Neuankömmlinge sofort in die tĂ€glichen digitalen Stand-up-Meetings eingebunden werden und einen Buddy zur Seite gestellt bekommen, der sie wĂ€hrend der Onboarding-Zeit begleitet.

Security-LĂŒcken und Bewegungen im Lizenzdschungel

Neben diesem Impuls gab Dirk Ockel, Leiter des VOICE Cyber Security Competence Center (CSCC) einen kurzen Überblick ĂŒber Schwachstellen mit hoher KritikalitĂ€t:

  • In IBMs Data Risk Manager ermöglichen vier Zero-Day-Schwachstellen Authentication Bypass, Command Injection, Download beliebiger Daten, Verwendung unsicherer Standardpassworts erlaubt.  betroffen sind DRM von 2.0 bis 2.03, bei weiteren Versionen wird vermutet, dass sie betroffen sind. Bis jetzt sind keine Updates verfĂŒgbar.
  • Die CISA warnt vor aktiver Ausnutzung einer bereits gepatchten Schwachstelle im Pulse Secure VPN Server. Die KritikalitĂ€t der Schwachstelle wird mit 10 von 10 eingestuft. Das CSCC empfiehlt das Update der Active Directory sowie die Änderung entsprechender Passworte.
  • Und natĂŒrlich berichtete Ockel von der Zero-Click-Schwachstelle in Apples Mail Applikation. Die Schwachstelle gibt es seit iOS 6, also seit rund acht Jahren. Aber sie seit jetzt erst entdeckt worden. Allerdings muss es weitere Schwachstellen geben, damit die Vulnerability vollstĂ€ndig ausgenutzt werden kann. Bis jetzt gibt es noch keine Hinweise, dass diese Schwachstelle aktiv ausgenutzt worden ist. Einige CIOs im VOICE-Austausch berichteten, dass sie die Nutzung des Apples-Mail Clients ausgesetzt haben. Ein CIO berichtete sogar vom Löschen der ĂŒber diesen Client empfangenen /versendeten Mails, weil der Schadcode auch in den Mails enthalten sein könne und keine AktivitĂ€t (Zero-Click) eines Nutzers benötige, um sich weiter zu verbreiten.

Stephanie Engelhardt, Leiterin des VOICE Vendor Observer Competence Center (VOCC) berichtete von den zahlreichen LizenzaktivitÀten bei Microsoft vor allem in Bezug auf Office 365.

  • Microsoft verlĂ€ngert seine ausgegebenen Trainings-Voucher um 90 Tage. In bestimmten Bereichen lassen sich ĂŒber die Gutscheine auch Beratungsleistungen ĂŒber die Microsoft-Dienstleister einkaufen.
  • Der Hersteller hat fĂŒr Office 365 eine Billiglizenz von 4 Dollar angekĂŒndigt, die fĂŒr nicht regelmĂ€ĂŸige Nutzer ohne ein eigenes EndgerĂ€t gedacht ist.  Die Lizenz gewĂ€hrt nur deutlich eingeschrĂ€nkte Nutzung von Office 365.
  • Mit M365 Unattended Licence of M365 unattended License& O365 per-device licence will Microsoft neue Lizenzformen einfĂŒhren. Gerade die Bedingungen fĂŒr die unattended Licence scheinen recht komplex zu sein. Hier sollten sich Anwenderunternehmen aktiv informieren, ob sie solche Lizenzen erwerben mĂŒssen oder nicht.

Umgang mit kriselnden Anbietern

VOICE-Justiziar Ulrich BĂ€umer ging in seinem kurzen Impulsvortrag auf den Umgang mit IT-Dienstleistern oder Anbietern ein, die selbst in die Krise geraten sind. Er empfiehlt solche in die Krise geratenen Unternehmen zu unterstĂŒtzen, vor allem wenn sie fĂŒr das eigene Unternehmen leistungsrelevant sind zum Beispiel durch die Bereitschaft zur Vorkasse. Bei Anbietern, die bereits in Insolvenz sind, prĂŒfen ob Verrechnungen möglich sind oder Maßnahmen zur Zwangsvollstreckung einleiten. BĂ€umer forderte die Teilnehmer des VOICE-CIO-Austausches auf, auf bestimmte Verhaltensweisen des Anbieters zu achten, die auf eine Krise schließen lassen:

  • QualitĂ€tseinbußen
  • Kampfpreise und Extremrabatte
  • LeistungsengpĂ€sse
  • Überhöhte Stundenabrechnungen
  • Kurzarbeit oder Entlassungen
  • Austausch der GeschĂ€ftsfĂŒhrung
  • Wechsel der Gesellschaftsform bzw. Firmierung
  • Wechsel von langjĂ€hrigen Ansprechpartnern
  • Bitte um Vorauszahlung

Dieser Beitrag wurde ursprĂŒnglich am 30.04. 2020 veröffentlicht. Die erneute Publikation ist aufgrund eines Datenbankverlustes notwendig geworden.

Lesen Sie mehr zum Thema

CIO-Erfahrungsaustausch: AufsichtsrÀte haben zu wenig Digitalkompetenz

Die Eckpfeiler einer guten Technikstrategie

VOICE-FrĂŒhstĂŒcksgesprĂ€ch IT-Produktorganisation: Zusammenarbeit schlĂ€gt Struktur