6. CIO-Austausch zur Corona-Krise: Return to Office Strategie

Analog zu den rückläufigen täglichen Neuansteckungen sowie den Lockerungsdiskussionen in Politik und Wirtschaft haben die Unternehmen begonnen, Ihre Return to Office Strategien festzuklopfen. Außerdem diskutierten die wiederum 60 Teilnehmer des virtuellen Meetings über den Umgang mit Software-Anbietern in der Krise und über einige kritische Sicherheitsvorfälle der vergangenen Woche.

Der Group CIO eines deutschen DAX Konzerns stellte die Return to Office Strategie seines Unternehmens vor, das 60 Business Units und weltweit 3000 Standorte hat. Dabei gibt der Konzern Prinzipien vor, an die sich alle Niederlassungen weltweit halten müssen. Wenn Sie davon abweichen wollen, müssen die Niederlassungen sich vorher gegenüber der Zentrale erklären Einige dieser Prinzipien sind:

  • Jede Landesniederlassung erfüllt die Regelungen und Gesetze des jeweiligen Landes
  • Nach Aufhebung des Shutdowns gibt sich das Unternehmen noch einen Puffer von einer Woche und beginnt danach mit dem Return to Office.
  • Bis zum Ende der Pandemie ist Home-Office der Standard.
  •  Wie der Return to Office im jeweiligen Land erfolgt, wird von der Niederlassungsleitung im Land entschieden.
  • Das Social Distancing in den Büros muss eingehalten werden
  • Risiko-Mitarbeiter (z.B. über 60igjährige, Schwangere) dürfen auch bei Lockerungen nicht zurück ins Büro. Sie dürfen erst nach Ende der Pandemie.

Rückkehr in 3 Wellen

Das Unternehmen unterteilt die Rückkehr ins Büro in die Phasen Vorbereitung, Kommunikation, Rückkehr in 3 Wellen. Zur Vorbereitung zählen zum Beispiel entsprechende Facilitymanagement-Maßnahmen oder auch die stärkere Aktivierung des Helpdesks in der IT. Bei der Kommunikation geht es unter anderem darum, den Zeitpunkt zu klären, an dem die Rückkehr stattfinden soll und wie er den Mitarbeitenden kommuniziert wird. Ebenfalls in diesen Handlungsbereich gehört die Festlegung und Kommunikation der lokalen Vorgehensweise. Dabei gilt: Es gibt nur eine Vorgehensweise pro Land.  Die eigentliche Rückkehr erfolgt in drei Wellen. In der ersten Welle kehren höchstens 30 Prozent der Mitarbeitenden zurück ins Büro. Nach 4 Wochen rücken weitere Mitarbeiter nach, bis 50 % der Belegschaft wieder im Office arbeiten. Nach weiteren 4 Wochen sollen alle Mitarbeiter wieder im Office arbeiten. Vorausgesetzt es gibt keine neuerlichen Einschränkungen.

Home-Office und Dienstreisen genauer betrachten

Nach „offiziellem“ Ende der Krise, hat sich der Konzern vorgenommen „sehr genau darauf zu schauen, was wir gelernt haben“.  In jedem Fall würden die Themen Home-Office und Dienstreisen genauer betrachtet.

In der anschließenden Diskussion wurden noch einige andere Punkte und Erfahrungen angesprochen:

  • Der CIO eins anderen großen Unternehmens berichtete, dass ab Ende nächster Woche Mitarbeitende wieder in ihre Büros zurückzukehren beginnen. Das dürfen in einem ersten Schritt aber nicht mehr als 10 bis 15 Prozent der Belegschaft sein. Der Arbeitgeber achtet auf die Mindestabstände, stellt Masken und Desinfektionsmittel bereit. Die Rückkehr wird während der Pandemie nicht angeordnet. Die IT verlängert ihre Zeit im Home-Office bis Ende Mai. Die bisherigen Erfahrungen zeigen, dass dort sehr effizient gearbeitet wird.
  • Ähnlich verhält es sich bei einem internationalen Automobilzulieferer. Die Büros sind weitgehend verwaist. Wer will kann ins Büro, Masken und Desinfektion werden zur Verfügung gestellt.
  • Onboarding neuer Mitarbeiter: Ein Teilnehmer berichtete, dass Neuankömmlinge sofort in die täglichen digitalen Stand-up-Meetings eingebunden werden und einen Buddy zur Seite gestellt bekommen, der sie während der Onboarding-Zeit begleitet.

Security-Lücken und Bewegungen im Lizenzdschungel

Neben diesem Impuls gab Dirk Ockel, Leiter des VOICE Cyber Security Competence Center (CSCC) einen kurzen Überblick über Schwachstellen mit hoher Kritikalität:

  • In IBMs Data Risk Manager ermöglichen vier Zero-Day-Schwachstellen Authentication Bypass, Command Injection, Download beliebiger Daten, Verwendung unsicherer Standardpassworts erlaubt.  betroffen sind DRM von 2.0 bis 2.03, bei weiteren Versionen wird vermutet, dass sie betroffen sind. Bis jetzt sind keine Updates verfügbar.
  • Die CISA warnt vor aktiver Ausnutzung einer bereits gepatchten Schwachstelle im Pulse Secure VPN Server. Die Kritikalität der Schwachstelle wird mit 10 von 10 eingestuft. Das CSCC empfiehlt das Update der Active Directory sowie die Änderung entsprechender Passworte.
  • Und natürlich berichtete Ockel von der Zero-Click-Schwachstelle in Apples Mail Applikation. Die Schwachstelle gibt es seit iOS 6, also seit rund acht Jahren. Aber sie seit jetzt erst entdeckt worden. Allerdings muss es weitere Schwachstellen geben, damit die Vulnerability vollständig ausgenutzt werden kann. Bis jetzt gibt es noch keine Hinweise, dass diese Schwachstelle aktiv ausgenutzt worden ist. Einige CIOs im VOICE-Austausch berichteten, dass sie die Nutzung des Apples-Mail Clients ausgesetzt haben. Ein CIO berichtete sogar vom Löschen der über diesen Client empfangenen /versendeten Mails, weil der Schadcode auch in den Mails enthalten sein könne und keine Aktivität (Zero-Click) eines Nutzers benötige, um sich weiter zu verbreiten.

Stephanie Engelhardt, Leiterin des VOICE Vendor Observer Competence Center (VOCC) berichtete von den zahlreichen Lizenzaktivitäten bei Microsoft vor allem in Bezug auf Office 365.

  • Microsoft verlängert seine ausgegebenen Trainings-Voucher um 90 Tage. In bestimmten Bereichen lassen sich über die Gutscheine auch Beratungsleistungen über die Microsoft-Dienstleister einkaufen.
  • Der Hersteller hat für Office 365 eine Billiglizenz von 4 Dollar angekündigt, die für nicht regelmäßige Nutzer ohne ein eigenes Endgerät gedacht ist.  Die Lizenz gewährt nur deutlich eingeschränkte Nutzung von Office 365.
  • Mit M365 Unattended Licence of M365 unattended License& O365 per-device licence will Microsoft neue Lizenzformen einführen. Gerade die Bedingungen für die unattended Licence scheinen recht komplex zu sein. Hier sollten sich Anwenderunternehmen aktiv informieren, ob sie solche Lizenzen erwerben müssen oder nicht.

Umgang mit kriselnden Anbietern

VOICE-Justiziar Ulrich Bäumer ging in seinem kurzen Impulsvortrag auf den Umgang mit IT-Dienstleistern oder Anbietern ein, die selbst in die Krise geraten sind. Er empfiehlt solche in die Krise geratenen Unternehmen zu unterstützen, vor allem wenn sie für das eigene Unternehmen leistungsrelevant sind zum Beispiel durch die Bereitschaft zur Vorkasse. Bei Anbietern, die bereits in Insolvenz sind, prüfen ob Verrechnungen möglich sind oder Maßnahmen zur Zwangsvollstreckung einleiten. Bäumer forderte die Teilnehmer des VOICE-CIO-Austausches auf, auf bestimmte Verhaltensweisen des Anbieters zu achten, die auf eine Krise schließen lassen:

  • Qualitätseinbußen
  • Kampfpreise und Extremrabatte
  • Leistungsengpässe
  • Überhöhte Stundenabrechnungen
  • Kurzarbeit oder Entlassungen
  • Austausch der Geschäftsführung
  • Wechsel der Gesellschaftsform bzw. Firmierung
  • Wechsel von langjährigen Ansprechpartnern
  • Bitte um Vorauszahlung

Dieser Beitrag wurde ursprünglich am 30.04. 2020 veröffentlicht. Die erneute Publikation ist aufgrund eines Datenbankverlustes notwendig geworden.