EFS Podcast
Der Podcast von EFS Consulting liefert neue Perspektiven, Wissensimpulse und Einblicke zu aktuellen Themen und Fragestellungen der Business-Welt. Wie etwa aus dem Bereich Automotive, Mobilität, IT, Agilität, digitale Transformation und Unternehmenskultur. Dabei werden nicht nur die Themen beleuchtet, sondern auch die EFS Expert:innen, die dahinter stehen. Sie erzählen von ihrem Werdegang, dem Consulting-Alltag und ihrer persönlichen Motivation. Lernen Sie EFS #realpeople und das #realbusiness kennen – was sie bewegt und was sie bewegen.
EFS Podcast
Season 3 - #29 Governance in IT-Projekten: Wie Unsichtbares sichtbar wird | Anna-Marija Parancin-Komšić & Vladan Stojanovic
In dieser Episode des EFS Podcasts dreht sich alles um das Thema Governance Pipeline – ein oft unterschätzter, aber zentraler Erfolgsfaktor in komplexen Veränderungsvorhaben.
Anna-Marija Parancin-Komšić, Project Manager bei EFS Consulting, und Vladan Stojanovic, Lead IT Architect bei Mercedes-AMG, sprechen mit Host Irene Racher darüber, wie Governance nicht nur für Struktur sorgt, sondern vor allem Umsetzungskraft schafft. Sie erklären, warum klar definierte Rollen, transparente Entscheidungen und konsistente Prozesse den Unterschied machen – besonders dann, wenn mehrere Projekte gleichzeitig laufen oder strategische Initiativen in der Umsetzung drohen, an Fahrt zu verlieren.
Wie gelingt der Spagat zwischen Steuerung und Flexibilität?
Welche Stolpersteine gilt es zu vermeiden?
Und warum braucht es mehr Dialog zwischen Business, IT und Projektverantwortlichen?
Anna-Marija und Vladan teilen konkrete Erfahrungen aus der Praxis – kompakt, nachvollziehbar und mit Blick aufs Wesentliche.
🎧 Jetzt reinhören – und erfahren, wie die Governance Pipeline zum echten Hebel für erfolgreiche Transformation wird.
Mehr zum Thema Transformation, Strategieumsetzung & Governance unter: https://efs.consulting/insight/it-governance-pipeline/
Ergänzend zur Folge lohnt sich ein Blick auf die Visualisierung der weltweit größten Datenpannen und Cyberangriffe: informationisbeautiful.net – World's Biggest Data Breaches & Hacks.
Gäste:
Anna-Marija Parancin-Komšić | LinkedIn
Host:
Irene Racher | LinkedIn
00:00:04 Vladan
Und oftmals ist es auch so, dass wir als Bad Cops gesehen werden, also gerade.it Sicherheit oder IT Security, wir aber gar nicht die Bad Cops sind.
00:00:11 Irene
sagt Vladan Stojanovic, lead IT, Architekt bei Mercedes AMG. Er und EFS Project Managerin Anna-Marija Parancin-Komsic erzählen uns heute, wie mit der Einführung einer Governance Pipeline bei Mercedes AMG gleich mehrere Fliegen mit einer Klappe geschlagen wurden. Mein Name ist
00:00:29 Irene
Irene Racher und ich wünsche viel Vergnügen beim Zuhören.
00:00:35 Irene
Anna-Marija Parancin-Komsic Vladan Stojanovic Herzlich Willkommen im EFS Podcast Hallo.
00:00:42 Vladan
Vielen Dank.
00:00:44 Irene
Schön, dass ihr da seid, ihr beide habt es euch zur Aufgabe gemacht u. Boote aufzuspüren in unterschiedlichen Konstellationen. Anna Maria wofür steht denn die u Boot Metapher?
00:00:54 Anna-Marija
Also manche Zuhörer, zuhörerinnen werden es vielleicht kennen, die mit IT Projekten zu tun haben, dass es oft Projekte gibt, die.
00:01:04 Anna-Marija
Ja, einfach ander.it quasi vorbeischwimmen. Also wenn Fachbereiche sozusagen ihre Anwendungen ganz eigenständig beschaffen oder entwickeln.
00:01:14 Anna-Marija
Kommt es erst nach Wochen, Monaten hat.
00:01:17 Anna-Marija
Er Arbeit dazu, dass die.it irgendwie involviert wird und meistens erst dann, wenn man halt erkennt. Ui, da gibt es jetzt doch Security Vorgaben die nicht eingehalten wurden oder wir bräuchten hier doch nochmal.it Governance die da die uns da noch mal aus bestimmter Perspektive unterstützt.
00:01:33 Anna-Marija
Das sind für uns U-Boote, also Projekte diezwar.it Systeme einführen, aber ander.it vorbeischwimmen und dann mit voller Wucht irgendwie plötzlich auftauchen und oft gestoppt werden müssen oder zu Verzögerungen dann führen.
00:01:47 Irene
Warum? Du bist ja hier, weil du ganz viel Erfahrung mit genau solchen Themen hast, oder?
00:01:52 Vladan
Ja, ganz genau, ja, wie es Anna und Maria gesagt hat. Dubote waren eigentlich fast schon tägliches Brot bei uns, bei der AMG, ja, und es war auch eine riesen Herausforderung, weil eben.
00:02:02 Vladan
Es ihm wurde gab die viel zu spät aufgetaucht sind, also sprich Projekte oder Vorhaben die ander.it vorbei gegangen sind und die.it nicht involviert haben. Und das führte dann eben zu dem Problem, dass zum einen das Projekt gegebenenfalls dann eben nicht zum geplanten Goalive dann eben live gehen kann.
00:02:28 Vladan
Weil ebenvorgaben.it Vorgaben, interne wie auch externe Vorgaben des Konzerns.
00:02:34 Vladan
Der Regierung im Endeffekt, so kann man es auch sagen und unserem nicht eingehalten wurden sind und dann kann das Projekt eben gegebenfalls auch scheitern am Ende nebst dem ist es aber auch so, dass es eben Sicherheitslücken geben kann, ne, das darf man nicht unterschätzen und deswegen machen wir das Ganze eigentlich kann.
00:02:54 Irene
Es uns ein konkretes Beispiel geben, wie das in deinem Unternehmen bei Mercedes AMG passiert ist. Also wer hat, wer hat da welche Rolle? Hat sich da eines Systems bedient, das dann.
00:03:03 Irene
Vielleicht nicht so ganz funktioniert hat im Endeffekt.
00:03:06 Vladan
Wir hatten auch das Beispiel im Vortrag, dass wir eben 2023 im Endeffekt 28 u. Boote in diesem Jahr entdeckt haben und was zum Beispiel sein kann, ist zum Beispiel, dass ich sag jetzt mal aus dem Fachbereich, ob das jetzt Marketing oder Sales ist. Als Beispiel, dass die dann einfach auf Konferenzen oder messen sind und irgendeine tolle Applikation sehen, wo sie denken, Hey, mit dem könnte ich doch mein Problem lösen, so das ist per se erstmal gar nicht falsch.
00:03:33 Vladan
Ja, aber da ist einfach das Mindset und das Bewusstsein nicht da, dass man doch einiges einhalten muss an Regularien, Vorgaben eben und die.it da involvieren muss. Ne, meistens ist das eher unbewusst oder man weiß es nicht, dass man dadie.it mit einbeziehen sollte, aber das sind dann eben solche Beispiele, wo dann einfach die Kreditkarte durchgezogen wird, sag ich jetzt mal ganz plump und.
00:03:59 Vladan
Ja, das das ist eben eingekauft wird und dann eben noch die externe Dienstleister involviert ist, der dann dann das Ganze entwickeln soll.
00:04:07 Vladan
Und spätestens dann, wenn dann eben Entwicklungsaufwände kommen oder irgendwelche. Ja, ich brauche jetzt Authentifizierung oder Authentisierung für ein System, dann kommen sie späten spätestens zur.it und dann fällt das eigentlich auf und dann ist es oftmals zu spät, weil man hat zum einen das die Applikation schon gekauft und man ist da vielleicht auch schon im Limitierungsphase und und in so einer Phase sind die Kosten halt immens und vor allem wenn dann noch n Incident also irgendwas passiert.
00:04:35 Vladan
Wird eine Schwachstelle entsteht oder so in der Richtung oder es wird da was gehackt, ja dann ist es halt ziemlich teuer und neben dem hat man noch n Imageschaden gegebenenfalls und das hatte man eben eh nicht auf dem Schirm.
00:04:49 Vladan
Deswegen ist es wichtig, im endeffektdie.it und die.it Governance, wo ich natürlich ein Teil davon bin, für einzubinden in diesem Projekt.
00:04:58
Ja.
00:04:59 Anna-Marija
Was man da vielleicht dazu sagen kann, ist, dass abseits von den.it Security und ja, datenschutzvorgaben, die da missachtet werden, manchmal es auch dazu kommt, dass einfach redundante Projekte entstehen oder redundante Systeme eingeführt werden, weil nicht dadurch, dass dasan.it vorbeigeht, nicht der Blick darauf geworfen wird, ob es vielleicht schon eine Lösung gibt in der Unternehmensarchitektur.
00:05:24 Anna-Marija
Die genau dieses diesen Bedarf abdeckt und durch diese Redundanz hat man dann auch eben, wie Vladan gesagt hat, einfach hohe Kosten, weil man einfach vielleicht doppelt und dreifach für Lösungen zahlt.
00:05:37 Anna-Marija
Und was halt auch passiert ist, wenn die.it dann so spät involviert wird, ist das sie oft als Bottle Mac wahrgenommen wird, weil man ja bis dahin hat alles quasi funktioniert und dann geht man ja auf die.it zu und auf einmal wird es schwierig und auf einmal müssen Fragen beantwortet werden und auf einmal braucht es Dokumentation und diese wahrnehmungder.it als Bottle.
00:06:00 Anna-Marija
Eine Problemstellung, der man mit der Governance Pipeline quasi entgegenwirken wollte auch.
00:06:04 Irene
Das heißt, es würde für die Unternehmen total viel Sinn machen. Also Unternehmen deiner grossen.it Architektur auf, die auf die Suche zu gehen nach den.it u. Booten, weil man sich dann sehr viele Probleme im Endeffekt erspart, aber.
00:06:16 Irene
Auch.
00:06:16 Irene
Eigene Reputation der IT ein bisschen verbessern kann, höre ich das richtig, auch wenn man, wenn die IT schon die Reputation hat, dass man bottleneck ist. Oder wir haben so viele Bottlenecks bei uns im Unternehmen, dass das.
00:06:28 Irene
Ein Hinweis sein kann da vielleicht mal auf die Suche zu gehen.
00:06:30 Anna-Marija
Ja, ich glaube die u Boote zu finden und auf die Suche zu gehen ist ja symptombekämpfung.
00:06:38 Anna-Marija
Um sozusagen mal Quick Queens zu haben und die Sicherheit und die die Kosteneffizienz sicherzustellen. Aber was noch wichtiger ist, und das ist dann auch der Übergeordneteste drüber ist die Ursache zu bekämpfen, da wird leider sicher noch mal n Detail darüber erzählen können, aber das ist halt mit der Governments Pipeline passiert, in dem man gesagt hat OK.
00:06:58 Anna-Marija
Wir wollen als Enable als Unterstützer gesehen werden und mit der Governance Pipeline stellen wir allen aneinem.it Projekt Beteiligten ein Prozess, ein Tool zur Verfügung, das sie begleitet und an die Hand nimmt, wo jederzeit klar ist, wer was zu tun hat.
00:07:13 Anna-Marija
Und wo jederzeit der Status der Aktivitäten auch klar ist und entsprechend gezogen werden.
00:07:20 Anna-Marija
Wenn denn die verantwortliche Rolle sie sich ziehen kann und dadurch gewährleistet man halt einfach, dass die Täter eher als Guidance gesehen wird und nicht als die, die dann reinkommen und nur kritisieren.
00:07:35 Irene
Ihr habt es schon, das Wort Governance Pipeline erwähnt. Das ist die Lösung, die ihr gefunden habt für diese vielen U. Boote. Leider magst du mal erklären, was ist denn eine Governance Pipeline und wer hat das umgesetzt bei Mercedes?
00:07:46 Irene
MG.
00:07:46
Dann.
00:07:46 Vladan
Würde ich mal kurz ausholen müssen. Ja, wir standen eigentlich genauso wie es die Annemarie auch schon erwähnt hat, vor dem Problem.
00:07:55 Vladan
Dass wir zum einen nicht involviert wurden in die Projekte oder für die Applikationsverantwortlichen oder die Vorhabenden wir auch gar nicht für die sichtbar waren. Ne, und das heißt, dass wir dann dementsprechend auch nicht in diesem Projekt mit involviert wurden, das würde eben, wie schon gesagt eigentlich dazu, dass dann jedenfalls später das u Boot auftaucht, aber.
00:08:18 Vladan
Wir haben es geschafft, dass im Endeffekt zu motivieren, indem wir zum einen eigentlich Awareness Maßnahmen gemacht haben und zum anderen irgendwas benötigten, um also ich sag jetzt mal ein Tool, ein Prozess um das halt eben zu strukturieren, ja auch transparent zu machen so, und wir ausder.it Governance haben halt eben die Aufgabe, Sicherheitsdichtlinien einzuhalten. Dafür gibt es auch.
00:08:45 Vladan
Experten also. Zum einen haben meine Kolleginnen, die für Datenschutz zuständig ist, ich.
00:08:49 Vladan
Wir, die Architektur und Enterprise Architektur. Ein anderer Kollege ist für den Delta Cloud Prozess.
00:08:54 Vladan
Ständig. Und gibt es noch mal n anderen Kollegen, der für die.it Sicherheit zuständig ist. So jeder Experte hat so seine Prozesse in seinem Kopf und die haben mal versucht dann in ein Tool zu gießen und dieses Tool ist eben die Governance Pipeline und wie schon Anna Maria es erwähnt hatte, ist es n geführter Prozess ne Guidance für den Applikationsverantwortlichen oder Wackelighter Product owner, an den er sich dann dran hangeln kann. Ja so und hier haben wir tatsächlich.
00:09:24 Vladan
Prinzip angewandt was heißt Pool Prinzip?
00:09:28 Vladan
Also man kann sich es vorstellen. So also die Welt davor haben wir uns dann gegenseitig, wenn wir was mitbekommen haben, dass es NU Boot gibt, haben uns die Arbeitspakete dann zugeschickt. Also ich hab gesagt zum Beispiel ja, ich hab jetzt hier n architekturbild bitte lieber Kollege, schau dir das mal an, der macht dann quasidie.it Sicherheit muss auch auf die auf das Architekturbild schauen und so schieben haben uns die Pakete quasi rüber geschoben, das ist mehr ein Pushansicht.
00:09:52 Vladan
Ja, das führte aber dann eben dazu, dass oftmals ein Kollege eben das Bottle Mac war ne und ist oftmals einer, der die Informationsklassifizierung gemacht hat, weil da gibt es dann halt eben Wartezeiten, sag ich mal. Und so stapelten sich die ganzen Arbeitspakete bei ihnen und so sind wir dann das Bottle League im Endeffekt.
00:10:13 Vladan
Das könnten wir motivieren, indem wir dann eben mit der Governance Pipeline das Prinzip realisiert haben. Jeder zieht sich dann das Paket, wenn er das kann, ja, und das hat n Effekt.
00:10:23 Vladan
Das dann eben kein.
00:10:25 Vladan
Geht und so konnten wir es schaffen, mit der Governance Pipeline ein Tool im Endeffekt, dass wir auf Open Project aufgesetzt haben, das wiederum ein Projektmanagementtool bei uns ist. Ein Open Source Tool, mit dem konnten wir das super realisieren und alle unsere Quality Gates da quasi ja damit realisieren.
00:10:47 Irene
Wenn ich jetzt in einer Marketingrolle eine neue Applikation brauche brauche.
00:10:51 Irene
Ich dann von der vom Zeitpunkt.
00:10:55 Irene
Ich.
00:10:56 Irene
Kenne, dass ich.
00:10:57 Irene
Bis zum Zeitpunkt, wo ich es auf meinem.
00:10:58 Vladan
Laptop habe also die Durchführungszeit zum einen des Vorhabens, wir nennen es immer vorhaben, es kann ja auch.
00:11:05 Vladan
N Projekt sein oder auch mal vielleicht eben. Oftmals ist es einfach n Tool hängt ganz davon ab wie der Applikationsverantwortliche oder Projektleiter mitarbeitet tatsächlich also es kann von 2 Wochen gehen bis quasi.
00:11:20 Vladan
Wir haben auch schon Formen, die gehen irgendwie NN halbes Jahr oder fast schon ein Jahr, weil einfach da noch nicht ganz klar ist. Und das filtert es dann auch eben raus, ob dieses Projekt oder dieses Vorhaben eben auch n Mehrwert hat für das Unternehmen, also für die Marketingabteilung als Beispiel. Das ist oftmals mal springt man und dann hat man n Wunsch. Hey ich möcht jetzt NCRM System.
00:11:42 Vladan
Und macht das überhaupt Sinn in der Hinsicht oder für die Abteilung? Was für n Business fit hat das ganze, und das kristallisiert sich dann auch raus, weil man da auch n bisschen abschlägt? Ja was denn? Der Mehrwert ist, wenn Chancen, Risiken und so weiter und so.
00:11:59 Irene
Fort Annemarie, das heißt, man kommt dann. Man kommt dann vom 100. Ins Tausendste und kann damit aber das ganze Unternehmen verbessern, wenn ich das richtig höre, oder also.
00:12:07 Irene
Welche Herausforderungen gibt es dann? Die und und wie kann ich am besten damit umgehen?
00:12:12 Anna-Marija
Ja, man kann das ganze Unternehmen verbessern, weil im Endeffekt, wenn man sich das anschaut, ist das ein Teil von Enterprise Architecture Management oder halt die Unternehmensarchitektur nachhaltig und langfristig auch zu gestalten. Und wenn ich solche Maßnahmen wie ne Governance Pipeline setze, dann weiß ich einfach.
00:12:32 Anna-Marija
Auch dass ich damit drauf einzahle, also auf die strategischen Ziele, aber auch auf vielleicht die Kosteneffizienz des Unternehmens und die Prozesseffizienz, denn ich behalte dadurch halt einfach immer im Überblick, wenn wir wieder bei deinem Beispiel Irene, wenn du sagst, ich aus dem Marketing, ich möchte jetzt meine neue Applikation oder ein neues Tool nutzen, wenn du halt auf die auf den Laden zum Beispiel zugehen würdest, würdest du vielleicht erfahren, dass es schon so was gibt, also es ist.
00:12:59 Anna-Marija
Schon noch eine die Kommunikation.
00:13:02 Anna-Marija
Ist wichtig, weil du könntest vielleicht schon am nächsten Tag.
00:13:06 Anna-Marija
Haben, wenn herausgefunden wird, dass es genau für deine Anforderungen eigentlich schon ne Lösung gibt, die schon woanders im Einsatz ist, oder wir finden gemeinsam dann eine Lösung, die gekauft werden kann oder vielleicht ist es auch ne Eigenentwicklung, aber wir stellen sicher, dass sowohl.
00:13:22 Anna-Marija
Keine Anforderungen abgedeckt werden können, dass du quasi in ein 23 Wochen gut und effizient arbeiten kannst, was ja sicherlich wieder auf die Unternehmensziele irgendwo einzahlt. Andererseits schauen wir halt darauf, dass die Unternehmensarchitektur ja nachhaltig und konsistent.
00:13:39 Anna-Marija
Ich glaube, die Herausforderung ist, Kommunikation und Sichtbarkeit, also zu wissen, auf wen ich auch zugehen kann.
00:13:45 Irene
Wir sind dann die Mitarbeitenden mit diesem neuen Prozess umgegangen. Gab es dann Menschen, die in den Widerstand gegangen sind, die sich gewehrt haben, gab es vielleicht auch Widerstand vom System selber, wie war denn das?
00:13:56 Vladan
Ja, absolut. Also es gibt ja verschiedene Menschen tatsächlich auch im Unternehmen, und es gibt Hardliner, es gibt auch Menschen oder Kollegen, die dann super mitarbeiten. Natürlich war da die Herausforderung, eben das Bewusstsein zu schaffen und den Mehrwert eigentlich zu erläutern, das ist so einer der Kernaufgaben, also das eine ist die Governance pipman, das Tool dann, das ist das Ganze unterstützt.
00:14:18 Vladan
Aber das andere ist tatsächlich, den Menschen zu überzeugen, wieso er das denn machen soll. Oftmals ist ja Security Governance doch n langweiliges Thema, oder sehr zocken und auch Visum sind das wieder machen und was wollt ihr schon von mir so ungefähr und dann muss man natürlich Überzeugungsarbeit leisten, tatsächlich sich selber vermarkten oder die das Team und und den ganzen Prozess vermarkten. Wir haben aber.
00:14:43 Vladan
Da ich glaub n guten Weg gefunden. Zum einen ist es ist man so oftmals One Two One Gespräch oder ist es dann eben Kick off? Wir organisieren jede Woche n Kick off für alle Formen, je nachdem wenn sie wenn es n Form gibt, aber oftmals sind die schon ausgebucht also Wochen voraus da erklären wir dann also wieso ist die.it avenance Pipeline gibt was da wichtig ist und was für Konsequenzen es hat wenn man zum Beispiel irgendwelche Vorgaben nicht einhält, ja.
00:15:10 Vladan
Was wir aber nebst dem machen, ist, dass wir oftmals eben Awareness Kampagnen starten. Das fängt an von Phishing Kampagnen, wo wir wirklich witzig, also Kollegen im Fischkostüm, tatsächlich zum Laufen hatten.
00:15:25 Vladan
Und wir dann eben Stände hatten mit, ich weiß nicht glücksdatum Gewinnchancen für Rinken Goodie. Und da haben wir es geschafft, eigentlich auch das Bewusstsein zu stärken für Phishing E-Mails, dass man aufpassen soll, was man dann kriegt und das oftmals den Eingang für.
00:15:40 Vladan
So ein Hacker oder für ne für ne Truppe, die dann eben das das Unternehmen dann eben kompromittieren möchten, das ist das eine, aber wir hatten jetzt auch gerade aktuell data months Monat bei der ANG. Wo sind es darum ging, dass wir eigentlich also die ganzen Informations und Datensicherheit, also wie wichtig sind Daten bei im Unternehmen und wie kann man oder wie sollte man damit umgehen, so in der Richtung dieses Bewusstsein zu stärken. Ich kann nur ein Beispiel nennen wie.
00:16:09 Vladan
Wir, die das Bewusstsein der Mitarbeiter gestärkt haben, ist im Endeffekt, dass wir wirklich Betroffenheit geschaffen haben, also wirklich Hackerangriffe aus der realen Welt aufgezeigt.
00:16:19 Vladan
Sagen, wie das war und eben was für Konsequenzen es hatte. Und eben das Beispiel, was ich nennen wollte, war, dass der Ferrari CEO als Beispiel im Meeting saß und das ganze Meeting ein Deepfake war. Ja, das heißt also, die ganzen Mitarbeiter dort waren alle auf DI quasi erstellt ist. Und tatsächlich war das so realistisch, dass sie dann irgendwie auch interne Informationen irgendwie raus.
00:16:45 Vladan
Bekommen haben, oder? Ich sag jetzt mal adäquat gut.
00:16:49 Vladan
Verbreitet Informationen, die dann dazu fasst führten, dass er dann 20000000. Ich glaub das waren 20000000. Ich weiß es jetzt nicht genau.
00:16:56 Vladan
Aber 20 Minuten Euro dann irgendwo hin überweisen sollte und darum wurde er skeptisch und hat dann irgendwelche internen Fragen gestellt, die eigentlich nur ein interner Wissen kann. Und so ist das dann aufgeflogen. Also da war da vom Bewusstsein doch ganz gut.
00:17:11 Vladan
Dass sie auf dem Ferrari und hat dann eben dementsprechend das Ganze auflösen können, ja.
00:17:16 Vladan
Aber es wird immer schwieriger. Die Hackerangriffe werden auch immer gefährlicher und mit AI und mit Deepfake und so weiter ist das natürlich noch mal ne ganz andere Nummer und da versuchen wir jetzt auch in Zukunft natürlich Maßnahmen.
00:17:30 Vladan
Oder eben Wellness Kampagnen zu gestalten, die dann dazu führen, dass dann einfach das Bewusstsein gestärkt ist von Mitarbeitern. Und das ist das, was die Anna Maria eben vorhin gesagt hat, mit diesem Ursachenbekämpfung nicht dann einfach, ich sag jetzt mal, Schlaglöcher mit zu zementieren, ja.
00:17:45 Irene
Annemarie, Was könntest du anderen Unternehmen da raten? Diese Erfahrungen von Mercedes AMG so gut umzusetzen und so gut sich abzuschauen, dass man für das eigene Unternehmen möglichst viel Sicherheit und Effizienz schafft.
00:17:57 Anna-Marija
Ich glaube it all come sound to communication. Am Ende des Tages und ich glaube, je früher man das erkennt, desto besser kann man oder desto weniger muss man entgegenwirken, Dingen die passieren, sondern desto mehr hat man die Dinge so ein bisschen in der Steuerung und IT wird ja oft so ein bisschen als wie du gesagt hast, trockenes, nicht so spannendes unsexy Feld betrachtet.
00:18:23 Anna-Marija
Und ich glaube, wenn man erkennt, dass es hier so ne Art Marketing braucht.
00:18:29 Anna-Marija
Um alle anderen Bereiche im unter.
00:18:32 Anna-Marija
Mit an Bord zu holen und zu involvieren. Je früher man damit startet, desto besser ist es glaube ich für die Unternehmen, weil es ist die Vernetzung, die am Ende den Mehrwert einfach schafft.
00:18:42 Irene
Und dann ist es auch vielleicht gar nicht mehr so langweilig, wie es sich anfänglich präsentieren.
00:18:47 Anna-Marija
Es wird.
00:18:47 Anna-Marija
Facettenreicher glaube ich, wenn man die Dinge verbindet.
00:18:51 Vladan
Und oftmals ist es auch so, dass wir als Bad Cops gesehen werden, also gerade.it Sicherheit oder IT Security und wir aber gar nicht die Batcops sind. Ich habe da so eine tolle Analogie, die Bad Cops stehen eigentlich.
00:19:02 Vladan
Hinter dem Waldrand an einem Straßenrand mit einem Radarpistolen in der Hand und Zielen auf das Fahrzeug, was gerade an Rasen möchte, gerade fährt oder zu schnell fährt. Und wir sind die blitzerwarner App quasi.
00:19:15 Vladan
Die dann sagt, Häng vorsichtig, da vorne steht n Prozess. Ja und das werden die Konsequenzen und wenn du das und das machst du zu schnell fährst, dann ist es für dich nicht sicher für Deine vielleicht Kinder die du im Auto hast und so weiter und sofort also so ne so ne Analogie entspricht wirklich auch zu unserer unserer Rolle aus seitiger Governance.
00:19:36 Irene
Leider muss ich noch gerne wissen möchte ist ob ihr schon, habt ihr schon valide Ergebnisse erkennen können? Also ihr habt natürlich jetzt gut alles diese Governance Papen eingeführt, aber könnte schon wirklich eine eine Verhaltensänderung bemerken, bedienen sich die Menschen gerne dieser Governance Pipeline? Habt ihr wirklich schon eine Veränderung feststellen können im Unternehmen?
00:19:54 Vladan
Ja, tatsächlich. Also mit der Governance Partner, mit den ganzen Awareness Kampagnen haben es schon geschaffen, wir merken es eigentlich wie.
00:20:02 Vladan
Hängen wenn dann Mitarbeiter sich bei uns melden, sagen, Hey ich hab da was gesehen und es kommt mir ein bisschen komisch vor, nur nach dem Motto oder uns einfach fragen. Wenn sie jetzt gerade in dem Projekt stecken, wie kann ich denn das machen oder wie wie kann ich das sicherstellen oder was ist da wichtig und aber auch das kriege ich sehr oft, weil ich auch der Enterprise Architekt bei uns bin, gerade mit Lena X was wir im Einsatz haben, wo müsste es denn auch zum Beispiel einfügen und da ist einfach schon mal die Avenue Star, oder?
00:20:31 Vladan
Das muss sein, Hey, ich muss da die kann ich, kann ja deinen Laden fragen, weil ich kann den anderen Kollegen fragen, der da für sein Fach zuständig ist. Und da merkt man dann schon, dass sie dann wissen, hey, das ist wichtig und wen kann ich dazu fragen, weil davor war es vielleicht auch gar nicht mal auf den Bildschirm oder beziehungsweise ersichtlich, wer dafür zuständig ist. Und gerade heute habe ich auch wieder Nachrichten bekommen, wo mich dann die Kollegen fragen, wie ich das denn sicher.
00:20:57 Vladan
In in Linie X eintragen kann als Beispiel oder auch die Phishing Kampagnen die wir starten. Da sind wir von der Statistik her jetzt besser als unser Konzern geworden durch unsere Phishing Kampagnen da, da haben wir also wirklich ein KPI, wo wir dann auch was aufzeigen können, dass alles andere ist sag ich mal, ist natürlich erstmal ein bisschen sehr weich, also kein kein kein messbares KPI, aber wir merken, dass da einfach das Bewusstsein.
00:21:25 Vladan
Wirklich gestiegen ist also das, das merkt man sehr.
00:21:28 Irene
Und wie geht es weiter? Was bringt die Zukunft für euch?
00:21:31 Vladan
Ja, also quasi vor der Pipelines nach der Pipeline. Also wir.
00:21:37 Vladan
Haben. Unser Mindset ist tatsächlich, uns kontinuierlich weiter zu verbessern, logischerweise neue Gegebenheiten für natürlich auch zu neuen Lösungsansätzen. Also Thema AI ist da auch n Punkt und zwar versuchen wir unser Governance Pipeline zum einen dann auch mit AI geniederten Fragen vielleicht einfach n Chatbot so für erste Fragen für die Kollegen dann zur Verfügung zu stellen, das ist so n bisschen.
00:22:03 Vladan
Planen, ich hab da auch so n bisschen einen arbeitszettel Launch Controller, also kontrolliertes Starten von Vorhaben in erster Linie und dann werden halt einfach Fragen gestellt die da das Projekt, das vielleicht noch in der Ideenphase steckt, da ein bisschen zu geleiten und dann einfach schon mal zu sagen, Hey du musst darauf achten dieses achten und so weiter damit du schon weißt welche Software du so ich mir vielleicht aussuchen kann oder wenn es vielleicht eine im Unternehmen gibt, dass man dann einfach.
00:22:32 Vladan
Darauf hinweist, ja.
00:22:33 Vladan
Das ist eine, und ja, wir integrieren sind gerade dabei, die Governance Pipeline mit Lina X stärker zu integrieren, indem wir Schnittstellen bauen, damit man einfach da noch mal mehr Inhalte, also Transparenz schaffen kann, ja.
00:22:49 Anna-Marija
Genau. Und wenn wir davon sprechen, dass es wichtig ist, dass Fachbereich und IT enger zusammenarbeiten und dass diese Vernetzung stattfindet, dann, glaube ich, ist es einfach auch wichtig, am Schirm zu.
00:22:58 Anna-Marija
Haben was ist das Feedback der Fachbereiche, also was, was funktioniert, gut, was finden Sie noch verbesserungswürdig und das halt eben auch in den Next Steps, die wir dann auch erklärt hat oder generell in der Optimierung des Prozesses, in der Weiterentwicklung des Tools, einfach auch mit einfließen zu lassen und sie wissen zu lassen, ja, das ist ein Tool für uns gemeinsam, nicht nur für uns als.it und deswegen ist es uns auch wichtig, dass dass ihr uns da Feedback gebt und dass wir das dann auch für euch umsetzen.
00:23:26 Irene
Oder für uns umsetzen. Annemarie herzlichen.
00:23:29 Irene
Dank für eure Zeit und für dieses spannenden Einblick in Mercedes AMG und in die Governance.
00:23:34 Anna-Marija
Danke auch.
00:23:37 Irene
Das war's wieder mit dem efs Podcast. Vielen Dank fürs Zuhören. Werft noch einen Blick in unsere Show Notes, da haben wir euch eine Website verlinkt zum Thema Sicherheitslücken und Hacking Incidents, wieviel Schaden da in Unternehmen angerichtet wird ist erstaunlich, mein Name ist Irene Racha und ich freue mich aufs nächste Mal.
