Mercedes-Benz nutzt in vielen Unternehmensbereichen Open Source-Software. Auch das AMG-Projekt der IT-Governance-Pipeline steht auf einer quelloffenen Basis. (Bild: Mercedes-Benz)
automotiveIT Kongress: Die IT Team Awards 2023
Im Rahmen des 15. automotiveIT Kongress in Berlin wurden nicht nur die erfolgreichsten IT-Dienstleister der Automotive-Branche prämiert, sondern auch erstmals die besten Teams der Branche ausgezeichnet. Das Team hinter der IT-Governance-Pipeline zählt zu den drei Nominierten der IT Team Awards in der Kategorie Business Impact. Weitere Informationen zu den IT Team Awards finden Sie hier.
Die Umsetzung von Governance-Vorschriften im Rahmen von IT-Projekten gestaltet sich oftmals kompliziert. Häufig müssen sich Projektmanager und -mitarbeiter entsprechende Informationen mühevoll und an verschiedenen Stellen suchen – eine Gewährleistung dafür, dass wirklich alle Vorschriften eingehalten wurden, gibt es oftmals nicht. Eine Schieflage, die die IT-Verantwortlichen bei Mercedes-AMG nicht länger hinnehmen wollten.
„Informationen sind schützenswerte Güter und wir haben sehr viele Ansprüche an die IT-Sicherheit – seien sie regulatorischer Art oder interne Sicherheitsziele“, erklärt Frank Mauderer, Team Lead IT-Governance bei Mercedes-AMG. „Diese Themen zusammenzufassen und an die Mitarbeiter zu bringen, war von jeher eine große Herausforderung. Deswegen haben wir gesagt: Wir brauchen einen kompletten Ende-zu-Ende-Ansatz und wollen jedes Vorhaben mit der IT-Security ausstatten, die gebraucht wird.“
Die Lösung der Experten bei der sportlichen Mercedes-Tochter: Eine Governance-Pipeline, die Mitarbeiter standardisiert und auf einer einheitlichen Plattform zu den entsprechenden Vorgaben führt und sie mit den entsprechenden Spezialisten im eigenen Hause vernetzt. So soll nicht nur sichergestellt werden, dass interne und legale Leitlinien eingehalten werden, sondern auch, dass Cybercrime so wenig Angriffsfläche wie möglich geboten wird.
Die IT-Governance-Pipeline gibt Leitlinien für Mitarbeiter
Zu diesem Zweck schuf ein achtköpfiges Projektteam bei Mercedes-AMG über rund 18 Monate mit der IT-Governance-Pipeline einen zentralen Ort, um die sogenannten Governance Deliverables (oder in sperrigerem Deutsch: die Informationssicherheitsziele) zu bündeln. So soll sichergestellt werden, dass jedes Vorhaben beim Autobauer im Prozess der Realisierung und vor dem jeweiligen Go-live einen Schritt durchläuft, an dem die Governance-Anforderungen überprüft und mit internen Experten diskutiert werden. Neben den einzelnen Sicherheitszielen umfasst das Portal kurze Erläuterungen zu den jeweiligen Punkten, weiterführende Informationen sowie eine Aufwandseinschätzung und den entsprechenden Bearbeitungsstatus.
Doch nicht nur an den Tools und Plattformen wurde gearbeitet – Auch die entsprechenden Prozesse und Umsetzungsmethoden hat man bei Mercedes-AMG unter die Lupe genommen: Auf Basis des Pull-Prinzips können Governance-Experten aus den jeweils aktiven Teams sich die entsprechenden Tasks zuweisen und diese in Zusammenarbeit mit den jeweiligen Product Ownern abarbeiten. „In der Vergangenheit haben wir oftmals gemerkt, dass uns die Themen quasi über den Zaun geworfen wurden“, erklärt Mauderer. Dies habe die Governance-Experten teilweise durch die schiere Menge der Arbeitsaufträge überfordert. Daher habe man abgeleitet aus den agilen Methoden der Softwareentwicklung ein System entwickelt, in dem Themen dann aufgenommen werden, wenn die entsprechenden Kapazitäten in der Governance vorhanden sind.
Um die Durchlaufzeiten der Plattform möglichst gering zu halten, durchleuchteten die Experten des Autobauers außerdem vor deren Launch die einzelnen Bausteine und deren Abhängigkeiten voneinander. Flankierend kommen Pipelinesync-Termine analog Daily Scrum-Abläufen und Retros zur Anwendung, um das System kontinuierlich zu optimieren.
