The IT Circle: Interview mit Lydias IT-Leiter Sébastien

Interview mit Sébastien Marouani, Leiter der IT-, IAM- und Cybersicherheitstools bei Lydia.

TL; DR In diesem Gespräch berichtet Sébastien über wichtige Erkenntnisse aus über einem Jahrzehnt bei Lydia. Er geht auf die anhaltende Herausforderung ein, eine Banklizenz in Frankreich auf einer vollständigen macOS-Infrastruktur zu beantragen, Schatten-IT in einer SaaS-lastigen Umgebung zu verwalten und die Risiken und Grenzen von KI-Tools am Arbeitsplatz zu bewältigen. Er reflektiert, wie sich die Anwendungsnutzung von Tabellenkalkulationen hin zu strukturierter Identitätsverwaltung entwickelt hat, und gibt neuen IT-Fachleuten praktische Ratschläge: Stellen Sie den Status Quo in Frage, vermeiden Sie Markthype und wählen Sie immer Tools, die wirklich Ihren Anforderungen entsprechen.

‍

Erzählen Sie mir von dem IT-Projekt, auf das Sie am meisten stolz sind oder das Sie am meisten herausgefordert oder enttäuscht hat

Das schwierigste Projekt, vor dem wir stehen, ist die Beantragung einer Banklizenz in Frankreich, während das Projekt vollständig auf einer macOS-Infrastruktur läuft. Dies wäre eine Premiere für eine Privatkundenbank. Lydia ist derzeit ein E-Geld-Institut, aber wir haben die ehrgeizige Entscheidung getroffen, eine vollständige Banklizenz bei der Banque de France zu beantragen, die als eine der strengsten Aufsichtsbehörden in Europa bekannt ist. Wir haben uns für das französische Verfahren entschieden, das das gleiche Maß an Einhaltung der Vorschriften verlangt wie bei traditionellen Banken wie BNP oder Société Générale.

Was mich besonders stolz macht, ist, dass wir das mit einem 100% igen macOS-Setup machen. Die meisten Banken verwenden Windows, und die Aufsichtsbehörde ist an diese Umgebung gewöhnt. Wenn sie Fragen zu Antivirus, EDR, DLP oder Active Directory stellen, erwarten sie Windows-basierte Standardlösungen. Wir müssen Wege finden, diese Erwartungen zu erfüllen und sie gleichzeitig an unsere Apple-basierten Systeme anzupassen.

Dies ist eine erhebliche technische und organisatorische Herausforderung. Wir hatten ursprünglich eine gemischte Flotte von Chrome OS- und macOS-Geräten, aber wir sind vollständig auf macOS migriert. Auf dieses Projekt sind wir stolz, aber es fordert uns weiterhin heraus und frustriert uns gelegentlich, insbesondere wenn wir erklären müssen, warum einige unserer Antworten nicht den traditionellen Erwartungen entsprechen.

Ist Sichtbarkeit wichtig, um Sicherheitsfehler mit hohem Risiko zu vermeiden?

Heute ist die Schatten-IT das größte Problem für alle, die Identitäten verwalten. Die größte Herausforderung besteht darin, Tools zu finden, die nicht aus technischer oder sicherheitstechnischer Sicht genehmigt oder überprüft wurden. Das eigentliche Problem besteht darin, zu wissen, was Sie nicht wissen. Sie können sich vor Tools schützen, die Ihnen bekannt sind, auch wenn sie Sicherheitslücken aufweisen. Beispielsweise laufen die meisten Banken unter Windows, und da sie die Risiken kennen, verwenden sie Lösungen wie CrowdStrike, um diese zu mindern.

Aber wenn ein Tool völlig unbekannt ist, wissen Sie nicht, dass es existiert, Sie wissen nicht, dass es anfällig sein könnte, und Sie wissen nicht, ob Benutzerkonten darauf erstellt wurden. Wenn also jemand das Unternehmen verlässt, bleiben diese Konten möglicherweise aktiv. Aus Sicherheitsgründen ist dies eines der kritischsten Risiken. Es ist genauso ernst wie das Problem Bring Your Own Device. Ob es sich um ein Werkzeug oder ein Gerät handelt, wenn es nicht unter Kontrolle ist, stellt es eine große Bedrohung dar.

💡 „Wenn ein Tool völlig unbekannt ist, wissen Sie nicht, dass es existiert, Sie wissen nicht, dass es anfällig sein könnte, und Sie wissen nicht, ob Benutzerkonten darauf erstellt wurden. Wenn also jemand das Unternehmen verlässt, bleiben diese Konten möglicherweise aktiv. Aus Sicherheitsgründen ist dies eines der kritischsten Risiken.“

Welche Auswirkungen haben KI-Tools auf eine bereits komplexe SaaS-Umgebung?

Ich habe diese neuen KI-Tools mit großer Neugier beobachtet, und ich habe auch gesehen, dass einige der weltweit größten Unternehmen den Wandel völlig verpasst haben. Sogar Giganten wie Google und Apple sind ins Hintertreffen geraten und müssen nun Milliarden ausgeben, um aufzuholen. Was mir auffällt, ist, dass einige Modelle auch 2025 sehr grundlegende Fragen immer noch nicht richtig beantworten können. Das zeigt Ihnen, wie unzuverlässig KI immer noch sein kann.

Für mich besteht die eigentliche Herausforderung darin, zu lernen, wie man diese Tools richtig benutzt. Sie müssen wissen, wie man eine gute Aufforderung schreibt, die Art der Daten, die Sie an das Modell senden, verstehen, sicherstellen, dass das Modell geeignet ist, und vor allem die Antworten, die es Ihnen gibt, kritisch im Auge behalten. Diese Fähigkeiten sollten von der Mittelschule bis zur Wirtschaftsschule vermittelt werden. Das größte Risiko besteht darin, blind zu kopieren und einzufügen, ohne die Ausgabe in Frage zu stellen.

Ein weiteres Risiko ist das Aufkommen einer neuen Form von Schatten-IT. Mitarbeiter könnten ChatGPT oder andere kostenlose KI-Tools mit persönlichen Konten verwenden und manchmal vertrauliche interne Informationen wie Betriebsprozesse eingeben. An dieser Stelle könnten die Dinge problematisch werden. Bei Lydia haben wir strenge Richtlinien sowie Mechanismen zum Schutz vor Datenverlust eingeführt, um solche Risiken zu überwachen und einzudämmen. Derzeit sind unsere Kontrollen nicht aufdringlich und konzentrieren sich auf die Berichterstattung, aber wir können bei Bedarf zu einer strengeren Durchsetzung übergehen.

💡 „In der modernen Arbeitsumgebung könnten Mitarbeiter in vielen Unternehmen ChatGPT oder andere kostenlose KI-Tools mit persönlichen Konten verwenden und manchmal sensible interne Informationen wie Betriebsprozesse eingeben. An dieser Stelle könnten die Dinge problematisch werden.“

Wie haben Sie in Ihren 11 Jahren bei Lydia die Entwicklung der Akzeptanz und Nutzung von Anwendungen beobachtet?

Ich bin vor über 11 Jahren zu Lydia gekommen und hatte eine Vielzahl von Funktionen inne: Wachstum, Marketing, Kundensupport, Betrugsprävention... und jetzt als IT-Leiter. Schon bevor ich offiziell die IT-Abteilung übernahm, war ich immer mit technischen Angelegenheiten wie der Verwaltung von Laptops, Druckern und Internetzugängen befasst.

Damals waren die Dinge noch im Startmodus. Jeder brachte seinen eigenen Mac mit und der Zugriff auf Tools wurde in einem einfachen Google Sheet aufgezeichnet. Jedes Tool hatte eine Zeile, und wir kreuzten einfach die Kästchen an, um zu sagen, wer Zugriff auf was hatte. Als ich 2017 offiziell die IT-Abteilung übernahm, wurde uns klar, dass dieses System möglicherweise nicht mehr gut genug ist. Zu diesem Zeitpunkt begann ich zu forschen Identitäts- und Zugriffsmanagement (IAM), obwohl es zu dieser Zeit nicht ausführlich diskutiert wurde.

Wir haben erkannt, wie wichtig es ist, einen klaren Überblick darüber zu haben, welche Tools wir verwenden, wer Zugriff hatte, wann der Zugriff gewährt oder widerrufen wurde und von wem. Heute verwenden wir Hunderte von Tools, und fast alle davon sind SaaS. All dies manuell zu verwalten, war nicht mehr nachhaltig. Wir brauchten Rückverfolgbarkeit, Automatisierung und echte Governance rund um unsere Zutrittssysteme.

Ich glaube, wir haben diese Notwendigkeit ziemlich früh erkannt, lange bevor sie in größeren Organisationen zu einem Hauptanliegen wurde.

💡 „Wir haben erkannt, wie wichtig es ist, einen klaren Überblick darüber zu haben, welche Tools wir verwenden, wer Zugriff hatte, wann der Zugriff gewährt oder widerrufen wurde und von wem. Heute verwenden wir Hunderte von Tools, und fast alle davon sind SaaS. All dies manuell zu verwalten, war nicht mehr nachhaltig. Wir brauchten Rückverfolgbarkeit, Automatisierung und echte Governance rund um unsere Zutrittssysteme.“

Welchen Rat würden Sie jemandem geben, der 2025 in der IT anfängt?

Der beste Ratschlag, den ich je erhalten habe, kam von meinem Großvater. Er pflegte zu sagen: „Du bezahlst die Musiker am Ende des Tanzes.“ Das trifft perfekt auf die IT zu. Sie müssen einen Schritt zurücktreten und vermeiden, in die Denkweise „So wird's gemacht“ zu verfallen, wo die Leute Dinge sagen wie „Für Netzwerke entscheiden Sie sich für Cisco“ oder „Jamf for Mac-Verwaltung“ nur weil es das ist, was alle anderen tun.

Bei Lydia wählen wir Tools nie danach aus, wer sie sonst noch verwendet. Wenn ein Anbieter reinkommt und mir eine Folie voller Logos anderer Unternehmen zeigt, mit denen er zusammenarbeitet, bitte ich ihn, das zu überspringen. Das ist für uns kein Entscheidungskriterium. Entscheidend ist, ob das Tool tatsächlich passt unsere Bedürfnisse.

Es ist besser, sich die Zeit zu nehmen, Ihren Anwendungsfall richtig einzuschätzen und das passende Tool auszuwählen, auch wenn es weniger bekannt ist, als sich an den Marktführer zu wenden. Ein Ferrari sieht toll aus, aber wenn Sie eine sechsköpfige Familie haben und auf unbefestigten Straßen fahren, hilft Ihnen das nicht weiter. Was Sie brauchen, ist ein zuverlässiger Volvo-Kombi. Das beste Tool ist nicht unbedingt das auffälligste, sondern das, das das tut, was Sie tatsächlich benötigen.

‍

Sébastien ist seit 2013 bei Lydia und arbeitet in verschiedenen Abteilungen und seit 2023 als Head of IT, IAM et Cybersecurity.