Fragen an Dr. Dominik Langer, Chief Digital & Innovation Officer adesso Schweiz

Die allumfassende Digitalisierung stellt zugleich eine Chance als auch eine Reihe an Herausforderungen dar: die richtigen Entscheidungen auf Basis relevanter Daten treffen, schnelle Reaktionsfähigkeit durch die Vermeidung von Flaschenhälsen garantieren und gleichzeitig stets die Informationssicherheit sicherstellen. Dr. Dominik Langer, Chief Digital & Innovation Officer der adesso Schweiz AG, erklärt im Interview, wie adesso das Thema Security in der Transformation wahrnimmt und vorantreibt.

Welches sind aktuell die grössten Herausforderungen von Unternehmen im Rahmen der zunehmenden Digitalisierung?

Die folgenden drei Herausforderungen gehen Hand in Hand:

• Datengetriebene Entscheidungen: Basierend auf Daten entscheidet ein Unternehmen, welche Digitalisierungsinitiativen es verfolgen will. Dabei gilt es, kontinuierlich Daten zu sammeln, auszuwerten und zu beurteilen, ob man auf dem richtigen Weg ist oder Anpassungen nötig sind. Die Herausforderung hierbei ist es, die richtigen Fragen zu stellen, aber auch die relevanten Daten zu sammeln und strukturiert auszuwerten, um die entsprechenden Schlüsse daraus ziehen zu können.
• Geschwindigkeit: Initiativen effektiv loszutreten, dabei auch kalkulierte Risiken einzugehen, rasche Feedback-Zyklen zu etablieren, um auf neue Erkenntnisse oder Veränderungen in der Umwelt reagieren zu können. Hier gibt es zwei Herausforderungen: einerseits, den Flaschenhals im Gesamtsystem zu identifizieren und diesen durch technische, organisatorische, prozessuale oder kulturelle Veränderungen so aufzuweiten, dass er nicht mehr die Geschwindigkeit des Gesamtsystems limitiert. Die andere Herausforderung ist das Risiko, dass sich durch die Beseitigung des einen Flaschenhalses ein anderer entwickelt, der dann ebenfalls angegangen werden muss, und so weiter.
• Security: Während sämtlicher Digitalisierungs-Vorhaben darf die Informationssicherheit nicht vernachlässigt werden, sondern es müssen technische und administrative Massnahmen getroffen werden, um die Informationen des Unternehmens in ihrer Vertraulichkeit, Verfügbarkeit und Korrektheit gemäss ihrem Schutzbedarf sicherzustellen.

Wie begegnet adesso diesen Herausforderungen? Wie kann adesso Unternehmen in der Digitalisierung unterstützen?

Wir unterstützen unsere Kunden end-to-end bei ihren IT-Vorhaben: wir helfen, die Problemstellung zu schärfen, dafür die richtige Lösung zu finden und diese dann entsprechend umzusetzen und zu betreiben. Falls Unternehmen auf diesem Weg nur punktuell oder ab einem bestimmten Punkt Leistungen benötigen, können wir sie aber natürlich ebenfalls unterstützen. Dabei stellen wir entweder unsere methodischen oder technischen Experten zur Verfügung oder wir übernehmen die Lieferverantwortung, eine Problemstellung unter Einsatz unserer Prozesse und unserem Know-how zu lösen.

Die Cybersicherheit bereitet vielen Unternehmen Sorgen. Inwiefern nimmt die Bedrohungslage zu?

Einerseits nimmt mit der zunehmenden Digitalisierung die Anzahl eingesetzter Systeme in Unternehmen zu, welche potenziell von Cyberkriminellen direkt angegriffen werden können oder als Einfallstor für den Angriff auf andere Systeme genutzt werden können. Anderseits nimmt auch die Anzahl von «bad actors» zu: Cyberkriminalität ist durchaus ein einträgliches Geschäft. Entsprechende Akteure nutzen auch neue Technologien und entwickeln ihre Geschäftsmodelle weiter, genauso wie legale Unternehmen. Sie nutzen skrupellos gesellschaftliche Trends und Krisen aus, wie z.B. die COVID-Krise oder die aktuelle Situation in der Ukraine. Dazu kommen auch staatlich unterstützte Akteure im Ausland, welche es auf Schweizer Unternehmen und staatliche Organisationen abgesehen haben. Eine zunehmende Polarisierung im geopolitischen Kontext führt hier zu einer verstärkten Bedrohungslage.

Wo liegen die Baustellen in diesem Bereich?

Der Mensch ist immer noch die anfälligste Stelle in einem Unternehmen. Absolut zentral ist daher, dass Mitarbeitende auf allen Stufen hinsichtlich der Security-Thematik sensibilisiert und geschult werden.

Im technischen Bereich sind zudem folgende Punkte relevant:

• Sicherstellen, dass die Informationssicherheit in der Lieferkette ausreichend ist.
• Schwachstellen in bestehenden Systemen erkennen, priorisieren und beheben.
• Bei Unternehmen, die selbst Software entwickeln: sicherstellen, dass dieInformationssicherheit entlang des ganzen Software-Entwicklungszyklus berücksichtigt wird.

adesso ist der Meinung, die IT müsse «neu gedacht» werden. Was verbirgt sich hinter dieser «New School of IT»?

In den meisten Unternehmen war die IT da, um zu funktionieren. Sie war im wörtlichen Sinne ein Thema «im Keller». Mit zunehmender Digitalisierung wird IT immer wichtiger für den Erfolg eines Unternehmens, und zwar nicht mehr nur in dem Sinne, dass sie einfach funktionieren muss, sondern dass sie aktive Quelle für Innovationen und neue Geschäftsmodelle wird. Wir sehen dies auch daran, dass die wertvollsten Firmen der Welt nun Technologieunternehmen sind, welche IT in ihrem Zentrum haben. Unsere Botschaft an alle Unternehmen ist daher, dass die IT «aus dem Keller geholt» werden muss und zum Enabler oder sogar Driver für die Zukunft wird. Die «New School of IT» richtet dabei eine Reihe konkreter Handlungsempfehlungen an die Entscheider von Unternehmen, um sie bei diesem Wandel zu unterstützen.

Inwiefern trifft dies auch auf die Sicherheit zu?

Insofern, als Informationssicherheit ein so wichtiges Thema ist, dass es ein Unternehmen in seiner Gesamtheit durchdringen muss. Unternehmen, welche Informationssicherheit nur auf den Serverraum im Keller beschränken kann man also nur empfehlen, das Thema ebenfalls aus dem Keller zu holen. Aber auch um IT im Sinne unserer «New School of IT» zum Driver zu machen, muss sie das Thema Sicherheit im Griff haben. Security muss bei neuen Vorhaben von Anfang an mit am Tisch sitzen. Idealerweise haben Entwicklerteams einen Security-Experten im Team, so dass Security von innen dabei ist und nicht von aussen als lästige Pflicht auferlegt wird.

Ihr Informationssicherheits-Managementsystem ist nach ISO 27001 zertifiziert. Was beinhaltet diese Zertifizierung?

Der Standard ISO/IEC 27001 macht diverse Vorgaben zur Einrichtung und Umsetzung eines Informationssicherheits-Managementsystems (ISMS), aber auch zu dessen laufenden Verbesserung. Ein ISMS besteht aus den Regeln und Abläufen, die dazu dienen, Informationswerte zu katalogisieren, deren Schutzbedarf zu definieren, die mit ihnen verbundenen Risiken zu identifizieren und zu bewerten und angemessene Massnahmen zur Minderung und Kontrolle dieser Risiken festzulegen, umzusetzen und zu überwachen. Im Rahmen der Zertifizierung überprüfen Experten von einer unabhängigen Prüfung, ob die Vorgaben des Standards eingehalten wurden. Sie halten allfällige Abweichungen fest und stellen sicher, dass diese innerhalb eines definierten Zeitraums behoben werden. Zudem sprechen sie auch Empfehlungen zur fortlaufenden Verbesserung des Systems aus.

Was empfehlen Sie grundsätzlich Unternehmen, die sich ebenfalls nach diesem Standard zertifizieren wollen?

Hier können wir aus erster Hand Auskunft geben, da wir diese Zertifizierung erst gerade erfolgreich absolviert haben.

Als Erstes sollte sichergestellt werden, dass die Geschäftsleitung ausreichend auf das Thema Informationssicherheit sensibilisiert ist und voll hinter dem Vorhaben steht. Hier empfiehlt sich ein entsprechender Workshop, um das Management auf praktische Art und Weise an das Thema heranzuführen.

Weiter müssen die zu schützenden Informationswerte katalogisiert und auf ihren Schutzbedarf hin analysiert werden. Diese sind durchaus nicht alle technische Natur, sondern umfassen z.B. auch physische Dokumente, Infrastruktur, Prozesse und Mitarbeitende. Basierend auf diesem Katalog müssen die Risiken identifiziert und bewertet werden, welchen diese Informationswerte ausgesetzt sind. Weiter sind dann abhängig von der Risikobereitschaft des Unternehmens (welche bei vielen Unternehmen bis zu diesem Zeitpunkt noch gar nicht formal definiert war) zu entscheiden, wie mit dem Risiko umgegangen werden soll, ob z.B. Massnahmen zur Risikominderung umzusetzen sind und welche dies sein sollen. Bei all diesen Aktivitäten sollten die Mitarbeitenden einbezogen werden, welche dann auch die Ownership für diese Informationswerte und Risiken übernehmen und diese Bewertungen auch in Zukunft up-to-date halten werden. Ausserdem ist ein Softwaresystem hilfreich, in welchem diese Verzeichnisse von Informationswerten, Risiken und Massnahmen und die dazu angestellten Überlegungen dokumentiert und verfolgt werden können.

Ein weiterer wichtiger Aspekt ist das das Unternehmen Richtlinien verfasst, welche Vorschriften entlang den verschiedenen Aspekten von ISO/IEC 27001 gelten. Diese müssen auf die konkreten Umstände des Unternehmens abgestimmt sein, durch die Geschäftsleitung gestützt werden und auf geeignete Art und Weise an die Mitarbeitenden kommuniziert werden.

Bei sämtlichen Aspekten können wir hier Kunden, die sich für den Aufbau eines ISMS entschieden haben, entsprechend unterstützen, da wir diese Prozesse wie gesagt vor Kurzem selber durchlebt haben.

Inwiefern ergänzt diese die bestehende Zertifizierung nach ISO 9001?

Unser Qualitätsmanagementsystem nach ISO 9001 hat Informationssicherheit bisher nur hinsichtlich IT-Infrastruktur betrachtet. Das nach ISO/IEC 27001 aufgebaute ISMS webt nun den Aspekt der Informationssicherheit in all unsere Prozesse ein: von HR-Prozessen über Software-Entwicklung und Projektmanagement bis zur Auswahl und Überwachung unserer Lieferanten. Das Thema Sicherheit wird dadurch viel breiter betrachtet und ist umfassend in unser Unternehmen integriert.

Trotz der Sicherheitsbedenken nimmt das Bedürfnis nach Cloud-Lösungen zu. Wie erleben Sie die Dynamik bei adesso?

Die Cloud ist absolut zentral, um die zu Beginn genannten Herausforderungen effektiv zu adressieren:

• Um effektiv und effizient mit Daten umgehen zu können, sind Clouddienste unabdingbar.
• Die Aspekte von Self-Service mit automatischer Bereitstellung, Pay-as-you-go-Modelle und rasche Skalierung, welche inhärente Eigenschaften der Cloud sind, adressieren klassische Flaschenhälse in Organisationen und ermöglichen es so, schneller zu werden. Indem sie nichtdifferenzierende Tätigkeiten an Cloudanbieter auslagern können sie Komplexität verringern und so zusätzlich Geschwindigkeit gewinnen.
• Die führenden Hyperscaler investieren Milliardenbeträge in IT-Sicherheit und beherrschen diese auf dem höchsten Maturitätsniveau. Ihre administrativen und technischen Sicherheitsmassnahmen sind durch unabhängige Prüfgesellschaften nach diversen internationalen, nationalen und industriespezifischen Sicherheitsstandards zertifiziert. Die meisten Unternehmen können also durch eine korrekte Nutzung der Cloud an IT-Sicherheit gewinnen, da sie so Tätigkeiten an einen Anbieter auslagern, der über eine höhere Maturität in IT-Sicherheit verfügt, als sie selbst.

Wir spüren die Dynamik in diesem Umfeld aus verschiedenen Perspektiven:

• Als Partner verschiedener Cloudanbieter bekommen wir deren enorm schnelle Weiterentwicklung sehr nah mit. Das Innovationspotenzial, das Unternehmen dadurch gewissermassen aus der Steckdose bereitsteht, ist enorm.
• Wir sehen, wie immer mehr Kunden anfangen, die Cloud zu nutzen. Auch in Branchen, die bis vor kurzem der Cloud gegenüber noch skeptisch eingestellt waren.
• Führende Hyperscaler haben in den letzten Jahren Niederlassungen in der Schweiz eröffnet und sind dabei, Datenzentren in der Schweiz aufzubauen, um Datenspeicherung und -verarbeitung auf Schweizer Boden zu ermöglichen.
• Immer mehr Talente im Software Engineering wollen mit solchen Technologien arbeiten. Um weiterhin attraktiv auf dem Arbeitsmarkt zu sein, müssen Unternehmen daher mitziehen.
• Und last but not least stellen immer mehr Hersteller von Standardsoftware ihre Produkte auf Cloudtechnologien um und bieten diese entweder zusätzlich oder ausschliesslich als «as a Service» aus der Cloud an. Dies setzt IT-Abteilungen ebenfalls unter Druck.

Welchen Mehrwert kann die Cloud für IT-Projekte bringen?

Der Mehrwert ergibt sich direkt aus den charakteristischen Eigenschaften der Cloud gemäss NIST:

• Selbstbedienung auf Abruf (engl. «on demand self-service»): Dies bedeutet, dass ein Cloud-Nutzer im Unternehmen Rechenleistung oder Datenspeicher selbständig bestellen kann und diese automatisch bereitgestellt werden – ohne eine IT-Abteilung, einen Helpdesk oder einen anderen Mittelsmann einschalten zu müssen. Dies steigert die Geschwindigkeit, weil es einen klassischen Flaschenhals entfernt.
• Gemessener Service (engl. «measured service”): Cloud-Systeme messen die Nutzung einzelner Services präzise. Dies ermöglicht nutzungsbasierte Kostenmodelle wie z.B. «Pay as you go», bei der die Verwendung von Software oder IT-Infrastruktur nicht mehr mit hohen Fixkosten einhergehen. Dies ermöglicht es Unternehmen mit neuen Technologien zu experimentieren oder diese zu Beginn in kleinerem Rahmen zu nutzen, da hohe Einstiegskosten wegfallen. Dadurch sinken die Einstiegshürden bei der Adoption neuer Technologien und die Innovation steigt.
• Schnelle Elastizität (engl. «rapid elasticity»): Dies bedeutet, dass Cloudressourcen durch den hohen Automatisierungsgrad elastisch bereitgestellt oder wieder freigegeben werden können. Das ermöglich Unternehmen je nach aktuellem Bedarf IT-Infrastruktur hoch- oder runterskalieren können. Dieser Prozess kann vollständig automatisiert werden und je nach verwendeter Cloudtechnologie innert Minuten oder sogar Sekunden-Bruchteilen passieren.
• Ressource-Pooling (engl. «resource pooling»): Dies bedeutet, dass Cloudanbieter ihre physische Infrastruktur nutzen, um mehrere (im Falle von Hyperscalern Hunderttausende bis Millionen) Kunden zu bedienen. Dadurch können bzw. müssen sie Skaleneffekte/Synergien nutzen und grossflächig automatisieren, um so einen höheren Maturitätsgrad ihrer Prozesse zu erreichen. Gerade Hyperscaler können so Geldbeträge in die Weiterentwicklung ihrer Services in innovativen Bereichen wie z.B. Künstliche Intelligenz investieren, was die meisten anderen Innovationen in diesem Umfang gar nicht können. Unternehmen können so durch die Nutzung der Cloud:

  • wenig differenzierende Tätigkeiten an einen externen Anbieter auslagern, so ihre Total Cost of Ownership senken;
  • sich stärker auf ihre Kerntätigkeiten konzentrieren, um dort Mehrwert für ihre eigenen Kunden zu schaffen;
  • innovative neue Technologien nutzen, ohne diese selbst entwickeln zu müssen.

Auf welche Synergien kann adesso in Bezug auf Cloud-Dienste zurückgreifen?

• Expertise aus der ganzen adesso Group. Wir verfügen über konzernweite Expertise in der Entwicklung von cloud-basierter Software. Zudem verfügen wir über spezialisierte Teams oder Schwester- bzw. Tochtergesellschaften mit Expertise im Bereich spezifischer Hyperscaler wie AWS, Azure oder Google Cloud, einzelnen Plattformen wie Salesforce oder SAP, oder in bestimmten Anwendungsszenarien wie z.B. der Entwicklung mobiler Applikationen, Betrieb von Cloudapplikationen oder IoT-Lösungen.
• Unsere Partnerschaften mit Technologieanbietern, wie z.B. die Hyperscaler AWS, Azure und Google Cloud oder Plattformhersteller wie z.B. Red Hat, SAP, Salesforce oder Outsystems.

Was ist Ihnen in der Zusammenarbeit und Betreuung der Kundschaft wichtig?

Im Zentrum stehen für uns die Bedürfnisse des Kunden. Wir finden objektiv die optimale Lösung für die spezifische Situation und den digitalen Reifegrad der jeweiligen Unternehmung und beraten individuell und unabhängig. Unser breites Portfolio an Partnerschaften ist die Basis für diese Unabhängigkeit. Am liebsten begleiten wir daher einen Kunden möglichst end-to-end, um ihm eben zu einer möglichst passgenauen Lösung zu verhelfen.

Zum Abschluss: Welchen Rat würden Sie Unternehmenden mitgeben, die trotz Sicherheitssorgen transformieren möchten?

Das grösste Risiko ist es, nichts zu tun und stehen zu bleiben. Die Konkurrenz oder die Ansprüche der Kunden entwickeln sich weiter und dem muss ein Unternehmen Rechnung tragen. Wenn ein Unternehmen Sicherheitsbedenken hat, sollte es sich mit diesen auseinandersetzen. Entweder muss es sich in diesem Bereich zuerst weiterentwickeln, bevor es andere Transformationsvorhaben angehen will. Oder es bettet den Sicherheitsaspekt in jedes Transformationsvorhaben mit ein, dies sollte es so oder so tun – egal wo es bezüglich seiner Sicherheitsmaturität steht.