Die österreichische Handy-Signatur – Vorzeigeprojekt mit Sicherheitslücken? Interview mit Reinhard Posch, CIO der öst. Bundesregierung?

Die österreichische Handy-Signatur gilt weltweit als Erfolgsgeschichte und Vorzeigeprojekt im Bereich des e-Government und der elektronischen Partizipationsmöglichkeiten für BürgerInnen. In den letzten Wochen wurde plötzlich Kritik laut rund um vermeintliche Sicherheitslücken. Wir hatten dazu im Blog ein Interview mit Wolfgang Prentner, der in einem ZIB2 Bericht Schwächen in der Sicherheitsarchitektur der Handy-Signatur anprangerte. Aufgrund der Unsicherheit, die der Medienlärm verursacht hat und dem hohen Interesse unserer Leser haben wir uns um eine Stellungnahme der Verantwortlichen bemüht. Lesen Sie nun was Prof. Reinhard Posch meint, der CIO der österreichischen Bundesregierung. Was macht den bisherigen Erfolg der Handy-Signatur aus? Welchem Risiko sind die Anwender der Handy-Signatur tatsächlich ausgesetzt? Inwieweit besteht Handlungsbedarf?

Welche Anforderungen bringt der Digitale Wandel an die Öffentliche Verwaltung und insbesondere an die IT?

Bereits 2015 wurden mehr mobile Geräte als PCs und Workstations auf den Markt gebracht. Dieser Trend wird nicht nur anhalten, sondern verstärkt zu beobachten sein. Die Verwaltung kann sich solchen Trends nicht verschließen, sondern muss diese Anforderung an die Agilität der Services annehmen. Sicherheit darf dabei nicht auf der Strecke bleiben und bei proaktiven Strategien, für die Österreich seit 15 Jahren international bekannt ist und im E-Government als Vorreiter gilt, kann dies auch im Sinne eines Sicherheitsfortschritts genutzt werden.

Die Handy-Signatur gilt als eine der Erfolgsgeschichten des e-Government und findet international Anerkennung – Was macht den Erfolg der Lösung tatsächlich aus?

Österreich ist nicht nur bekannt und anerkannt mit der Handy-Signatur, sondern es hat diese innovative Form von Sicherheitstechnologie auch explizit in der neuen EU-Verordnung eIDaS Niederschlag gefunden. Erreichbar wurde dies durch den Konzept und Produktzyklus, den Österreich im E-Government eingeführt hat und der in den Basiselementen (Portalverbund, Handy-Signatur, ….) nun auch flächendeckende Wirkung zu zeigen beginnt. Der Zyklus reicht in einer abgestimmten Strategie von der offenen Innovation über die Verwaltungsebenen übergreifenden Koordination und Abstimmung hin zur Umsetzung.

Im Falle der Handy-Signatur ist dies ein koordiniertes Zusammenwirken von Technologie- und Verhaltensaspekten, die nicht nur die Akzeptanz im privaten Bereich auf das Vielfache der Karte als Signaturtoken gesteigert hat, sondern aus dem Design heraus auch bedeutende Sicherheitsfeatures hinzugebracht hat. Dazu nachfolgend nur exemplarisch herausgegriffene Beispiele.

·         Verlust und Widerruf: Der Verlust, das Entwenden des Mobiltelefons wird aller Regel nach innerhalb von ein paar Stunden evident und damit ist dieser zeitliche Risikofaktor gegenüber einer Karte – auch einer Multifunktionskarte –, die oft über Tage hinweg ungenutzt und damit ein Verlust unerkannt bleibt, um einen Faktor verbessert.
·         Der Widerruf selbst hat totale Wirkung, da nicht nur der Widerruf im Verzeichnis als Information erfolgt, sondern zusätzlich der Signaturschlüssel nicht mehr verwendet werden kann bzw. vernichtet wird.
·         Mit dem Smartphone besitzt jeder eine „intelligente Tastatur“. Dies wurde im Kartenumfeld immer wieder versucht; intelligente Tastaturen haben sich aber aus Usability und Preisgründen nicht durchsetzen können. Mit der QR-APP als kryptographisch gesicherten, technisch an das initialisierte Gerät gebundenen SMS-Ersatz kommt dieser Effekt nicht nur zum Nulltarif, sondern bringt zusätzlichen Komfort, den die BenutzerIn an Bedürfnisse anpassen kann.

Welche Rolle spielt die Handy-Signatur beim österreichischen e-Government? Wie sehen die Perspektiven aus?

Qualifizierte Signatur als EU-weit anerkanntes Sicherheitstool ist zur Zeit Kernbestandteil des österreichischen E-Government und hat uns bereits seit 2010 in die Lage versetzt, den grenzüberschreitenden Bedarf genauso wie den nationalen Bedarf einzusammeln. Ohne dieses Sicherheits- und Datenschutzkonzept wäre uns der Vorsprung im Bereichen wie z.B. ELGA nicht gelungen – und dies wird nicht nur in Österreich so gesehen. Stetig steigende Nutzerzahlen und vor allem Nutzungen sowie Applikationen, die darauf abstellen, sind ein lebender Beweis dafür. Qualifizierte Heranführung der BürgerInnen und der Unternehmen an die Verwaltung sind Grundvoraussetzung für hohe Qualität der Daten und der Verfahren in der Verwaltung. Die Handy-Signatur ist dabei ein Grundpfeiler.

In den letzten Wochen wurde die Sicherheitsarchitektur der Handy-Signatur in den Medien stark kritisiert – Wie gefährdet sind Handy-Signatur Nutzer tatsächlich?

Auch wenn diese Situation medial sehr prominent aufgegriffen wurde, sind sich alle anerkannten Fachleute einig, dass darin keine neuen Erkenntnisse stecken. Die Grundproblematik „Phishing“ ist in IT-Zeiträumen gerechnet uralt und wurde in wesentlich ausgefeilterer Form als hier schon vor Jahren am BSI-Kongress diskutiert. Würde dieser Hinweis nicht allzu sehr einer Anleitung oder gar einem Anstiften nahekommen, könnten wir diese sogar als Beitrag zur User-Awareness begrüßen. Dieser Effekt scheint aber weder intendiert noch unintendiert hinüberzukommen. Die Sicherheitsarchitektur wurde in meinen Augen, da der aufgezeigte „Angriff“ nicht spezifisch auf die Handy-Signatur wirkt und auch kein Architekturelement ausnutzt, nicht wirklich angesprochen. Der so genannte Angriff wäre vergleichbar mit einem Pappkartonbankomaten, wo Sie ihre Karte stecken, PIN eingeben und dann eine falsche Karte mit dem Hinweis „funktioniert leider nicht“ zurückbekommen. Auch hier – und solche Fälle gab es vor Jahren im Ausland auf Autobahnstationen - ist Ihre Bank oder Ihr Kartenbetreiber nicht beteiligt und wird kaum Maßnahmen – mit Ausnahme der immer notwendigen Awareness - treffen können. Ein Unterschied ist allerdings hervorzuheben: Der „Betreiber des gefälschten Bankomaten“ wird nicht seinen gültigen Lichtbildausweis vorne auf den Bankomaten kleben, da Verbrecher sich eben nicht gerne ausweisen. Aber genau das müsste beim aufgezeigten Angriff geschehen, da die Handy-Signatur nur über https-Verbindungen - über Ausweise von Servern, die von anerkannten Zertifizierungsdiensteanbietern ausgegeben werden – funktioniert und daher diese Phishing-Attacke – wie das übrigens auch in der in den Medien vorgezeigten der Fall war – eine https-Verbindung aufbauen muss, um nicht sofort aufzufallen.

Welche Maßnahmen sind von Seiten der Verwaltung angedacht? Was müssen Nutzer beachten?

Wie gesagt, ist die Attacke nicht auf die Handy-Signatur abgestimmt und nutzt auch „keine Schwachstelle derselben“ aus. Natürlich muss man – und das machen auch die Banken regelmäßig – dem Benutzer sagen: Klicken eines Link in einer Mail ist ein großes Sicherheitsrisiko, weil man sich damit in den Bereich des oft gar nicht erkennbaren Absenders der Mail begibt und sich diesem ausliefert. Man muss sich schon die Mühe machen, solche Links abzutippen – zumindest einmal, dann kann man sie in die Lesezeichen geben, sofern man bei den Lesezeichen tatsächlich nur vertrauenswürdige Links verwaltet.

Die ohnehin bereits seit einiger Zeit festgelegte Kommunikationsstrategie ist, Benutzer zur weiteren Verbesserung anzuraten, auf die QR-APP, die seit einigen Monaten als zusätzliche Möglichkeit angeboten wird, umzusteigen. Dort kann man auch die ausgelöste Transaktion – z.B. Anmeldedetails bei Finanz-Online mit Bürgerkarte – unmittelbar vor Freigabe und damit ohne Sicherheitsrisiko über den zweiten, unabhängigen Smartphonekanal anzeigen. Generell muss man den BenutzerInnen sagen, dass abgebrochene – also irreguläre – Sitzungen bei jeder Internetanwendung ein gewisses Verdachtsmoment auslösen sollten. Ich mache in einem solchen Fall einen Screenshot von der Abbruchssituation. Im Streitfall – der behauptete Angriff ist ohnehin nur dann nutzbar, wenn der Angreifer mit der Behauptung eines signierten Dokumentes auftritt – könnte man die Logs der Handy-Signatur anfordern. Der Zeitpunkt ist mitsigniert und kann ohnehin nicht verändert werden. Da allerdings dieses Phishing zweimalige Identifikation des Angreifers erfordert – einmal bei der http-Verbindung des Phishing und einmal bei der Nutzung des signierten Dokumentes, können wir die Einschätzung des Risikos nicht teilen und die Tatsache, dass dieses Thema vor einiger Zeit auch öffentlich nachvollziehbar diskutiert wurde und dass es keinen Beschwerdefall, der dazu passt gibt, führt uns zu einer gänzlich anderen Einschätzung der Gefährdungslage.

Wie geht es weiter dem österreichischen e-Government?

eIDaS bringt neben eID und Signatur weitere Elemente. Hier werden wir uns gut überlegen müssen, wie wir daraus Nutzen erzielen können. Dies wird auch von den Synergien mit anderen Mitgliedsstaaten abhängen. Die große Herausforderung ist das Schritthalten mit den Entwicklungen in mobilen Bereich und im Sicherstellen der Attraktivität. Diese Attraktivität muss unter Beibehalten der Grundmauer und damit der Building Blocks der österreichischen E-Government Infrastruktur erreicht werden. Nur so kann das hohe Vertrauen in die Sicherheit und das effiziente Funktionieren und die Motivation aller Beteiligten erhalten bleiben.

Auf der Confare Veranstaltung #Digitalize 2016 treffen Sie u.a. Christian Rupp, Sprecher der Plattform Digitales Österreich aus dem Bundeskanzleramt. Anmeldung und Details auf www.confare.at

Wie sicher ist Österreichs Handy-Signatur wirklich? Experteninterview zu Sicherheitslücken und was Sie beachten müssen.

Am 30. Mai berichtete die ZIB2 umfassend über die gelungene Hacking-Attacke österreichischer Sicherheitsexperten gegen die Handy-Signatur, die bei zahlreichen E-Services von Unternehmen und Ämtern zum Einsatz kommt. In einem Webinar zeigen wir mit den Experten von ZTP wie die Attacke im Detail funktioniert, was die gefundenen Sicherheitslücken konkret für Sie bedeuten und wo Handlungsbedarf besteht. Im Blog-Interview bezieht Experte Wolfgang Prentner Stellung.

Wie sieht die Anwendung der Handy-Signatur derzeit aus?
Die Handy-Signatur ist puncto Akzeptanz mit über 640.000 Benutzern und über 200 E-Services mittlerweile eine Erfolgsgeschichte in Österreich – während die Benutzeranzahl bei den chipkartenbasierenden qualifizierten elektronischen Signaturen stagnieren, steigt die Benutzerzahl der Handy-Signaturen stark an.

Wie sicher ist die Handy-Signatur tatsächlich?
Die Handy-Signatur ist grundsätzlich eine erprobte Technologie, wenn sie richtig eingesetzt wird. Bei der österreichischen Handy-Signatur hat sich aber zumindest ein gravierender Fehler in der Sicherheitsarchitektur eingeschlichen, der das Phishing nach Handy-Signaturen, also die Fälschung von rechtsverbindlichen elektronischen Signaturen, ermöglicht.

Was bedeutet das für Service-Betreiber und Anwender?
Im März dieses Jahres wurden über 124.000 neue Phishing Websites gezählt. Die Phishing Problematik im E-Government mit derzeit über 200 E-Services wird 100-mal höher als wie z.B. beim Internet-Banking eingeschätzt. Warum? Ein Bürger hat 1 bzw. 2 Internet-Banking Anwendungen in Verwendung. Ein Bürger kann aber über 200 E-Government Services in ganz Österreich nutzen, daher der Faktor 1:100 was die Gefährdung durch Phishing Angriffe auf die österreichische Handy-Signatur betrifft und massiv erhöht. Für Service-Provider und dessen Kunden heißt dies konkret - erhöhte Achtung vor vermeintlichen E-Mails, damit nicht Signatur-Daten gephished werden  um sie dann missbräuchlich zur z.B. Unterfertigung von rechtsverbindlichen Verträgen durch Kriminelle zu verwenden.

Welche Maßnahmen müssen daher getroffen werden?

Von Seitens der (1) Anbieter von Handy-Signaturen müssen dringend einige Sicherheitsmaßnahmen korrigiert und verbessert werden. Die (2) Anbieter in Österreich von Handy-Signatur Login Lösungen, derzeit über 200 E-Services, müssen darauf achten, dass ihre Webseiten nicht gefälscht und zum Phishing nach Signaturen missbräuchlich verwendet werden und (3) die Bürger und Mitarbeiter von Betrieben und Behörden müssen darauf achten, dass Sie nicht Phishern auf den Leim gehen, sprich Ihre Signaturen missbräuchlich verwendet werden.

Wie Hacking gegen die Handy-Signatur aussehen kann und wie Sie sich schützen erfahren Sie in unserem Webinar mit Sicherheits-Profi Wolfgang Prentner. Sichern Sie rechtzeitig Ihre Teilnahme:

Webinar Termine:
Do. 2. Juni 2016, 14.15h  Do. 9. Juni 2016, 9.15h
Handy-Signatur Phishing - Ursachen, Folgen und mögliche Maßnahmen
Anmeldung: https://www.ztp.at/acsa

Die Top 3 Faktoren für Risikomanagement im Digitalen Zeitalter: Samuel Brandstätter, avedos im Bloginterview

Wenn sich Alles verändert, hilft professionelles Riskmanagement mit dem Unvorhersehbaren umzugehen. Samuel Brandstätter, CEO von avedos, zeigt bei seinem Vortrag auf dem 9. Confare CIO SUMMIT gemeinsam mit Franz Hoheiser Pförtner, dem CISO des Wiener KAV, wie moderne Tools für Compliance und Risikomanagement in der Praxis funktionieren.

Was bedeutet Risiko in Zeiten des Digitalen Wandels? Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?

Die Bedeutung von Risiken in der digitalen Welt hat sich gegenüber der Bedeutung in der analogen Welt nicht geändert. Es geht im Kern des Risikomanagements nach wie vor darum, sicher zu stellen, dass organisationale oder individuelle Ziele erreicht werden. Dabei bildet Risikomanagement den Rahmen um mit unvorhergesehenen Ereignissen oder Entwicklungen umzugehen und aktive Steuerungsmaßnahmen zu setzen. 

Spezifische Domänen des Risikomanagements – wie beispielsweise das Informationsrisikomanagement – gewinnen durch den digitalen Wandel stark an Bedeutung. Informationen, die bis vor einigen Jahren ausschließlich in physischer Form vorlagen, existieren heute digital – und sind damit überall und zu jeder Zeit abrufbar. War es vor einigen Jahren noch ausreichend, wertvolle Informationen mit einem guten Perimeterschutz gegenüber außen zu schützen, so bringen die viel intensivere unternehmensübergreifende Vernetzung, der Trend Daten in der Cloud abzulegen und die viel einfachere Zugänglichkeit zu Informationen über mobile Devices die Notwendigkeit mit sich, den Informationsschutz neu zu überdenken und zu gestalten. Die zunehmende Vernetzung aller Bereiche des Lebens und die damit verbundene Generierung von Daten (herfür gibt es zahllose Beispiele – vom Fitness-Tracker bis zum Connected Car, vom intelligenten Kühlschrank bis zur digitalen Patientenakte) bringt darüber hinaus auch noch völlig neue Angriffsszenarien mit sich.  

Mit diesen Entwicklungen Schritt zu halten ist eine der wesentlichen Herausforderungen um im digitalen Wandel das Sicherheitsniveau aufrecht zu erhalten.

Welche Anforderungen stellt das Risikomanagement an die Prozesse und Organisation des Kunden?

Risikomanagement hat heute oft den Ruf des „Verhinderers“ – vor allem wenn es nur von wenigen Risikomanagern betrieben wird, die involviert werden müssen um bei kritischen Entscheidungen von einem Veto-Recht Gebrauch zu machen. Tatsächlich ist Risikomanagement aber eine Management-Disziplin, die von den operativen Management-Strukturen einer Organisation nicht zu trennen ist. Jeder Entscheidungsträger wägt Risiken in jedem Aspekt seines Handelns ab – ob mittels Bauchgefühl oder mit formalisierten Methoden. Das unternehmensweite Risikomanagement hat die klare Aufgabe einheitliche Methoden und Werkzeuge bereit zu stellen, die dem operativen Management dabei helfen, bessere Entscheidungen zu fällen. Interessanterweise ist zu beobachten, dass Organisationen mit einer starken Zielfokussierung Risikomanagement nicht als Hemmschuh, sondern als aktives Steuerungselement der Zielerreichung anerkennen – die operativen Manager sehen dabei die in das Risikomanagement investierte Zeit als Hilfestellung, ihre Ziele zu erreichen.

Welche Bedeutung hat dabei der „menschliche Faktor“?

Wie sich in diversen Wirtschaftskrisen gezeigt hat, kann man auch mit den besten Algorithmen nicht aus der Vergangenheit valide auf die Zukunft schließen. Risikoeinschätzungen – und die daraus resultierenden Einschätzungen der künftigen Entwicklung -  basieren im Wesentlichen immer auf drei Quellen: Daten aus der Vergangenheit, Parameter der Gegenwart in Verbindung zu den Daten der Vergangenheit und menschlichen Einschätzungen, Schlussfolgerungen, Ableitungen – also „Experts Judgement“. Ich bin der Überzeugung, dass auch in Zeiten von Big Data und mit Unmengen an verfügbaren historischen Daten der Mensch die entsprechende Schlussfolgerung ziehen wird und dabei auch immer seine subjektiven Erfahrungen und Eigenschaften eine Rolle spielen werden.

Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?

Aus meiner Wahrnehmung gibt es zwei Arten von Softwarewerkzeugen im GRC-Umfeld. Es gibt Experten-Tools, die einen meist sehr kleinen Kreis von Experten dabei unterstützen, Daten aufzubereiten, mit speziellen Analyse- und Simulationsverfahren zu bearbeiten und auf sehr konkrete Fragestellungen statistisch nachvollziehbare Ergebniswahrscheinlichkeiten aufzuzeigen.

Die zweite Art von Werkzeugen sind Management-Systeme – also Werkzeuge, die das zentrale Risikomanagement enablen seine Governance-Funktion auszuüben. Dabei werden Prozesse und Methoden aufgebaut, die dabei helfen, eine homogene Risikomanagement-Vorgehensweise in die gesamte Management-Organisation zu tragen um damit die Zielfokussierung sowie die Resilienz gegenüber unvorhergesehenen Entwicklungen im Gesamtunternehmen zu stärken. Der größte Nutzen für Unternehmen entsteht genau dann, wenn begonnen wird, mehrere solche Management-Systeme zu integrieren um Synergien zwischen ERM, IKS, Audit Management, Compliance Management, Security Management und anderen GRC-Prozessen zu ziehen. Durch diese Integration entwickelt GRC seinen eigentlichen Mehrwert.

Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im Digitalen Zeitalter?

Die Vision von avedos für GRC umfasst wesentliche Themenbereiche, die wir als kritische Erfolgsfaktoren von GRC-Initiativen – und damit auch des Erfolges des jeweiligen Unternehmens – sehen:

1.            Integration – GRC-Verantwortliche sind mehr und mehr gefordert ihre GRC-Prozess Silos aufzubrechen und zu integrieren. Vorstände können es in einer so bewegten Zeit nicht mehr akzeptieren, dass SIE in der Pflicht sind, sich aus unzähligen, nicht integrierten Berichten, das Gesamtbild aufzubauen um entscheidungsfähig zu sein. Auch ein einheitliches GRC-Tool zu implementieren, das dann erst wieder hermetisch separierte GRC-Silos in sich trägt, wird hier das Problem nicht lösen. Der Erfolg von GRC-Initiativen – vor allem aus Sicht der Vorstände und Aufsichtsräte – wird also maßgeblich davon abhängen ob GRC-Initiativen holistisch gedacht sind oder nur „alter Wein in neuen Schläuchen“.

2.            Agilität – Je schneller sich die Umwelt weiterentwickelt, desto schneller müssen sich auch Risikomanagement- und GRC-Prozesse entwickeln können. Dies verlangt höchste Flexibilität und Anpassbarkeit der eingesetzten GRC-Systeme. Es ist erforderlich alle Aspekte einer GRC-Initiative anhand des Reifegrades des Unternehmens weiterentwickeln zu können. Methoden, Prozesse, Standards- und Normen, Integrations-Szenarien, Schnittstellen  - all diese Elemente müssen sich den jeweiligen Gegebenheiten anpassen können um Sackgassen in der IT-Umsetzung von GRC zu vermeiden.

3.            Collaboration – je größer die Zielgruppe der in einen GRC-Prozess involvierten Personen ist, desto mehr ist die möglichst einfache, schnelle und transparent dokumentierte Zusammenarbeit zu GRC-Inhalten erforderlich. Dies umfasst sowohl Möglichkeiten der Personen- / Abteilungs- / Standort-übergreifenden Interaktion zu Risiken, Maßnahmen oder anderen GRC-Inhalten, als auch die Vereinfachung der Kommunikation über die unterschiedlichen Organisationsebenen.

Das Confare CIO SUMMIT ist Österreichs größter CIO Treffpunkt mit mehr als 300 IT-Entscheidern und der Verleihung des CIO AWARD an die besten IT-Manager Österreichs. Anmeldungen und Details auf www.ciosummit.at

 Die avedos business solutions gmbh ist ein Softwareunternehmen mit Sitz in Wien, das sich auf Governance, Risk und Compliance (GRC) spezialisiert hat. Das Unternehmen bietet seit 2005 flexible Softwarelösungen, mit denen GRC-Prozesse dargestellt und verwaltet werden um Risiken frühzeitig zu erkennen und Chancen optimal zu nutzen. Die Softwareplattform risk2value deckt eine Vielzahl von Anwendungsbereichen im Umfeld Enterprise Risk Management, Internes Kontrollsystem, Compliance Management, Audit Management und Informationssicherheitsmanagement ab. Zu den Kunden zählen die weltweit größten und erfolgreichsten Automobilhersteller, Versicherungen, Telekommunikations- und Handelsunternehmen.
www.avedos.com

Die 10 wichtigsten Kennzahlen in der IT – Was Sie zum Messen und Steuern Ihrer IT Leistung brauchen

Seit vielen Jahren beschäftigt sich Holger Schellhaas Münchner Partner der TCI Transformation Consulting International GmbH mit dem Messen und Steuern von IT-Leistung. Anlässlich des Confare Seminars IT-Kennzahlen nennt er uns seine 10 Lieblingskennzahlen, und sagt, was der CIO braucht um sich im Pilotensitz wohl zu fühlen.

Welche Auswirkungen haben Cloud und Digitaler Wandel auf die interne IT?

Über alle Branchen hinweg gibt es Beispiele, wo die technischen Möglichkeiten in der Informations- und Kommunikationstechnologie ganze Marktsegmente revolutioniert haben. Viele dieser Beispiele sind Geschäftsmodelle im Internet, wie die Amazon Web Services. Dabei hat Amazon mit diesen Webservices ein neues Geschäft mit dem Angebot von Cloud Computing aus seinem initialen Kerngeschäft, dem Vertrieb von Büchern und anderen Produkten über das Internet, entwickelt. Also hochskalierbare Cloud-Dienste und digitaler Wandel gehören eng zusammen. Cloud Computing bietet die Möglichkeit, Rechenkapazität kostengünstig, flexibel und zuverlässig einzusetzen und sich an ändernde Anforderungen schnell anzupassen. Die Auswirkungen auf die Struktur der internen IT sind immens, viele - nicht nur kleine und mittlere Unternehmen - sind darauf nicht wirklich vorbereitet. Wir haben bei der TCI Transformation Consulting International GmbH, bei der ich Partner in München bin, mit dem „IT Healthcheck“ und „Digital Readiness Assessment“ gute Erfahrungen gemacht, mit dem wir herausfinden, wie ein einzelnes Unternehmen den umfassenden Einsatz digitaler Technologien mit dem richtigen ersten Schritt angeht.

Was ist essentiell um den Wert einer IT zu messen? Reichen Kosten- und Performance-Kennzahlen?

Die Kernfrage für mich ist, wie man in der IT die strategischen Unternehmensziele „konsequente Kundenorientierung, hohe Innovationskraft und kompromissloses Qualitätsdenken“ in passende IT-Prozesse umsetzt? Das ist essentiell, um den Wert der IT zu messen, das sind dann echte KPIs, also KEY Performance Indicators, die den Namen verdienen. Auch wenn KPIs das Wort „Performance“ enthalten, geht es vielmehr um die Qualität der IT-Services. In einem aktuellen Projekt von mir war ein kritischer Erfolgsfaktor für die IT, dass die Umsetzung von Projekten und kleineren Changes viel zu lange dauerte und die Qualität und die Termintreue die Kundenerwartungen immer wieder nicht erfüllt wurden. Da ging es also darum, den Wert der IT für die Fachbereiche an ihrer Verlässlichkeit und Planbarkeit zu messen, das natürlich auch was zur Performance aussagt, aber doch mehr ist.

Welche Steuerungsinstrumente braucht der CIO?

Ziel des IT-Controllings als wesentliches Instrument zur Steuerung der IT ist es, die Qualität zusammen mit der Performance und den tatsächlichen Kosten der IT-Services zu bewerten. Ein gutes Steuerungssystem stützt sich auf wenige „sprechende“ Kennzahlen und ein regelmäßiges Service Level Monitoring aller IT-Services, um Transparenz für den Verbesserungsbedarf in der IT zu schaffen. Dazu gehört die Umsetzung in Kennzahlen-Cockpits oder Dashboards, also die Aggregation von Kennzahlen zu aussagefähigen Indices - am besten als Modell auf Basis der Standard Balanced Score Card - und unterschieden nach Zielerreichungsindikatoren und Leistungsindikatoren, die sich den Zielgrößen Kundenzufriedenheit, Vermeidung von Risiken, Kosteneffizienz, Prozesseffizienz und Mitarbeiterkompetenz zuordnen lassen. Das klingt komplizierter als es ist. Mein Vorschlag: Kommen Sie am besten in unser Confare-Seminar „IT-Kennzahlen 2016“ am 12.Mai 2016 in Wien.

Was ist bei der Auswahl der eigenen Kennzahlen zu beachten?

Kosten und Leistung Ihrer IT können Sie nur steuern, wenn Sie aussagekräftige Kennzahlen dafür zur Verfügung haben. Ich bin ein Freund von Standards wie ITIL, COBIT und ISO 27001 - da findet sich eine Fülle von Anregungen. Man muss den dort enthaltenen wertvollen Schatz aber auch erst heben. Das geht durch geeignete Auswahl und Verdichtung operativer Kennzahlen in messbare Kriterien und Indikatoren, die sich dem Management reporten lassen. Das machen wir übrigens in dem erwähnten Confare-Seminar. Wie hat es doch der kleine Prinz von Antoine de Saint-Exupery so gut beschrieben: “Wenn Du ein Schiff bauen willst, dann trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu vergeben und die Arbeit einzuteilen, sondern lehre sie die Sehnsucht nach dem weiten, endlosen Meer.” Sehnsucht nach schlanken Prozessen habe ich bei vielen Projekten bei den beteiligten Verantwortlichen vielleicht nicht erreicht, aber sicher den Nutzen und den Sinn verdeutlicht.

Was ist Deiner Erfahrung nach die Top 10 der Kennzahlen in der IT und wie wertvoll sind sie wirklich?

Gerade in stürmischen Zeiten suchen IT-Manager nach Halt und Hilfen, um zu navigieren. Ideal wäre so etwas wie in einem Auto oder Flugzeug: Der Pilot sitzt gemütlich im Sessel und hat Instrumente vor sich, die ihm den Status seiner verschiedenen Aggregate und Systeme vor Augen halten. Bei kritischen Werten geben diese selbständig Signale und der Pilot greift ein. Auch hat der Pilot dann gleich an seinem Platz die notwendigen Hebel, um steuernd einzugreifen. Ansonsten lässt er den Autopiloten den Job machen. Meine Favoriten sind quantitative Kennzahlen zum Grad eingehaltener Service Levels, zur Qualität der IT-Service-Prozesse (aus Sicht der IT-Nutzer!) zur Kundenzufriedenheit und zu den Kosten pro Arbeitsplatz der wichtigsten IT-Services - alles Kennzahlen, die betriebliche Daten zu sinnfähigen Informationen verdichten, um Zusammenhänge mit einem Blick zu verdeutlichen. Damit lassen sich abstrakte Ziele der IT (z.B. „Signifikante Kostensenkungen in den nächsten 3 Jahren” oder „Angemessener Grad an IT-Sicherheit“) in messbare Kriterien übertragen. Aber eines ist klar: Zu echten Steuerungsgrößen werden Kennzahlen aber erst, wenn der erreichte Fortschritt und die erfolgreiche Umsetzung auch überwacht werden.

Anmeldung und Details zum nächsten Seminar: http://www.confare.at/13452_DE-7418_IT-Kennzahlen-Einfuehrung.htm

5 Elemente einer erfolgreichen Content Strategie - Perspektiven für den ECM Markt

Der Digitale Wandel verändert Geschäftsmodelle und Unternehmen dramatisch. Essentiell für den Erfolg im digitalen Business ist der gezielte Umgang mit Informationen, Daten und Dokumenten im Unternehmen, so meinen jedenfalls die ECM Experten von SER und fordern eine Content Strategie um Inhalte nutzergerecht und nutzbringend einsetzen zu können. Im Word Rap anlässlich des Vortrages auf dem 9. Confare CIO &IT-Manager Summit erfahren wir von Markus Hartbauer und Cristof Voglmayr was eine solche Content Strategie auszeichnet, was der Anwender wirklich will und welche Auswirkungen die geänderten Kundenbedürfnisse auf Anbieter im ECM Umfeld haben.

Wie verändert sich der Umgang mit digitalen Inhalten in den Unternehmen?

Cristof Voglmayr: „Jederzeit, überall auf jedem Device in der für mich am besten bedienbaren Weise“ benötigt der Anwender unternehmensweit den Zugriff zu Dokumenten und Inhalten – dabei will er aber nur für ihn relevante Informationen bekommen.

Markus Hartbauer: Die besitzständlerischen Datensilos („Dokumente meiner Abteilung gehören mir“) verschwinden zugunsten firmenübergreifender Wiederverwendung und gewinnbringender Nutzung der Informationen.

Welche Anforderungen haben die Anwender?

Cristof Voglmayr: Schneller Barriere freier Informationszugang ist gefragt - Easy to Use heißt die Forderung der Nutzer: Usability und User Experience sind Schlüsselfaktoren.

Markus Hartbauer: Es geht darum den „Sweet Spot“ zu erreichen - ein gerade richtiger Funktionsumfang, der sich intuitiv und ohne Schulungen/Manuals erschließt. Wichtig für die Anwenderzufriedenheit ist auch die Resilienz der SW gegenüber Fehlbedienung.

Was sind die 5 wichtigsten Kriterien beim Gestalten einer Content Strategie?

•             Nutzenstiftung
•             Vollumfänglichkeit (Daten/Dokumente/Akten/Prozesse)
•             Fokus auf wertschöpfende Kernprozesse, nicht bloß Administrivialitäten
•             Allgegenwärtigkeit (native OS, Web, Mobile, …)
•             Compliance, Policy im Umgang mit Content (Berechtigungskonzept, Vertraulichkeitsstufen etc.), Datensicherheit, Datenschutz

Was bedeuten die Veränderungen von Unternehmen und Anwenderverhalten für die Hersteller von ECM Lösungen?

Cristof Voglmayr: Die Time to Market gewinnt an Bedeutung. Fachspezifischen Lösungen müssen schnell ausgerollt werden. Dabei muss die Anwendung leicht in bestehende Landschaften integrierbar sein, Schnittstellen sowie eine hohe Performance und Skalierbarkeit bieten. Datensicherheit & Datenschutz machen ein zentrales Content Repository erforderlich.

Markus Hartbauer: Der Kunde erwartet Instant Premium Solutions. Vorkonfigurierte Lösungen bspw. Personalakte, Produktdokumentation, Projektakten und –management etc. werden zu individuellen Paketen zusammengestellt um die Anforderungen des Kunden zu erfüllen.

3 Vorhersagen für den ECM Markt in den nächsten 5 Jahren

•             Verstärkte Konsolidierung der Legacy Systeme

•             Eliminierung der Datensilos – federated Search

•             Wissensmanagement & Wissensvernetzung werden Treiber für neue Technologien in Unternehmen

„Content Rules!“ – Wettbewerbsvorteil Digital Workplace – so lautet der Titel des Vortrages, den Mag. (FH) Markus D. Hartbauer, Chief Solution Architect der SER Solutions Österreich GmbH auf dem 9. Confare CIO SUMMIT am 6/7. April in Wien halten wird. Details zum Programm und Anmeldemöglichkeit finden Sie hier.

SER ist führender Anbieter im Bereich Dokumentenlösungen - mehr zum Unternehmen finden Sie hier.

 

Was bedeutet das Ende von Safe Harbor für österreichische Unternehmen: Datenschutzexperte Siegfried Gruber im Blog Interview

Heute startet der Confare Lehrgang zum zertifizierten Datenschutzbeauftragten unter der Leitung von Siegfried Gruber. Er ist als Experte der O.P.P. täglich mit praktischen Fragen des Datenschutzes befasst. Anlässlich des Erfolges von Max Schrems und der Initiative Europe vs. Facebook haben wir mit ihm über die Folgen dieser Entscheidung für heimische Unternehmen gesprochen.

Wie beurteilst Du den Fall des Safe Harbor Abkommens – Ein großer Erfolg für den Datenschutz?

Spätestens seit den Enthüllungen von Edward Snowden war evident, dass auch eine bestehende Safe Harbor Bescheinigung kein Hindernis für einen möglichen Zugriff der amerikanischen Behörden auf alle Daten dieser Unternehmen ist. Ob es sich um einen „großen Erfolg für den Datenschutz“ handelt, scheint fragwürdig. Durch die weltweite Vernetzung sowohl kommerzieller als auch technischer Natur ist davon auszugehen, dass personenbezogene Daten Europäischer Unternehmen auch weiterhin in den USA verarbeitet werden, bzw. amerikanische Unternehmen Niederlassungen auf dem Boden der EU betreiben und diese Daten somit in der EU verwenden. Das Interesse der amerikanischen Behörden an diesen Daten scheint ungebrochen.

Die Kündigung des Safe Harbor Abkommens macht die Übermittlung oder Überlassung von Daten an Unternehmen in den USA aber nicht generell unzulässig, sondern bedingt eine Vorab-Genehmigung dieser Datenweitergabe durch die Aufsichtsbehörden. Im Rahmen dieses Ansuchens muss glaubhaft gemacht werden, dass ein angemessenes Datenschutzniveau beim Empfänger der Daten sichergestellt ist.

Welche Auswirkungen hat das auf die heimischen Unternehmen? Wer ist betroffen?

Betroffen sind vor allem jene heimischen Unternehmen, die aktuell Daten unter Berufung auf die Safe Harbor Bescheinigung an Unternehmen in den USA weitergeben. Durch den Wegfall des Safe Harbor Abkommens ist davon auszugehen, dass für die Zulässigkeit von weiteren Datenweitergaben an diese Unternehmen eine Genehmigung durch die Datenschutzbehörde erforderlich ist.

Insbesondere sind jene Unternehmen intensiv betroffen, die zB Anwendungen in der Cloud in den USA betreiben. Vielfach besteht hier keinerlei Möglichkeit, temporär auf einen Europäischen Anbieter auszuweichen. Viele dieser Datenanwendungen sind tief in die Prozesse der Unternehmen integriert. Es besteht praktisch keine Alternative, als diese Anwendungen weiter zu betreiben, auch wenn dies gesetzwidrig ist.

Welche Perspektiven hat der Datenschutz in Zeiten von Big Data und Digitalisierung?

Durch die zunehmende Vernetzung, Big Data und Digitalisierung von immer mehr Bereichen des täglichen Lebens wird es für den Einzelnen schier unmöglich, den Überblick über die ihn betreffenden digitalen Informationen zu wahren. Daten werden vielfach als das „Öl des 21. Jahrhunderts“ bezeichnet. Den damit verbundenen wirtschaftlichen Interessen steht das Schutzbedürfnis der Betroffenen gegenüber. Ein modernes Datenschutzrecht soll dafür sorgen, dass der Schutz personenbezogener Daten gewahrt bleibt. Der derzeit vorliegende Entwurf einer Europäischen Datenschutz-Grundverordnung zeigt hierzu viele interessante Ansätze auf. Es bleibt abzuwarten, was davon in der finalen Version übrig bleibt und wie wirksam künftig die Rechte der Betroffenen sowohl innerhalb der EU aber auch im Ausland durchgesetzt werden können.

Wie unterschieden sich die Anforderungen von Unternehmen und Konsumenten und wie können sie angenähert werden?

Qualitativ hochwertige Informationen über Konsumenten stellen für Unternehmen einen erheblichen Wert dar, da sie aufgrund dieser Daten entsprechend zielgerichtet agieren und reagieren können. Aufgrund hoher Datenqualität können Unternehmen ihre Zielgruppen treffsicher ansprechen. Davon können auch die betroffenen Konsumenten profitieren, da sie eben nicht wahllos mit Information „zugemüllt“ werden, sondern entsprechen ihren Interessen und Bedürfnissen angesprochen werden. Die schon im aktuellen Datenschutzrecht verankerten Grundsätze der Zweckbindung, Erforderlichkeit und Sparsamkeit der Verwendung personenbezogener Daten sollen dem Ausgleich der Interessen dienen. Der mündige Konsument sollte selbst entscheiden können, wieviel von seinen persönlichen Informationen er zu welchem Zweck preisgibt. Um diese Entscheidung treffen zu können bedarf es jedoch der entsprechenden Information durch Unternehmen, welche Daten zu welchem Zweck erhoben und weiter verarbeitet werden. Hier gibt es auf beiden Seiten noch Nachholbedarf.

Aktuelle Weiterbildung zum Thema IT-Recht finden Sie auf www.confare.at

Mobility, Cloud und Big Data sind die wichtigsten Handlungsfelder für den CIO im Energiesektor - ABER NICHT NUR! - #TopCIO Michael Löchle, Alstom

Asien als Zukunftsmarkt, eine laufende Veränderung von Markt und Regeln und ein Unternehmen voller Ingenieure - Michael Löchle ist als Vice President IS des Thermal Power Sector der ALSTOM (Switzerland) Ltd. mit zahlreichen Herausforderungen konfrontiert. Dass er die IT bei Alstom trotz aller „headquarter politics“ und „budget constraints“ zu einem strategischen Wettbewerbsfaktor gemacht hat, macht Michael Löchle zu einem Top-Kandidaten für den Swiss CIO AWARD 2014, der am 25.9. auf dem 3. Swiss CIO SUMMIT im Dolder Grand Hotel in Zürich verliehen wird. Hier kürt Confare in Zusammenarbeit mit EY und der Universität St. Gallen auch heuer wieder die besten Informatiker der Schweiz – Details und Anmeldung auf www.ciosummit.ch

Welche Rolle spielt die IT in Ihrem Unternehmen?

Die strategische Bedeutung der IT im Sektor Thermal Power ist sehr hoch. Wir sind ein Global Player im Energiesektor mit einem Umsatz von rund 9 Milliarden Euro und 46‘000 Mitarbeitenden. Wir stellen einerseits Komponenten (Turbinen etc.) für Gas-, Dampf- und Nuklearkraftwerke wie auch schlüsselfertige Kraftwerke her. Andererseits wird ein Grossteil unseres Umsatzes durch Services generiert. Alle Geschäftsbereiche sind sehr stark von der IT abhängig. Im Bereich der Komponenten und Kraftwerke sind es vor allem die Engineering-Applikationen, die für das Business essentiell sind. Im Service-Geschäft stellen wir ERP-Applikationen für „high volume spare parts“, also für sehr viele aber kleinere Transaktionen als im Kraftwerksgeschäft zur Verfügung.

Unser Unternehmen beschäftigt sehr viele Ingenieure. Dies hat für die IT den Vorteil, dass die strategische Bedeutung der IT nahezu jedem Mitarbeitenden klar ist. Der Nachteil besteht darin, dass Ingenieure sehr IT-affin sind und sich oft etwas schwer tun mit der Standardisierung von Prozessen und Applikationen. Daraus resultiert eine nicht zu unterschätzende und spannende Herausforderung für die IT.

Märkte und Unternehmen verändern sich schneller als je zuvor – Was bedeutet das für die interne IT?

Die sich immer weiter beschleunigende Veränderung der Märkte ist ein Fakt und die IT muss agil und flexibel genug sein, dem Business sowohl inhaltlich, was die Geschäftsprozesse angeht, als auch geographisch zu folgen. Im Energiesektor bewegen sich die Märkte sehr stark in Richtung Asien. Insbesondere China gilt bereits heute als einer der grössten und wichtigsten Energiemärkte. Diesem Trend muss die IT folgen und u.a. durch innovative Sourcing-Modelle die nötige Agilität für die Unterstützung des operativen Geschäfts in diesem Märkten schaffen. Die IT muss bei der kontinuierlichen Verbesserung der Geschäftsprozesse eine Schlüsselrolle einnehmen und somit die Anpassung an neue Geschäftsprozesse unterstützen, treiben und im Idealfall sogar erst ermöglichen.

Wo sehen Sie die 3 wichtigsten Handlungsfelder für den CIO in den nächsten Jahren?

Die Standardantwort wäre hier wohl Mobility, Cloud und Big Data. Ich denke die drei Themen werden mit Sicherheit grosse Bedeutung haben. Allerdings glaube ich, dass es noch andere Herausforderungen geben wird. Ich denke die Rolle des CIO als „alleiniger Herrscher“ über die IT im Unternehmen wird sich massiv verändern. Es wird mehr und mehr dezentrale IT in den verschiedenen Businessbereichen geben und es wird neue Governance-Modelle brauchen, um diese dezentralen Modelle zu koordinieren und zu führen. Zudem werden sich CIOs noch stärker beim Design und Support von Businessprozessen engagieren. Last but not least, sehe ich die Koexistenz der Baby-Boomer-Generation mit den Generationen X und Y im Unternehmen als grosse Herausforderung für die CIOs an.

Welche Bedeutung hat der CIO AWARD für Sie?

Ich würde den CIO AWARD gerne als Team-AWARD für mich und mein Leadership-Team verstanden wissen. Ein CIO ist immer nur so gut wie das Team, das ihn im Hintergrund unterstützt. Ich hatte das Glück, die letzten 5 Jahre bei Alstom mit hervorragenden Mitarbeitenden zusammenzuarbeiten.

Der AWARD wäre eine sehr schöne Anerkennung einer gemeinsamen fünfjährigen Reise, welche zum Teil über steinige Wege, gepflastert mit viel „headquarter politics“ und „budget constraints“ geführt hat.

#TopCIO 2014 - Was macht eine zukunftsfähige Konzern IT aus? Wie Ursula Soritsch-Renier die IT des Sulzer Konzerns zu einem entscheidenden Wettbewerbsfaktor macht

Ursula Soritsch-Renier hat als Österreicherin in der Schweiz 2013 begonnen die Corporate IT des Sulzer Konzerns zu restrukturieren und neu zu positionieren. CEO Klaus Stahlmann beschreibt den gemeinsam beschrittenen Weg: „Sulzer war im Prozess sich von einer lokalen, dezentralen Organisation hin zu einem Unternehmen mit starker Marktorientierung und einer globalen Ausrichtung zu wandeln, als Ursula Soritsch-Renier zu uns kam. Das Unternehmen kündigte Ende 2013 eine Reorganisation an, bei der die IT einen zentralen Wegbereiter darstellt. Ursula war federführend eine Vision, Strategie und Roadmap für die IT zu definieren, die unser Geschäftsmodell unterstützt und die organisatorische Beweglichkeit bietet, auf sich schnell verändernde Herausforderungen der heutigen globalen Märkte zu reagieren.“

Ihr Erfolg bei diesem Veränderungsprozess und das Engagement, den Konzern im Zeitalter der Digitalisierung zukunftsfähig aufzustellen, macht Ursula Soritsch-Renier zu einer aussichtsreichen Kandidatin für die Auszeichnung als Top CIO 2014 und für den Swiss CIO AWARD, den Confare in Zusammenarbeit mit EY und dem Institut für Wirtschaftsinformatik der Universität St. Gallen am 3. Swiss CIO SUMMIT verleihen wird und ist somit die erste weibliche Kandidatin für die prestigeträchtige Auszeichnung. Noch gibt es Gelegenheit sich zu der Veranstaltung anzumelden, die am 25. September im Züricher Dolder Grand Hotel stattfinden wird auf www.ciosummit.ch

Wie sieht der wirtschaftliche Rahmen von Sulzer aus?

Sulzer mit Sitz in Winterthur, Schweiz, gegründet 1834, ist auf Pumpen, Wartung und Dienstleistungen für rotierende Maschinen sowie Trenn-, Reaktions- und Mischtechnologie spezialisiert. Das Unternehmen ist ein führender Anbieter in folgenden Schlüsselmärkten: Öl und Gas, Energie und Wasser. Sulzer bedient Kunden auf der ganzen Welt mit einem Netzwerk von über 150 Produktions- und Servicestandorten und hat eine starke Präsenz in aufstrebenden Märkten. 2013 erzielte das Unternehmen mit rund 15 000 Mitarbeitenden einen Umsatz von über CHF 3,2 Milliarden.

Mit welchen Herausforderungen waren Sie konfrontiert, als Sie die Rolle des CIO bei Sulzer übernommen haben?

Als ich meine Stelle vor eineinhalb Jahren antrat, war die Corporate IT den divisionalen IT-Gruppen gleichgestellt. Es gab nur einen losen IT-Council zur Abstimmung zwischen den IT-Gruppen, aber ohne klare Entscheidungsstrukturen und mit limitierter Wirkungskraft. Dies alles galt es neu zu ordnen und für alle – den IT-Mitarbeitenden und unseren Business Partnern – eine klare Ausrichtung zu geben.

In meinen ersten 3 Monaten habe ich

•             eine komplett neue Organisationsstruktur aufgesetzt und kommuniziert,
•             zentrale, damals weitgehend inexistente Schlüsselrollen besetzt (z. B. Head of IT Procurement, Head of PMO/Program Manager, Chief Information Security Officer, Head of Strategy & Planning, usw.),
•             das Projektportfolio analysiert sowie neu strukturiert und priorisiert,
•             Win7 an einen einzelnen Anbieter mit Festpreis abgegeben, um so Komplexität und Kosten zu reduzieren,
•             erste Kosteneinsparungen durch gezielte Verhandlungen mit Lieferanten erzielt.
 
Neben diesen ersten Aktivitäten habe ich mir ein detailliertes Bild von der gesamten IT-Organisation und -Landschaft gemacht. Die wesentlichen Herausforderungen waren:
•             Definition eindeutiger Entscheidungsstrukturen (alle IT-Abteilungen der damals noch vier Divisionen von Sulzer waren gleichberechtigt);
•             Aufbau weiterer fachlicher Expertise;
•             Differenzierung zwischen Betrieb und Projekten, sowohl bei Kosten als auch den generellen Aktivitäten;
•             Überarbeitung und Umbau der IT-Infrastruktur, Harmonisierung der Systeme (z. B. über 30 Active Directories, über 40 E-Mail-Systeme, kein einheitliches Netzwerk, etc.)

Um all diese Herausforderungen angehen zu können, habe ich sehr intensiv mit dem Executive Committee und dem Audit Committee zusammengearbeitet. Gemeinsam haben wir Budget, Headcount und Governance-Strukturen diskutiert und festgelegt. Zudem konnte ich im Laufe des Herbstes 2013 mein Management-Team – bestehend aus sehr erfahrenen IT-Führungskräften – zusammenstellen. Mit dem neu formierten Management-Team haben wir in unserer neuen IT-Organisation nun eine starke Zugrichtung und Durchschlagskraft.

Gemeinsam haben wir seitdem wichtige Erfolge und Resultate erzielt:

•             Wir haben die für 2013 versprochenen Projekte erfolgreich abgeliefert und sind in 2014 bisher gut unterwegs;
•             Die Infrastruktur ist signifikant stabiler und schlanker (z. B. drei statt 43 E-Mail-Systeme, eingeführte Netzwerkstandards, AD-Harmonisierung, Inventorisierung der Hardware- und Softwarekomponenten, usw.);
•             Wir haben ein funktionierendes Project Management Office mit einer einheitlichen Methodologie, Projektfortschrittsüberwachung, KPIs und einem Project Approval Board;
•             Wir haben eine neue Information Security Policy verabschiedet, ein Security Board etabliert und Security Reports eingeführt;
•             Wir bauen unsere IT-Kompetenz kontinuierlich durch weitere Einstellungen von Experten bei gleichzeitiger Reduktion von externen Mitarbeitenden auf und aus, was zudem die Kosten senkt.

Seit Anfang dieses Jahres berichten alle IT-Gruppen direkt an mich und ich selbst berichte direkt an den CEO (vorher CFO).

Es gibt ein monatliches IT Steering Committee mit dem CEO und den Divisionspräsidenten zur Abstimmung der IT-Strategie; und wir haben nun eine Drei-Jahres-IT-Strategie entwickelt, welche mit den Geschäftsbereichen abgestimmt ist.

Besonders interessant war es, die früher unabhängigen, divisionalen IT-Gruppen zusammenzuführen. Dabei habe ich gute Unterstützung des CEOs erhalten, ich habe viel mit den Kolleginnen und Kollegen diskutiert und Überzeugungsarbeit geleistet, denn die neue Ausrichtung von einer dezentralen in eine zentrale IT-Organisation bringt viel Veränderung mit sich. Der persönliche Dialog ist wichtig.

Aufgrund der historischen Entwicklung des Unternehmens gibt es eine signifikante Diversität in beinahe allen Bereichen. Aus diesem Grund haben wir einige Architektur-Prinzipien eingeführt, die es uns erlauben, mit dieser Heterogenität und Komplexität umzugehen, wie z. B. Optimierung und Verwaltung von Diversität oder Agilität vor Standardisierung. Geschwindigkeit und Flexibilität in der Unterstützung unseres Business sind wichtiger als die perfekte Architektur.

Welche Rolle spielt die IT bei der Veränderung des Unternehmens und bei Innovationen?

Ein CIO ist ein Business Manager wie jeder andere. Es geht darum eine aktive Rolle zu übernehmen und die Bedürfnisse der Firma aktiv zu erkennen, Lösungen dafür bereitzustellen und proaktiv Vorschläge zu deren Umsetzung anzubieten.

Unsere Divisionen befinden sich seit rund 12 Monaten in Veränderung, wobei dieser Transformationsprozess noch nicht abgeschlossen ist. Der intensive Dialog spielt auch hier wieder eine zentrale Rolle. Ich höre zu und setze dann in enger Abstimmung mit meinen Business Partner und dem IT-Team Prioritäten. Zusammen finden wir die beste Lösung für das Unternehmen und setzen diese dann auch gemeinsam um.

Heute ist die IT ein Teil der strategischen Planung von Sulzer. Die IT wird in die firmenweite Mittelfristplanung einbezogen und somit eng mit allen Geschäftsbereichen abgestimmt. Das ermöglicht es, klare und realistische Erwartungen zu setzen und zusammenzuarbeiten.

Eine zweiter Aspekt ist die fortschreitende Digitalisierung der Unternehmen. Der CIO hat eine einzigartige Rolle und Position hierfür. Mit Expertise und Erfahrung steht der CIO neben dem CEO, um die Firma auf ihrem Weg in die Zukunft zu begleiten.

Der industrielle Maschinenbau (die Branche, in der ich arbeite) steht erst ganz am Anfang der Digitalisierung. Es ist eine grossartige Chance, von Anfang an dabei zu sein und diese Entwicklung aktiv mitzusteuern.

Was sind die 3 wichtigsten Fähigkeiten eines IT-Managers im modernen Unternehmensumfeld?

Ich denke, dass

•             Kommunikationsfähigkeit, die richtigen Erwartungen zu setzen und zu managen,
•             visionäres und strategisches Denken,
•             ein gutes Team zu etablieren und es zu Höchstleistungen zu motivieren,
die drei wichtigsten Fähigkeiten eines IT Managers im modernen Unternehmensumfeld sind.

Warum ist der CIO AWARD wichtig?

Awards zeichnen nicht nur Erfolg aus. Durch einen Award werden auch viele andere Qualitäten wie

•             die Fähigkeit, eine Herausforderung zu meistern,
•             nicht aufzugeben, mit kritischen Stimmen oder Opposition umgehen zu können und
•             vor allem ein Streben nach Exzellenz
ausgezeichnet.

Erfolge in einem Unternehmen sind nicht die Leistung von nur einer Person. Erfolg wird nur durch die Zusammenarbeit vieler einzelner im Einklang erreicht. Der CIO Award ist deshalb so wichtig, weil es jeden einzelnen - der auf dem Weg zum Erfolg beteiligt war und mitgeholfen hat und es zu dem gemacht hat, was es heute ist - mitehrt und ihm/ihr die Anerkennung gibt, die ihm/ihr gebührt.

Darüber hinaus ist der CIO Award die Anerkennung einer Leistung durch die Aussenwelt – eine Perspektive, die in der Berufswelt wenigen gegönnt ist. Normalerweise muss ein ‚Schulterklopfen‘ des Chefs ausreichen. Ein Award hingegen geht über die Firmengrenzen hinaus. Dadurch ist die Bedeutung eines Awards nicht zu unterschätzen – diese Verleihung ist ein signifikantes Ereignis.

Anmeldung und Details zum CIO AWARD 2014 auf www.ciosummit.ch 

5 Faktoren für „Bezahlbare Compliance“

Das ERP-System ist oftmals das Herzstück der Business Software eines Unternehmens – welche besonderen Anforderungen es an diese mächtigen Systeme es im Zusammenhang mit der Einhaltung von Verhaltensmaßregeln, Gesetzten und Richtlinien gibt, beantwortet Markus Oman, Geschäftsführer der O.P.P. – Beratung und einer der führenden IT-Rechts-Experten in Österreich im Gespräch mit Confare.

Welche rechtlichen Anforderungen müssen ERP Systeme und deren Betrieb erfüllen? Welche Risiken gibt es?

MO: Der Betrieb solcher zentralen Systeme bringt Risiken in verschiedenen Bereichen mit sich, die erkannt, qualifiziert und gemanagt werden müssen. Insbesondere gehören hierzu:

• Organisatorische Risiken
• Infrastrukturelle Risiken
• Anwendungs- und prozessbezogene Risiken
• Kosten- und leistungsbezogene Risiken
• Rechtliche Risiken

Vielfach gibt es Bereiche, in denen sich die betriebswirtschaftlichen, technischen und rechtlichen Anforderungen überschneiden. Besonders diese Überlappungszonen stellen sich in der Praxis sehr komplex dar. Die aktuellen Compliance Anforderungen umfassen vielfach Anforderungen auf die betriebswirtschaftlichen, als auch in die technischen Themenbereiche. Insbesondere sind hier Anforderungen an die Funktionsfähigkeit des IKS (Internes Kontroll System) zu nennen oder auch die Anforderungen der Wirtschaftsprüfung bzgl „Going Concern“. Ebenso sind hier auch die Inhalte des Fachgutachtens für Ordnungsmäßigkeit von EDV-Buchführungen KFS_DV1 (bzw. auch KFS_DV2) und nicht zuletzt die Prüfungsrichtlinien der WP Gesellschaften zu erwähnen. Nicht zuletzt gilt es auch die gesetzlichen Forderungen des UGB (zB §§ 189f , §216 und §274 UGB), der BAO (zB §§ 125 ff BAO, § 131, 132 BAO) und die GOB (Grundsätze ordnungsmäßiger Buchführung) zu erfüllen.

Besonderes Augenmerk ist auf eine zweckmäßige Gestaltung des IKS zu legen. Hierbei gilt es aufgrund der vielfältigen Anforderungen besonders darauf zu achten, dass das Gesamtsystem transparent und funktional wird, aber gleichzeitig auch effizient bleibt.

 Generell ist „bezahlbare Compliance“ das Gebot der Stunde!

Was sollte ein IKS nun zumindest abdecken und was muss daher durch das ERP – System und dessen Prozesse geleistet werden?

MO:

·         Ein Internes Kontrollsystem muss gewährleisten, dass die Aufgaben im Unternehmen (gemäß der Unternehmensziele) ordnungsgemäß erfüllt werden und  eine diesbezügliche Sicherheit schaffen.

·         Durch ein IKS müssen insbesondere die Vollständigkeit und Richtigkeit der geschäftlichen Aufzeichnungen gewährleistet, die vorhandenen Vermögenswerte abgesichert, die betriebliche Leistungsfähigkeit gesteigert und die Geschäftsleitung bei ihrer Überwachungsaufgabe unterstützt werden.

 

·         Das IKS stellt ein internes System aller Überwachungsmaßnahmen dar, die in Arbeits- und Betriebsabläufe integriert sind. Somit sind im Rahmen des IKS-Prozesses alle

ª  Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit,

ª  zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung und

ª  zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften, sicher zu stellen!

Für das ERP-System und seine nachgelagerten Systeme gilt daher, dass es Funktionen zur Verfügung stellen muss, die es ermöglichen, dass Kontrollmaßnahmen auf Risiken und Schwachstellen ausgerichtet sind. Diese Prozesse sind laufend zu überwachen und aktuell (für Dritte nachvollziehbar) zu dokumentieren. Die erforderliche Qualität der Dokumentation bzw. Nachweisbarkeit wird nur durch eine entsprechende Revisionssicherheit erreicht.

Ein wichtiger Aspekt in diesem Zusammenhang ist die Archivierung der verwendeten bzw. erzeugten Informationen, Daten und Dokumente. Und hier beginnt nun das Dilemma, was archivieren und wie, welche Dokumente sollen aufbewahrt werden, wann dürfen Originale entsorgt werden, was sind überhaupt die Originale und darf überhaupt alles für immer aufbewahrt werden?

MO: Die gesetzlichen Vorgaben ergeben sich aus der Verpflichtung zur Transparenz und Nachvollziehbarkeit, den Anforderungen der Ordnungsmäßigkeit, und dies alles ist verpackt in einer Vielzahl von  Gesetzen und der gelebten Judikatur. Eine besondere Rolle kommt den Regelungen des Datenschutzgesetzes zu, da dieses durch seine Schutzfunktion für den Betroffenen zu Konflikten mit den Zielen des Unternehmens führen kann (z.B. Auskunftsrecht § 26, Recht auf Richtigstellung / Löschung § 27, Widerspruchsrecht § 28 versus der diversen Aufbewahrungsanforderungen).

Hinsichtlich des betriebswirtschaftlichen Mehrwertes einer elektronischen Archivierung sollte man ins Kalkül ziehen, dass die Prozesse schneller werden, man also schnell mehr richtige Antworten zu den vorhandenen Dokumenten (wichtiger Teil des Wissens der Organisation) erhält, dadurch die Fehlerquote sinkt, Doppelarbeiten vermieden werden und vor allem man das findet, was man sucht. Des Weiteren werden die Wegzeiten praktisch auf null reduziert und somit ein sehr großer „Return on Investment (ROI)“ erreicht wird, was wiederum die Wettbewerbsfähigkeit verbessert.

Um einen ROI zu erwirtschaften muss bei der Einführung eines eArchives in erster Linie das organisatorische Risiko richtig gehandhabt werden und nicht so sehr das technische. Bevor man also nicht weiß, was man wie wieder finden will und daher wie archivieren muss, ist es nicht sinnvoll, eine technische Umsetzung zu beginnen. Daher ist es essenziell erst nach der Erledigung der „Hausaufgaben“ die notwendigen Systeme auszuwählen. Auch hier gilt nur jene beschaffen die wirklich notwendig sind – vieles ist mit bereits vorhanden „Boardmitteln“ möglich.

Gleiches gilt im Übrigen auch, um ein effizientes Handling der elektronischen Ein- und Ausgangsrechnungen zu ermöglichen.

Welche Aufgaben gilt es daher zu meistern und welche organisatorischen und technischen Maßnahmen sind wichtig, um ERP-Compliance kostengünstig sicher zu stellen?

MO:

1. Kenne deine (wirklichen) Prozesse

2. Definiere smarte und am Unternehmensziel ausgerichtet Sollprozesse

3. Analysiere die tatsächlichen Risiken (ROI; Steuer- Unternehmens- und Datenschutzrecht; Leistungsfähigkeit der IT; langfriste Verfügbarkeit des Anbieters) und stelle sicher, dass die Systeme ein effizientes Management genau dieser Risiken ermöglichen. Auch „zu Tode fürchten“ ist nicht zielführend, sondern nur teuer!

4. Baue so viel wie möglich eigens Know – how über das (neue) System auf.

5. Wähle den „richtigen“ Berater. Fähige Berater sind gut und wichtig, aber ein sehr guter Berater, rationalisiert sich selbst weg!

Im Rahmen des 7. ERP Infotages von Confare, am 9. Oktober in Linz wird es am 10. Oktober auch einen Workshop zum Thema ERP Compliance geben, Anmeldung und Details: http://www.confare.at/11185_DE-7205_ERP_Infotag_2013-Workshop%3a_SAP_Compliance_Control_Management.htm