CIO-Interview: «Wir müssen jederzeit souverän bleiben»

«Swiss IT Magazine»: Herr Heinzer, Sie sind jetzt etwa vier Jahre bei Ruag im Amt?
Patrick Heinzer: Genau, seit September 2021. Zuvor war ich bei einem nationalen IT-Dienstleister tätig. Dann bin ich vor vier Jahren bei Ruag im Rahmen eines Beratungsmandates als Externer hinzugekommen, also ad interim. Das war in der Endphase der Entflechtung des früheren Ruag-Konzerns und damit in einer sehr spannenden Zeit. Und seit dem 1. August 2022 bin ich fester Teil von Ruag.

Sind Sie damals also mit der Anforderung zu Ruag gekommen, diesen Entflechtungsprozess auf IT-Ebene zu begleiten?
Das ist auf jeden Fall der Hauptanlass gewesen. Es war wie erwähnt die Endphase der Entflechtung und wenn man so ein Carve-out-Projekt umsetzt, dann produziert man natürlich Kollateralschäden, das ist klar. Über Technik, über Organisation, über Prozesse, und das in kürzester Zeit. Und aus Projektsicht war damit sehr viel Energie im System. Daher wurde damals jemand gesucht, der hier unterstützt, gerade in der Funktion als CIO.


Ist dieses Grossprojekt mit Blick auf die IT heute abgeschlossen oder gibt es immer noch Nachwirkungen?
Es gibt sicher noch Nachwirkungen. Keine Altlasten, aber es gibt einfach Themen, die man auch aufgrund ihres jeweiligen Lebensphase-Modells zu diesem Zeitpunkt nicht in die Hand nehmen musste. Aber die Entflechtung wurde sauber abgeschlossen, das wurde auch mit externen Auditfirmen überprüft.

Was waren denn damals Ihre persönlichen Gründe, um aus der IT-Branche in die Rüstungsindustrie zu wechseln?
Wir sprechen hier von technologischen Komponenten auf einem sehr hohen Level, speziell einem sehr hohen Sicherheitslevel. Und das in Kombination mit den industriellen Themen ist für mich sehr spannend. Vor meiner Zeit bei UMB war ich bereits 15 Jahre lang CIO, und das allem voran in der Industrie. Daher sind es genau diese Prozesse, in denen ich mich besonders gut auskenne.

Gerade der Aspekt Sicherheit ist für Sie also sowohl in Ihrer Rolle relevant als auch persönlich spannend?
Absolut, beides. Nebenbei bin ich «Hobbydozent» und gebe seit rund 17 Jahren berufsbegleitend noch ein bisschen Unterricht. Aus Spass an der Freude. Und hier ist Informationssicherheit eines der zentralen Themen, zu dem ich immer einen guten Zugang hatte. Gleichzeitig ist Security bei Ruag nicht einfach nur ein Teilbereich, sondern voll integriert in den Entwicklungsprozess. Bereits ab dem Konzept ist Sicherheit ein wichtiger Bestandteil. Ruag steht für Sicherheit und wir verarbeiten auch Daten, die sehr sensitiv und kritisch sind. Daher müssen wir darauf ein besonderes Augenmerk legen.

Hat sich denn die Sicherheitslage für Sie verändert? Vor allem in Hinblick auf die aktuelle geopolitische Lage. Sind die Angriffszahlen gestiegen?
Mit unseren Kernsystemen sind wir beim Bundesamt für Informatik, das ist einer unserer strategischen Dienstleister. Und laut ihren Zahlen haben sich die Angriffe massiv erhöht, und das nicht erst seit Ausbruch des Ukrainekrieges. Das ist eine Entwicklung, die wir schon länger beobachten. Und das spüren wir natürlich auch seitens des Providers, beispielsweise in Form von Performance-Engpässen, wenn die Infrastruktur belastet oder getestet wird. Glücklicherweise selten bis nie in Form von Ausfällen. Aber ja, die Situation hat sich definitiv verändert.

Wie unterscheiden sich vor diesem Hintergrund Ihre Sicherheitsanforderungen im Rüstungsbereich? Beispielsweise im Vergleich zu Ihrer vorangegangenen Position bei UMB.
Wir haben sehr hohe regulatorische Anforderungen, hinzu kommen ausgeprägte Branchenvorgaben, die wohl nicht alltäglich sind. Sicher, Banken haben durch die Finma ebenfalls strenge Sicherheitsvorgaben. Aber im militärischen Bereich und wenn man wie wir dann auch noch mit US-amerikanischen Daten arbeitet, dann ist das Level einfach nochmals höher. Ich würde auch behaupten, dass das einzigartig ist in der Schweiz.


Stichwort amerikanische Daten beziehungsweise Dienste. Welche Rolle dürfen denn Lösungen aus der Azure Cloud bei Ihnen spielen?
Gar keine. Es gibt keine Möglichkeit, dass wir mit sensitiven Informationen in die Cloud gehen.

Können Sie aber Lösungen wie Teams einsetzen?
Ja, Teams werden wir im Einsatz haben. Aktuell läuft ein Test über einen Demo-Account, im September oder Oktober folgt dann der Rollout. Aber nicht für das Abspeichern von Daten, sondern rein als Ersatz für Skype, also als Videokonferenzlösung. Unter speziellen Bedingungen dürfen wir aber auch Daten auf Teams abspeichern, also alles, was Ruag-intern ist und keine klassifizierten Daten betrifft. Es gibt ein klares Regelwerk und klare Anweisungen, was mit Teams möglich ist und was nicht.

In diesem Sinne setzen Sie auch auf rein Schweizer Datacenter-Betreiber?
Wir haben zwei grosse Datacenter, die wir selbst in den Räumlichkeiten bei einem professionellen Anbieter betreiben. Und dann kommt das Bundesamt für Informatik als Dienstleister hinzu.

Welchen Anteil Ihrer IT-Landschaft betreiben Sie also grob On-Premises?
Also wenn ich unsere Services und die beim BIT kombiniere, dann sind das etwa 80 bis 90 Prozent.

Im Vergleich mit anderen Branchen ein sehr hoher Anteil. Das wird sich sicherlich auch nicht so schnell ändern.
Das stimmt. Aufgrund klassifizierter Informationen haben wir sehr viele Vorgaben aus der Branche, die das quasi unmöglich machen. Denn wir müssen jederzeit souverän bleiben. Unsere Sicherheitsanforderungen sind einfach viel höher zu gewichten. Und das wirkt sich wiederum ganz allgemein und unmittelbar auf unsere gesamte Beschaffungsstrategie aus. Etwa hinsichtlich Anforderungen an Datenstandorte, Vertragsgestaltung oder langfristige Technologieverfügbarkeit.


Was gehört neben den Sicherheitsaspekten noch zu Ihren Aufgabenfeldern als CIO bei Ruag?
Ich bin vor allem strategisch unterwegs. Es geht primär um unsere IT-Strategie und um die Frage, wie wir mit IT das Business noch besser unterstützen können. Aber ein grosser Teil betrifft auch die Weiterentwicklung der Organisation. In Summe würde ich sagen, dass ich mich zu zwei Dritteln mit strategischen Themen und zu einem Drittel mit Organisationsentwicklungsthemen beschäftige. Wir haben dabei gewisse Herausforderungen wie den War for Talents. Aber auch Rahmenbedingungen wie Systeme, die teils schon sehr lange im Einsatz sind. Die Schweizer Armee kann ihre Systeme natürlich nicht alle paar Jahre wechseln und genauso alt sind dann auch die Lösungen, die wir zu betreiben haben. Daher gibt es bei uns einerseits sehr traditionelle Systeme, andererseits aber auch topmoderne Systeme: ein hochinteressantes Spannungsfeld.

Reicht die Arbeit Ihres Teams damit auch auf Endkundenebene runter? Also bis zum Produkt und somit in den Rüstungsbereich hinein?
Ja, wir betreiben auch Lösungen, bei denen der Endkunde direkt auf unseren Systemen arbeitet. Wir haben also nicht nur einen internen Bereich für Ruag, sondern auch einen Bereich für Endkunden. Wir unterscheiden hier zwischen grünen und blauen Leistungen. Bei den grünen handelt es sich um einsatzkritische Leistungen, die das Kommando Cyber selbst betreibt. Gewisse blaue Leistungen hosten wir.

Das heisst, Sie müssen nicht nur die eigene Infrastruktur mitdenken und mitsichern, sondern zu einem Teil auch die des Kunden.
Das ist korrekt, genau.

Wie würden Sie mit Blick auf Ihre Arbeit den Anteil an Run und Change einstufen?
Ich würde sagen 50 zu 50. Wir haben eine grosse Betriebsinfrastruktur, die wir warten und betreiben. Wir haben zudem im Zuge der Entflechtung Systeme auseinandergerissen. In sogenannten Fix-the-Basics-Projekten gibt es hier noch einige Aufräumaktionen. Ein Beispiel ist die Ruag Real Estate. Diese hat man 2021 nicht mitmigriert, sondern bei einem separaten Dienstleister aufgebaut. Vor allem, weil die Systeme, Gebäudesysteme oder Hausleitsysteme, nicht gerade kompatibel sind mit dem Leistungsangebot vom Provider der Schweizer Armee. Jetzt hat man sich aber dafür entschieden, diese Systeme wieder voll bei Ruag zu integrieren.

Ist das aktuell Ihr grösstes Projekt?
Nein, es gibt noch grössere Projekte. Eines davon ist die Provider-Migration. 2021 hat man das Kernsystem zur FUB, zur Führungsunterstützungsbasis der Schweizer Armee, verschoben. Zwei Jahre später wurde entschieden, auch die FUB zu entflechten und die Systeme dort wieder rauszunehmen. Diese Provider-Bereinigung und der Wechsel zum BIT ist sicher sehr umfangreich.


Woran arbeiten Sie noch?
Es gibt noch gewisse militärische Projekte, bei denen ich aber weder zum Projektnamen noch zum Inhalt etwas sagen kann. So viel: Es hat etwas mit Rüstungsprogrammen der Armee zu tun. Im Rahmen dieser Tätigkeiten geht es auch darum, die NIST Compliance, eine US-amerikanische Methode, zu implementieren oder weiterzuentwickeln.

Gibt es noch viel zu tun, um den vorgegebenen Standard von NIST zu erreichen?
Es gibt sicherlich noch einiges zu tun. Aber das liegt nicht alles auf der IT-Seite, sondern auch im Personalbereich, im organisatorischen Bereich oder im Bereich des physischen Gebäudeschutzes. Aber rund 70 Prozent betreffen sicherlich die IT. Gleichzeitig haben wir aber bereits Systeme am Laufen, die mit der NIST-Methode aufgebaut wurden. Daher fangen wir nicht auf der grünen Wiese an.

Gibt es in diesem Rahmen Anforderungen, die Ihnen Kopfzerbrechen
bereiten?
Also ich schlafe auf jeden Fall noch sehr gut (lacht). Aber das Personal ist schon eine Challenge. Auf der einen Seite sind die Leute, die das können, ohnehin rar. Auf der anderen Seite möchte die ganze Schweiz am liebsten Schweizer Mitarbeitende einstellen. Der Markt ist aber sehr begrenzt. Und wir haben mit IBM, Google oder Microsoft starke Konkurrenten. Diesen War for Talents spüren wir sehr stark.

In allen Bereichen?
Ja, vor allem in den Bereichen Sicherheit und Architektur. Die Schwierigkeit ist dabei, dass wir sehr spezifische Services im Einsatz haben und kaum Commo­dity-Leistungen. Man braucht also bereits ein gewisses Erfahrungslevel, um bei uns als Architekt oder im Bereich Informationssicherheit arbeiten zu können. Natürlich haben wir auch Lernende, wir investieren stark in die Ausbildung. Aber erfahrene Kräfte zu rekrutieren, das ist tatsächlich schwierig.


Was würden Sie Interessierten denn als Anreiz nennen? Was macht die IT-Arbeit bei Ruag spannend?
Das ist vor allem die zuvor erwähnte Kombination aus sehr modernen und traditionellen Systemen, die man auf der gleichen Plattform betreiben und damit auch die Kompatibilität sicherstellen muss. Diese Kombination ist sicherlich eine Herausforderung und kann somit besonders spannend sein. Hinzu kommen Speziallösungen von der Schweizer Armee und vom Sicherheitsverbund Schweiz. Zudem ist Ruag klein genug, um überall dabei sein zu können, aber gross genug, um eine gewisse «Menükarte» mit spannenden IT-Themen anzubieten: Cloud-Lösungen, Eigenentwicklungen, Commodity-Standardlösungen, wir haben traditionelle Lösungen, SAP, PLM, klassische industrielle Lösungen bis hin zu hochmodernen Systemen. Wir haben also einen riesigen Blumenstrauss. Darüber hinaus muss aber auch das Package stimmen, also die ordentlichen Arbeitsbedingungen. Und die stimmen bei uns auch. Wir orientieren uns dabei an SwissICT und bewegen uns auf einem guten Marktstandard.

Treffen Sie als Rüstungsunternehmen gerade bei der Mitarbeitersuche auch auf Vorbehalte?
Ja, sehr häufig. Da muss man dann etwas Vorarbeit leisten, aufzeigen, wer wir sind und wofür wir eigentlich stehen. Denn die Aussenwahrnehmung von Ruag ist oft eine ganz andere als unsere eigene Wahrnehmung. Ich sage immer: Wir sind der Instandhaltungspartner und der Technologiepartner der Schweizer Armee. Und wenn wir dann mit jemandem am Tisch sitzen und sprechen, dann gibt es oft ein Aha-Erlebnis. Ruag hat wenig mit verstaubtem Bundesamt zu tun, sondern wir sind gerade in der IT, aber auch in anderen Fachbereichen, eine moderne Firma. Das nach aussen zu tragen, das ist aber manchmal nicht einfach.

Wie gross ist Ihr Team denn aktuell und wie ist es strukturiert?
Wir haben drei Hauptstandorte und das Team besteht aus circa 115 Personen intern und nochmal rund 100 extern. Dazu gehören aber viele externe Kräfte mit kleinen Pensen, die uns unter anderem bei Speziallösungen unterstützen. Alles in allem kommen wir somit auf rund 220 bis 240 Personen.

Sind diese externen Kräfte eine Option, um dem Fachkräftemangel ent­gegenzuwirken?
Es hilft natürlich, um Projektspitzen zu brechen. Und es gibt auch immer mal wieder Spitzenzeiten, klassischerweise zum Jahresende, wenn die Leute in die Weihnachtsferien gehen. Hinzu kommen Spezialdisziplinen, bei denen es einfach zu teuer ist, jemanden intern anzustellen. Dabei geht es nicht nur um die Kosten, sondern auch um die Auslastung. Da muss man dann auch die entsprechende Arbeit haben und nicht nur ab und zu eine Aufgabe. Das wäre auch für die Leute nicht attraktiv.


Wird die Kommunikation und Koordination bei einem so hohen Anteil an externen Kräften nicht komplex?
Das ist eine gute Frage. Aber nein, das nehme ich nicht so wahr, denn wir behandeln die Externen genau wie die Internen. Sie sind bei unseren Meetings dabei, bei unseren Kommunikationssessions, bei unseren Townhalls. Und sie sind auch bei unseren Sommerfesten dabei. In der Zusammenarbeit mache ich da keinen Unterschied. Allgemein haben wir eine tolle Kultur, die wir leben und die glaube ich auch von den Externen sehr geschätzt wird. Eine Kultur der offenen Türen. Also ganz praktisch, weil es bei uns keine Türen und hauptsächlich Open Space Offices gibt (lacht). Auch die Zusammenarbeit über die Standorte hinweg und mit den Mitarbeitenden im Homeoffice klappt hervorragend. Dafür ist es aber wichtig, nicht nach alter Schule und nach Zeit zu führen, sondern über Ziele und Resultate. Zudem haben wir vor einem halben Jahr auf eine agile Arbeitsmethodik mit Scrum und Safe umgestellt. Damit befinden wir uns ohnehin in einem recht engen Kommunikationskorsett mit Dailies und Weeklies. Daher spielt es auch keine Rolle mehr, wo die Leute sitzen. Und das ist dann auch wieder ein Asset bei der Rekrutierung. Weil wir sehr flexibel sind, von welchem unserer Standorte die Leute arbeiten.

Agile Arbeitsmethoden, verteilte Teams, sich schnell entwickelnde Technologien: Hat sich Ihre Arbeit als IT-Leiter in den letzten Jahren eigentlich grundlegend verändert?
Ja, zu einem grossen Teil, das muss man so sagen. Gerade wenn ich auf meine Karriere zurückblicke: Bis 2016 war ich mehrheitlich in der Industrie zu Hause, die sehr klassisch unterwegs war und wo der Hauptfokus der IT stets ein betriebswirtschaftlicher war. Und die IT war hier grundsätzlich zu teuer (lacht). Das ist heute zwar immer noch so, aber man sieht mehr den Nutzen der IT als Produktionsfaktor und nicht nur als Kostenfaktor.

Ist es somit einfacher geworden, Investitionen zu verkaufen?
Das hat sich wesentlich verändert. Ich denke, früher hat man noch mehr von klassischen IT-Projekten gesprochen und diesen Begriff gibt es heute immer weniger. Mittlerweile hat sich alles zu Business-Projekten entwickelt, die eine IT-Dimension umfassen. Und damit ist auch das Verkaufen einfacher geworden, auch, weil die IT-Kompetenz auf Business-Seite massiv zugenommen hat. Der Austausch funktioniert heute vermehrt auf Augenhöhe, während es früher eher eine Blackbox-Betrachtung war. Heute ist die Lösungsdiskussion daher viel vernetzter und es fliessen neben betriebswirtschaftlichen Perspektiven Themen wie Sicherheit direkt mit ein. Und wenn man Security by Design lebt, dann muss man das auch ab dem ersten Schritt einbeziehen.

Security by Design oder auch die allgemein hohen Sicherheitsanforderungen in Ihrem Bereich, verzögern diese eine schnelle Lösungsentwicklung? Gerade im Vergleich zu anderen Branchen, die gegebenenfalls schneller unterwegs sind.
Es ist sicher ein Aufwand, den Security-­Teil bereits in einem so frühen Stadium der Evaluation oder Lösungsentwicklung miteinzubeziehen. Aber ich bin überzeugt, dass sich dieser Aufwand lohnt und in Gesamtheit geringer ist, als später zu reparieren und Löcher zu stopfen. Aber natürlich, als ich noch bei einem Startup unterwegs gewesen bin, da waren wir in der Lösungsentwicklung viel, viel schneller. Aber dort haben wir auch überhaupt nichts auf Sicherheit oder Prozessdisziplin, Governance und andere regulatorische Vorgaben gegeben. Man hat einfach entwickelt und geschaut, wo man am Schluss rauskommt.

Wie ist das für Sie als Tech-Enthusiast, wenn es da draussen spannende Lösungen gibt, aber aufgrund der Vorgaben müssen Sie bremsen? Stichwort KI.
Das ist so, wir haben strenge Vorgaben – vor allem im Bereich Cloud-Services. Aber selbstverständlich nutze auch ich ChatGPT. Allerdings muss ich hier schauen, welche Informationen ich weitergebe. Zudem nutzen wir DeepL für Übersetzungen. Aber auch hier kann ich nicht einfach unsere Regularien und Weisungen hochladen. Nichtsdestotrotz können wir in gewissen Bereichen moderne Lösungen einsetzen. Und Künstliche Intelligenz ist da sicher ein Thema, auch fernab von Commodity-Produkten wie ChatGPT und DeepL. Wir bauen gerade eine interne Lösung, quasi ein eigenes GPT. Komplett von uns entwickelt und intern gehostet. Der Pilot ist bereits live und im Laufe des Jahres werden wir das für alle Mitarbeitenden ausrollen.


Wofür ist das Tool gedacht?
Wir wollen den Leuten gerade im Bereich Regularien und Weisungen ein Werkzeug an die Hand geben, das es einfacher macht, nach Rahmenbedingungen zu suchen. Also was darf ich und was darf ich nicht. Die KI unterstützt dabei, die richtigen Entschlüsse zu fassen.

War die Entwicklung eines eigenen KI-Modells eine Herausforderung?
Das entsprechende Team arbeitet nicht in meinem Bereich, sie sind in einer Business Area zu Hause. Bei mir sind eher die Leute mit Betriebsfokus. Aber gemäss ihrem Projektplan kommen sie gut voran und haben bisher alle Meilensteine erreicht. Und spätestens nach dem Rollout wissen wir dann auch, wie Resonanz und Zufriedenheit der Leute ausfallen.

Wie würden Sie denn Ihre langfristige IT-Strategie skizzieren?
Hier gibt es mehrere Faktoren. Digitalisierung ist dabei sicher eines der grossen Themen. Während die Digitalisierung von Daten oder die Entwicklung von neuen Geschäftsmodellen bei den Fachbereichen beheimatet ist, liegt mein Fokus darauf, mit Daten und einem Single Point of Truth Speed zu entwickeln und Medienbrüche zu eliminieren. Prozesse zu unterstützen, das ist ein weiterer Aspekt, also mit Prozessrobotern, mit KI und anderen Hilfsmitteln den Arbeitsalltag zu unterstützen. Der zweite Fokus liegt auf Cloud-Technologien. Obwohl gewisse Daten nicht in die Cloud dürfen, werden wir um das Thema nicht drumherum kommen. Denn fast alle unsere Technologie-Lieferanten haben eine Cloud-first-Strategie, Microsoft, IBM, Google, AWS. Und da wir selbst keine Technologien entwickeln, sondern auf die Lieferanten angewiesen sind, müssen wir uns zwangsläufig damit auseinandersetzen.


Sind Sie in all diesen Bereichen auf der Spur und zufrieden?
Wir sind überall gut dabei. Das würde ich schon so sagen, ja. Und ich bin sehr zufrieden, wie es aktuell läuft. Wir haben sehr grosse Herausforderungen, sehr fordernde Projekte mit engen terminlichen und ressourcentechnischen Rahmenbedingungen. Aber gerade das macht es so spannend, weil man auch ein bisschen als Feuerwehr unterwegs sein kann. Nicht, dass wir irgendwelche Krisen hätten. Aber es gibt immer wieder Spitzen und Herausforderungen, bei denen es jemanden braucht, der hilft, ein bisschen Ruhe und die eigene Erfahrung reinzubringen.