"Wir tun immer so, als würde sich etwas ändern, beschwören den Paradigmenwechsel. Und dann stellen wir fest, dass uns alles Alte geblieben ist." Mit diesen Worten stimmte Rainer Janßen, CIO der Münchner Rückversicherungs AG, die handverlesene Teilnehmerschar in das Thema der diesjährigen Veranstaltung "The CIO Beyond" ein. Das Motto lautete diesmal "Die CIO Agenda 2021".

Wie Janßen ausführte, sind Mainframe, Client-Server und ähnliches immer noch da. Trotz Medienkongruenz gibt es mehr und teuerer Fernsehgeräte denn je. Wir haben zwar Tablets und Smartphones, werfen die Laptops nicht weg. Das Neue kommt immer nur zusätzlich: "Statt Wandel bekommen wir immer mehr Vielfalt. Deshalb können wir uns darauf einstellen, dass uns auch in zehn Jahren noch eine immer weiter zunehmende Heterogenität begleiten wird."

Klaus Straub, CIO der Audi AG, wies auf ein Thema hin, das die IT-Verantwortlichen auf Jahre hinaus beschäftigen dürfte. Es dreht sich um die zunehmende Bedeutung der Consumer-IT im Unternehmensumfeld und schließt eine Entwicklung ein, die unter dem effektheischenden Titel "Bring your own Device" (Byod) bekannt geworden ist.

"Drei Viertel der IT-Innovationen kommen zunächst im Consumer-Markt an. Und wir überlegen uns, wie wir sie einbauen können," erläuterte Straub: "Der Anwender hat ja immer zwei Hüte auf: den des Mitarbeiters und den des privaten IT-Nutzers. Sollten wir als CIOs diese Welten nicht zusammenbringen? Wenn wir es nicht tun, werden wir möglicherweise nicht mehr lange bestehen können." Heute schon wichen die Mitarbeiter für die Teamarbeit teilweise auf Social-Media-Plattformen wie Facebook aus, weil sie einfach zu handhaben seien: "Wir sollten Trends aktiv mitgestalten, nicht behindern. Allerdings können wir nicht nur eine IT für die Generation Y machen. Auch in dieser Hinsicht müssen wir zwei Welten zusammenbringen."

Private Clouds und Community Clouds

Einen dritten Aspekt warf Horst Westerfeld in die Diskussion. Der CIO des Landes Hessen begründete, warum immer mehr Unternehmen große Teile ihrer IT-Services von außen beziehen: "Die heutigen Rechenzentren sind durchschnittlich nur zwischen fünf und 20 Prozent ausgelastet. Eine Konsolidierung mittels Cloud Computing birgt hier erhebliches Potenzial für Kosteneinsparungen. Deshalb werden in zehn Jahren rund 90 Prozent der IT-Budgets an Dienstleister vergeben - auch außerhalb der bestehenden Marktangebote von Public-Cloud-Anbietern wie Google und Amazon." Die Mittel würden künftig auch für neue Formen von Private Clouds und Community Clouds aufgewendet. Die Aufgabe des CIO sei es vor allem, sich darum zu kümmern, durch welche Aufgaben und in welchen Kooperationsformen die größten Standardisierungsgewinne erzielbar seine. Dabei spiele die Weiterentwicklung der IT-Mitarbeiter eine entscheidende Rolle.

Auf der Basis dieser drei Kurzvorträge entwickelten die Teilnehmer Ideen und Thesen, über die sie im weiteren Verlauf der Veranstaltung diskutieren wollten. Schließlich einigten sie sich auf zwölf Themen.

Security wird noch wichtiger als heute

Je mehr sich die IT nach außen öffnet, desto mehr Bedeutung gewinnen Themen wie Datenintegrität und Schutz privater Daten. "Mit der Cloud ist eine neue Qualität der Datensicherheit gefordert", mahnte Audi-CIO Straub: "Die IT muss Antworten auf die Frage wissen, wie sie mit dieser neuen Situation umgehen will." Das sollten auf jeden Fall pragmatische Lösungen sein.

In den meisten Unternehmen zeichnet der CIO für diesen Themenkomplex verantwortlich. Damit gilt er unternehmensweit als Spaßbremse. "Sogar innerhalb der IT sind die Security-Verantwortlichen unbeliebt", bestätigt Manfred Klunk, Bereichsleiter IT bei der Kassenärztlichen Vereinigung Bayern (KVB): "Jeder versucht, daran voreizukommen." Hier sei ein Sinneswandel nötig.

"Security braucht ein anderes Image", schlug Matthias Mehrtens, CIO der Stadtwerke Düsseldorf, vor: "Mit einer Chaos-Computer-Club Mentalität schaffen wir es vielleicht, die Leute ins Boot zu holen."

Governance und Umsetzung trennen

Straub empfahl, die Verantwortung für die Governance-Regeln und die Umsetzung zu trennen: "Es kann nicht sein, dass dieselbe Stelle, die die Regeln macht, auch die Umsetzung leistet." Als Prozesseigner kommt seiner Ansicht nach der Vorstand in Frage - oder jemand, der vom Vorstand damit beauftragt wird. Die Definition der Regeln könnte eine Stabsstelle übernehmen, die dicht an der IT angesiedelt ist. Die Umsetzung werde jedoch am CIO hängenbleiben: "Auch in anderen Bereichen ist der CIO Schöpfer und Spaßbremse zugleich. Es gibt immer Regeln, die man einhalten muss, zum Beispiel bei der Architektur, im Einkauf oder beim Jahresabschluss. Wichtig ist nur, dass diese Regeln transparent sind."

Bernd Hilgenberg, CIO des Franchise-Unternehmens Fressnapf, erinnerte die Diskussionsteilnehmer daran, dass Sicherheit nicht unbedingt eine Frage der Technik oder des Budgets ist: "Wir werden künftig noch mehr mit den Mitarbeitern sprechen müssen."

Warum das so ist, beschrieb einer der Diskussionsteilnehmer, der aus naheliegenden Gründen anonym bleiben möchte: Die IT in seinem Unternehmen habe einmal die Probe aufs Exempel gemacht und auf dem Firmenparkplatz ein paar USB-Sticks "verloren". Darauf befanden sich allerdings nicht etwa die vertraulichen Daten eines Kollegen, sondern ein harmloser Computervirus. Jeder einzelne der präparierten Sticks sei an einem Arbeitsplatz eingesteckt worden und habe das Störprogramm freigesetzt. Mit den betreffenden Mitarbeitern habe er ein ernstes Wörtchen geredet, sagte der IT-Verantwortliche. Von einem generellen USB-Verbot halte er allerdings nichts.

Die künftige Rolle des CIO

Zwei der Themen drehten sich um die künftigen Aufgaben des CIO. Die einen sehen ihn als Verantwortlichen für Veränderungen ("Change") und Innovationen, für die anderen bedeuten die drei Buchstaben "Chief Integration Officer". Dazu ein paar Thesen:

• Die IT-Funktion muss im Vorstand verankert sein. Diese Funktion muss nicht unbedingt CIO heißen. Aber es sollte sich um jemanden handeln, der in der IT wie im Business zu Hause ist.

• Der CIO muss den Mehrwert der IT deutlich machen, unter anderem, indem er aktives IT-Martketing betreibt. Die IT als Kosten vom Umsatz zu deklarieren sollte tabu sein.

• Wer am Etablierten hängt, ist als CIO eine Fehlbesetzung. Der CIO muss den Wandel aktiv betreiben, Veränderungen selbst vorschlagen, planen und umsetzen.

• Methoden für die agile Softwareentwicklung (zum Beispiel Scrum) eignen sich auch für die Fachbereiche. Der CIO sollte sie dort einführen.

• Unternehmensarchitekturen helfen auch den Fachbereichen, den Zusammenhang zwischen IT und Business zu begreifen.

• Die IT kann Verantwortung für die Unternehmens-Governance übernehmen. Sie darf sich ruhig die Autorität aneignen, Konflikte zu lösen.

• Auch wenn die Prozesse von den Fachabteilungen vorgegeben werden, sollte die IT wegen ihres Gesamtüberblicks zu Rate gezogen werden.

Bring your own Device

Einig waren sich die CIOs darüber, dass die Consumer-IT der "Implusgeber für die Business-IT" ist, wie Audi-CIO Straub es formuliert. Er sieht hierin drei Vorteile: Wenn sich die Mitarbeiter zu Hause mit der Technik beschäftigen, sinkt der Schulungsbedarf. Wer sich auch in der Freizeit mit den Tücken der IT herumschlägt, hat mehr Verständnis für Ausfälle am Arbeitsplatz. Und last, but not least tragen die Privatanwender das Thema Usability in das Business hinein.

"Wir müssen die positiven Aspekte der Consumer-IT für das Unternehmen nutzen", pflichte Thomas Henkel, CIO von Amer Sports, seinem CIO-Kollegen bei. Solch ein positiver Aspekt ist für Straub beispielsweise die Entwicklung von Apps. "Wir haben 15 Leute als App-Team installiert," berichtet er, "die entwickeln eigenverantwortlich kleine Unternehmensanwendungen". Interne und externe Communities für Entwicklung und Testing würden zudem die Co-Creation mit den Kunden ermöglichen.

Darüber, was private Endgeräte in der Unternehmens-IT verloren haben, redeten sich die CIOs hingegen die Köpfe heiß: "Das Thema wird jetzt erst aktuell, weil der Anwender zu Hause eine vergleichbare Technik hat wie am Arbeitsplatz", erläuterte Fressnapf-CIO Hilgenberg: "Einen C64 wollte damals niemand mit zur Arbeit bringen."

Dass Hilgenberg nicht gerade ein Fan des Byod ist, hat seinen Grund: "Wir haben in der Vergangenheit Erfahrung mit dem heterogenen Endgeräten sammeln können. Die Märkte unsere Franchise-Kette durften lange das Equipment nutzen, das sie wollten. Es verwundert sicher niemand, dass in solch einer Umgebung ein Support nicht möglich war."

Das Argument der Mitarbeitermotivation lässt Hilgenberg nicht gelten: "Wenn ein Unternehmen versucht, über solche Maßnahmen die Mitarbeitermotivation zu erhöhen, hat es nach meiner Auffassung andere Probleme. Interessante Aufgaben motivieren Mitarbeiter viel besser, als ein chickes Endgerät es je könnte."

Es gibt auch gründe für Boyd

Auch Straub steht dem Thema kritisch gegenüber: "Bring your own device ist keine Lösung. Nach meinem Dafürhalten sollte das durch eine Unternehmensregel verboten werden." Seine Begründung: "Wir holen uns damit Security-Probleme ins Haus. Und wer leistet den Support, wenn der mitgebrachte Virtual Client nicht mehr funktioniert? Diese ungelösten Fragen ergeben nur eine Antwort: Im Regelfall ist Bring your own device nicht sinnvoll."

Doch Byod fand auch Befürworter. "Die entscheidende Frage ist, wie die mitgebrachten Geräte gemanaged werden", gab Robert Simmeth, CIO von O2, zu bedenken: "Wenn das über das Netz funktioniert, erlauben wir es."

Auch Ricardo Diaz Rohr, CIO von EnBW, brach eine Lanze für die privaten Endgeräte im Unternehmen: "Damit können wir die Anforderungen der Anwender viel besser erfüllen. Boyd passe zwar nicht für jeden Nutzer, aber für bestimmte Anwendergruppen ist das durchaus sinnvoll. Warum sollten sie nicht mit einem beliebigen Gerät beispielsweise über Metaframe auf die Unternehmensanwendungen zugreifen?" Zudem lasse sich "eine Menge" Support-Kosten sparen, indem bei Defekten aus einem Gerätefundus Ersatz gestellt werde.

Einen Produktivitätsverlust durch die intensive Beschäftigung mit den mitgebrachten Geräten sieht Diaz Rohr nicht: "Die meisten Mitarbeiter bringen doch schon private Geräte zur Arbeit mit."

Das Wissen wird demokratisch

Eine Arbeitsgruppe widmete sich der Frage, wie sich der Social-Media-Boom auf die IT auswirken wird. Außerhalb der Unternehmen sei die Demokratisierung des Wissens längst erfolgt, im Inneren lasse sie noch auf sich warten, so das Fazit. Die Führungskräfte müssen zunächst lernen, loszulassen und Kritik auszuhalten.

Die IT kann sich hier hervortun, indem sie die neuen Informationskanäle, Blogs, Twitter, Facebook, in ihr Angebot aufnimmt und aktiv zur Verfügung stellt. Dabei dürfe sie allerdings nicht der Versuchung erliegen, sie "tot zu managen", also Strategien zu entwickeln und Techniken vorzuschreiben. Sinnvoller sei es, das Anwenderverhalten zu analysieren, um dann die "Trampelpfade" zu "pflastern", so Münchner-Rück-CIO Janßen.

Guidelines zu formulieren schadet sicher nicht, aber sie sind auch keine Versicherung gegen eventuellen Schaden. Kontraproduktiv ist hingegen alles, was nach Erfolgsmessung und KPI riecht. Ganz wichtig ist es, zwischen den internen Kommunikationsprozessen und denen in Richtung zum Kunden zu unterscheiden.

Juristische Stolpersteine müssen selbstverständlich erkannt und aus dem Weg geräumt werden. Aber dieses Problem kennen die CIOs ja bereits aus der Diskussion um die E-Mails.

Der Kunde als User

Nicht neu, aber zunehmend häufiger anzutreffen ist die Situation, dass der Kunde des Unternehmens gleichzeitig Anwender der internen IT ist. Viele Unternehmen haben erkannt, wie sie einen Teil der Prozesse auf ihre Kunden übertragen und damit Ressourcen sparen können - ohne dass die Kundschaft protestiert. Im Gegenteil: Die Abnehmer begrüßen es, wenn sie den Kauf von Anfang bis Ende selbst steuern können.

"Immer mehr Kunden wollen die elektronischen Kanäle nutzen", weiß Diaz Rohr aus Erfahrung, "und die Unternehmen müssen sich darauf einstellen". Es sei nur noch eine Frage der Zeit, bis (fast) alle Kunden die dazu notwendigen Prozesse beherrschen. Die IT sollte hier weder mauern, noch abwarten, sondern "als Innovationstreiber auftreten".

"Wir sollten die Erwartungen der Fachbereiche übertreffen, dürfen nicht erst reagieren, wenn der Fachbereich etwas fordert", stimmte KVB-Manager Klunk zu. Allerdings hat er auch ein Problem ausgemacht: "Sobald die Firma Geschäft im Web macht, muss sie 7-mal-24-Verfügbarkeit bieten. Darauf sind die internen Prozesse, beispielsweise im Support, aber oft nicht vorbereitet."

Aus Sicht der IT wird der Endkunde bislang weit entfernte Endkunde plötzlich zum User - mit den üblichen Ansprüchen: Dazu Josef Kandelsdorfer, Geschäftsführer der OMV Solutions GmbH. "Die Verpflichtungen dem Kunden gegenüber sind vor allem drei: aktuelles Design, stabile Performance und ausreichende Datensicherheit." Wie Mehrtens von den Düsseldorfer Stadtwerken ergänzte, sollte es auch eine Feedback-Schleife geben, damit die IT von den Endkunden lerne, was sie besser machen könnte.

Heikel ist vor allem die Frage der Authentifizierung. "Wenn es nicht nur um Informationen geht, sondern um Geschäft", so Michael Heyer, CIO der Berufsgenossenschaft Metall, "wird die Frage aufgeworfen: Wer ist das auf der anderen Seite?"

Auf der anderen Seite will man den Kunden aber nicht verschrecken. "Wir dürfen ihm nicht zuviel Komplexität zumuten", erläuterte Enrico Senger, IT-Strategie-Verantwortlicher bei der Schindler Informatik AG, "sonst könnte das zu einer Verweigerungshaltung führen". Ein durchschnittlicher Konsument unterhalte etwa 50 Geschäftsbeziehungen. Aber kaum jemand könne sich 50 Passwörter merken: "Nun gibt es Stimmen, die sagen, dass stattdessen Facebook der Major Hub für alle Geschäfte sein wird. Aber ist Facebook überhaupt vertrauenswürdig? Brauchen wir nicht vielmehr eine geschützte, global gültige digitale Identität?"

Offene Fragen und Hindernisse

Noch mehr Fragen warf Klunk auf: "Brauchen wir künftig eine Client-Strategie für das Online-Geschäft? Und wenn ja, welche Endgeräte muss man bedienen? Wen ruft der Kunde an, wenn sein Interface nicht funktioniert? Der interne IT-Support ist hierfür eher nicht geeignet. Es muss vielmehr eine Hotline geben, die sich mit unterschiedlichen Plattformen auskennt."

Manchmal stehe auch die Lizenzpolitik der Anbieter einer guten Idee entgegen, so Mehrtens von den Düsseldorfer Stadtwerken: "Wir bieten unseren Kunden an, ihre Sperrmüll-Wunschtermin in unser Portal einzutragen. Aber dazu waren erst die Nutzungsbedingungen mit dem Anbieter des Portals zu harmonisieren."