Christoph Heidler: Das ist wirklich nicht so einfach, aber wir haben unsere Systemlandschaft komplett inventarisiert und über die Jahre eine sehr gute Change Governance geschaffen. Für jede Veränderung gibt es genau definierte Prozesse. So hat man als CIO immer noch das Steuer in der Hand.

Wir haben einen Budgetrahmen gesteckt, in dem auch lokal entschieden werden kann – sofern es nicht standardverletzend ist. Der Kern unseres Business ist ein lokales Geschäft mit lokalen Bedürfnissen. Die Niederlassungen brauchen die entsprechende Flexibilität und Agilität, um auf solche Bedürfnisse eingehen zu können.

Nach den Regeln des Standards und den Budgetvorgaben.

Wir haben überall im globalen Netzwerk der SGS Standards: den gleichen PC, ein CRM, ein ERP und demnächst auch das gleiche HR-System. Selbst wenn Standorte für 500 Franken eine CRM-Cloud-Subskription kaufen könnten, dürften sie es nicht, obwohl der Kaufpreis weit unter der lokalen Freigabegrenze liegt. Spätestens bei einem Projekt mit mehr als 100 Manntagen oder Kosten ab 100'000 Franken muss ein solches Projekt auf meinem Schreibtisch landen.

Ist Konsolidierung bei Ihnen ein Thema oder haben Sie die schon erledigt?

Konsolidierung ist für uns ein wich­tiges Thema. Wir haben in den letzten Jahren mehr auf das Backoffice und die Labore fokussiert. In diesen Bereichen sind wir schon sehr gut konsolidiert. Jetzt arbeiten wir an den Systemen, die unsere Inspektoren und Auditoren beim Kunden vor Ort einsetzen. Dieser Bereich hat die höchste Komplexität. Wir sind an so vielen Orten tätig und bieten so viele Services an, die in hohem Masse auf den Kunden zugeschnitten sind, dass es nicht immer offensichtlich ist, wie konsolidiert werden kann.

Es macht wohl auch nicht überall Sinn. Ich kann mir vorstellen, dass es schneller geht, für einen spezifischen Zweck neue IT anzuschaffen, ohne den ganzen Standardisierungsprozess zu durchlaufen.

Das ist genau der Punkt: die Agilität. Natürlich denken wir auch über eine digitale Plattform nach und führen dazu verschiedene Gespräche. Aber realistisch gesehen, haben wir heute noch einen extrem hohen Mix an verschiedenen Systemen.

So brachial würde ich das nicht ausdrücken. Wir glauben einfach nicht, dass wir IT zwingend selbst betreiben müssen, gerade da nicht, wo sie Commodity ist. Jeder, der wie ich seit 20 Jahren diesen Job macht, hat Data Center konsolidiert – erst auf Landesebene, dann kontinental. Man geht beim OSI-Layer einfach eine Ebene höher und macht noch weniger Dinge selber. Wir prüfen tatsächlich bei jedem Investment im IT-Umfeld, ob es sich über die Cloud realisieren lässt. Weil wir glauben, dass es ultimativ ohnehin dort enden wird. Aber nicht alles lässt sich realisieren.

Ja, wir müssen rechtliche Vorgaben beachten, auch neue Regularien wie die GDPR-Compliance, die im Mai nächsten Jahres greift. Wir haben auch Kundenverträge, die explizit vorschreiben, dass die Daten das Land nicht verlassen dürfen, Verschlüsselungsmethoden vorschreiben oder auch das Löschen von Daten verlangen. Da müssen wir relativ viele Auflagen berücksichtigen.

Das heisst, Sie brauchen einen Cloud-Anbieter, der in diesen Ländern Server stehen hat?

Wir werden einen Mix aus Cloud und On-Premises fahren. Das heisst, wir werden auch weiterhin eigene Rechenzentren betreiben müssen – voraussichtlich auch in der Schweiz.

Es ist tatsächlich schwieriger, die Cloud in solchen Ländern zur Verfügung zu stellen. Das ist aber nur die technische Seite des Problems, es gibt auch noch eine ökonomische. Was es uns, die wir in vielen Niedriglohnländern unterwegs sind, schwer macht, ist das einheitliche Kostenmodell. Die Cloud-Lizenz kostet immer gleich viel, ob ich sie in der Schweiz oder in Vietnam erwerbe. Nur in Vietnam ist man es gewohnt, einen günstigen Server zu kaufen und acht bis neun Jahre zu betreiben, um die IT-Kosten gering zu halten. Wenn ich dann eine Cloud- Lösung vorschlage, die unsere vietnamesische IT zum gleichen Preis wie die Schweizer Kollegen beziehen müssen, wird es schwierig. Die technischen Herausforderungen werden glücklicherweise durch Mobility relativiert, denn viele der Länder, die eine schlechte klassische Infrastruktur haben, verfügen über extrem starke Mobilfunknetze. Wir weichen da mittlerweile auf den Mobilfunkbereich aus und versorgen die Mitarbeiter mit Tablets oder Mobile Devices. Wofür wir aber noch keinen Hebel gefunden haben, ist das Kostenproblem. Die grossen Hersteller bieten dafür oftmals keine Lösung an.

Richtig, weil er für die gleichen Kosten ein komplettes Mitarbeitergehalt vor Ort bezahlen könnte.

Nein, das würde ja eine Gewinnverschiebung bedeuten. Wir versuchen, den Hersteller dazu zu bewegen, für Niedriglohn- oder Entwicklungsländer eine günstigere Lizenz oder einen günstigeren Service beziehen zu können. Einmal ist mir das auch schon gelungen – bei Oracle, aber nur in einem einzelnen Bereich.

Das hängt vom Bereich ab. Im Back-office sind wir, so meine ich, eher Vorreiter. Alle unsere Mitarbeiter nutzen heute Office 365, alle haben Skype, alle haben Collaboration-Tools. Sehr viele verfügen über gar keine Office-Installation auf dem PC, sondern greifen über Browser und Webportal zu. Unser CRM ist Cloud- basiert, unser ERP nennt sich Cloud. Wenn man die Box aufmacht, steckt darin zwar eine dedizierte Instanz, die beim Provider steht, aber wir kaufen die Leistung als Cloud-Service ein. Von unseren 90'000 Mitarbeitern versorgen wir 75'000 bis 80'000 mit IT-Equipment. Das ist im Vergleich zu einem Industrieunternehmen ein extrem hoher Grad an digitalisierten Arbeitsplätzen.

Derzeit haben wir noch klassische Systeme on premise. Unser neues Laborsystem, für das in Kürze der Rollout beginnen wird, wird dann zu 100 Prozent in der Amazon Cloud laufen. Hier sind wir also auch sehr weit – meiner Meinung nach weiter als viele andere.

Bei unserem Kerngeschäft, den Field Services, hat er zweifellos recht. Die Digitalisierung ist dort noch nicht weit fortgeschritten, der Bereich ist extrem heterogen. Wir müssen sicherlich lernen, wie wir Daten noch besser aufbereiten können, etwa in Form von Kundenportalen, die auch Vergleichsdaten oder Trends abbilden können.

Dabei geht es ja auch um Labordaten. Wie weit sind Sie da mit der Digitalisierung?

Die liegen prinzipiell schon digital vor, aber eben nur lokal. Wir haben schon eine relativ einheitliche Laborsystemlandschaft, aber auf lokalen Installationen mit lokalen Datenmodellen …

Genau. Das heisst, die Daten sind zwar digitalisiert, aber im grösseren Rahmen wenig verwendbar. Mit dem neuen System liegen sie dann zentral vor, nach einem einheitlichen Datenmodell.

Gute Frage. Schwer zu sagen. Wir werden sicherlich zwischen drei und fünf Jahren mit dem Rollout beschäftigt sein.

Der originäre Scope für die ersten drei Jahre betrifft nur mehrere Hundert Labore. Wir haben aber jetzt schon die Intention, die Funktionalität des Systems zu erweitern, um dann alle unsere Labore umschliessen zu können.

Wir differenzieren da. Das, was aus klassischen Testszenarien herauskommt, ist für uns nur Analytics und nicht Big Data, obwohl es auch Terabyte an Daten sind. Wir trennen nach online und offline. Offline betrifft alles, was im Labor oder beim Kunden einer Prüfung unterzogen wird. Die Ergebnisse liegen irgendwann vor, aber nur als Snapshot einer vergangenen Situation. Sensoren liefern Onlinedaten, die live zeigen, ob die Pipeline undicht ist oder die Brücke wackelt. Diese Daten sind für uns Big Data, weil wir sie in beliebiger Frequenz und Granularität bekommen.

Sehen Sie Ihre Daten als Rohstoff für eine künftige Monetarisierung?

Wir sehen die Daten auf jeden Fall als Rohstoff, haben aber noch nicht herausgefunden, ob es Kohle oder Gold ist. Dafür haben wir eine separate Unit gegründet: «Digital & Innovation». Dort geht es darum herauszufinden, welche neuen Services man generieren kann, unter anderem auch Services aus unseren Daten. Zum Beispiel, welche neuen Geschäftsmodelle sich aus E-Commerce-Plattformen ergeben könnten.

Gerade da herrscht ja viel Ungewissheit. Wenn Sie auf eBay, Alibaba oder Amazon Sachen kaufen, möchten Sie sicher sein, dass die Waren nicht gefälscht sind und die Qualität stimmt. Es gibt da durchaus Raum für eine akkreditierte Institution wie uns, die mit ihrem Prüfzeichen die Qualität eines Medikaments in der Onlineapotheke oder die Echtheit einer Markentasche bei eBay bestätigt.

Und was machen die Mitarbeiter Ihrer Abteilung Digital & Innovation gerade?

(lacht) Das kann ich nicht einfach so preisgeben. Die Kollegen haben einen Innovationsprozess definiert und arbeiten heute an den ersten, daraus hervorgegangenen Ideen, aus denen sich vielleicht ein neues Geschäftsgebiet entwickeln lässt. Ohne jetzt allzu viel zu verraten: Wir schauen uns zum Beispiel im Bereich Smart Homes um. Es gibt da sehr viele Anbieter, aber durchaus auch Prüfungen, die diese heute nicht selbst durchführen können: Luftgüteprüfungen, Trinkwasser etc. Wir überlegen, auf diesem Gebiet mit Smart-Home-Anbietern zusammenzuarbeiten. Interessante Ansätze gibt es auch im Bereich E-Trading, weil dort bei den Konsumenten eine sehr hohe Unsicherheit herrscht. Und eben auch bei Big Data: Wenn man zum Beispiel unsere Sensordaten über den Zustand einer Brücke mit Wetter- und Temperaturdaten oder dem Fahrzeugaufkommen anreichert, lassen sich im Sinne von Predictive Maintenance auch Warnungen ausgeben, etwa, dass der Verkehr reduziert werden muss, weil sich die Brücke zu sehr bewegt hat. Nächste Seite: Investitionen in den Bereichen Sensorik und IoT

SGS investiert seit Kurzem kräftig in den Bereich Sensorik und IoT. Sie sind zum Beispiel eine Partnerschaft mit der Schweizer Sensima eingegangen und haben Anteile am US-Unternehmen Savi erworben. Darf man da noch mit mehr rechnen?

Definitiv. Für uns hat der Bereich Sensorik sehr grosse Bedeutung, sowohl als disruptiver Threat, aber auch als eine grosse Opportunität. Wir sind uns absolut bewusst, dass Teile unseres Geschäfts über die Zeit verschwinden werden, weil sie durch Sensorik ersetzt werden können. Ein Beispiel ist die Überprüfung von Gas- oder Öl-Pipelines. Heute schicken wir da eine Art Roboter durch, der läuft auf Rollen, hat Kameras und Sensoren und kann sogar die Wände abklopfen. Irgendwann wird so eine Pipeline Sensoren haben und selbst mitteilen können, ob sie einen Riss hat oder korrodiert.

Das können die Betreiber doch dann gleich selbst erheben, wozu brauchen Sie noch die SGS?

Weil nicht ganz klar ist – und deshalb geht der Prozess auch langsamer, als es technisch möglich wäre –, wieweit die Regularien dies zulassen werden. Ich gebe Ihnen ein Beispiel aus der Automobilbranche: Natürlich kann Ihnen ein modernes Auto heute sagen, ob die Bremsen funktionieren. Werden die Gesetze dahingehend geändert, dass das reicht, oder müssen Sie weiter auf den Bremsenprüfstand bei einer Institution wie unserer?

Gerade da, wo wir Sachgüter prüfen, wird ein Teil des Business verschwinden. Die Frage nach dem Vertrauen bleibt aber: Kann man dem Hersteller alles glauben? Wir machen ja auch Pharmatests. Wird man also dem Produzenten der nächsten Antibabypille glauben, dass sie wirklich ungefährlich ist, oder eine Zweitmeinung wünschen, die das objektiv bestätigt? Nicht alles, was technisch möglich ist, wird in unserem Bereich tatsächlich Einzug halten.

Es geht weniger um den Wegfall als um den Wandel von Arbeitsplätzen. Wird es Bereiche geben, in denen wir gar keine Mitarbeiter mehr haben? Auf der einen Seite: ja, wahrscheinlich. Gerade auch in gefährlichen Bereichen. Unsere Inspektoren klettern auf Brücken, arbeiten in Kohleminen, in Laderäumen von Schiffen, in Gastanks. Gerade im Bereich der physikalischen und chemischen Prüfung wird es sicherlich einen Wandel geben. Auf der anderen Seite wachsen für uns auch die Möglichkeiten. Wir sind zum Beispiel an der Initiative der Euro­päischen Union beteiligt, einen Security-Standard für IoT-Devices zu entwickeln.

Für die Kaffeemaschine oder den Kühlschrank, die ein WLAN- oder Ethernet-Interface haben, gibt es heute noch keinen Security-Standard. Jetzt wird versucht, einen solchen Standard zu schaffen, damit Sie demnächst ein Gerät mit einem Prüfzeichen kaufen können, das etwa garantiert, dass Ihr Fernseher nicht abgehört werden kann.

Wir profitieren von der Globalisierung. Vertrauen zwischen Käufer und Verkäufer herzustellen, ist seit jeher unser Geschäft. Wir kommen ursprünglich aus der Handelsschifffahrt. Die SGS inspizierte beim Beladen und Entladen und zertifizierte für Verkäufer und Käufer die Güte und Menge der Waren. Durch die Globalisierung tun sich viele neue Handelswege auf. Heute kaufen Sie online in Fernost, da ist die Skepsis eventuell höher als beim Händler um die Ecke, den Sie seit 20 Jahren kennen. Wir profitieren letztlich von der Globalisierung und der gesunden Skepsis gegenüber den neuen Trading-Techniken.

Wir haben eine Security-Strategie samt Massnahmenplan, der derzeit auf fünf Jahre ausgelegt ist. Wir sourcen zwar manche Themen wie Intrusion Detection, Firewalls und ähnliche klassischen Aufgaben. Ich glaube aber in hohem Mass an die Notwendigkeit, gewisse Security-Aufgaben inhouse zu betreiben. Anomalien zu analysieren, also zu unterscheiden, was ein normales Prozessverhalten ist oder ein potenzieller Eindringling, fällt internen Mit­arbeitern zum Beispiel deutlich leichter als externen – was wir auch schon einmal versucht haben. Die internen Mitarbeiter kennen die aktuellen Projekte, sie wissen von Umzügen, von Maintenance Windows und können Anomalien deutlich besser interpretieren.

Natürlich, wir sind ja dazu verpflichtet. Für die SGS hat Security einen sehr hohen Stellenwert, unser Slogan heisst schliesslich «When you need to be sure – SGS». Wenn unsere Kunden uns da nicht mehr trauen könnten, wäre unser Geschäftsmodell gefährdet. Deshalb schützen wir Daten einerseits über Verschlüsselungsalgorithmen und machen andererseits Daten durch Anonymisierung unbrauchbar, für den Fall, dass sie doch entwendet werden könnten.

Wir kämpfen alle mit den gleichen Schwierigkeiten. Wenn Sie in einem Raum voller CIOs fragen, wer tut genug für die Sicherheit, wird keiner die Hand heben. Es geht natürlich immer mehr. Wir investieren aber im Vergleich zu anderen Industrieunternehmen sehr viel in Security. Bei der SGS ist die Frage der Sicherheit eine Existenzfrage.