IT-Strategieberatung: Ihre IT als Werttreiber positionieren.

„Wie viel Umsatz sichern Ihre Kernanwendungen heute und wie schnell sehen Sie das in Zahlen?“ Wenn die Antwort länger als ein paar Minuten dauert, ist das kein Reporting-Problem, sondern ein Governance-Thema. CIOs in der Schweiz, die ihre IT-Strategie klar auf Wertbeitrag ausrichten, verschieben die Diskussion weg von „Kosten“ hin zu „Business Impact“. Der Hebel dafür: ein schlankes, aber stringentes IT-Governance-Modell, das Entscheidungen, Budgets und Risiken konsequent an Business-Outcomes koppelt.

Der Drehpunkt ist ein klar definierter Wertbeitrag der IT-Abteilung. Starten Sie mit einer Value Map entlang Ihrer wichtigsten Geschäfts­fähigkeiten (z. B. Onboarding, Kreditprüfung, OP-Planung, Instandhaltung). Verknüpfen Sie jede IT-Investition mit einem konkret erwarteten Outcome: mehr Umsatz (z. B. +2 % Abschlussquote), niedrigere Kosten (-10 % Prozesskosten), geringeres Risiko (-30 % Ausfallzeit). Für CIOs heißt das: Priorisierung und Portfoliosteuerung über Outcomes. Für IT-Manager bedeutet es: Services, Roadmaps und SLAs so ausgestalten, dass genau diese Outcomes erreicht und gemessen werden.

Praktische Ansätze aus dem Value Management helfen, die Wirkung belastbar zu machen. Nutzen Sie „Benefits Owner“ im Fachbereich, definieren Sie Leading- und Lagging-KPIs und verankern Sie quartalsweise Value-Reviews im Steering. Hinterlegen Sie Business Cases nicht nur mit ROI, sondern zusätzlich mit NPV/Payback und mit Risikoindikatoren. Ein CIO einer Schweizer Bank hat sein Run-/Grow-/Transform-Verhältnis von 70/20/10 auf 60/25/15 verschoben, weil die Transform-Vorhaben klar nachweisbare Vorteile lieferten (z. B. 30 % kürzere Time-to-Yes in der Kreditstrecke). Die operative IT zog mit: Automatisierte Regressionstests und strengere Change-Kontrollen reduzierten Release-Risiken, ohne den Takt zu bremsen.

Kosten- und Werttransparenz schaffen Sie pragmatisch mit TBM-Prinzipien (Technology Business Management). „Light“ reicht oft zum Start. Bauen Sie einen Servicekatalog (z. B. „Arbeitsplatz Standard“, „Kernbank-Plattform“, „OP-Scheduling“) mit verursachungsgerechten Unit-Costs auf. Führen Sie Showback/Chargeback ein, aber koppeln Sie die Diskussion an Business-KPIs: „Kosten pro Kreditabschluss“, „Kosten pro OP-Fall“, „Kosten pro produzierter Einheit“. Ein Industrieunternehmen im Mittelland hat so Cloud-Kosten aus der Blackbox geholt, nicht durch pauschale Kürzungen, sondern durch Abschalten toter Workloads und Rightsizing.

Damit IT-Governance nicht lähmt, braucht es klare Verantwortungsdomänen („Towers“) für Strategie, Architektur, Betrieb, Risiko und Finanzen mit definierten Regelwerken, Kontrollen, Eskalationspfaden und Performance-Management. CIOs entscheiden über Prioritäten und Zielbilder (IT-Strategie, Investitionskorridore), die Tower übersetzen in Standards, KPIs und Entscheidungen im Tagesgeschäft. Ein Spital hat beispielsweise einen verbindlichen „Availability-Standard“ für SaaS-Partner (≥ 99,95 %) eingeführt und monatliche Verfügbarkeits-Reports als Kontrolle verankert. Abweichungen laufen über definierte Eskalationsgremien. Gleichzeitig sorgt ein Architektur-Board dafür, dass neue Lösungen strategiekonform sind. Ergebnis: weniger Überraschungen im Betrieb und schnellere Freigaben für digitale Patientenservices waren ein angenehmer Nebeneffekt.

Alles steht und fällt mit Verständlichkeit und Taktung. Governance-Artefakte müssen zugänglich, auffindbar und aktuell sein. KPIs gehören in ein gemeinsames Dashboard von IT-Management und Business. Und: Change-Management nicht vergessen. CIOs gewinnen Sponsoring, indem sie früh Business-Owner einbinden, Quick Wins liefern und Erfolge kommunizieren.

So-What: Die 3 wichtigsten ersten Schritte für eine bessere IT-Governance

1. Value Map & KPIs: Definieren Sie für die Top-5 Geschäftsprozesse je 1–2 Outcomes und 3–5 KPIs. Verankern Sie quartalsweise Value-Reviews im Steering.

2. TBM-Light einführen: Servicekatalog, Unit-Costs, Showback verknüpft mit Business-Kennzahlen (Kosten pro Fall/Abschluss/Einheit).

3. Decision & Control Cadence: Setzen Sie ein leichtgewichtiges Gremium-Set-up (Strategie-, Architektur-, Risiko-Board) mit klaren Eskalationspfaden und verbindlichen Standards auf, inklusive Verantwortlichen und Review-Zyklen.

Typische Fehler vermeiden: Projekte nach Technologie statt nach Business-Outcome priorisieren, KPIs ohne Datenbasis definieren, Governance-Dokumente „unsichtbar“ ablegen oder Kontrolle ohne Eskalationsweg einführen.

„Wenn Sie KI-Agenten nicht aktiv steuern, steuern sie bald Ihre IT.“ Provokant? Vielleicht. Aber genau das passiert, wenn autonome Software-Systeme ohne klare IT-Governance in Fachbereichen wuchern. Die gute Nachricht: Mit dem Model Context Protocol (MCP) entsteht erstmals ein belastbarer Standard, um Agenten sicher, kontrolliert und interoperabel in bestehende IT-Landschaften einzubetten.

Im Kern sind KI-Agenten softwaregestützte Assistenten, die Ziele verstehen, Entscheidungen treffen und Aufgaben (von der Ticket-Klassifikation bis zur SAP-Buchung) Ende-zu-Ende ausführen. MCP wirkt dabei wie ein „USB-C-Port“ für KI: Es schafft eine einheitliche, bidirektionale Verbindung zwischen Agenten und Datenquellen, Tools oder Workflows. Für CIOs bedeutet das: weniger proprietäre Integrationen, mehr Kontrolle über Berechtigungen und Audits. Es ist ein Governance-Hebel, nicht nur ein Technikdetail.

Warum das jetzt strategisch relevant ist

Es wird erwartet, dass ein signifikanter Anteil operativer Entscheidungen bis 2028 autonom durch agentische Systeme getroffen wird. Gleichzeitig wird ein wachsender Teil der Unternehmenssoftware Agentenfunktionen standardmäßig mitbringen. Für CIOs ist das Chance und Risiko zugleich: Produktivitätssprünge, ja, aber nur, wenn Governance, Security und Architektur mitwachsen.

Beispielhafte Anwendungsfälle in Schweizer Branchen

• Finanzbranche: Agenten orchestrieren Kreditantrags-Prüfungen, prüfen Dokumente, holen fehlende Nachweise ein und protokollieren Entscheidungen im Rahmen von Vier-Augen-Freigaben. Für Banken/Versicherer gilt zusätzlich: Outsourcing- und Kontrollpflichten nach FINMA-Rundschreiben 2018/3 müssen auch für AI-gestützte Services durchdekliniert sein (Inventory, Monitoring, Auditierbarkeit, Drittland-Transfers).
• Gesundheitswesen: Virtuelle Assistenten übernehmen Termin- und Fall-Koordination, generieren Entlassungsberichte oder priorisieren Rückfragen. Governance-Pflicht: strenge Rollen- und Zugriffsmodelle, revisionssichere Protokolle und klare Fehler-Eskalation. (MCP erleichtert die saubere Trennung von Datenzugriff und Tool-Ausführung.)
• Industrie: In der Instandhaltung planen Agenten Service-Aufträge, ordern Ersatzteile und synchronisieren ERP/CMMS. Der Business-Case entsteht, wenn Durchlaufzeiten sinken und First-Time-Fix-Rates steigen.

IT-Governance & Compliance als Leitplanken

• Datenschutz (revDSG): Seit 1. September 2023 gelten erweiterte Informations- und Auskunftspflichten, „Privacy by Design/Default“ und strengere Transparenz. Jede Agenten-Lösung braucht ein Verzeichnis der Verarbeitungstätigkeiten, DPIA-Kriterien und klare Löschkonzepte.
• EU AI Act (Schweizer Unternehmen mit EU-Bezug): Der Zeitplan ist verbindlich: Verbote & AI-Literacy seit Februar 2025, Governance-Regeln und Pflichten für bestimmte Modelle seit August 2025, volle Anwendbarkeit großer Teile bis August 2026 (mit Übergängen je nach Risikoklasse). Planen Sie Compliance-Roadmaps, auch wenn der Firmensitz in der Schweiz ist.
• Sicherheit & Kontrolle: MCP erleichtert „least privilege“ und Auditierbarkeit auf Schnittstellen-Ebene. Ergänzen Sie dies um ein zentrales Agent-Control-Plane (Identity, Policies, Observability) sonst drohen neue Silos und Schatten-Automationen.

Strategische Umsetzungsschritte für CIOs

1. Architekturentscheid: „Agenten-ready“ werden. Definieren Sie eine Referenzarchitektur mit MCP-fähigen Schnittstellen, zentralem Policy-Layer (RBAC/ABAC), Secret-Management, Event-Bus und Telemetrie. Priorisieren Sie Systeme mit hohem Automatisierungspotenzial (ITSM, ERP, DMS).

2. Use-Case-Portfolio & Business-Case. Starten Sie mit 3–5 klar abgegrenzten Prozessen (z. B. Incident-Triage, Rechnungseingang, Stammdaten-Änderung). Messen Sie Zeit-zu-Lösung, Fehlerquote und Touchless-Rate.

3. Governance operationalisieren. Verankern Sie Agenten als „kritische Applikationen“: Owner, Risiko-Register, Change-Kontrollen, Peer-Review von Prompts/Tools, Logging-Vorgaben.

4. Compliance & Recht. Klären Sie Rollen des Verantwortlichen/Auftragsbearbeiters, Datenflüsse, Speicherdauer und Betroffenenrechte nach revDSG; erstellen Sie DPIAs für sensible Use Cases und prüfen Sie AI-Act-Relevanz.

5. Change & Befähigung. Schulen Sie Fachbereiche in „Human-in-the-Loop“, Fehler-Eskalation und Haftungsgrenzen. Richten Sie ein „Agent Review Board“ (CIO-geführt) ein, das Use Cases, Risiken und ROI quartalsweise steuert.

Ihr So-What – 3 Fragen zur IT-Governance-Optimierung

1. Haben wir eine Möglichkeit Agenten mit Owner, Berechtigungen, Logs und SLAs zentral zu dokumentieren?

2. Sind revDSG-Pflichten, EU-AI-Act-Roadmap und FINMA-Anforderungen je Use Case bekannt (und nachweisbar umgesetzt)?

3. Messen wir Nutzen (Touchless-Rate, Durchlaufzeit, Fehlerrate) und entfernen wir Agenten, die keinen Wert liefern?

Was haben Banken, Krankenkassen und Online-Shops gemeinsam? Alle verlangen einen Identitätsnachweis bisher oft umständlich, langsam und fehleranfällig. Mit der neuen Schweizer e-ID könnte sich das grundlegend ändern. Doch sie ist nicht nur ein technisches Tool, sondern ein strategischer Wendepunkt für die Digitalisierung in der Schweiz. Wer jetzt in der IT-Strategie nur auf Cloud und KI setzt, verpasst einen zentralen Gamechanger. Die vom Schweizer Stimmvolk knapp angenommene Gesetzgebung bringt eine staatlich kontrollierte, freiwillige und datenschutzkonforme digitale Identität. Für CIOs und IT-Manager ergibt sich daraus eine ganze Reihe strategischer Chancen und Herausforderungen.

Chancen und Herausforderungen für Schweizer CIOs und IT-Manager

1. Prozessoptimierung mit Wirkung: Mit der e-ID können Unternehmen KYC-Prozesse, Altersnachweise und Vertragsabschlüsse volldigital abbilden. Das spart Zeit, senkt Kosten und erhöht die Conversion. Beispiel aus der Praxis: Eine Krankenkasse kann den gesamten Beitrittsprozess online abwickeln, inklusive Identitätsprüfung und Altersverifikation. Medienbruchfrei und binnen Minuten.
2. IT-Architektur fit für digitale Identitäten: Die Integration der e-ID erfordert technologische Anschlussfähigkeit. CIOs sollten ihre IAM-Systeme und Online-Formulare frühzeitig auf Kompatibilität prüfen. Der Bund stellt zwar APIs bereit, doch Architekturentscheidungen (z. B. für dezentrale Speicherung oder Device-Bindung) müssen intern abgestimmt werden. Ohne saubere Roadmap drohen Reibungsverluste.
3. Governance neu denken: Die e-ID erzwingt klare Regeln zur Datennutzung: Wer darf welche Daten wofür abfragen? Welche Nachweise sind gesetzlich erlaubt? Die IT-Governance muss diese Fragen sauber regeln, einschliesslich Auditierbarkeit und Protokollierung. Es gilt: Wer die e-ID nutzt, muss sie auch gesetzeskonform einsetzen mit dokumentierten Prozessen, Schulungen und technischen Kontrollen.
4. Digitale Souveränität und Unabhängigkeit: Für strategisch denkende CIOs ist die e-ID ein Weg, sich von internationalen Login-Providern zu lösen. Eine Schweizer Infrastruktur, betrieben vom Bund, schafft Vertrauen und erfüllt regulatorische Anforderungen z. B. im Gesundheits- oder Finanzsektor. Die e-ID wird damit zum Baustein digitaler Resilienz.
5. Innovationspotenzial nutzen: Die e-ID ist mehr als Login. Sie kann Basis für neue Services sein: digitale Mitgliedsbestätigungen, Studienausweise, Berufszertifikate. Wer hier früh Pilotprojekte startet, positioniert sich als innovativer Player im entstehenden Ökosystem. Auch die Rolle als „Issuer“ (Aussteller digitaler Nachweise) ist für Unternehmen strategisch interessant, sofern die Voraussetzungen passen.

So what? Drei Fragen zur strategischen Vorbereitung

1. Haben wir eine klare IT-Roadmap zur Integration, technisch und organisatorisch?
2. Welche Daten und Prozesse dürfen/müssen wir absichern und wo gilt das Diskriminierungsverbot?
3. Wie stellen wir Governance, Compliance und Schulung sicher?

„Mehr KI“ oder „alles in die Cloud“ sind keine Strategie. 2026 werden CIOs erfolgreich sein, die klare Prioritäten setzen: Sicherheit wird zum Leitprinzip, Künstliche Intelligenz (KI) zum Business-Treiber, und Cloud zur souverän gesteuerten Infrastruktur. Die Umsetzung liegt beim IT-Management: mit eindeutigen Verantwortlichkeiten, KPIs und einem Portfolio-Ansatz, der Ressourcen gezielt auf Wertbeitrag lenkt.

Security-Strategie: Vom Bremsklotz zum Beschleuniger

CIOs müssen Security als Designprinzip und nicht als Projekt denken. In der Finanzbranche gelingt dies, wenn Zero Trust, Identitätsmanagement und durchgängige Protokollierung standardisiert sind. Ein Schweizer Zahlungsdienstleister verkürzte dadurch seine Release-Zyklen, da Sicherheitsanforderungen nicht mehr diskutiert, sondern automatisiert umgesetzt wurden. CIOs sollten Security-Kontrollen wie MFA-Quoten, Patch-SLAs oder Security Scores fest in ihre Governance verankern. Mit klaren Eskalationspfaden in die „Towers“ bleibt Security steuerbar – und wird zum Produktivitätsbooster.

KI-Strategie: Fokus auf Wirkung statt Hype

KI ohne konkreten Business-Nutzen ist Ressourcenverschwendung. Im Gesundheitswesen zeigt sich der Mehrwert bei der klinischen Dokumentation mit GenAI, die deutlich Zeit pro Fall spart. In der Industrie bedeutet KI: prädiktive Instandhaltung mit Edge-Integration. CIOs brauchen eine zweigleisige Strategie: produktionsnahe Anwendungen mit ROI < 12 Monaten und zentrale Plattformen mit klarer KI-Governance. Ein dediziertes KI-Board, ein freigegebener Use-Case-Katalog und definierte Modell-Standards sind Pflicht.

Cloud-Strategie: FinOps und Souveränität statt Kostenexplosion

„Lift & Shift“ ist 2026 keine Option mehr. Erfolgreiche CIOs kombinieren Cloud-Migration mit Portfolio-Bereinigung und FinOps-Mechanismen. Ein Industrieunternehmen senkte seine Cloud-Kosten zweistellig durch zentrale Steuerung reservierter Kapazitäten und Architektur-Guardrails gegen teure Datenbewegungen. Parallel steigt die Bedeutung der Souveränität: Datenklassifikation, Exit-Strategien – all das muss vertraglich und technisch abgesichert sein.

Operating Model: IT-Management mit System

Strategie ohne Umsetzung bleibt Theorie. 2026 bewährt sich ein Tower-/Control-Tower-Modell: Architektur, Betrieb, Risiko, Finanzen und Strategie-Bereiche definieren Regeln, KPIs und Eskalationen. Notwendig sind Skills in drei Clustern: Cloud/FinOps, Data/AI Engineering, Cyber Risk & Identity. Upskilling muss Teil jeder Roadmap sein.

So setzen Sie jetzt die richtigen IT-Prioritäten

Starten Sie mit Entscheidungen, nicht mit Tools. Ihre IT-Strategie 2026 sollte folgende Punkte umfassen: Treiber, Mission, Vision, Handlungsfelder, OKRs, Roadmap und Finanzierungsrahmen. Alles andere sind Anhänge.

Wem gehört die Entscheidung, ob ein KI-System diskriminiert? Und wer trägt die Verantwortung, wenn es das tut? Solche Fragen klingen zunächst philosophisch, sind aber längst operative Realität für CIOs und IT-Manager. Mit dem EU AI Act steigt der regulatorische Druck rapide, auch für Schweizer Unternehmen. Die ethische, rechtliche und technische Steuerung von Künstlicher Intelligenz ist nicht mehr Kür, sondern Pflicht. Doch wie sieht wirksame KI-Governance in der Schweizer Unternehmenspraxis konkret aus?

Warum KI-Governance jetzt auf die CIO-Agenda gehört

Während regulatorische Anforderungen wie der EU AI Act, ISO/IEC 42001 oder der kommende Schweizer Datenschutzrahmen zunehmen, steigen auch die Erwartungen der Kunden und der Öffentlichkeit an verantwortungsvolle KI. CIOs und IT-Manager müssen nicht nur rechtliche Compliance sicherstellen, sondern auch ethische Leitplanken setzen. Ohne klare Governance-Strukturen entsteht ein gefährlicher Blindflug mit Reputationsrisiken, diskriminierenden Modellen und ungeklärten Haftungsfragen.

Der Weg zur implementierten KI-Governance: 5 Schritte, die funktionieren

Basierend auf Erfahrungen mit Schweizer Unternehmen aus Industrie, Versicherungen und Gesundheitswesen empfehlen sich folgende Schritte:

• Schritt 1: Governance-Ziele definieren
  Welche Risiken will das Unternehmen mit KI adressieren: Fairness, Datenschutz, Sicherheit? Diese Ziele müssen auf Unternehmensstrategie und IT-Strategie abgestimmt sein.

• Schritt 2: Verantwortlichkeiten festlegen
  Analog zur Domänen-/Tower-Struktur in der klassischen IT-Governance sollten KI-Governance-Rollen etabliert werden (z. B. „KI-Tower Lead“). Weitere Rollen wie „KI Owner“ schaffen ebenfalls klare Verantwortungen.

• Schritt 3: Regelwerke und Kontrollen definieren
  Beispiel: „Alle KI-Modelle mit Einfluss auf Kreditentscheide müssen durch eine Bias-Analyse mit dokumentierter Freigabe durch das KI Board gehen.“ Technische und manuelle Kontrollen sichern die Einhaltung.

• Schritt 4: Eskalationspfade und Monitoring etablieren
  Abweichungen (z. B. fehlerhafte Entscheidungen oder Bedenken) müssen über definierte Gremien behandelt werden. Beispielsweise ein monatliches KI-Board.

• Schritt 5: Integration in bestehende IT-Governance
  KI-Governance darf kein paralleles System sein. Erfolgreiche Unternehmen integrieren Governance von KI in ihre bestehende IT-Management- und Risikostruktur.

Typische Stolpersteine und wie Schweizer Unternehmen sie lösen

• Fehlende Klarheit in der Verantwortung: In einem Finanzdienstleister führte die unklare Rollenverteilung dazu, dass niemand ein fehlerhaftes Modell stoppen konnte. Lösung: Tower-Struktur mit klaren Eskalationswegen (z. B. KI-Tower → CIO).

• Technik ohne Ethik: Ein Industrieunternehmen implementierte KI zur Personalrekrutierung ohne Bias-Analyse. Erst nach einem PR-Vorfall wurde ein KI-Review-Prozess eingeführt.

• Überschätzte Selbstregulierung: Einige Unternehmen verlassen sich auf ihre Data Scientists. Erfolgreiche Organisationen hingegen koppeln jede Modellfreigabe an ein unabhängiges Kontrollgremium.

Fazit & Handlungsempfehlung

3 Fragen zur Optimierung Ihrer KI-Governance:

1. Gibt es in Ihrer Organisation eine definierte Stelle, die Risiken von KI bewertet und behandelt?

2. Sind Ihre KI-Kontrollen in die bestehende IT-Governance integriert oder leben sie in Silos?

3. Wissen Sie, welches Ihrer Systeme aktuell KI nutzt und ob es DSG-konform ist?

Die 3 wichtigsten nächsten Schritte:

1. Aufbau eines interdisziplinären KI-Governance-Teams (IT, Recht, Business, Ethik)

2. Definition von Regelwerken und Kontrollprozessen (integriert in bestehende IT-Governance)

3. Einführung eines laufenden Performance- und Risiko-Monitorings für KI-Anwendungen

„Unsere Kernsysteme laufen seit 20 Jahren stabil, warum sollten wir etwas an unseren Legacy-Systemen ändern?“

Diese Haltung höre ich als IT-Berater noch immer oft. Doch die Realität ist: Legacy-Systeme sind wie alte Maschinen in der Produktion. Sie funktionieren, aber sie bremsen Innovation, verursachen hohe Kosten und bergen erhebliche Risiken für Sicherheit und Compliance. Für CIOs und IT-Manager ist die Frage nicht mehr, ob, sondern wie man diese Systeme modernisiert, ohne den laufenden Betrieb zu gefährden.

Risiken für die Geschäftskontinuität durch Legacy-Systeme

Legacy-Systeme sind deshalb so kritisch, weil sie meist geschäftskritische Prozesse abbilden, aber kaum noch wartbar sind. Entwicklerkenntnisse fehlen, Schnittstellen sind proprietär, und Sicherheits-Updates gibt es oft nicht mehr. In der Schweiz sah sich etwa ein führendes Industrieunternehmen gezwungen, eine millionenschwere Notmigration durchzuführen, weil ein alter Unix-Server nach einem Hardware-Ausfall nicht mehr gestartet werden konnte. Die Folgen: Produktionsstillstand, Reputationsschaden und ein hoher ungeplanter Investitionsbedarf. CIOs, die zu lange zögern, gehen damit ein Risiko ein, das weit über IT hinausgeht. Es betrifft unmittelbar die Geschäftskontinuität.

Schrittweise Modernisierung von Legacy-Systemen

Der Weg in eine moderne, flexible Enterprise-Architektur muss jedoch nicht im Big Bang erfolgen. Erfolgreiche Unternehmen setzen zunehmend auf schrittweise Modernisierung. Drei Ansätze haben sich bewährt:

1. API-Strategien für mehr Anschlussfähigkeit
   Anstatt Legacy-Systeme sofort abzulösen, werden sie mit modernen API-Schichten „gekapselt“. So lassen sich bestehende Daten und Funktionen in neue Anwendungen einbinden. Ein Schweizer Versicherer hat sein altes Policen-System nicht abgeschaltet, sondern über APIs geöffnet und konnte so schnell digitale Services für Kunden entwickeln, ohne das Risiko einer Komplettmigration.

2. Modulare Architekturen als Zukunftsbasis
   CIOs, die erfolgreich modernisieren, denken nicht in monolithischen Ablösungen, sondern in Services. Microservices-Architekturen oder modulare Plattformen erlauben es, alte Komponenten Schritt für Schritt auszutauschen. Ein Beispiel aus der Finanzbranche: Eine Bank löste ihre alte Kreditplattform modular auf, indem sie zuerst das Kundendatenmanagement modernisierte und später die Kernprozesse schrittweise umstellte. So blieb das Geschäft stabil, während die IT flexibler und günstiger wurde.

3. Hybride Szenarien statt radikaler Schnitte
   Der Mittelweg ist oft der realistischste: Legacy bleibt in Kernbereichen bestehen, während neue Cloud-Lösungen parallel integriert werden. Ein Gesundheitsdienstleister in Zürich etwa nutzt weiterhin sein altes Patientenverwaltungssystem, hat aber für die Arztkommunikation eine moderne Cloud-Lösung integriert. Das Resultat: höhere Effizienz ohne sofortige Großinvestitionen.

Die entscheidende Rolle der CIOs liegt darin, das Spannungsfeld zwischen Stabilität und Innovation zu managen. IT-Manager sind für die operative Umsetzung verantwortlich, also für Schnittstellen, Testprozesse und sichere Migration. CIOs dagegen müssen die IT-Strategie mit der Geschäftsstrategie verzahnen und sicherstellen, dass Investitionen in Modernisierung nicht nur technische Probleme lösen, sondern auch neue Geschäftschancen eröffnen.

Wer handelt, kann den Spagat meistern: bestehende Systeme stabil betreiben, gleichzeitig neue digitale Services ermöglichen und die IT-Organisation nachhaltig aufstellen. Wer wartet, riskiert hingegen, dass die IT zum Flaschenhals der Unternehmensstrategie wird.

Fragen, die sich CIOs und IT-Manager jetzt stellen sollten

1. Welche unserer Legacy-Systeme sind geschäftskritisch und wo liegen die größten Risiken?

2. Können wir diese Systeme über APIs oder modulare Architekturen schrittweise öffnen, statt alles auf einmal zu migrieren?

3. Wie stellen wir sicher, dass jede Modernisierungsmaßnahme sowohl die IT-Strategie als auch die Geschäftsstrategie unterstützt?

„Unsere Daten liegen irgendwo – und gehören irgendwie nicht mehr uns.“ Dieser Satz eines CIOs aus der Finanzbranche bringt das Dilemma vieler Schweizer Unternehmen auf den Punkt. Digitale Souveränität, also die Kontrolle über Daten, Systeme und IT-Kosten, ist 2025 kein Luxus mehr, sondern Voraussetzung für Resilienz, Compliance und Innovationsfähigkeit.

Kontrolle ist kein Ideal, sondern Notwendigkeit

Digitale Souveränität bedeutet mehr als nur Datenschutz. Sie erlaubt es Unternehmen, Technologien frei zu wählen, Anbieter zu wechseln und zu entscheiden, wer wann auf welche Informationen zugreifen darf. Das klingt selbstverständlich, ist es aber längst nicht mehr. Studien zeigen: 58 % der Schweizer Firmen fürchten die Abhängigkeit von globalen Cloud-Giganten. Der US CLOUD Act, der amerikanischen Behörden Zugriff auf europäische Server erlaubt, sorgt zusätzlich für rechtliche Unsicherheit.

Gerade CIOs erkennen die strategische Relevanz: Wer Systeme auslagert, aber Kontrolle verliert, verliert im Zweifel auch seine Handlungsfähigkeit. Sei es in Krisenzeiten oder bei regulatorischen Konflikten. Nicht ohne Grund bevorzugen mittlerweile über 70 % der Schweizer Unternehmen bei IT-Investitionen Anbieter aus der EU oder der Schweiz.

Drei Hebel zur Rückgewinnung der Kontrolle

1. Souveräne Cloud-Strategien: Statt auf Allzwecklösungen der Hyperscaler zu setzen, implementieren viele Unternehmen hybride Multi-Cloud-Ansätze. Kritische Daten und Systeme verbleiben in Schweizer Rechenzentren, während weniger sensible Workloads in zertifizierte Public Clouds ausgelagert werden. Verschiedene Anbieter bieten hierfür abgestufte Souveränitätsmodelle.

2. Open Source statt Blackbox: Offene Technologien und offene Standards reduzieren Herstellerabhängigkeit und ermöglichen transparente Sicherheitsarchitekturen. Das Paradebeispiel: die Entwicklung eines eigenen Schweizer Large Language Models (LLM) durch ETH, EPFL und das SDS-Netzwerk, trainiert auf öffentlicher Infrastruktur, vollständig Open Source und DSGVO-konform.

3. Governance und Transparenz: Viele IT-Manager unterschätzen, wie intransparent ihre eigene Datenlandschaft ist. Ohne ein zentrales Dateninventar und klare Cloud-Governance fehlt die Basis für strategische Entscheidungen. Firmen investieren daher in Monitoring-Tools, bilden Cloud-Governance-Officer aus und definieren Eskalationspfade für sicherheitskritische Vorfälle.

Digitale Souveränität in der Praxis

Die Schweiz zeigt, wie ein souveräner Digitalansatz konkret umgesetzt werden kann. Mit dem im Juli 2025 gegründeten Netzwerk „Souveräne Digitale Schweiz“ (SDS) bündeln Bund, Stadt Zürich, Hochschulen und Unternehmen ihre Kräfte. Ziel ist es, offene Technologien zu fördern, Know-how aufzubauen und vertrauenswürdige IT-Alternativen bereitzustellen, unabhängig von Big Tech.

Auch immer mehr Schweizer IT-Anbieter reagieren: Sie entwickeln Cloud-Lösungen, die vollständig in der Schweiz betrieben werden, setzen auf Open-Source-basierte Kollaborationsplattformen und ermöglichen Datenhaltung unter Schweizer Recht. Gerade in regulierten Branchen wie Finanzwesen oder Gesundheit entstehen so Alternativen, die Datenschutz „by design“ bieten, ohne rechtliche Grauzonen oder wirtschaftliche Lock-ins.

Dieses Zusammenspiel von Technologie, Rechtssicherheit und partnerschaftlicher Governance zeigt, wie Schweizer Unternehmen nicht nur technologische Kontrolle, sondern auch wirtschaftliche Handlungsfreiheit zurückgewinnen können. Ein souveräner IT-Stack wird dabei zunehmend zum Differenzierungsmerkmal – und zur vertrauensbildenden Massnahme gegenüber Kunden und Partnern.

Drei Fragen zur digitalen Souveränität in Ihrem Unternehmen

1. Wissen Sie genau, wo Ihre sensiblen Daten heute gespeichert sind und unter welchem Recht?

2. Welche konkreten Kontrollen sichern Ihre Cloud-Architektur ab, organisatorisch und technisch?

3. Gibt es in Ihrer Organisation ein dediziertes Cloud-Governance-Rollenmodell mit Eskalationswegen?

Digitale Souveränität ist keine Ideologie, sie ist eine unternehmerische Absicherung. Wer heute in Kontrolle, Transparenz und Governance investiert, sichert nicht nur seine Daten, sondern seine digitale Wettbewerbsfähigkeit von morgen.

Quellen

• Digitale Souveränität im Fokus: Cloud und KI im Schweizer ICT-Markt 2025, Netzwoche, 2025
• Schweizer Unternehmen zieht es bei der IT-Sicherheit zurück nach Europa, eset, 2025
• Swiss AI Initiative, 2025
• Netwerk SDS, 2025

Was haben mangelnde SLA-Kontrolle, intransparente Risiken und nicht getestete Systeme gemeinsam? Sie alle sind Symptome fehlender oder schwacher IT-Governance und sie kosten Schweizer Unternehmen täglich Marktanteile. In einer Realität, in der Geschwindigkeit, Sicherheit und Compliance über den Unternehmenserfolg entscheiden, wird IT-Governance zum entscheidenden strategischen Hebel für CIOs und IT-Manager.

2025: Die Schweizer IT-Governance steht unter Druck

Die Herausforderungen für IT-Organisationen nehmen 2025 weiter zu: Cloud-Migration, Cyberrisiken, regulatorische Anforderungen, steigende Komplexität durch heterogene IT-Landschaften und der Fachkräftemangel setzen Strukturen zunehmend unter Spannung. Gleichzeitig erwarten Geschäftsleitungen messbare Beiträge der IT zur Wertschöpfung. Ein Ziel, das ohne strukturierte IT-Governance nicht erreichbar ist.

In der Schweiz sehen wir besonders in der Industrie und im Gesundheitswesen Defizite: Governance-Prozesse sind entweder zu bürokratisch oder kaum existent. Der „Sweet Spot“ liegt dazwischen, doch den zu treffen, erfordert methodisches Vorgehen.

IT-Governance als Werttreiber und Risikosenker

Eine gute IT-Governance bringt Klarheit, Verantwortung und Kontrolle. Sie etabliert transparente Regelwerke, überwacht deren Einhaltung und schafft Eskalationspfade, die wirklich funktionieren. Ihre zentrale Rolle: Risiken frühzeitig erkennen, Innovation ermöglichen und gleichzeitig Compliance sicherstellen.

Beispiel Securitas: Das Datenleck durch einen offenen Cloud-Speicher hätte mit funktionierenden Governance-Kontrollen (z. B. Zugriffskontrollen, technische Policies) vermieden werden können. Der Reputations- und Sicherheitsverlust war enorm und ein klassischer Fall fehlender Governance.

In der Praxis heisst das: Wer heute Governance richtig aufsetzt, kann nicht nur Risiken minimieren, sondern auch schneller innovieren, Budgets gezielter steuern und regulatorisch „sauber“ bleiben.

Drei Best Practices für Schweizer CIOs

1. Den IT-Governance-Reifegrad realistisch bewerten
   Beginnen Sie mit einer strukturierten Reifegradanalyse Ihrer Governance. Verfügen Sie nur über ein Regelwerk, aber keine Kontrollmechanismen? In welchen fachlichen Bereichen ist eine IT-Governance nötig? Nur in der IT-Sicherheit oder auch in der Software-Entwicklung? COBIT 2019 bietet hier ein bewährtes Framework zur Unterstützung. Ohne Transparenz über den IST-Zustand kann keine zielgerichtete Entwicklung erfolgen.

2. Towers und Kontrollstrukturen definieren
   Erfolgreiche Unternehmen wie Banken oder Versorger setzen auf klar strukturierte Governance-Domänen („Towers“) für (beispielsweise) Architektur, Betrieb, Finanzen, Strategie und Risiko. Diese übernehmen Verantwortung für Regelwerke, KPI-Überwachung, Eskalationen und Compliance. Wichtig: Die Tower müssen mit Führungskompetenz ausgestattet sein, nicht mit operativen Rollen.

3. Performance- und Risikokontrolle operationalisieren
   KPIs ohne Konsequenzen sind wertlos. Definieren Sie für jeden Tower relevante Metriken (z. B. IT-Kosten/Nutzer, Störungszeiten, Strategie-Fit) und verknüpfen Sie diese mit aktiven Steuerungs- und Eskalationsmechanismen.

Die drei wichtigsten Schritte für eine bessere IT-Governance

1. Klären Sie: Wer ist in Ihrem Unternehmen wirklich für IT-Governance verantwortlich?

2. Etablieren Sie mindestens drei aktive Governance-Towers mit klaren Zuständigkeiten.

3. Verknüpfen Sie Ihre Regelwerke mit effektiven, überprüfbaren Kontrollen und KPIs.

Fazit

IT-Governance ist mehr als ein Compliance-Tool. Richtig eingesetzt wird sie zum strategischen Wettbewerbsvorteil, gerade in einem anspruchsvollen Markt wie der Schweiz. CIOs, die IT-Governance 2025 neu denken, sichern sich nicht nur regulatorische Konformität, sondern vor allem Innovationsfähigkeit und Vertrauen im Unternehmen.