Swiss IT Magazine»: Sie waren vor Ihrem Engagement an der ETH für die Credit Suisse tätig. Wo sehen Sie die wesentlichen Unterschiede bezüglich der IT-Leitung einer Hochschule und der eines Unternehmens?
Rui Brandao: Diese Frage wird mir interessanterweise immer wieder gestellt. Letztlich muss man sehen, dass sowohl bei der ETH als auch in einem Unternehmen wie der Credit Suisse Arbeitsplätze und Infrastruktur gebraucht werden, damit Menschen arbeiten können. Insofern sind viele Dinge ähnlich. Deutliche Unterschiede finden sich vor allem bezüglich Heterogenität. In der Privatwirtschaft und insbesondere in einer Bank ist die IT darauf bedacht, die Infrastruktur möglichst standardisiert und damit kontrolliert zu halten. Dass ein Mitarbeiter einen USB-Stick an seinem Rechner einstecken kann, ist nicht im Sinne der Banken-IT und damit auch nicht möglich. An der ETH ist das völlig anders. Natürlich stellen wir von der zentralen IT auch gemanagte, das heisst zentral verwaltete Maschinen bereit – alles in allem rund 6000 davon. Die ETH allerdings zählt rund 11’000 Mitarbeitende und über 22’000 Studierende, was bedeutet, dass es dem Gros unserer Anwender freisteht, welche Maschinen sie nutzen wollen und was darauf läuft. Die Freiheit ist nicht zuletzt der Forschung und deren Arbeitsweise geschuldet, wo Einschränkungen als hinderlich angesehen werden.
Gleichzeitig haben Sie dafür zu sorgen, dass die Infrastruktur bei aller Heterogenität sicher ist. Wie viele Probleme verursacht die Vielfalt an Geräten, die sich in Ihrem Netz tummeln?Ich möchte nicht von Problemen sprechen. Für die Forschung ist es wichtig, dass sie möglichst ohne Einschränkungen arbeiten kann und Freiheiten hat. Forschung steht letztlich dafür, etwas auszuprobieren und scheitern zu können, um aus dieser Erfahrung zu lernen und einen Schritt vorwärts zu machen. Aber natürlich bringt die Heterogenität Herausforderungen mit sich, insbesondere was das Thema Sicherheit angeht. Viele Unternehmen sind attraktiver für potenzielle Angreifer als eine Hochschule oder Universität, und gerade nach meinem Wechsel von der Bank an die ETH habe ich gemerkt, dass Sicherheit zwar auch an der ETH weit oben auf der Agenda steht, die Bedrohung allerdings nicht ganz so akut ist. Allerdings hat sich das in den letzten rund drei Jahren geändert, wir haben in jüngerer Zeit deutlich mehr Angriffe respektive Angriffsversuche verzeichnet. Entsprechend stärker ist das Thema Security auch bei uns in den Fokus gerückt.
Gab es bereits erfolgreiche Angriffe auf ETH-Infrastruktur im grossen Stil? Bis heute zum Glück noch nicht, was auch damit zusammenhängen könnte, dass wir eine technische Hochschule sind, wo es eine selbstverständliche Affinität für das Thema Security gibt. Zudem beschäftigen wir eine sehr versierte IT-Security-Gruppe. Die ETH ist trotz dem schwierigen Umfeld – eben aufgrund der Heterogenität, über die wir gesprochen haben – seit jeher gut gerüstet, was das Thema Security angeht. Aber die Herausforderung ist gross und bedingt, dass man sehr vorsichtig vorgeht – beispielsweise dabei, wie man sein Netzwerk konzipiert, wie man es segmentiert und kontrolliert. Gleichzeitig sind wir auch auf die Eigenverantwortung unserer Anwender angewiesen.
Vermuten Sie einen bestimmten Grund, weshalb die Angriffe in den letzten drei Jahren zugenommen haben?Eine Zunahme von immer versierteren Angriffen ist allgemein zu beobachten und kam daher nicht überraschend, weshalb wir laufend an der Verbesserung unserer Security-Massnahmen gearbeitet haben und dies weiter tun. Gleichzeitig vermute ich, dass Angreifer gemerkt haben, dass Hochschulen und Universitäten aus den genannten Gründen angreifbare Ziele darstellen. Gerade mit Ransomware gibt es auch an Universitäten etwas zu holen. Wenn jahrelange Forschungsarbeit plötzlich als «Geisel» genommen wird, könnten einige Forschende bereit sein, Lösegeld zu zahlen.
Hat es solche Fälle bei Ihnen schon gegeben?Es hat schon vereinzelt erfolgreiche Ransomware-Attacken an der ETH gegeben, bei denen Daten verschlüsselt wurden. Allerdings hatten die Betroffenen ihre Daten meistens gesichert. Es entstand also kein grösserer Schaden. Gleichzeitig weiss ich von Forschenden, die ihre Datensicherung vernachlässigen. In diesen Fällen ist es eine Frage der Zeit, bis es zu einem Schaden kommt.
Können Sie ausführen, was alles zum Verantwortungsgebiet der ETH-IT-Abteilung gehört?Hier muss ich ein wenig ausholen. An der ETH gibt es einerseits die zentralen IT-Dienste, andererseits können die verschiedenen Institute und Departemente viele Dinge auch selbst lösen. Wir von den zentralen IT-Diensten besitzen gewisse Privilegien, was Leistungen angeht, die nur wir anbieten dürfen. Dazu gehören nebst allen administrativen Systemen auch sämtliche Netzwerke, für die wir die Verantwortung tragen. Das beinhaltet Datennetzwerke inklusive WiFi, Funknetzwerke – wir betreiben ein Campus-Funknetz – und das Telefonnetzwerk. Ebenfalls zentral geregelt ist der IT-Einkauf ab Beträgen von 10’000 Franken aufwärts. Beschaffungen darunter können die Professuren selbst durchführen. Dann unterhält die ETH eine riesige virtualisierte Serverfarm mit Tausenden virtualisierten Maschinen – georedundant an den beiden Standorten Hönggerberg und Zentrum – sowie grosse, redundante Online- und Offline-Speicheranlagen mit jeweils rund 24 Petabyte an Daten. Diese Infrastruktur bieten wir unseren Stakeholdern – Forschenden, Mitarbeitenden oder auch Studierenden – an, und diese können das Angebot nutzen oder nicht. Jedoch gibt es Institute und Departemente, die eigene Server- oder Speicherinfrastrukturen aufgebaut haben. Teilweise sind diese historisch gewachsen. Zum Teil sind dedizierte Infrastrukturen für bestimmte Forschungszwecke nötig – zum Beispiel aufgrund der Latenzzeiten.
Und mit dieser Infrastruktur haben die zentralen IT-Dienste nichts zu tun?Wir haben über die Jahre erreichen können, dass die meisten dieser Anlagen in den Rechenzentren untergebracht werden, die wir verwalten. Somit sind Sicherheit, Stromversorgung oder Kühlung fachgerecht und effizient gewährleistet. Darüber hinaus haben wir mit diesen Systemen nichts zu tun. Sie werden von den Instituten und Professuren selbst betreut. Und das ist oft auch gut so, denn so entsteht die Flexibilität, welche die Forschung für ihre erfolgreiche Arbeit braucht.
Gibt es weitere Bereiche, die von der zentralen IT abgedeckt werden?Erwähnenswert ist sicherlich der Bereich Hörsaaltechnik – etwas, das in Pandemiezeiten enorm an Bedeutung gewonnen hat. Wir haben im vergangenen Semester von morgens um 7.30 Uhr bis abends um 20.00 Uhr permanent Bild und Ton aus mehr als 50 Hörsälen gestreamt, sodass die Studierenden von zuhause aus an den Vorlesungen teilnehmen konnten. Hinzu kommen Videokonferenzen in Seminarräumen oder Videokonferenzräume für Doktorprüfungen und Onlinekonferenzen, die moderiert sind und mit einer Regie arbeiten. Tätig sind wir auch im Bereich Applikationsentwicklung und Integration für die administrativen Systeme. Ebenfalls bei uns angesiedelt ist ein Team für wissenschaftliches Rechnen. Dazu gehören einerseits zwei eigene High-Perfomance-Computing-Anlagen, unter anderem auch für Big Data Analytics und Machine Learning. Ausserdem entwickelt dieses Team auch entsprechende Software für die Forschenden, was oft mit besonderen Eigenheiten verbunden ist. Diese Abteilung bietet den Forschenden zusätzlich auch Dienstleistungen für das Management ihrer Forschungsdaten an, was vor allem bei grossen Datenmengen ebenfalls ziemlich herausfordernd ist. Und schliesslich liegt der Support für die administrativen Einheiten, die Studierenden sowie für 136 der rund 540 Professuren bei uns.
Und die übrigen Professuren kümmern sich selbst um den Support?Zum Teil haben die Departemente eigene dezentrale IT-Support-Einheiten. Allerdings gibt es auch Departemente, bei denen sich jede Professur oder jedes Institut selbst um ihren IT-Support kümmert. Es gibt zwar eine Tendenz zur Zentralisierung im Departement oder in den Informatikdiensten, aber keinen Zwang.
Wäre das insbesondere im Support-Bereich nicht sinnvoll?Für die gängige Commodity-IT aufgrund der Skaleneffekte meines Erachtens schon, ja. Es gibt an einzelnen Professuren und Instituten aber auch sehr spezifische Bedürfnisse. Gewisse Forschungsgeräte benötigen ganz spezifische IT-Lösungen, die entsprechend gewartet werden müssen – typischerweise von Mitarbeitenden mit einem Forschungshintergrund. Das können wir von der zentralen IT nicht besser und nicht günstiger als ein dezentraler IT-Support.
Mit wie vielen Mitarbeitenden stellen Sie die zentralen IT-Dienste bereit und wie sind diese Dienste strukturiert?
Auf Vollzeitstellen gerechnet beschäftigen wir knapp 300 Leute, die in neun sogenannten Sektionen organisiert sind: Je eine für Netzwerke inklusive Telefonie, für Server und Speicher, Multimedia-Services, Software-Services, Scientific IT Services, wo der HPC-Bereich dazugehört, eine für Basis-Dienste, was den täglichen Betrieb umfasst, zwei Support-Einheiten, eine für die Departemente und eine für den administrativen Bereich sowie last but not least eine Einheit, die sich um den IT-Einkauf und das Service- und Programm-Management kümmert.
Wie viele Mitarbeitende kommen nochmals dazu, die nicht für die zentralen IT-Dienste tätig sind, aber in der IT arbeiten?
Das ist nicht ganz einfach zu beziffern, weil viele dieser Mitarbeitenden nicht als IT-Spezialisten im HR-System geführt werden, obwohl sie einen Teil ihrer Arbeit der IT widmen – ein Doktorand etwa, der sich um spezifische IT-Lösungen der Professur kümmert. Wir schätzen aber, dass nochmals etwa gleich viele Vollzeitstellen in der dezentralen IT arbeiten.
Und wie ist in diesem Konstrukt das Budget geregelt?
Das Budget der zentralen Informatik wird grösstenteils zentral von der Schule gesprochen. Es verteilt sich knapp zur Hälfe auf die Personalkosten, während der Rest auf Infrastruktur, Lizenzen und auf externe Dienstleistungen entfällt. Die Departemente respektive die einzelnen Professuren wiederum erhalten eigene IT-Mittel, mit denen sie ihre IT-Leistungen und IT-Mitarbeitenden finanzieren können. Diese Mittel können sie auch bei uns ausgeben, wenn sie Leistungen bei der zentralen IT einkaufen – wir fungieren also als Dienstleister. Die vier Departemente, die uns den Support übergeben haben, treten uns zum Beispiel jährlich einen Teil ihres Budgets für unsere Leistungen ab.
Reicht Ihr Budget, um eine Infrastruktur anzubieten, die den vorhandenen Ansprüchen genügt?
Grundsätzlich ja. Natürlich müssen auch wir haushälterisch wirtschaften und mehr Mittel wären immer besser, aber wir können eine zeitgemässe Infrastruktur und solide Dienstleistungen anbieten mit dem Geld, das wir zur Verfügung haben.
Die ETH gehört zu den angesehensten Hochschulen weltweit. Verpflichtet das auch zu einer zeitgemässen IT, wie Sie sie nennen?
Die ETH hat eine grosse Strahlkraft: Die Lehre und Forschung, die hier ermöglicht wird, hat eine grosse Bedeutung für die ganze Schweiz und darüber hinaus. Die IT muss dabei Schritt halten, denn sie ist nahe dran an der Lehre und Forschung und letztlich auch ein Erfolgsfaktor. Das gilt besonders für eine technische Hochschule, bei der die IT in fast jedem Forschungsprojekt eine wichtige Rolle spielt und unsere Mitarbeitenden so einen kleinen – und manchmal auch etwas grösseren – Beitrag zum Erfolg der Forschung und Lehre leisten können. Das ist es, was eine Stelle bei uns attraktiv macht und so ziehen wir potenzielle Mitarbeitende an. Sie merken, dass sie an der ETH ganz vorne an der Front mit tätig sein können. Wir können potenziellen Mitarbeitenden oft nicht Löhne wie bei Banken oder Tech-Unternehmen zahlen, aber bieten dafür einen hochinteressanten Arbeitsinhalt, Arbeitsplatzsicherheit und Freiheiten, die andere kaum bieten können.
Ist das Finden von Fachkräften denn eine Herausforderung für Sie?
Auch für uns ist es nicht einfach, qualifizierte Fachkräfte zu finden, gerade am Platz Zürich, wo die Löhne hoch und der Wettbewerb um Talente hart sind. Selbst wenn die Arbeit, die wir offerieren können, hochspannend ist, wird der Lohn irgendwann zum Thema – und wenn die grossen Tech-Konzerne oder die Banken, Versicherungen und Pharmakonzerne für manche Stellen ein Drittel mehr bezahlen können, wird es bei aller Sinnhaftigkeit der Arbeit manchmal schwierig. Da hilft es dann auch nicht, dass wir für das universitäre Umfeld relativ gute Löhne zahlen.
Ich möchte noch auf das Thema aktuelle Projekte zu sprechen kommen, von denen bei Ihnen sicherlich Dutzende laufen. Können Sie einige der grösseren oder spannenderen benennen?
In den letzten Jahren ist das Bedürfnis nach einem Inhouse-Ortungsnetzwerk entstanden, so dass man sich innerhalb der ETH orientieren kann. Die ETH ist auf rund 200 Gebäude in der Stadt Zürich und an anderen Standorten verteilt, weshalb dieser Wunsch durchaus nachvollziehbar ist. Wir installieren darum Campus-weit Beacons und müssen das Netzwerk, das so entsteht, mit den Plänen der Gebäude verknüpfen, sodass eine Navigation möglich wird. Das ist ein grösseres und spannendes Projekt. Ein anderes Projekt betrifft den Bereich Security im Zusammenhang mit der heterogenen Infrastruktur und insbesondere der Fülle an verschiedenen Endgeräten, die unsere 22’000 Studierenden und die Tausende Mitarbeitenden in unser Netzwerk bringen. Wir arbeiten an einem Programm namens System Health – einem System, mit dem wir prüfen wollen, wie gesund die einzelnen BYOD-Geräte hinsichtlich Betriebssystem, Malware-Schutz oder Browser sind. Technisch ist das keine Hexerei, rechtlich allerdings gibt es einige Faktoren zu berücksichtigen, zum Beispiel wenn wir Agenten auf den Geräten installieren möchten. Natürlich interessiert uns nicht, was auf dem Rechner gemacht wird, wir wollen nur wissen, wie gesund das System ist, um es bei Bedarf in eine Netzwerkzone zu verschieben, wo es keinen Schaden für Andere anrichten kann. Bei diesem Projekt stecken wir mitten in der Umsetzung. Aktuell in der Fertigstellung ist die Implementierung einer neuen Public Key Infrastructure (PKI), mit der wir jedem ETH-Angehörigen die Möglichkeit bieten wollen, signierte E-Mails zu versenden und zu empfangen, um so Phishing vorzubeugen. Weiter beschäftigen uns die Themen Fernunterricht und Remote Working, die durch die Coronapandemie quasi über Nacht zuoberst auf unsere Agenda katapultiert wurden. Wir verstehen uns seit 165 Jahren als eine Präsenzhochschule und wurden fast über Nacht gezwungen online zu unterrichten und zu arbeiten. Das war zu Beginn ungewohnt für alle, inzwischen aber haben sich die Studierenden wie auch die Mitarbeitenden daran gewöhnt, und ich bin überzeugt, dass dies auch über die Coronazeit hinaus nachhallen wird. Home Office wird viel akzeptierter sein als bislang, was auch gut so ist, für uns aber bedeutet, dass wir die technischen Voraussetzungen für ortsunabhängige Arbeit für alle Mitarbeitenden schaffen müssen. Aktuell bereiten wir ein Projekt vor, um genau dies zu ermöglichen. Wir sprechen dabei von 11’000 Mitarbeitenden, viele davon mit Endgeräten, die nicht gemanagt sind, was das Ganze nicht ganz einfach macht.
Sehen Sie sich als ETH irgendwo in der Pflicht, bei zukunftsgerichteten IT-Themen vorne mitzuspielen und als Early Adopter aufzutreten?
Im Forschungsbereich wird häufig Leading-Edge-Technologie eingesetzt, denn in der Forschung will man an die Grenze und darüber hinaus gehen. Oft werden wir in solchen Projekten um Unterstützung gebeten und kommen dadurch mit neuesten Technologien in Kontakt. Von uns aus initiieren wir aber keine Projekte, die nicht auch nachgefragt werden. Wir sind dazu da, die Forschung, Lehre und den Wissenstransfer in die Wirtschaft zu unterstützen, und nicht um Technologie der Technologie willen möglichst früh einsetzen. Was jedoch oft passiert ist, dass wir um unsere Meinung zu technologischen Entwicklungen gefragt werden, die wir auch gerne teilen.
Dann möchte auch ich Sie abschliessend zu Ihrer Meinung befragen: Gibt es zukunftsgerichtete Technologie, die Sie mit besonders grossem Interesse verfolgen?
Die gibt es auf jeden Fall, die Frage ist, wo man beginnen will. Ein Thema ist sicherlich künstliche Intelligenz, die auch wir in den internen IT-Systemen einsetzen – etwa zur Beantwortung von Supportanfragen mittels Chatbots. Ich persönlich bin aber der Meinung, dass KI im kommerziellen Umfeld noch in den Kinderschuhen steckt, und auch wenn ich ein riesiges Potenzial sehe, ist vieles von dem, was heute auf dem Markt herumgereicht wird, heisse Luft. Viele Systeme, die als intelligent verkauft werden, sind lediglich regelbasiert. Ein intelligentes System ist in der Lage, von sich aus zu lernen und spult nicht einfach vordefinierte Regeln ab. Bei «echten» KI-Systemen stehen wir noch in den Anfängen, auch wenn ich in den letzten fünf bis zehn Jahren Entwicklungen gesehen habe, die mir Hoffnung geben, dass wir in den kommenden fünf bis zehn Jahren ein grosses Stück vorankommen. Big Data ist bei uns in der Forschung ein grosses Thema, ich habe unseren Big-Data-Analytics- und Machine-Learning-Cluster bereits erwähnt – und dieser wird zunehmend für hochspannende Forschungsprojekte genutzt. Aber auch in der Büro-IT wird Big-Data-Analytics künftig vermehrt eine Rolle spielen. So prüfen wir aktuell zusammen mit anderen Bereichen an der ETH, wie wir Informationen der Studierenden auswerten können, um zu verstehen, wie Studierende am besten lernen oder wohin die Entwicklung bezüglich Studienplätze geht. So können wir die Lernmethoden, die wir anbieten, optimieren und im Sinne der Studierenden weiterentwickeln oder unsere Infrastruktur proaktiv ausbauen. Ebenfalls erwähnen möchte ich schliesslich Mobilfunktechnologien. 5G wird derzeit ausgerollt, und wir überlegen uns in dem Zusammenhang, wo es sich für uns noch lohnt, WiFi- und Kabelnetzwerke aufzubauen und zu unterhalten. Es stellt sich für uns die Frage, ob wir an manchen Stellen nicht einfach mit 5G oder allenfalls mit einer Nachfolgetechnologie erschliessen sollen. Die Antwort haben wir noch nicht, aber wir beobachten die Entwicklung gespannt.
Rui Brandao
Rui Brandao hat 1996 sein Studium in Wirtschaftsinformatik an der Universität Zürich abgeschlossen und 2001 im IT-Sicherheitsbereich promoviert. Seine berufliche Karriere startete er bei PwC im Beraterumfeld, später war er für weitere Beratungsunternehmen wie Arthur Andersen und KPMG tätig, bevor er 2003 zur Credit Suisse wechselte. Dort war er zuerst in einer Management-Funktion in der Applikationsentwicklung tätig, zeichnete später für die IT im Bereich Online-Banking, danach für den Aufbau eines Offshoring-Zentrums in Indien und schliesslich das globale (Offshore-)Testing der CS verantwortlich. Später leitete Rui Brandao globale Grossprogramme im IT-Infrastruktur- und Support-Bereich der Bank. Im November 2016 wurde der heute 52-Jährige Head of IT Services und damit CIO an der ETH Zürich.
Zum Unternehmen
Die Eidgenössische Technische Hochschule (ETH) Zürich wurde 1855 gegründet und zählt heute zu den führenden technisch-naturwissenschaftlichen Universitäten der Welt. Sie zählt gut 22’000 Studierende, 11’000 Mitarbeitende und rund 540 Professoren in insgesamt 16 Departementen. Diese verteilen sich auf zirka 200 Gebäude meist im Grossraum Zürich – vornehmlich im Zentrum sowie auf dem Hönggerberg.
(mw)