«Swiss IT Magazine»: Herr Nussbaumer, was sind aktuell die grössten Herausforderungen für Energieversorgungsunternehmen?
Michael Nussbaumer: Die Branche hat derzeit einige Challenges vor sich. Was wir vor allem sehen, ist die aktuell hohe Dynamik. Früher haben Kunden Strom konsumiert, fertig. Heute ist das anders, vielleicht sind sie Selbstversorger, vielleicht speisen sie auch Strom ein, vielleicht betreiben sie auch eine grosse Batterie oder speichern ihren Strom in einer Solar-Cloud. Aber denken Sie auch an andere Faktoren wie die zunehmende Zahl an Kunden, die Elektrofahrzeuge fahren. All diese Themen bringen neue Anforderungen mit sich und verändern das Kerngeschäft. Aber auch Technologien verändern sich. Früher waren OT-Anlagen isolierte Insellösungen – heute sind sie über Remote-Zugriff vernetzt. Das sind Dynamiken, die den Markt aktuell sehr stark beeinflussen. Die Branche ist dabei vor allem auf Versorgungssicherheit ausgelegt. Es ist das wichtigste Ziel, diese zu gewährleisten. Und daher hiess es lange Zeit: Never touch a running system. Aber im Zuge der Digitalisierung und des IT/OT-Alignments treffen die Welten heute notgedrungen aufeinander – kulturelle, technologische, prozessuale und zusehends auch regulatorische. Und natürlich ist Cybersecurity ein grosses Thema. Wir sehen auch bei uns, dass wir auf dem Radar sind.
Steigen die Angriffszahlen also?Die Frage ist stets, was ist ein Angriff und was ist kein Angriff. Aber wir sehen, dass wir gescannt werden. Es wird nach Schlupflöchern gesucht. Wir sind mit unserer Cybersecurity aber sehr gut aufgestellt.
Können Sie einschätzen, ob dabei der Anteil staatlicher Akteure beziehungsweise staatlich unterstützter Akteure zunimmt?Das lässt sich leider nicht so einfach sagen. Mit Blick auf das aktuelle Geschehen müssen wir uns bewusst sein, dass die einen zu Russland stehen und die anderen zur Ukraine – und da ist sicherlich eine entsprechende Unterstützung vorhanden. Zudem stellt die Situation ohne Frage eine grosse emotionale Motivation dar. Fest steht auf jeden Fall: Die Cyberkriminellen sind so oder so enorm gut aufgestellt. Die haben grössere Budgets als manches Grossunternehmen.
Können Sie als CIO eines Betreibers kritischer Infrastruktur nachts überhaupt noch ruhig schlafen?Persönlich finde ich die Aufgabe extrem spannend, wir haben einen äusserst starken Purpose. Wir arbeiten nicht wie andere Firmen primär auf eine Gewinnmaximierung zu, sondern wir arbeiten für die Versorgungssicherheit unserer Kundinnen und Kunden im Einzugsgebiet. Und ja, ich kann ruhig schlafen. Wir sind ein sehr gutes Team mit einer unglaublichen Motivation, das eine unglaubliche Leistung erbringt. Darauf bin ich sehr stolz, dass wir so eine Kultur haben. Security kann man heute einfach nicht mehr 9-to-5 lösen, auch mit externer Unterstützung nicht. Es braucht ein Team, das sportlich aufgestellt ist. Und dieses Team lässt mich ruhig schlafen.
Michael Nussbaumer
Michael Nussbaumer ist seit rund drei Jahren als CIO bei den Regionalwerken Baden an Bord. Es ist seine erste Tätigkeit bei einem Energieversorger. Der IT-Profi bringt vor allem Erfahrung aus dem Consumer-Bereich und dem E-Commerce-Umfeld mit ein, ist über seine jetzige Position hinaus auch als Consultant für E-Commerce-Themen sowie mit einem eigenen Podcast aktiv. Für seine Arbeit als CIO wurde er vor wenigen Monaten von EY und Confare als «Top CIO des Jahres» ausgezeichnet.
Haben Sie denn die Ressourcen im Security-Bereich zuletzt erhöht?Wir haben in den letzten Jahren unsere Investitionen im digitalen Bereich und in der IT im generellen verstärkt, nicht nur finanziell, sondern auch personell. Wir haben entsprechend aufgestockt und Cybersecurity ist dabei natürlich ein enorm wichtiger Bereich. Aber alle Themen gehen Hand in Hand. Wenn man heute bei einer OT-Anlage einen Fernzugriff einrichtet, dann muss man auch automatisch dafür sorgen, dass dieser sicher ist.
Wie würden Sie also grundsätzlich Ihre IT-Strategie als CIO der Regionalwerke Baden beschreiben?In der Geschäftsstrategie der RWB ist das Thema Digitalisierung ganz klar verankert. Das hängt dann auch direkt mit der IT-Strategie zusammen. IT ist hier kein Selbstzweck, sondern wir betreiben sie für die anderen Bereiche. Letztlich ist es enorm wichtig, dass wir für die Geschäftsbereiche einen Mehrwert liefern und sie beim Erreichen ihrer Ziele unterstützen. Einerseits gibt es dabei grundsätzliche Bereiche im Betrieb, die die IT direkt verantwortet und auch unabhängig definiert. Auf der anderen Seite gibt es Bereiche, die wir mitgestalten und in die wir Vorschläge einbringen können. Und wenn es darum geht, Prozesse zu digitalisieren, dann erfordert das eine enge Zusammenarbeit mit den Fachbereichen. Sie müssen im Boot sitzen und sagen, ob eine Lösung passt oder nicht passt. Und das spiegelt sich letztlich in unserer Strategie wider. Es gibt den einen Teil der Strategie, der eine hohe Business Visibility hat. Und den anderen Teil sieht man hoffentlich nicht, denn wenn hier Ruhe ist, dann heisst es, dass alles funktioniert.
Wo haben Sie vor drei Jahren zu Ihrem Start angesetzt? Was waren die wichtigsten To-dos?Wir haben am Anfang vor allem ein Vakuum gesehen, ein internes Vakuum der Bedürfnisse. Es gab eine riesige Liste an Digitalisierungsthemen und wir mussten sehr viel aufarbeiten. Wir haben beispielsweise kein WLAN gehabt, die Mitarbeiter hatten keine Laptops. Wir mussten also sehr viel in die Basis investieren. Anschliessend haben wir am ERP gearbeitet und Prozesse durchdigitalisiert, um ein System ohne Medienbrüche zu schaffen. Darüber hinaus haben wir sehr stark in die IT-Security investiert – und das war auch eine gute Entscheidung. Mit Blick auf den IKT-Minimalstandard sind wir hier schon sehr weit, auch wenn wir an ein paar Stellen sicherlich noch zu tun haben.
Liegt der Fokus Ihrer Strategie aktuell eher auf der Digitalisierung von internen Systemen oder auch auf der Digitalisierung von Schnittstellen zum Kunden hin?Wir treiben beides voran, weil beides sehr stark zusammenhängt. Ich kann dem Kunden seinen Stromverbrauch nur anzeigen, wenn ich den ganzen Weg bis hin zum Smart Meter durchdigitalisiert habe und die Daten auch ankommen. Wenn die OT nicht funktioniert und wir einen Stromausfall haben, dann ist auch die Customer Experience schlecht. Wir müssen also von unten nach oben und von oben nach unten arbeiten.
Haben Sie dennoch aktuell einige Leuchtturmprojekte?Wir arbeiten an der IT-Infrastruktur im OT-Umfeld, IT/OT-Alignment. Das ist für uns sehr wichtig, ein sehr grosses Projekt. Denn im OT-Bereich gibt es eine starke Verschiebung. Was man früher klassisch als OT bezeichnet hat, ist heute oft IT: Server, Netzwerk und Software. Und damit kommen auch die IT-Standards. Redundanz, hohe Sicherheit, Purdue-Modell. Die OT-Herstellerwelt hatte sich hier lange abgeschottet. Wir haben aber auch viele Themen darüber hinaus. Zum Beispiel bauen wir das E-Learning-Angebot für Mitarbeiter aus. Und wir arbeiten an viele Sachen, die die Arbeitswerkzeuge der Mitarbeiter betreffen sowie an grossen Security- und Netzwerk-Themen. Wir bauen unser ERP sehr stark aus. Ausserdem digitalisieren wir unsere Instandhaltung.
Greifen Sie dabei auch auf externe Unterstützung zurück, sprich auf IT-Dienstleister?Ja, wir arbeiten mit diversen Dienstleistern für verschiedene Themen zusammen. Im internen Team haben wir vor allem das Know-how für den Betrieb. Beispielsweise konnten wir in den letzten zwei Jahren intern viel Know-how im Security-Netzwerk-Bereich aufbauen und hinzugewinnen. Wir sind hier mittlerweile relativ stark aufgestellt. Das Know-how für spezielle Themen, das man vielleicht einmal in einem Projekt braucht, das schaffen wir uns hingegen Hand in Hand mit Lieferanten an.
Wie steht es darüber hinaus um die Zusammenarbeit mit Managed Service Providern oder auch Cloud Providern? Können Sie als Energieversorgungsunternehmen Systeme, Daten und Prozesse auslagern – oder müssen vor allem die kritischen Bereiche stets intern betrieben und betreut werden? Das ist genau das Stichwort: kritisch. Es braucht am Ende vom Tag immer eine Risikobeurteilung. Die Cloud hat sehr viele Vorteile, beispielsweise mit Blick auf Updates und Security, auch wenn sie vielleicht etwas mehr kostet. On-Prem hat wiederum andere Vorteile. Viele Hersteller wollen einen allerdings in die Cloud drücken. Aber da braucht es einfach eine Risikobeurteilung mit Blick auf die Frage, was eigentlich bei einem Brownout passiert. Kann ich damit leben, wenn ich ein System nicht mehr erreiche? Kann ich damit leben, dass ich gewisse Funktionen nicht mehr habe? Kann ich Daten in einem gewissen Turnus offline speichern, damit ich im Krisenfall auf sie zugreifen kann? Das sind Diskussionen, die wir geführt haben. Und wir schauen natürlich auch, wie unsere Internetanschlüsse aussehen. Auch hier gibt es nie eine hundertprozentige Garantie. Die meisten Versorger werden ihre Systeme daher auch heute noch On-Prem betreiben, damit sie sie im Krisenfall im Griff haben. Andererseits gibt es grosse IT-Anbieter wie Microsoft, die einem die Cloud geradezu aufdrängen wollen. Geht man diesen Schritt nicht mit, hat man anschliessend vielleicht nur noch eingeschränkte technische Möglichkeiten. Und so muss man letztlich alle Faktoren abwägen und überlegen, wie gross der Impact des externen Betriebs im Krisenfall ist.
Andererseits erfordert der interne Betrieb Ressourcen und Know-how. Wie baut man ein starkes Team für all diese Aufgaben und Herausforderungen auf? Wir haben die richtigen Leute angestellt (lacht)! Nein, ernsthaft, es sind mehrere Schritte. Erstens muss man schauen, wo man die passenden Leute findet. Ich habe allein dieses Jahr fünf Mitarbeiter eingestellt und es sind oft kleine Massnahmen, die Erfolg bringen. So muss in einem Stelleninserat beispielsweise immer mein Name stehen. Denn wenn sich jemand bewirbt, kann er vorab direkt schauen, wer der Chef ist und was er für einen Background hat. Zudem nutzen wir jede Gelegenheit, um zu erzählen, was wir machen und wie wir es machen. Wir haben beispielsweise eine Erfahrungsgruppe im Security-Bereich gegründet. Hier können wir uns in einem vertrauten Kreis austauschen. Das sind viele kleine Schritte, um nach aussen zu tragen, was wir eigentlich alles Cooles machen.
Ist die Arbeit in der IT eines Energieversorgers also cool?Zugegebenermassen: EVUs haben vielleicht ein bisschen ein angestaubtes Image in der IT. Ich komme ja aus dem Consumer-Bereich mit E-Commerce-Background. Hier sind die Dynamik und die digitale Maturität im direkten Vergleich sehr hoch. Einige Kollegen haben mich daher offen gefragt, warum ich das eigentlich mache. Aber für mich ist das selbstverständlich: Ja, es gibt noch ein sehr hohes Digitalisierungspotenzial. Aber wir können sehr viel bewegen und wir haben einen unglaublichen Speed im Team. Aber das muss man eben auch nach aussen tragen. Es muss darum gehen, die Leute zu begeistern. Wir haben natürlich auch gute Anstellungsbedingungen, wir zahlen gute Löhne – aber das ist oftmals zweitrangig. Viele unserer Leute brennen für Veränderung, sie wollen vorwärtsgehen. Und das motiviert sie und das motiviert auch mich. Sicher, Digitalisierung ist kein Zuckerschlecken, es gibt viele Hürden. Aber wir können hier Lösungen für unsere Kunden umsetzen, mit denen wir sie unterstützen – und vor allem auch Lösungen, die auch für uns stimmen.
Ihre Strategie wurde vor wenigen Wochen durch die Auszeichnung mit dem «Top CIO des Jahres»-Award von EY und Confare unterstrichen. Wie konnten Sie sich hier durchsetzen?Es ging bei diesem Award nicht allein um meine Person, sondern auch um das Team. Aber vor allem geht es um Passion und um Herzblut. Immerhin gibt es in der IT aktuell sehr viele Hürden zu bewältigen und sehr viele Berge zu erklimmen. Wir arbeiten in einem Umfeld, in dem viel im Umbruch ist. Das ist ein bisschen wie bei Indiana Jones: Er stürzt sich ins Abenteuer, er weiss, dass es einen Schatz gibt, aber er weiss nicht, was unterwegs auf ihn wartet. Und wenn die Hängebrücke ein bisschen morsch ist, dann muss man eben ein Auge schliessen und drübergehen. Und dazu gehört eben der Durchhaltewille, der Drive, das Herzblut und dass man all dies auch dem eigenen Team mitgibt.
Ist der CIO heute also der Indiana Jones der IT-Welt?Ja, es ist sicher ein bisschen so. Es braucht Innovationsgeist und Pioniergeist. Beispielsweise heisst IT/OT-Alignment auch, dass unsere IT- auf unsere OT-Kollegen zugehen müssen und umgekehrt. Da haben wir sehr lange, sehr viele, sehr intensive Gespräche geführt, bis wir uns gefunden haben. Wir lernen heute noch von ihnen und sie von uns. Das hat Zeit erfordert und es war auch eine intensive Phase. Aber heute besteht das Vertrauen und bildet die Basis für unsere erfolgreiche Zusammenarbeit.
Sie sprechen ein wichtiges Thema an: Es heisst ja, die IT müsse sich stärker mit den Fachbereichen abstimmen, Business-Prozesse verstehen und diese letztlich aktiv mitgestalten. Wie hoch ist die Bereitschaft auf beiden Seiten, sich auf diese neue Rolle einzulassen?Das hängt sicherlich von verschiedenen Faktoren ab. Zum Beispiel davon, wie stark wir ausgelastet sind. Wir treiben Digitalisierung in zwei Bereichen voran: Einerseits innerhalb der IT, das können wir stark losgelöst von den Fachbereichen machen. Wenn es hingegen einen Impact auf die Mitarbeiter hat, dann braucht es sicher die Bereitschaft auf beiden Seiten, Arbeitsabläufe anzupassen und sehr viel zu schulen. Das hängt aber massgeblich davon ab, wie viele Ressourcen zur Verfügung stehen. Wir können unsere Versorgung nicht von heute auf morgen um 20 Prozent reduzieren. Das ist ein täglicher Kampf, einerseits den Betrieb aufrechtzuerhalten und andererseits die Zeit zu finden, Projektinnovationen voranzutreiben. Wir haben in der IT im letzten Jahr aber zusätzliche Ressourcen geschaffen und im Dezember kommen zwei weitere Mitarbeiter, die ganz gezielt die Fachbereiche unterstützen sollen.
Und wie nehmen Sie in diesem Spannungsfeld Ihre eigene Rolle als CIO wahr? Wo sehen Sie heutzutage Ihre Kernaufgaben?
Es geht vor allem darum, das Team zu enablen. Immerhin arbeitet das Team direkt an der Front und mit den Technologien. Dabei kann ich sie unterstützen – sie aber auch challengen. Es heisst ja so schön: fordern und fördern. Und das ist ein Wechselspiel, das sehr gut funktioniert und sehr geschätzt wird. Der CIO hat aber auch nach aussen wichtige Aufgaben. Er muss die Bedürfnisse der Kunden aufnehmen und in den Dialog treten. Ich habe beispielsweise mit all meinen Geschäftsleitungskollegen einen regelmässigen Austausch darüber, was es braucht und wo der Schuh drückt. Gleichzeitig liegt es aber auch in meinem Naturell als technologiebegeisterter Mensch, die Fahne hochzuhalten, Digitalisierung also zu präsentieren, zu kommunizieren, zu erklären und für Fragen bereitzustehen. Das ist eine ganz wichtige Aufgabe. Und meine Position ist in der Geschäftsleitung. Das zeigt, dass die Firma die Wichtigkeit der IT erkennt und versteht. Damit ist der CIO sehr stark in die Unternehmensentwicklung involviert. Es ist also nicht mehr so, dass wir Technologie auf Abruf bieten und warten, bis jemand kommt und sagt, dass er gerne eine bestimmte Lösung hätte. Wir arbeiten proaktiv und sagen: In diesem Bereich sollten wir etwas umbauen, wir sollten etwas weiterentwickeln.
Sollte es also in jedem Unternehmen einer gewissen Grösse Standard sein, dass die IT eine starke Stimme in der Geschäftsführung hat?
Ja, aber nicht im Sinne einer klassischen IT, die Server und Laptops bereitstellt. Es geht mehr darum, in die Diskussion zu gehen mit den Fach- und Service-Bereichen, um einerseits zu erfahren, was sie brauchen, aber andererseits auch, um Themen zu vertreten. Ich sehe uns nicht nur als reine Service-Abteilung. Das heisst aber auch, dass wir Verantwortung übernehmen, dass wir Sachen anpassen und sicherstellen, dass es läuft.
Gleichzeitig steigt aber die Komplexität der IT weiter und weiter. Kann man diese – neben dem neuen Rollenverständnis – heute als IT-Abteilung überhaupt noch im Alleingang bewältigen?
Das ist eine sehr spannende Frage. Wenn wir das EVU-Umfeld im Speziellen betrachten: Kritische Infrastruktur, hohe Security-Anforderungen, wir betreiben sehr viele virtuelle Server, haben sehr viele verteilte Systeme – die Komplexität ist also recht hoch, die Anforderungen sind hoch. Wir haben aber eine gute Unternehmensgrösse, ein schlagkräftiges IT-Team und gute Partner. Für kleine Unternehmen kann die Komplexität aber ohne Frage zur Herausforderung werden.
Wo sehen Sie Angriffspunkte?
Ich glaube und hoffe, dass die Zusammenarbeit zwischen den EVUs wachsen wird. Es müssen ja nicht gleich Gemeinden fusionieren, aber im technologischen Umfeld kann ich mir sehr gut vorstellen, dass wir stärker kooperieren. Wir erbringen heute beispielsweise bereits Leistungen in der IT und der Betriebsführung für andere Gemeinden. Eine vergleichbare Zusammenarbeit ist auch in anderen Bereichen denkbar, wo Ressourcen für Einzelne nicht verfügbar sind, beispielsweise in der Wasserversorgung oder bei Smart-Meter-Infrastruktur. Kleinere EVUs müssen das auch irgendwoher beziehen. Ich denke, es wird sinnvollerweise dazu kommen. Wenn ich den IKT-Minimalstandard anschaue und wo wir heute stehen, dann ist das noch ein weiter Weg. Wir müssen uns also fragen, warum wir nicht bereits enger zusammenarbeiten. Wir als Regionalwerk sind dafür offen.
Tauschen Sie sich bereits mit CIOs anderer Betreiber aus?
Aktuell noch auf kleiner Flamme. Zusammen mit anderen EVUs haben wir wie angesprochen eine Erfahrungsgruppe zum Thema Security. Hier tauschen wir uns zu vertraulichen Informationen wie möglichen Angriffen aus, das hilft uns ungemein im Alltag. Ich würde einen stärkeren Austausch aber sicher begrüssen und lade jeden ein, den Austausch zu suchen. Im EVU-Umfeld braucht es schlicht mehr Zusammenarbeit, stets mit dem obersten Ziel, die Versorgungssicherheit zu gewährleisten.
Welche Rolle spielt wiederum der Rückhalt der übrigen Geschäftsleitung, um die digitale Theorie auch in die Praxis übersetzen zu können?
Sie haben natürlich ihre eigenen Herausforderungen im Alltag – und dann kommt da noch die IT mit ihren grossen Sicherheitsanforderungen. Das ist nicht immer ganz einfach. Aber es geht nur im Zusammenspiel. Wir sind natürlich sehr bestrebt, Digitalisierung voranzutreiben. Aber im Feld draussen befinden sich am Ende des Tages sie. Die digitale Maturität im Unternehmen ist jedoch unterschiedlich. Das verstehe ich, immerhin bin ich auch kein Turbinen-Spezialist und kein Finanzexperte. Umso wichtiger finde ich es aber, dass die digitale Kompetenz in der Geschäftsleitung klar verankert ist. Nicht nur als Service-Erbringer, sondern dass man anregt, Verantwortung übernimmt und Verständnis schafft. Das ist eine sehr wichtige Aufgabe als CIO. Man muss immer wieder aufzeigen, was wir eigentlich machen. Immerhin sieht man das nicht, man schmeckt es nicht. Wir greifen mit Digitalisierung aber sehr stark in ihren Alltag ein, verändern ihre Prozesse, daher muss man sehr viel Verständnis schaffen. Das ist ein bisschen wie wenn ich den Pflanzenladen gehe. Da gibt es einen Busch, der kostet 80 Franken und einen, der kostet 200 Franken. Ganz ehrlich, ich habe keine Ahnung, wo der Unterschied liegt. Aber der Gärtner kann das übersetzen, er kann Vertrauen schaffen. Und das ist auch ein Teil der modernen CIO-Rolle. Digitale Themen sind sehr breit und sehr gross aufgestellt – auch über die Technologie hinaus. Technologie ist nicht das Problem, das lösen wir. Es geht darum, Menschen abzuholen, mitzunehmen und zu begeistern. Digitalisierung ist People Business. Hier gibt es noch viel zu tun.
Haben Sie vor diesem Hintergrund abschliessend einen Ratschlag an CIO-Kolleginnen und -Kollegen, die noch keinen Award in ihren Händen halten und dies gegebenenfalls ändern möchten? Wo sollten sie ansetzen?
Ich bin mit einer starken Vision ins Unternehmen gekommen: Ich wollte RWB zum digital fittesten EVU der Schweiz machen. Das ist natürlich ein hoch gestecktes Zeil, das ist eine Vision. Aber wir stehen mit viel Herzblut hinter diesem Ziel und verfolgen es mit Nachdruck. Es gibt immer etwas, das nicht geht, es gibt verschiedenste Auflagen, aber wenn man die eigene Strategie mit Herzblut verfolgt und sie tagtäglich gegenüber dem Team, der Geschäftsführung, dem Verwaltungsrat und gegenüber aussen vertritt, dann kann man motivieren und nur gewinnen. Digitalisierung ist ein Marathon und den hält man nicht durch ohne die Begeisterung für die Thematik. Und das andere ist: Do it!
Zum Unternehmen
Die Regionalwerke Baden (RWB) versorgen mit ihren rund 150 Beschäftigten (Stand Ende 2022) die Stadt und teilweise auch die Region Baden mit Energie und Trinkwasser. Zusätzlich bieten sie ein breites Angebot an Dienstleistungen rund um die Themen Versorgung und Energie an. Mithilfe von Michael Nussbaumer haben die Regionalwerke im Jahr 2021 die interne IT umstrukturiert und einen eigenen Geschäftsbereich geschaffen. Seitdem ist Digitalisierung fester Bestandteil der Geschäftsstrategie und hat im Unternehmen eine sehr hohe Priorität.