„IT ist kein Selbstzweck, sondern Unterstützung für das Business“

FACC ist ein weltweit führendes Aerospace Unternehmen, das Komponenten und -systeme für Luftfahrzeuge entwickelt und fertigt. Der Hauptsitz ist in Ried im Innkreis. Als Vice President Information Technology & Security leitet Alexander Hochmeier seit 2019 die weltweite IT und Informationssicherheit von FACC und wurde heuer – wie schon 2023 – mit dem Titel TopCIO des Jahres 2024 ausgezeichnet. Die IT WELT hat ihn interviewt. [...]

Alexander Hochmeier, Vice President Information Technology & Security bei FACC (c) Georg Tiefenthaler (GETIFO)
Alexander Hochmeier, Vice President Information Technology & Security bei FACC (c) Georg Tiefenthaler (GETIFO)

Was bedeutet die Auszeichnung zum TopCIO für Sie und für Ihr Team?  

Das ist ja nach 2023 das zweite Mal, dass ich zum TopCIO gekürt worden bin. Was mich dabei besonders freut, ist, dass wir weder 2023 noch 2024 mit den größten, tollsten, teuersten Technologie-Projekten angetreten sind, sondern mit dem, was wir unter „Menschenarbeit“ verstehen, also wie wir unser Team einerseits stabil halten und andererseits um wertvolle neue Kolleg:Innen bereichern. Ich meine, wir konnten sowohl 2023 als auch 2024 beweisen, dass Vielfalt zum Erfolg führt. Wir haben mit einer sehr bunten Mischung von Menschen viele tolle Projekte gemacht. Es ist schön und besonders, dass man das auch extern honoriert. Das ist für mich, aber natürlich auch für die Leute, die diese Vielfalt ausmachen, sehr wertschätzend und ist Bestätigung, dass wir auf einem guten Weg sind.

Wie groß ist die Abteilung, der Sie vorstehen? 

Die IT und Security der FACC besteht aus rund 65 Mitarbeiter:Innen, die fast alle im Innviertel sitzen.

Auf welche Projekte sind Sie besonders stolz? Was waren Ihre Meilensteine in Sachen Digitalisierung und Business Transformation? 

Das alles Entscheidende war eine Veränderung, die wir in den schwierigen Zeiten rund um Corona aus strategischen Gründen vorgenommen haben. Finanzmittel waren knapp und wir haben überlegt, wie können wir uns trotz knapper Mittel und der schwierigen Gesamtlage trotzdem auf eine Transformationsreise begeben – vielleicht anders als ursprünglich geplant, aber doch. Entscheidend waren zwei Paradigmenwechsel: Das eine war ein Wechsel zu einer Best-of-Breed-Strategie. Das heißt den SAP-Kern um so viele spezialisierte Lösungen wie möglich und sinnvoll zu ergänzen, mit der Hoffnung mehr Wert, mehr Flexibilität für weniger Geld zu bekommen. Das ist gut gelungen. Und der zweite Paradigmenwechsel war von einer 100-prozentigen Inhouse-Company den Weg in Richtung Hybrid-Strategie zu gehen.

Das waren die zwei großen Richtungsentscheidungen: Best-of-Breed- und Hybrid-Modell. Hier haben wir mittlerweile eine Vielzahl an Themen umgesetzt. Im Prinzip haben wir Geschäftsprozess um Geschäftsprozess betrachtet und vom Einkauf über die Logistik geprüft, ob die Lösungen, die wir heute haben, noch passen oder nicht.

Und falls sie nicht passen, was denn die besten Lösungen am Markt sind. Hier sind zum Teil wieder Lösungen von SAP herausgekommen, aber auch manche kleinere, spezialisiertere Lösung. Das Besondere ist, dass wir wirklich sehr, sehr viele Dinge parallel bewegt haben, etwa von einer SAP-EWM-Einführung bis hin zu einer SAP Ariba-Einführung, von der Umsetzung eines Microsoft-basierten CRM-Systems bis hin zum Thema unseres Collaboration-Stack rund um MS Teams auf neue Beine zu stellen und vieles, vieles mehr.

Schließlich gibt es Spezialthemen wie den Schutz geistigen Eigentums und die IT-Continuity, da haben wir uns massiv weiterentwickelt.  So wurden wir letztes Jahr in der Hofburg als Austria’s Leading Company im Bereich Cyber Security mit dem Gold Award ausgezeichnet, als bestes börsennotiertes Unternehmen in Österreich. Und dahinter stehen unter anderem auch Technologieprojekte, wo ich uns als Vorreiter sehe.So zählen wir beim KI-Einsatz im Bereich Cyberdefense sicher zu den führenden Unternehmen in Österreich.

Ist die Umstellung auf Hybrid-Strategie etwas, das Sie allein verantworten oder ist hier auch die Zusammenarbeit mit der Geschäftsführung gefragt?

Das ist ein Thema, das ich, als ich 2019 ins Unternehmen gekommen bin, verändert habe. Früher hat die IT im Eigenantrieb versucht bestmöglich ihren Job zu machen. Mein Ansatz ist, dass IT kein Selbstzweck sein darf.

IT muss businessgetrieben sein, muss im Sinne aller Entscheidungsträger ihre Aufgabe erfüllen. Das Erste, was ich gemacht habe, ist eine IT-Strategie zu verschriftlichen, mit strategischen Leitplanken, mit Überlegungen zu Sinn und Zweck der IT, bis hin zu einem konkreten Flight Path, wo wir zwei, drei Jahre in die Zukunft schauen und gemeinsam festlegen, was wir umsetzen wollen. Das passen wir jedes Jahr an. Hier sind grundlegende Elemente enthalten, für die ich mir jedes Jahr das OK vom Board hole – das ist keine IT-Entscheidung, auch wenn es ein Technikthema ist; da geht es um strategische Veränderungen, da geht es um viel Geld und wir investieren Geld und Ressourcen nur, wenn der Gesamtvorstand zustimmt.

Zählt die FACC als kritische Infrastruktur? Falls ja, haben Sie entsprechende Compliance-Auflagen?

Das ist noch nicht abschließend geklärt, aber aktuell muss ich davon ausgehen, dass wir im Kontext der NIS2 in den Bereich der wichtigen Unternehmen fallen – nicht wesentlich, aber wichtig, und damit auch den entsprechenden Verpflichtungen unterliegen. Das gilt dann genauso für unsere Supply Chain Partner. Wir haben uns darauf vorbereitet, indem wir diverse an die ursprüngliche NIS angelehnte Zertifizierungen gemacht haben.

Nur als Beispiel: In Österreich gibt es das Cyber-Risk-Rating, und zwar in zwei Abstufungen. Wenn man hier die große Ausführung positiv erledigt hat, hat man sich schon gut auf die Reise gemacht. Des Weiteren haben wir auch Branchenzertifizierungen im Cybersecurity-Kontext, die ihrerseits ganz nahe an Anforderungen einer ISO 27001 liegen und so weiter.

Sieht man sich die jetzt vorliegende NIS2 und die ISO 27001 an, findet man schon sehr viele Parallelen. Wir werden jetzt auch die ISO 27001-Zertifizierung machen, weil wir davon ausgehen, dass wir damit und mit den anderen vorliegenden Zertifikaten die größten Anforderungen erledigt haben müssten.

Danach widmen wir uns den noch vorhandenen Gaps. Ich glaube, wenn man sich an Cyber-Risk-Rating und ISO 27001 orientiert, dann kann man nicht weit daneben liegen.

ISO 27001 überschneidet sich weitgehend mit NIS2?

Ja, das ist auch unser Verständnis. Wird man mit der ISO 27001 alles erfüllen, was NIS2 fordert? Nein, wahrscheinlich nicht, aber in Kombination mit den vorhin genannten Zertifizierungen zu einem hochgradigen Prozentsatz schon. 

Sie sind in einer sehr innovativen Branche tätig, in der es viele Entwicklungen technischer Art gibt. Stichwort Innovationsschutz und Patente. Ist das bei Ihnen ein Thema?

Natürlich sind wir einerseits produzierende Industrie, aber andererseits entwickeln wir mit oder für die relevanten globalen Player bzw. OEMs in der Luftfahrt geistiges Eigentum. Hier sind wir definitiv federführend, wenn es um Innovation geht. Sonst wären wir in dieser Branche als österreichisches Unternehmen nicht vertreten. Intellectual Property Schutz geht uns deshalb über alles. Wir haben beispielsweise eigene spezialisierte Plattformen und Werkzeuge, um Intellectual Property oder Intellectual-Property-Relevantes mit unseren Geschäftspartner:innen auszutauschen. 

Natürlich sind wir immer auch auf der Suche, diese Dinge noch zu verbessern. Wo man aktuell relativ viel Energie hineingeben muss, zusätzlich zu den Dingen, die wir heute schon tun, ist, die Dokumentenklassifizierung weiter voranzutreiben. Da sind wir im klassischen Office-Kontext schon ganz gut aufgestellt.

Sie hatten vorher erwähnt, dass Sie sehr viel mit künstlicher Intelligenz arbeiten. Können Sie etwas erzählen über KI-Projekte, die Sie verfolgen?

Das muss ich einschränken.  Beim Einsatz generativer Sprachmodelle oder anderer Tools sind wir beispielsweise zurückhaltend, da der Schutz von Intellectual Property über allem steht. Jetzt mit irgendwelchen freizugänglichen Werkzeugen zu arbeiten, wäre nicht im Sinne dessen. Wo wir Vorreiter sind und wo wir auf breiten KI-Einsatz setzen, ist im Enterprise-Kontext, vor allem im Bereich Cybersecurity.

Da haben wir eine Vielzahl an Produkten, die von der Anomalie-Erkennung bis zum autonomen Einschreiten bei verdächtigen Handlungen reichen – das gilt im Netzwerk, das gilt auch am Endpoint. Wenn es um die Geschäftsprozesse geht, sind wir tatsächlich im Versuch des Entmystifizierens. Am Ende des Tages sehe ich KI auch nur, zwar als eine mächtige, aber trotz alledem nur als eine Werkzeugpalette. Wie lange redet man denn schon von Robotic Process Automation und in wie vielen Unternehmen finden Sie es wirklich flächendeckend oder in einem breiten Einsatz? Dasselbe passiert jetzt auch mit KI. Da schießen zwar hier und da Lösungen wie die Schwammerl aus dem Boden, aber vieles hält keiner eingehenderen Betrachtung stand.

Ja, wir haben eine Handvoll Use Cases definiert und ergründen, wie praxistauglich diese sind. 

Die Frage, die sich immer stellt, ist: Ist das, was ich da bekomme, ein Ergebnis, mit dem ich weiterarbeiten kann? Ist es etwas, das gut aussieht oder auch korrekt ist? Und wo kann man es einsetzen? Eben nicht nur im Effizienzsinn, sondern es geht ja trotzdem auch darum, eine gewisse Marktposition zu behalten.

Wie gesagt, es geht ums Ausloten und am Ende des Tages dann um eine beinharte Kosten-Nutzen-Rechnung, wie bei allem anderen auch.

Glauben Sie, dass Sie mit dieser Art von KI den Fachkräftemangel abfangen können, indem Sie Dinge automatisieren, wofür Sie sonst Menschen benötigt hätten? 

Nein, ich sehe KI definitiv nicht als Lösung gegen den Fachkräftemangel. Aus meiner Sicht kann KI Dinge zwar effizienter machen, aber es braucht nach wie vor, wenn man sie sinnvoll einsetzen will, noch immer den Menschen, der beurteilt, ob das, was da herauskommt, ein valides Ergebnis ist.

Es braucht auch die Menschen, die mit diesen Werkzeugen arbeiten können.  Es lassen sich sicher Routinetätigkeiten zu einem gewissen Teil automatisieren. Nichtsdestotrotz bin ich skeptisch, wie viel Effizienzgewinn aus FTE-Sicht (FTE = Full Time Equivalent; dt. Vollzeitäquivalent), es dann tatsächlich bringt.

Warum haben wir RPA nicht breiter im Einsatz? Weil die Prozesse vielleicht doch nicht so standardisiert sind, wie wir alle glauben? Wie gut kann eine KI sein, wenn das Thema der Datenbasis nicht entsprechend sauber vorhanden ist? Das ist ein leidiges Thema quer durch viele Unternehmen. Und das ist, was ich mit Entmystifizieren gemeint habe. 

KI da und dort unterstützend einsetzen, keine Frage. Und natürlich gibt es Bereiche, die besser geeignet sind als andere. Aber für mich sind, wie bereits erwähnt, KI-Lösungen einfach nur Werkzeuge wie alle anderen auch.

Verwenden Sie KI auch in der Security?

Im Bereich Cybersecurity geht es mir immer um den Dreiklang von Mensch, Prozess und Technologien und wir bauen uns immer ein vielschichtiges Zwiebelschalen-Modell auf. Ich habe ein eigenes Security-Team, ich habe aber auch ein externes Security-Team. Ähnliche Aufgaben wie meine eigenen Leute und dieses externe SOC, habe ich eben auch mit Technologie adressiert.

Die Hoffnung in diese Vielschichtigkeit ist, dass wenn eine Abwehrebene versagt, eine andere dafür einspringt. Da sind KI- oder Deep-Learning-basierte Werkzeuge, definitiv eine mächtige Bereicherung. In diversen Penetration-Tests haben wir eindrucksvoll beweisen können, dass die Vielschichtigkeit des Modells gut funktioniert. 

Ihre Positionsbezeichnung ist Vice President Information Security. Ist das eigentlich die Aufgabe eines CIOs oder gibt es da Unterschiede?

Danke für die Frage, weil wenn es etwas gibt, das ich nicht mag, sind das IT-Leiter, die sich als CIOs bezeichnen.

C-Level heißt für mich, dass jemand Teil des Management Board ist, also unmittelbar im Vorstand sitzt. Die meisten Menschen, die sich heute als CIO bezeichnen, sind IT-Leiter mit fünf bis zehn Leuten, die sich größer machen, als sie sind. Ich bin nicht im Vorstand, deshalb bezeichne ich mich nicht als CIO.

Auf der Ebene 2 ist unser Titel Vice President und ich bin Vice President für IT und Informationssicherheit. Das umfasst die Tätigkeiten des klassischen IT-Leiters angereichert um die gesamten Security-Agenden. Ein CISO ist deshalb unterhalb von mir angesiedelt.

Das ist keine Parallelorganisation, sondern unter mir vereint sind strategische und operative Informationssicherheit und die klassische Informationstechnologie.  

Wie hat sich die Rolle eines IT-Leiters in den letzten Jahren geändert

Wohin man schaut, sieht man, dass die IT wirklich zum Businesspartner wird. Nicht die IT denkt sich aus, was etwa dem Produktionschef helfen könnte, sondern er ist derjenige, der Anforderungen und Probleme hat, die wir gemeinsam zu adressieren versuchen.

Dieses Miteinander war früher weniger da. Vielleicht war es für den einen oder anderen Businesspartner, Businesspartnerin früher ganz angenehm, dass die IT etwas gemacht hat und wenn es nicht funktioniert hat, hat man auf sie schimpfen können.

Heute verlange ich vom Businesspartner, dass er sagt, was er will, weil ich will, dass wir unser Mittel zielgerichtet einsetzen. Hier hat sich schon viel getan. Das geht auch einher mit dem leidigen Buzzword Digitalisierung – ein Wort, das nie jemand sauber definiert hat, wo jeder etwas anderes darunter versteht.

Letztlich bedeutet Digitalisierung ja nichts anderes als einen Prozess durch IT-Mittel zu unterstützen oder zu ermöglichen. Das haben wir doch immer schon gemacht. Aber auch Digitalisierung, so wie ich sie verstehe, soll kein Selbstzweck sein.

Achten wir darauf, Prozesse gemeinsam runder zu machen und wirklich die Anforderung oder Probleme des Business anzugehen und nicht aus der IT zu mutmaßen, was jemand brauchen könnte. 

Also gemeinsam mit dem Business die Prozesse anzusehen und gegebenenfalls neu zu definieren, nicht nur optimieren?

Ja, genau. Und das eben in einer gemeinsamen Initiative. Wenn wir diesbezüglich eine Initiative beziehungsweise ein Projekt launchen, dann bin ich im Idealfall immer paritätisch besetzt. Es gibt nicht nur entweder einen IT-Projektleiter oder einen Business-Projektleiter, sondern – zumindest bei großen Vorhaben – eine Doppelspitze, wo die Anforderungsseite und die Lieferseite, also Business und IT, gemeinsam in der Projektverantwortung sind, sich auch gemeinsam vertreten, obgleich der eine primär den Demand- und der andere den Supply-Hut aufhat. Das zieht sich dann auch durch die Projektteams, sodass es wirklich ein Miteinander ist.

Wie wichtig ist Nachhaltigkeit für die FACC? Wie sieht es mit der Neutralisierung des CO2-Fußabdrucks aus? 

Grundsätzlich ist Nachhaltigkeit eine Kernaufgabe der FACC. Wir konstruieren und produzieren Leichtbauprodukte für „alles“, was (zivil) fliegt – jedes klassische Flugzeug, in der Urban Air Mobility, auch im Bereich Elektromobilität.

Immer geht es um effizienteres Fliegen, um Treibstoffreduktion durch Aerodynamik und Gewichtsreduktion, aber auch Lärmreduktion spielt eine große Rolle.

Und wir arbeiten intensiv daran, dass die von uns produzierten Produkte besser in eine Kreislaufwirtschaft integrierbar sind. Hier geschieht sehr viel Forschung, wie etwa biobasierte Harze, neue Produktionsverfahren etc.

Wir wollen die Produktion und die Produkte noch grüner machen und hier eine Vorreiterrolle einnehmen. Beispielsweise setzen wir seit dem Jahr 2000 auf Geothermie in all unseren Produktionsstätten. Die Reduktion des CO2-Fußabdrucks betreiben wir schon ganz lange. Wir wollen eine CO2-neutrale Produktion bis 2040 erreichen und haben auch entsprechende Zwischenziele gesetzt, um dorthin zu gelangen, wie etwa im Verpackungsbereich von Kunststoffen wegzukommen, der Austausch von Leuchtkörper gegen LEDs bis hin zu grünerer Logistik, indem wir Verpackungen selber produzieren und dergleichen mehr. 

In der IT fahren wir konsequent Leasing-Modelle vom Server bis zum Endpoint. Wir tauschen in der Regel Geräte alle drei Jahre aus, ungefähr 98 Prozent werden unmittelbar wiederverwendet. Bei etwas über einem Prozent der Geräte geht Reparatur vor Re-Use. Schließlich gibt es noch einen sehr kleinen Anteil, der recycled wird. Bei Rechenzentren – wir betreiben auch Rechenzentren – sind wir fast wann immer möglich in einem Free-Cooling-Betrieb unterwegs. 

Doch die Sustainable Development Goals umfassen weit mehr als die sehr wichtigen grünen Ziele. So geht es bei SDG 5 und SDG 10 um Chancengleichberechtigung, Frauenförderung, Gleichstellung bzw. Abbau von Ungleichheiten und so weiter. Das sind Themen, die bei FACC ganz massiv verankert sind. 

Wenn ich die Zahl jetzt richtig im Kopf habe, stehen wir bei rund 3.600 Mitarbeiter:innen, davon der Großteil im Innviertel, Menschen aus über 50 Nationen. Wir sind ein Industriebetrieb, dennoch sind ziemlich genau ein Drittel der Mitarbeiter:innen bei uns Frauen, die eben nicht nur in der Verwaltung, sondern auch in der Produktion tätig sind. Das hat damit zu tun, dass wir schon seit vielen Jahren beginnend bei den Lehrlingen eine 50-Prozentquote von Frauen anstreben – obwohl wir fast nur technische Berufe ausbilden.

Bei der Vergabe von Stipendien werden Frauen bevorzugt. Noch ein Wort zum Thema Vereinbarkeit: Wir haben über 300 unterschiedliche Arbeitszeitmodelle und geben Eltern einen sinnvollen und machbaren Job, indem wir Vereinbarkeit bestmöglich unterstützen – eben von den Arbeitszeitmodellen bis zum FACC Kids Club.. 

Eines meiner Steckenpferde ist das Fördern von Quereinsteiger:innen und Um:steigerinnen, Menschen eine Chance geben, die vielleicht woanders am Abstellgleis stehen. Ich habe mittlerweile eine fast 50-prozentige Quereinsteiger:innenquote – das hilft mehr gegen Fachkräftemangel als der Einsatz von KI. Ohne diesen Ansatz würden mir 50 Prozent meines Teams fehlen. 

Ein weiteres Thema ist, das Generationenthema, viele sprechen über Generation Y und Z. Ich spreche gerne über die Ü50 oder Ü55. Wir müssen endlich beginnen, den demografischen Wandel ernst zu nehmen. Mittlerweile habe ich 22 Prozent Mitarbeiter:innen über 50 Jahre, nicht weil sie bei mir alt geworden sind, sondern weil wir gezielt auch Ü50 einstellen.

Thema Work-Life-Balance: Was machen Sie zum Ausgleich und wie bilden Sie sich weiter?

Also was mir persönlich wichtig ist, aber genauso auch für mein Team und meine Mitarbeiter: Nachhaltige Leistung ist nur möglich, wenn man auch verschnaufen kann, um es salopp zu sagen. Wir sind ein Wirtschaftsunternehmen, da geht es natürlich um Leistung. Aber es muss auch Luft zum Atmen bleiben und eine vernünftige Balance da sein.

Das will ich für mich selbst und das will ich für meine Mitarbeiter:innen. Wie man die Zeit nutzt, die man hat, ist jedem selbst überlassen. Zugegebenermaßen mache ich sehr viel, was nicht auf meiner Visitenkarte steht, trotzdem auch im Namen der FACC und für mein Team. So setze ich mich für Themen wie Frauenförderung oder Vereinbarkeit ein und bin auf Bühnen oder in Panels zahlreicher Veranstaltungen, wie der Balance-Up in Wien, 4GameChangers, dem CIO Summit, den Confare CIO Events usw.

Damit bringen wir auch unsere Role Models auf die Bühnen und können die guten Geschichten, die wir tagtäglich leben, sichtbar machen und damit dazu beitragen, dass unser Team stabil bleibt, weiter wächst und hoffentlich auch andere Unternehmen mutig solche Wege gehen. Das Netzwerken und von einander Lernen auf Veranstaltungen wie diesen hilft auch, neue Impulse zu kriegen, über den Tellerrand hinauszusehen usw.

Neben dem Job und diesen Vortrags- und sonstigen Aktivitäten, stehen für mich ganz klar mein Sohn David und meine Frau Anja im Fokus. Familie ist mein Fundament.

Zum Thema Fortbildung: Zwar würde es mich reizen, wieder auf eine Uni zu gehen, und ich suche mir auch Themen und mache Fortbildungen, aber mittlerweile ist die Weiterbildung vor allem ein Erfahrungsaustausch mit Kollegen und Kolleginnen, vor allem auf Veranstaltungen sowie weiterführende Termine mit interessanten Kolleginnen und Kollegen aus anderen Unternehmen und Branchen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*