IT-Services, die Ihnen den Rücken freihalten.

Ein Strategieprozess entscheidet darüber, ob eine IT-Strategie Orientierung gibt oder wirkungslos bleibt. Nicht das Dokument ist kritisch, sondern der Weg dorthin.

Dieser Artikel zeigt, wie ein strukturierter Strategieprozess in der IT aussieht, welche Schritte zwingend sind und wo Organisationen typischerweise scheitern.

Was ist ein Strategieprozess?

Der Strategieprozess beschreibt die systematische Vorgehensweise zur Entwicklung einer Strategie. Im IT-Kontext stellt er sicher, dass strategische Entscheidungen nachvollziehbar, abgestimmt und umsetzbar sind.

Ein guter Strategieprozess verbindet drei Ebenen:

• Unternehmensziele

• IT-Fähigkeiten und -Limitationen

• Umsetzung in Initiativen und Budget

Ohne klaren Prozess entsteht Strategie zufällig oder politisch.

Warum der Prozess entscheidend ist

Viele IT-Organisationen haben strategische Inhalte, aber keinen sauberen Prozess. Die Folgen sind bekannt:

• Fehlende Priorisierung

• Widersprüchliche Initiativen

• Strategien ohne Umsetzungskraft

Ein klar definierter Strategieprozess schafft:

• Transparenz in Entscheidungen

• Verbindlichkeit bei Prioritäten

• Akzeptanz bei Stakeholdern

Der typische Strategieprozess in der IT

Bewährt hat sich ein mehrstufiges Vorgehen mit klaren Übergaben.

1. Klärung des strategischen Rahmens
   Ableitung aus Unternehmensstrategie, Zielen und Rahmenbedingungen. Ohne diesen Schritt ist jede IT-Strategie isoliert.
2. Analysephase
   Erhebung der relevanten Treiber, qualitative Standortbestimmung, Analyse von Stärken, Schwächen, Chancen und Risiken (SWOT-Analyse).
3. Strategische Ausrichtung
   Definition von Mission und Vision der IT als Leitplanken für alle weiteren Entscheidungen.
4. Ableitung von Handlungsfeldern
   Festlegung weniger, klar abgegrenzter strategischer Schwerpunkte. Fokus statt Vollständigkeit.
5. Zieldefinition und Messbarkeit
   Übersetzung der Handlungsfelder in messbare Ziele, häufig über OKRs oder strategische KPIs.
6. Umsetzungsplanung
   Erarbeitung einer Roadmap inklusive zeitlicher Priorisierung und Abhängigkeiten.
7. Finanzielle Einordnung
   Abgleich von Ambition und finanziellen Ressourcen. Ohne Budget keine Strategie.

Typische Fehler im Strategieprozess

In der Praxis zeigen sich immer wieder dieselben Schwachstellen:

• Analyse ohne klare Schlussfolgerungen

• Zu viele Handlungsfelder ohne Priorität

• Strategieentwicklung ohne Beteiligung relevanter Stakeholder

• Kein formalisierter Übergang in Umsetzung und Steuerung

Ein häufiger Fehler ist, den Strategieprozess als einmaliges Projekt zu verstehen. Strategie ist zyklisch.

Wie oft sollte ein Strategieprozess durchgeführt werden?

Ein vollständiger Strategieprozess ist kein Jahresritual.

• Grundlegende Überarbeitung alle 3 bis 4 Jahre

• Jährliche Überprüfung und Anpassung

• Regelmäßige Fortschrittskontrolle über KPIs und Reviews

Der Prozess endet nicht mit der Freigabe der Strategie, sondern mit deren Umsetzung.

Fazit

Ein wirksamer Strategieprozess macht IT führbar. Er schafft Klarheit über Richtung, Prioritäten und Investitionen.

Ohne klaren Prozess bleibt IT reaktiv.
Mit klarem Prozess wird IT zum strategischen Partner.

Ein Strategiepapier ist kein formales Pflichtdokument. Richtig eingesetzt ist es das zentrale Führungsinstrument einer IT-Organisation. Falsch eingesetzt ist es ein PDF, das niemand liest.

Dieser Artikel erklärt, was ein gutes IT-Strategiepapier ausmacht, wie es aufgebaut sein sollte und warum viele Strategiepapiere in der Praxis wirkungslos bleiben.

Was ist ein Strategiepapier?

Ein Strategiepapier beschreibt die mittelfristige Ausrichtung einer Organisation oder Funktion. Im IT-Kontext beantwortet es strukturiert drei Fragen:

• Warum braucht es eine strategische Neuausrichtung der IT?

• Was sind die priorisierten strategischen Schwerpunkte?

• Wie werden diese Schwerpunkte umgesetzt und gesteuert?

Entscheidend ist nicht die Existenz des Dokuments, sondern seine Anschlussfähigkeit für Entscheidungen.

Wozu dient ein Strategiepapier in der IT?

Eine wirksame IT-Strategie erfüllt vier Funktionen:

• Orientierung für Geschäftsleitung und IT-Führung

• Priorisierung von Initiativen und Investitionen

• Entscheidungsgrundlage bei Zielkonflikten

• Gemeinsames Verständnis über Richtung und Fokus

Ohne das Dokument wird IT primär operativ gesteuert. Mit einem Strategiepapier wird IT führbar.

Typischer Aufbau einer IT-Strategie

Bewährt hat sich eine klare, stringente Struktur. Nicht umfangreich, sondern vollständig.

1. Ausgangslage und strategische Treiber
   Beschreibung der relevanten internen und externen Treiber. Geschäftsstrategie, Markt, Technologie, Regulierung.
2. Mission und Vision der IT
   Kurz, klar, anschlussfähig. Kein Marketingtext, sondern ein Führungsanker.
3. Qualitative Standortbestimmung
   SWOT oder vergleichbare Analyse zur Einordnung von Stärken, Schwächen, Chancen und Risiken.
4. Strategische Handlungsfelder
   Begrenzte Anzahl klar abgegrenzter Themenfelder. MECE-Prinzip, kein Sammelbecken.
5. Ziele und Messgrössen
   Ableitung messbarer Ziele, häufig über OKRs oder strategische KPIs.
6. Roadmap
   Zeitliche Einordnung der wesentlichen Initiativen, grob priorisiert.
7. Finanzierungsrahmen
   Grobschätzung der notwendigen Mittel und Abgleich mit verfügbaren Ressourcen.

Alles darüber hinaus ist Detailarbeit für die Umsetzung, nicht Teil des Kernpapiers.

Häufige Fehler bei Strategiepapieren

In der Praxis scheitern IT-Strategien selten an der Methode, häufiger aber an drei typischen Fehlern:

• Zu allgemein formuliert, ohne echte Prioritäten

• Keine Verbindung zwischen Strategie und Budget

• Keine klare Verantwortung für Umsetzung und Steuerung

Ein weiteres Problem ist die Vermischung von Strategie und Massnahmen. Ein Strategiepapier definiert den Rahmen, nicht jedes Projekt.

Wie umfangreich sollte ein Strategiepapier sein?

Weniger als viele erwarten.

• 20 bis 30 Seiten reichen in der Regel

• Entscheidend ist Klarheit, nicht Detailtiefe

• Jedes Kapitel muss entscheidungsrelevant sein

Wenn ein Strategiepapier nicht in einem Executive-Meeting diskutierbar ist, ist es zu komplex.

Fazit

Ein gutes Strategiepapier ist kein Selbstzweck. Es schafft Fokus, ermöglicht Entscheidungen und verbindet IT und Business auf strategischer Ebene.

Wer ein Strategiepapier schreibt, sollte sich eine einfache Frage stellen:
Hilft dieses Dokument, bessere Entscheidungen zu treffen?

Wenn die Antwort nein ist, gehört es überarbeitet.

„Wie viel Umsatz sichern Ihre Kernanwendungen heute und wie schnell sehen Sie das in Zahlen?“ Wenn die Antwort länger als ein paar Minuten dauert, ist das kein Reporting-Problem, sondern ein Governance-Thema. CIOs in der Schweiz, die ihre IT-Strategie klar auf Wertbeitrag ausrichten, verschieben die Diskussion weg von „Kosten“ hin zu „Business Impact“. Der Hebel dafür: ein schlankes, aber stringentes IT-Governance-Modell, das Entscheidungen, Budgets und Risiken konsequent an Business-Outcomes koppelt.

Der Drehpunkt ist ein klar definierter Wertbeitrag der IT-Abteilung. Starten Sie mit einer Value Map entlang Ihrer wichtigsten Geschäfts­fähigkeiten (z. B. Onboarding, Kreditprüfung, OP-Planung, Instandhaltung). Verknüpfen Sie jede IT-Investition mit einem konkret erwarteten Outcome: mehr Umsatz (z. B. +2 % Abschlussquote), niedrigere Kosten (-10 % Prozesskosten), geringeres Risiko (-30 % Ausfallzeit). Für CIOs heißt das: Priorisierung und Portfoliosteuerung über Outcomes. Für IT-Manager bedeutet es: Services, Roadmaps und SLAs so ausgestalten, dass genau diese Outcomes erreicht und gemessen werden.

Praktische Ansätze aus dem Value Management helfen, die Wirkung belastbar zu machen. Nutzen Sie „Benefits Owner“ im Fachbereich, definieren Sie Leading- und Lagging-KPIs und verankern Sie quartalsweise Value-Reviews im Steering. Hinterlegen Sie Business Cases nicht nur mit ROI, sondern zusätzlich mit NPV/Payback und mit Risikoindikatoren. Ein CIO einer Schweizer Bank hat sein Run-/Grow-/Transform-Verhältnis von 70/20/10 auf 60/25/15 verschoben, weil die Transform-Vorhaben klar nachweisbare Vorteile lieferten (z. B. 30 % kürzere Time-to-Yes in der Kreditstrecke). Die operative IT zog mit: Automatisierte Regressionstests und strengere Change-Kontrollen reduzierten Release-Risiken, ohne den Takt zu bremsen.

Kosten- und Werttransparenz schaffen Sie pragmatisch mit TBM-Prinzipien (Technology Business Management). „Light“ reicht oft zum Start. Bauen Sie einen Servicekatalog (z. B. „Arbeitsplatz Standard“, „Kernbank-Plattform“, „OP-Scheduling“) mit verursachungsgerechten Unit-Costs auf. Führen Sie Showback/Chargeback ein, aber koppeln Sie die Diskussion an Business-KPIs: „Kosten pro Kreditabschluss“, „Kosten pro OP-Fall“, „Kosten pro produzierter Einheit“. Ein Industrieunternehmen im Mittelland hat so Cloud-Kosten aus der Blackbox geholt, nicht durch pauschale Kürzungen, sondern durch Abschalten toter Workloads und Rightsizing.

Damit IT-Governance nicht lähmt, braucht es klare Verantwortungsdomänen („Towers“) für Strategie, Architektur, Betrieb, Risiko und Finanzen mit definierten Regelwerken, Kontrollen, Eskalationspfaden und Performance-Management. CIOs entscheiden über Prioritäten und Zielbilder (IT-Strategie, Investitionskorridore), die Tower übersetzen in Standards, KPIs und Entscheidungen im Tagesgeschäft. Ein Spital hat beispielsweise einen verbindlichen „Availability-Standard“ für SaaS-Partner (≥ 99,95 %) eingeführt und monatliche Verfügbarkeits-Reports als Kontrolle verankert. Abweichungen laufen über definierte Eskalationsgremien. Gleichzeitig sorgt ein Architektur-Board dafür, dass neue Lösungen strategiekonform sind. Ergebnis: weniger Überraschungen im Betrieb und schnellere Freigaben für digitale Patientenservices waren ein angenehmer Nebeneffekt.

Alles steht und fällt mit Verständlichkeit und Taktung. Governance-Artefakte müssen zugänglich, auffindbar und aktuell sein. KPIs gehören in ein gemeinsames Dashboard von IT-Management und Business. Und: Change-Management nicht vergessen. CIOs gewinnen Sponsoring, indem sie früh Business-Owner einbinden, Quick Wins liefern und Erfolge kommunizieren.

So-What: Die 3 wichtigsten ersten Schritte für eine bessere IT-Governance

1. Value Map & KPIs: Definieren Sie für die Top-5 Geschäftsprozesse je 1–2 Outcomes und 3–5 KPIs. Verankern Sie quartalsweise Value-Reviews im Steering.

2. TBM-Light einführen: Servicekatalog, Unit-Costs, Showback verknüpft mit Business-Kennzahlen (Kosten pro Fall/Abschluss/Einheit).

3. Decision & Control Cadence: Setzen Sie ein leichtgewichtiges Gremium-Set-up (Strategie-, Architektur-, Risiko-Board) mit klaren Eskalationspfaden und verbindlichen Standards auf, inklusive Verantwortlichen und Review-Zyklen.

Typische Fehler vermeiden: Projekte nach Technologie statt nach Business-Outcome priorisieren, KPIs ohne Datenbasis definieren, Governance-Dokumente „unsichtbar“ ablegen oder Kontrolle ohne Eskalationsweg einführen.

„Wenn Sie KI-Agenten nicht aktiv steuern, steuern sie bald Ihre IT.“ Provokant? Vielleicht. Aber genau das passiert, wenn autonome Software-Systeme ohne klare IT-Governance in Fachbereichen wuchern. Die gute Nachricht: Mit dem Model Context Protocol (MCP) entsteht erstmals ein belastbarer Standard, um Agenten sicher, kontrolliert und interoperabel in bestehende IT-Landschaften einzubetten.

Im Kern sind KI-Agenten softwaregestützte Assistenten, die Ziele verstehen, Entscheidungen treffen und Aufgaben (von der Ticket-Klassifikation bis zur SAP-Buchung) Ende-zu-Ende ausführen. MCP wirkt dabei wie ein „USB-C-Port“ für KI: Es schafft eine einheitliche, bidirektionale Verbindung zwischen Agenten und Datenquellen, Tools oder Workflows. Für CIOs bedeutet das: weniger proprietäre Integrationen, mehr Kontrolle über Berechtigungen und Audits. Es ist ein Governance-Hebel, nicht nur ein Technikdetail.

Warum das jetzt strategisch relevant ist

Es wird erwartet, dass ein signifikanter Anteil operativer Entscheidungen bis 2028 autonom durch agentische Systeme getroffen wird. Gleichzeitig wird ein wachsender Teil der Unternehmenssoftware Agentenfunktionen standardmäßig mitbringen. Für CIOs ist das Chance und Risiko zugleich: Produktivitätssprünge, ja, aber nur, wenn Governance, Security und Architektur mitwachsen.

Beispielhafte Anwendungsfälle in Schweizer Branchen

• Finanzbranche: Agenten orchestrieren Kreditantrags-Prüfungen, prüfen Dokumente, holen fehlende Nachweise ein und protokollieren Entscheidungen im Rahmen von Vier-Augen-Freigaben. Für Banken/Versicherer gilt zusätzlich: Outsourcing- und Kontrollpflichten nach FINMA-Rundschreiben 2018/3 müssen auch für AI-gestützte Services durchdekliniert sein (Inventory, Monitoring, Auditierbarkeit, Drittland-Transfers).
• Gesundheitswesen: Virtuelle Assistenten übernehmen Termin- und Fall-Koordination, generieren Entlassungsberichte oder priorisieren Rückfragen. Governance-Pflicht: strenge Rollen- und Zugriffsmodelle, revisionssichere Protokolle und klare Fehler-Eskalation. (MCP erleichtert die saubere Trennung von Datenzugriff und Tool-Ausführung.)
• Industrie: In der Instandhaltung planen Agenten Service-Aufträge, ordern Ersatzteile und synchronisieren ERP/CMMS. Der Business-Case entsteht, wenn Durchlaufzeiten sinken und First-Time-Fix-Rates steigen.

IT-Governance & Compliance als Leitplanken

• Datenschutz (revDSG): Seit 1. September 2023 gelten erweiterte Informations- und Auskunftspflichten, „Privacy by Design/Default“ und strengere Transparenz. Jede Agenten-Lösung braucht ein Verzeichnis der Verarbeitungstätigkeiten, DPIA-Kriterien und klare Löschkonzepte.
• EU AI Act (Schweizer Unternehmen mit EU-Bezug): Der Zeitplan ist verbindlich: Verbote & AI-Literacy seit Februar 2025, Governance-Regeln und Pflichten für bestimmte Modelle seit August 2025, volle Anwendbarkeit großer Teile bis August 2026 (mit Übergängen je nach Risikoklasse). Planen Sie Compliance-Roadmaps, auch wenn der Firmensitz in der Schweiz ist.
• Sicherheit & Kontrolle: MCP erleichtert „least privilege“ und Auditierbarkeit auf Schnittstellen-Ebene. Ergänzen Sie dies um ein zentrales Agent-Control-Plane (Identity, Policies, Observability) sonst drohen neue Silos und Schatten-Automationen.

Strategische Umsetzungsschritte für CIOs

1. Architekturentscheid: „Agenten-ready“ werden. Definieren Sie eine Referenzarchitektur mit MCP-fähigen Schnittstellen, zentralem Policy-Layer (RBAC/ABAC), Secret-Management, Event-Bus und Telemetrie. Priorisieren Sie Systeme mit hohem Automatisierungspotenzial (ITSM, ERP, DMS).

2. Use-Case-Portfolio & Business-Case. Starten Sie mit 3–5 klar abgegrenzten Prozessen (z. B. Incident-Triage, Rechnungseingang, Stammdaten-Änderung). Messen Sie Zeit-zu-Lösung, Fehlerquote und Touchless-Rate.

3. Governance operationalisieren. Verankern Sie Agenten als „kritische Applikationen“: Owner, Risiko-Register, Change-Kontrollen, Peer-Review von Prompts/Tools, Logging-Vorgaben.

4. Compliance & Recht. Klären Sie Rollen des Verantwortlichen/Auftragsbearbeiters, Datenflüsse, Speicherdauer und Betroffenenrechte nach revDSG; erstellen Sie DPIAs für sensible Use Cases und prüfen Sie AI-Act-Relevanz.

5. Change & Befähigung. Schulen Sie Fachbereiche in „Human-in-the-Loop“, Fehler-Eskalation und Haftungsgrenzen. Richten Sie ein „Agent Review Board“ (CIO-geführt) ein, das Use Cases, Risiken und ROI quartalsweise steuert.

Ihr So-What – 3 Fragen zur IT-Governance-Optimierung

1. Haben wir eine Möglichkeit Agenten mit Owner, Berechtigungen, Logs und SLAs zentral zu dokumentieren?

2. Sind revDSG-Pflichten, EU-AI-Act-Roadmap und FINMA-Anforderungen je Use Case bekannt (und nachweisbar umgesetzt)?

3. Messen wir Nutzen (Touchless-Rate, Durchlaufzeit, Fehlerrate) und entfernen wir Agenten, die keinen Wert liefern?

Was haben Banken, Krankenkassen und Online-Shops gemeinsam? Alle verlangen einen Identitätsnachweis bisher oft umständlich, langsam und fehleranfällig. Mit der neuen Schweizer e-ID könnte sich das grundlegend ändern. Doch sie ist nicht nur ein technisches Tool, sondern ein strategischer Wendepunkt für die Digitalisierung in der Schweiz. Wer jetzt in der IT-Strategie nur auf Cloud und KI setzt, verpasst einen zentralen Gamechanger. Die vom Schweizer Stimmvolk knapp angenommene Gesetzgebung bringt eine staatlich kontrollierte, freiwillige und datenschutzkonforme digitale Identität. Für CIOs und IT-Manager ergibt sich daraus eine ganze Reihe strategischer Chancen und Herausforderungen.

Chancen und Herausforderungen für Schweizer CIOs und IT-Manager

1. Prozessoptimierung mit Wirkung: Mit der e-ID können Unternehmen KYC-Prozesse, Altersnachweise und Vertragsabschlüsse volldigital abbilden. Das spart Zeit, senkt Kosten und erhöht die Conversion. Beispiel aus der Praxis: Eine Krankenkasse kann den gesamten Beitrittsprozess online abwickeln, inklusive Identitätsprüfung und Altersverifikation. Medienbruchfrei und binnen Minuten.
2. IT-Architektur fit für digitale Identitäten: Die Integration der e-ID erfordert technologische Anschlussfähigkeit. CIOs sollten ihre IAM-Systeme und Online-Formulare frühzeitig auf Kompatibilität prüfen. Der Bund stellt zwar APIs bereit, doch Architekturentscheidungen (z. B. für dezentrale Speicherung oder Device-Bindung) müssen intern abgestimmt werden. Ohne saubere Roadmap drohen Reibungsverluste.
3. Governance neu denken: Die e-ID erzwingt klare Regeln zur Datennutzung: Wer darf welche Daten wofür abfragen? Welche Nachweise sind gesetzlich erlaubt? Die IT-Governance muss diese Fragen sauber regeln, einschliesslich Auditierbarkeit und Protokollierung. Es gilt: Wer die e-ID nutzt, muss sie auch gesetzeskonform einsetzen mit dokumentierten Prozessen, Schulungen und technischen Kontrollen.
4. Digitale Souveränität und Unabhängigkeit: Für strategisch denkende CIOs ist die e-ID ein Weg, sich von internationalen Login-Providern zu lösen. Eine Schweizer Infrastruktur, betrieben vom Bund, schafft Vertrauen und erfüllt regulatorische Anforderungen z. B. im Gesundheits- oder Finanzsektor. Die e-ID wird damit zum Baustein digitaler Resilienz.
5. Innovationspotenzial nutzen: Die e-ID ist mehr als Login. Sie kann Basis für neue Services sein: digitale Mitgliedsbestätigungen, Studienausweise, Berufszertifikate. Wer hier früh Pilotprojekte startet, positioniert sich als innovativer Player im entstehenden Ökosystem. Auch die Rolle als „Issuer“ (Aussteller digitaler Nachweise) ist für Unternehmen strategisch interessant, sofern die Voraussetzungen passen.

So what? Drei Fragen zur strategischen Vorbereitung

1. Haben wir eine klare IT-Roadmap zur Integration, technisch und organisatorisch?
2. Welche Daten und Prozesse dürfen/müssen wir absichern und wo gilt das Diskriminierungsverbot?
3. Wie stellen wir Governance, Compliance und Schulung sicher?

„Mehr KI“ oder „alles in die Cloud“ sind keine Strategie. 2026 werden CIOs erfolgreich sein, die klare Prioritäten setzen: Sicherheit wird zum Leitprinzip, Künstliche Intelligenz (KI) zum Business-Treiber, und Cloud zur souverän gesteuerten Infrastruktur. Die Umsetzung liegt beim IT-Management: mit eindeutigen Verantwortlichkeiten, KPIs und einem Portfolio-Ansatz, der Ressourcen gezielt auf Wertbeitrag lenkt.

Security-Strategie: Vom Bremsklotz zum Beschleuniger

CIOs müssen Security als Designprinzip und nicht als Projekt denken. In der Finanzbranche gelingt dies, wenn Zero Trust, Identitätsmanagement und durchgängige Protokollierung standardisiert sind. Ein Schweizer Zahlungsdienstleister verkürzte dadurch seine Release-Zyklen, da Sicherheitsanforderungen nicht mehr diskutiert, sondern automatisiert umgesetzt wurden. CIOs sollten Security-Kontrollen wie MFA-Quoten, Patch-SLAs oder Security Scores fest in ihre Governance verankern. Mit klaren Eskalationspfaden in die „Towers“ bleibt Security steuerbar – und wird zum Produktivitätsbooster.

KI-Strategie: Fokus auf Wirkung statt Hype

KI ohne konkreten Business-Nutzen ist Ressourcenverschwendung. Im Gesundheitswesen zeigt sich der Mehrwert bei der klinischen Dokumentation mit GenAI, die deutlich Zeit pro Fall spart. In der Industrie bedeutet KI: prädiktive Instandhaltung mit Edge-Integration. CIOs brauchen eine zweigleisige Strategie: produktionsnahe Anwendungen mit ROI < 12 Monaten und zentrale Plattformen mit klarer KI-Governance. Ein dediziertes KI-Board, ein freigegebener Use-Case-Katalog und definierte Modell-Standards sind Pflicht.

Cloud-Strategie: FinOps und Souveränität statt Kostenexplosion

„Lift & Shift“ ist 2026 keine Option mehr. Erfolgreiche CIOs kombinieren Cloud-Migration mit Portfolio-Bereinigung und FinOps-Mechanismen. Ein Industrieunternehmen senkte seine Cloud-Kosten zweistellig durch zentrale Steuerung reservierter Kapazitäten und Architektur-Guardrails gegen teure Datenbewegungen. Parallel steigt die Bedeutung der Souveränität: Datenklassifikation, Exit-Strategien – all das muss vertraglich und technisch abgesichert sein.

Operating Model: IT-Management mit System

Strategie ohne Umsetzung bleibt Theorie. 2026 bewährt sich ein Tower-/Control-Tower-Modell: Architektur, Betrieb, Risiko, Finanzen und Strategie-Bereiche definieren Regeln, KPIs und Eskalationen. Notwendig sind Skills in drei Clustern: Cloud/FinOps, Data/AI Engineering, Cyber Risk & Identity. Upskilling muss Teil jeder Roadmap sein.

So setzen Sie jetzt die richtigen IT-Prioritäten

Starten Sie mit Entscheidungen, nicht mit Tools. Ihre IT-Strategie 2026 sollte folgende Punkte umfassen: Treiber, Mission, Vision, Handlungsfelder, OKRs, Roadmap und Finanzierungsrahmen. Alles andere sind Anhänge.

Wem gehört die Entscheidung, ob ein KI-System diskriminiert? Und wer trägt die Verantwortung, wenn es das tut? Solche Fragen klingen zunächst philosophisch, sind aber längst operative Realität für CIOs und IT-Manager. Mit dem EU AI Act steigt der regulatorische Druck rapide, auch für Schweizer Unternehmen. Die ethische, rechtliche und technische Steuerung von Künstlicher Intelligenz ist nicht mehr Kür, sondern Pflicht. Doch wie sieht wirksame KI-Governance in der Schweizer Unternehmenspraxis konkret aus?

Warum KI-Governance jetzt auf die CIO-Agenda gehört

Während regulatorische Anforderungen wie der EU AI Act, ISO/IEC 42001 oder der kommende Schweizer Datenschutzrahmen zunehmen, steigen auch die Erwartungen der Kunden und der Öffentlichkeit an verantwortungsvolle KI. CIOs und IT-Manager müssen nicht nur rechtliche Compliance sicherstellen, sondern auch ethische Leitplanken setzen. Ohne klare Governance-Strukturen entsteht ein gefährlicher Blindflug mit Reputationsrisiken, diskriminierenden Modellen und ungeklärten Haftungsfragen.

Der Weg zur implementierten KI-Governance: 5 Schritte, die funktionieren

Basierend auf Erfahrungen mit Schweizer Unternehmen aus Industrie, Versicherungen und Gesundheitswesen empfehlen sich folgende Schritte:

• Schritt 1: Governance-Ziele definieren
  Welche Risiken will das Unternehmen mit KI adressieren: Fairness, Datenschutz, Sicherheit? Diese Ziele müssen auf Unternehmensstrategie und IT-Strategie abgestimmt sein.

• Schritt 2: Verantwortlichkeiten festlegen
  Analog zur Domänen-/Tower-Struktur in der klassischen IT-Governance sollten KI-Governance-Rollen etabliert werden (z. B. „KI-Tower Lead“). Weitere Rollen wie „KI Owner“ schaffen ebenfalls klare Verantwortungen.

• Schritt 3: Regelwerke und Kontrollen definieren
  Beispiel: „Alle KI-Modelle mit Einfluss auf Kreditentscheide müssen durch eine Bias-Analyse mit dokumentierter Freigabe durch das KI Board gehen.“ Technische und manuelle Kontrollen sichern die Einhaltung.

• Schritt 4: Eskalationspfade und Monitoring etablieren
  Abweichungen (z. B. fehlerhafte Entscheidungen oder Bedenken) müssen über definierte Gremien behandelt werden. Beispielsweise ein monatliches KI-Board.

• Schritt 5: Integration in bestehende IT-Governance
  KI-Governance darf kein paralleles System sein. Erfolgreiche Unternehmen integrieren Governance von KI in ihre bestehende IT-Management- und Risikostruktur.

Typische Stolpersteine und wie Schweizer Unternehmen sie lösen

• Fehlende Klarheit in der Verantwortung: In einem Finanzdienstleister führte die unklare Rollenverteilung dazu, dass niemand ein fehlerhaftes Modell stoppen konnte. Lösung: Tower-Struktur mit klaren Eskalationswegen (z. B. KI-Tower → CIO).

• Technik ohne Ethik: Ein Industrieunternehmen implementierte KI zur Personalrekrutierung ohne Bias-Analyse. Erst nach einem PR-Vorfall wurde ein KI-Review-Prozess eingeführt.

• Überschätzte Selbstregulierung: Einige Unternehmen verlassen sich auf ihre Data Scientists. Erfolgreiche Organisationen hingegen koppeln jede Modellfreigabe an ein unabhängiges Kontrollgremium.

Fazit & Handlungsempfehlung

3 Fragen zur Optimierung Ihrer KI-Governance:

1. Gibt es in Ihrer Organisation eine definierte Stelle, die Risiken von KI bewertet und behandelt?

2. Sind Ihre KI-Kontrollen in die bestehende IT-Governance integriert oder leben sie in Silos?

3. Wissen Sie, welches Ihrer Systeme aktuell KI nutzt und ob es DSG-konform ist?

Die 3 wichtigsten nächsten Schritte:

1. Aufbau eines interdisziplinären KI-Governance-Teams (IT, Recht, Business, Ethik)

2. Definition von Regelwerken und Kontrollprozessen (integriert in bestehende IT-Governance)

3. Einführung eines laufenden Performance- und Risiko-Monitorings für KI-Anwendungen

„Unsere Kernsysteme laufen seit 20 Jahren stabil, warum sollten wir etwas an unseren Legacy-Systemen ändern?“

Diese Haltung höre ich als IT-Berater noch immer oft. Doch die Realität ist: Legacy-Systeme sind wie alte Maschinen in der Produktion. Sie funktionieren, aber sie bremsen Innovation, verursachen hohe Kosten und bergen erhebliche Risiken für Sicherheit und Compliance. Für CIOs und IT-Manager ist die Frage nicht mehr, ob, sondern wie man diese Systeme modernisiert, ohne den laufenden Betrieb zu gefährden.

Risiken für die Geschäftskontinuität durch Legacy-Systeme

Legacy-Systeme sind deshalb so kritisch, weil sie meist geschäftskritische Prozesse abbilden, aber kaum noch wartbar sind. Entwicklerkenntnisse fehlen, Schnittstellen sind proprietär, und Sicherheits-Updates gibt es oft nicht mehr. In der Schweiz sah sich etwa ein führendes Industrieunternehmen gezwungen, eine millionenschwere Notmigration durchzuführen, weil ein alter Unix-Server nach einem Hardware-Ausfall nicht mehr gestartet werden konnte. Die Folgen: Produktionsstillstand, Reputationsschaden und ein hoher ungeplanter Investitionsbedarf. CIOs, die zu lange zögern, gehen damit ein Risiko ein, das weit über IT hinausgeht. Es betrifft unmittelbar die Geschäftskontinuität.

Schrittweise Modernisierung von Legacy-Systemen

Der Weg in eine moderne, flexible Enterprise-Architektur muss jedoch nicht im Big Bang erfolgen. Erfolgreiche Unternehmen setzen zunehmend auf schrittweise Modernisierung. Drei Ansätze haben sich bewährt:

1. API-Strategien für mehr Anschlussfähigkeit
   Anstatt Legacy-Systeme sofort abzulösen, werden sie mit modernen API-Schichten „gekapselt“. So lassen sich bestehende Daten und Funktionen in neue Anwendungen einbinden. Ein Schweizer Versicherer hat sein altes Policen-System nicht abgeschaltet, sondern über APIs geöffnet und konnte so schnell digitale Services für Kunden entwickeln, ohne das Risiko einer Komplettmigration.

2. Modulare Architekturen als Zukunftsbasis
   CIOs, die erfolgreich modernisieren, denken nicht in monolithischen Ablösungen, sondern in Services. Microservices-Architekturen oder modulare Plattformen erlauben es, alte Komponenten Schritt für Schritt auszutauschen. Ein Beispiel aus der Finanzbranche: Eine Bank löste ihre alte Kreditplattform modular auf, indem sie zuerst das Kundendatenmanagement modernisierte und später die Kernprozesse schrittweise umstellte. So blieb das Geschäft stabil, während die IT flexibler und günstiger wurde.

3. Hybride Szenarien statt radikaler Schnitte
   Der Mittelweg ist oft der realistischste: Legacy bleibt in Kernbereichen bestehen, während neue Cloud-Lösungen parallel integriert werden. Ein Gesundheitsdienstleister in Zürich etwa nutzt weiterhin sein altes Patientenverwaltungssystem, hat aber für die Arztkommunikation eine moderne Cloud-Lösung integriert. Das Resultat: höhere Effizienz ohne sofortige Großinvestitionen.

Die entscheidende Rolle der CIOs liegt darin, das Spannungsfeld zwischen Stabilität und Innovation zu managen. IT-Manager sind für die operative Umsetzung verantwortlich, also für Schnittstellen, Testprozesse und sichere Migration. CIOs dagegen müssen die IT-Strategie mit der Geschäftsstrategie verzahnen und sicherstellen, dass Investitionen in Modernisierung nicht nur technische Probleme lösen, sondern auch neue Geschäftschancen eröffnen.

Wer handelt, kann den Spagat meistern: bestehende Systeme stabil betreiben, gleichzeitig neue digitale Services ermöglichen und die IT-Organisation nachhaltig aufstellen. Wer wartet, riskiert hingegen, dass die IT zum Flaschenhals der Unternehmensstrategie wird.

Fragen, die sich CIOs und IT-Manager jetzt stellen sollten

1. Welche unserer Legacy-Systeme sind geschäftskritisch und wo liegen die größten Risiken?

2. Können wir diese Systeme über APIs oder modulare Architekturen schrittweise öffnen, statt alles auf einmal zu migrieren?

3. Wie stellen wir sicher, dass jede Modernisierungsmaßnahme sowohl die IT-Strategie als auch die Geschäftsstrategie unterstützt?