Eine Untersuchung, die im 1. Quartal dieses Jahres von Comma Soft durchgeführt wurde, ergab folgendes Ergebnis: Gerade einmal die Hälfte der im DAX notierten Unternehmen weisen auf ihrer Internet-Seite das Thema IT einem Vorstandsmitglied mit einem anderen Hauptverantwortungsbereich zu, im MDAX sind dies noch weniger: 20 von 50 Firmen. Kaum Beachtung findet das Thema Sicherheit. Vier von 30 DAX-Konzernen benennen öffentlich einen Vorstand, der auch für das Thema Sicherheit verantwortlich ist, im MDAX machen dies gerade einmal sechs Prozent. Das sind drei von 50 Unternehmen.
Während es Disziplinen wie Einkauf oder Compliance in den vergangenen Jahren geschafft haben, ihren eigenen Posten im Vorstand zu erstreiten und damit ihre große Relevanz für den Unternehmenserfolg zu unterstreichen, ist dies CIOs genauso wie Chief Security Officers nicht gelungen. Von Chief Digital Officers gar nicht zu sprechen. Nur wenige Unternehmen halten bereits solch zukunftsweisende Funktionen vor.
IT und Cyber-Sicherheit in der zweiten Ebene
Allen ist eins gemein: Ihre oberste fachliche Führungskraft ist im besten Fall auf der zweiten Führungsebene angesiedelt, mit direktem Berichtsweg an ein Vorstandsmitglied. Dieses kann in Vorstandssitzungen dann entsprechend aus dem Bereich berichten. Der eigentlich relevante Manager sitzt jedoch bei den wegweisenden Vorstands- und Geschäftsführungsentscheidungen höchstens am Zuschauertisch. Wenn nicht gar vor der ihm verschlossenen Tür.
Interessant sind vor allem die Berichtswege von CIOs: Im Vorstand verantwortlich für das Thema IT ist in den meisten Fällen der Chief Financial Officer (CFO, in 21 der betrachteten Fälle), gefolgt vom Personalchef Chief Human Resources Officer (CHRO, 4x) und dem das Tagesgeschäft steuernden Chief Operating Officer (COO, 3x). In drei Fällen übernimmt der CEO selbst Verantwortung dafür in seinem Unternehmen. Das Thema Sicherheit ist je zweimal dem CFO, CHRO und COO zugeordnet, einmal einem Vorstandsmitglied ohne spezifische Bezeichnung. Datenschutz, ein wichtiger Sicherheitsaspekt, haben drei DAX-Unternehmen zusätzlich als Vorstandsausgabe herausgehoben, je zweimal beim obersten Juristen des Unternehmens und einmal beim CFO.
Übersetzt bedeutet das: IT-, Digitialisierungs- und Sicherheitsprofis berichten in der überwiegenden Zahl der Fälle an den Finanzchef des Unternehmens. In den meisten Fällen also an einen Manager, der sich häufig einen großen Namen bei Restrukturierungen oder langfristiger strategischer Unternehmensentwicklung im M&A-Bereich macht. Aber der selten ins operative Tagesgeschäft, Produktentwicklung, Innovationssteuerung oder gar Konzernsicherheit eingebunden ist. Bereiche, die ganz besonders von der Digitalisierung betroffen sind.
Warum ist das so? Im Gegensatz zu US-amerikanischen Unternehmen, bei denen zumindest der CIO sehr häufig im obersten Führungsgremium sitzt, haben es die IT-Verantwortlichen in Deutschland in den letzten zehn Jahren vielfach nicht geschafft, aus ihrer Schublade herauszukommen. "Die IT ist dafür da, dass morgens mein Rechner angeht und meine Emails verschickt werden." Diese allzu plakative Aussage findet sich auf deutschen Firmenfluren noch immer erschreckend häufig.
Und es gibt CIOs, die sich mit dieser Rolle auch abgefunden haben. Die den Servicegrad erhöht, ihre Mitarbeiter auf Dienstleistermentalität getrimmt haben. Was zweifelsohne richtig ist. Aber die vergessen haben, die echte Relevanz ihrer Disziplin für das Unternehmen herauszustellen.
Einen besseren Moment als jetzt wird es für Deutschlands CIOs so schnell nicht wieder geben: Um klar zu machen, dass sie nicht nur für das Funktionieren des Notebooks verantwortlich sind. Sondern dass sie und ihre Mitarbeiter ein maßgeblicher wenn nicht gar der entscheidende Faktor für die Zukunftsfähigkeit ihres Unternehmens sind. Darum sollten sie jetzt den Anspruch anmelden, den sie bisher zaghaft immer wieder selbst verworfen haben: Ein Platz nicht am Rande, sondern genau in der Mitte des Top-Managements. Ein Platz am Entscheidertisch.
Über die Untersuchung: Untersucht wurden die Vorstellung der Vorstände aller DAX- und MDAX-Unternehmen auf den jeweiligen Internet-Seiten der Firmen im Februar 2015. Es wurde geprüft, wie sich die jeweiligen Vorstände laut dieser Information zusammensetzen und welche Zuständigkeiten öffentlich einsichtig zugeordnet worden sind. Es ist nicht auszuschließen, dass bei den Unternehmen, bei denen keine Zuordnung feststellbar war, grundsätzlich eine Verantwortung im Vorstandsressort angesiedelt ist. Die Autoren haben den Schluss gezogen, dass in diesen Fällen die Relevanz für eine Information der Öffentlichkeit nicht gegeben zu sein scheint und damit die Gesamtrelevanz von IT und Sicherheit als Vorstandsthema als fraglich zu definieren ist.