Anfang März 2025 hat Pascal Keller-Bossart die Führung der SITS Group übernommen. Im Interview spricht er über seine neue Aufgabe und erklärt, welche Rolle IT-Security in seiner bisherigen Laufbahn gespielt hat – und warum das Thema für ihn nicht nur Chefsache ist.
Vergangenen März haben Sie die Führung der SITS Group übernommen. Was war das Erste, das Sie vom Chefsessel aus angepackt haben?
Pascal Keller-Bossart: Es war mir wichtig, die Stimme der Kunden stärker in unsere internen Diskussionen einzubringen. Deshalb begannen wir direkt damit, die Kundensicht in allen Führungsmeetings stärker einzubauen. Auch wenn wir uns natürlich intensiv mit internen Transformationsthemen beschäftigen, ist es entscheidend, stets die Perspektive der Kunden mitzudenken.
Was heisst das konkret?
Das bedeutet, dass wir Feedback, Ergebnisse aus Kundenmeetings, hilfreiche Ideen, aber auch Kritik und Verbesserungsvorschläge laufend und systematisch sammeln, sodass wir diese Inputs in unsere Arbeit einfliessen lassen können. Alle im Team müssen von ihren Kundenmeetings und den Rückmeldungen, die sie erhalten, berichten. Ferner ist es mir ebenfalls ein Anliegen, dass wir nicht nur die Mitarbeitenden in üblichen Rollen zu den Kunden schicken – also die Mitarbeitenden in den Bereichen Sales und Delivery. Auch das Management muss diese Kontakte pflegen und Präsenz zeigen.
Sie übernahmen die Führung von Maximilian Coqui. Was war der Hintergrund für den Führungswechsel?
Maximilian Coqui kommt von unserem Investor Triton Partners. Nachdem er in einer Übergangsphase die SITS Group als CEO geleitet hat, fokussiert er sich nun wieder auf seine ursprüngliche Rolle als Vertreter von Triton. Diese Phase war sehr wertvoll für beide Unternehmen. Sie erlaubte unserem Investor, noch tiefer in das Unternehmen hineinzusehen und sich so noch besser mit den Gegebenheiten der SITS Group vertraut zu machen. So können wir nun optimal zusammenarbeiten. Jetzt operieren wir wieder mit einer Dreierkonstellation, die aus mir als CEO, Coqui als Vertreter des Investors und einem von Triton unabhängigen VRP besteht. Wir sind – neben dem Board of Directors – das laufende strategische Abstimmungsgremium.
Gibt es klare Vorgaben vom Investor, die über Coqui zu Ihnen kommen, oder sind Sie relativ frei in der Führung der Gruppe?
Die Investoren wollen letztlich, dass wir so erfolgreich wie möglich geschäften. Genau das will ich als CEO ja auch. Dementsprechend geben sie uns die Freiheit, unser Geschäft selbst zu gestalten. Das sieht man auch an meiner Ernennung zum CEO: Ich bin ja schliesslich zur SITS gekommen, um meine Erfahrungen im Bereich Enterprise-IT-Services hier einzubringen. Die Investoren beteiligen sich vor allem strategisch an der Diskussion und hinterfragen unsere Pläne auf eine sinnvolle und konstruktive Art. Also, ob die Massnahmen, die wir ergreifen, auch wirklich auf die Ziele einzahlen, die uns noch effizienter oder noch attraktiver für unsere Kunden machen. Dieser Austausch findet derzeit auf dem genau richtigen Level statt. Umgekehrt bin ich sehr froh, dass die Investoren uns den Rücken an der Finanzierungsfront freihalten – ein Bereich, den sie natürlich sehr gut kennen. So ergänzen sich diese beiden Seiten – SITS und unsere Investoren – sehr gut.
Bei Inventx waren Sie zuvor vor allem in der Finanz- und Versicherungsbranche tätig. Davor haben Sie bei Google Themen wie G Suite und Cloud verantwortet. Nun wechselten Sie zu einem IT-Security-Dienstleister. Wie gross war dieser Schritt für Sie?
Das Wichtigste ist über die vergangenen Jahre wie ein Leitfaden immer gleich geblieben: meine Leidenschaft für IT und Tech. Unverändert ist auch meine Freude daran, Technologie so einzusetzen, dass die Kunden und deren Business davon profitieren.
- Pascal Keller-Bossart, CEO SITS Group
Wie bringen Sie diese Leidenschaft jetzt bei der SITS ein?
Auch bei der SITS stehen diese Leidenschaft und diese Freude wieder im Zentrum. Hier setzen wir nun Technologie ein, um unsere Kunden abzusichern und zu schützen – wovon ihre Geschäftsprozesse natürlich sehr stark profitieren.
Bei Inventx haben Sie unter anderem eine Geschäftseinheit für Cybersecurity aufgebaut. Inwiefern hilft Ihnen diese Erfahrung nun beim Führen eines IT-Security-Dienstleisters?
Ich hatte natürlich schon bei Google Berührungspunkte mit IT-Security. Wenn man etwa cloudbasierte Collaboration- und Productivity-Lösungen anbietet, kommt es immer zu Diskussionen rund um Datenschutz und technische Sicherheit. So lernte ich bereits früh sehr viel über die Bedürfnisse und Entscheidungsprozesse von Enterprise-Kunden in diesen Bereichen. Entscheidend sind auch hier wieder die Bedürfnisse der Kunden. Was ich festgestellt habe, ist, dass Transparenz und Nähe gerade im Bereich Security sehr bedeutend sind. Ein Kunde will ja nicht einfach seine Sicherheit auslagern und ist dann froh, wenn er nie mehr etwas von seinem Dienstleister hört. Stattdessen will er sich natürlich rechtfertigen und sich transparent darüber informieren können, was der Dienstleister gemacht und was dies genützt hat. Ich konnte also sehr viel von meinen früheren Karrierestationen mitnehmen, das mir nun weiterhilft.
Hat Sie damals schon die Lust gepackt, sich noch tiefer in die IT-Security zu stürzen?
Ja, absolut. Und zwar in zweifacher Hinsicht. Einerseits habe ich einen Hintergrund im Engineering. Und durch diese Brille gesehen ist das Feld sehr spannend, weil es sich rasant weiterentwickelt. Auch die Bedrohungsszenarien scheinen sich in einem konstanten Wandel zu befinden. Andererseits ist nicht nur die Technologie spannend, sondern auch der Markt. Das Geschäft wächst stark, unter anderem weil die internationale Lage unsicherer geworden ist und die Bedrohungsszenarien zunehmen. Das kurbelt die Nachfrage nach Security-Lösungen an. Security ist derzeit Top of Mind bei den IT-Verantwortlichen, aber auch bei den CEOs. Aktuelle Umfragen zeigen, dass Cyber bereits zu den Top 3 der Geschäftsrisiken gezählt wird. Für uns ist dies ein klares Signal, dass wir im richtigen Bereich unterwegs sind: nämlich dort, wo Kunden einen riesigen Bedarf haben und wo wir unsere technische Expertise einbringen können.
In den vergangenen Jahren gab es regelmässig Meldungen zu neuen Übernahmen durch die SITS Group. In letzter Zeit ist es aber diesbezüglich still geworden. Ist die anorganische Wachstumsphase abgeschlossen?
Die Beobachtung bezüglich der vergangenen Jahre ist richtig. Unser aktueller Fokus liegt darauf, die Teile unseres Unternehmens international stärker zu integrieren – im Sinne von "One SITS".
Können Sie noch mehr zu dieser Strategie sagen?
Seit 2017 sind wir stark gewachsen. Über die Jahre kamen insgesamt 18 Unternehmen zusammen und formten die heutige SITS Group. Es ist klar, dass das eine Reise war, bis diese Einzelteile zusammenfanden – sowohl organisatorisch als auch kulturell. Dieser Prozess erfolgte über mehrere Stufen und heute sind wir wirklich mehr als die Summe dieser Einzelteile. In der Schweiz erfolgten die Fusionen schon früher. Und seit vergangenem Jahr vereinen wir auch alle Unternehmen und Legal Entities in Deutschland zu einer Organisation. Mit den Akquisitionen sind für die Gruppe eine Vielzahl neuer Fachbereiche hinzugekommen. So haben wir nun eine sehr hohe Abdeckung im Cyberspektrum. Wenn man sich das NIST-Framework anschaut, gibt es kaum einen Bereich, den wir nicht abdecken können. Das bedeutet natürlich auch, dass aktuell kein dringender Bedarf besteht, zusätzliche Puzzleteile durch weitere Übernahmen hinzuzufügen.
Welche Schritte haben Sie bereits unternommen, um dieses strategische Ziel zu erreichen?
Wir haben bereits wichtige Schritte in diese Richtung unternommen. So haben wir uns etwa noch stärker internationalisiert. Wir haben beispielsweise eine länderübergreifende Security-Consulting- und Advisory-Organisation geschaffen. Früher war dies in den einzelnen Ländergesellschaften organisiert. Ferner führten wir die Cyber Defense Teams von Deutschland und Dänemark zusammen; auch die IAM-Teams der Niederlande und Deutschland sind unterdessen vereint.
- Pascal Keller-Bossart, CEO SITS Group
Gibt es auch in der Schweiz solche Spezialitäten?
Auch in der Schweiz sind wir stark im Security-Consulting und in Secure-IT-Services. Eine besondere Stärke ist hierzulande zudem der Bereich Cryptographic Solutions mit PKI, Zertifikatsmanagement, Verschlüsselungs- und Signaturlösungen. Vieles davon wurde lokal in Jona entwickelt und wird nach wie vor hier gepflegt – wie etwa unsere Keyon-Produkte. Mit diesen Lösungen haben wir bereits auch in Deutschland und weiteren Ländern viel Erfolg. Aber ich bin davon überzeugt, dass diese Produkte international sogar noch mehr Potenzial haben.
Was sind die nächsten Schritte in dieser One-SITS-Strategie?
Die Stärkung der Practices. Also, dass wir unsere teilweise verteilte Expertise über alle Länder hinweg bündeln. So wollen wir all unsere Kompetenzen in allen Regionen, in denen wir aktiv sind, ausspielen können. Diese Kompetenzen von den Ländergesellschaften zu entkoppeln, damit wir alle Märkte noch besser erreichen können, ist ein wichtiger transformativer Schritt. Ausserdem will ich das Unternehmenswachstum durch eine sehr hohe Kundenorientierung antreiben. Hier können wir uns von unseren Marktbegleitern abheben.
Wo würden Sie die SITS Group im Vergleich zur direkten Konkurrenz verorten?
Ich würde sagen, dass wir mit unseren 700 Mitarbeitenden in fünf Ländern zu den grössten Playern zählen – jedenfalls unter den wirklich auf Cybersecurity-Services fokussierten und in Europa verwurzelten Anbietern. Das hilft uns sehr, wenn etwa die digitale Souveränität zum Thema bei Kundengesprächen wird. So können wir uns als flexibler, lokaler Provider von den ganz grossen multinationalen Systemintegratoren und Beratern differenzieren. Diese sind zudem viel breiter aufgestellt und weniger auf Security fokussiert. Aber trotz unserer Grösse operieren wir nach wie vor wie ein KMU. Wir sind weiterhin in der Lage, auf Augenhöhe mit unseren Kunden zu interagieren und ihnen etwa individuelle Lösungen zu kreieren. Der Kunde muss sich nicht unserer Lösung anpassen, wir passen die Lösung an unsere Kunden an.
Kommt das Interesse an digitaler Souveränität wirklich vom Markt oder wird es primär von den Anbietern gepusht?
Es gibt ein ganz klares Bedürfnis im Markt. Viele Firmen schauen mit Besorgnis zu, wie sich die strategische Lage derzeit entwickelt. Auch transatlantisch sind die Verhältnisse nicht mehr so einfach und eindeutig, wie sie früher waren. Von meiner Zeit bei Google weiss ich sehr gut, dass man schon immer ein kritisches Auge auf Cloud-Dienstleistungen von US-amerikanischen Anbietern hatte. Früher war aber noch ein gewisses Grundvertrauen vorhanden, während heutzutage viel mehr – ob berechtigt oder unberechtigt – hinterfragt wird. Die so entstandenen Unsicherheiten stellen Firmen vor ein Dilemma, denn sie wollen natürlich nicht auf die Vorteile dieser Technologie verzichten. Stand heute gibt es, was Performance, Features und Innovationsgeschwindigkeit betrifft, wenig echte Alternativen zu den grossen etablierten Cloud-Providern. Deshalb machen alle Firmen nun ihre eigenen Abwägungen, wie sie die Vorteile der Cloud weiterhin nutzen können. Ich glaube nicht, dass Unternehmen von heute auf morgen plötzlich keine US-amerikanischen Cloud-Lösungen mehr nutzen werden. Stattdessen werden sie die richtige Balance suchen, mit der sich diese Lösungen weiterverwenden lassen.
Welche Möglichkeiten gibt es hier?
Unternehmen könnten etwa mit verstärkter Governance regeln, welche Daten wohin gehen, und den Datenverkehr zudem technisch monitoren und prüfen. Natürlich müssen auch nicht alle Daten in die Cloud – indem man sensible Daten lokal hält, kann man das Risiko durch die Cloud reduzieren. Hier können wir mit unserer eigenen sicheren Infrastruktur nach Bedarf individuell unterstützen. Ferner können Unternehmen Daten zwar auf Cloud-Diensten verarbeiten, aber einen eigenen Verschlüsselungs-Key verwenden, den sie selbst kontrollieren. Auch hier stehen wir beratend und mit Lösungen zur Seite.
Wie relevant ist die Schweiz im internationalen Gesamtkonstrukt der SITS Group?
Die Schweiz ist nach wie vor sehr relevant – nicht nur für uns, sondern auch für andere internationale IT-Dienstleister. Im globalen Vergleich ist die Schweiz ein Top-Markt. Wir haben eine sehr starke Wirtschaft und eine sehr hohe Präsenz von internationalen Grossunternehmen, insbesondere im Finanzsektor und im Pharmabereich. Das macht die Schweiz zu einem spannenden Markt. Für die SITS Group ist die Schweiz ein Kernmarkt. Hier liegen unsere Wurzeln als Gruppe. Auch beim Umsatz hat das hiesige Geschäft erhebliches Gewicht. Dieses Geschäft wollen wir weiter ausbauen.
Wie wollen Sie das erreichen?
Unter anderem, indem wir unsere Bekanntheit in der Schweiz stärken. Dazu müssen wir unsere Stärken noch mehr zeigen, und dafür wiederum müssen wir uns noch umfassender integrieren. Ferner wollen wir auch unsere Bestandskunden für uns sprechen lassen sowie unsere Präsenz in Gremien und an Events intensivieren.
- Pascal Keller-Bossart, CEO SITS Group
Als IT-Security-Spezialist haben Sie einen guten Einblick in die Security-Maturität der Schweizer Unternehmen. Wie würden Sie diese beurteilen?
Man sieht schon bei der Selbsteinschätzung der Firmen, die von vielen Studien erhoben wird, dass die Lage nicht gut ist. Viele Unternehmen fühlen sich unsicher und beurteilen sich selbst als mittelmässig gerüstet für die zunehmenden Bedrohungen. Eine gewisse Dringlichkeit ist mittlerweile zu spüren, aber es braucht noch immer mehr, als bisher gemacht und investiert wird.
Wie lautet Ihr Top-Tipp für mehr Sicherheit?
Security ist Chefsache! Wenn sich eine Geschäftsleitung nicht regelmässig mit dem Thema beschäftigt, hat deren Unternehmen ein grosses Problem. Die Geschäftsleitung muss klare Verantwortlichkeiten benennen, der eigenen Security den Rücken stärken und sich immer wieder darüber informieren, wo man diesbezüglich steht. Auch wenn es ein unangenehmes Thema sein kann: IT-Security gehört auf die Tagesordnung der Geschäftsleitung. Zugleich bringt es auch nichts, wenn sich nur die Experten um die Security kümmern. Denn die meisten Cyberattacken beginnen nach wie vor nicht mit einem technischen Angriff, sondern beim Menschen. Mit Social Engineering und Phishing werden diese manipuliert und zu Einfallstoren für Cyberkriminelle. Deshalb kann aber auch jeder Einzelne einen Beitrag leisten. Alle Mitarbeitenden müssen darüber aufgeklärt werden, wo die potenziellen Cyberrisiken liegen, wie man damit sicher umgeht und an wen man sich bei einem Vorfall wendet. Davon profitiert am Ende das ganze Unternehmen.
