IT-Compliance – Fluch, Segen und viele Chancen!

Kai Witte 04.02.2019

IT-Compliance als Nukleus

Die Erwartungshaltung an die IT eines Unternehmens seitens der Nutzer und des Managements ist herausfordernd: Die IT soll einen papierlosen Durchlauf der Geschäftsprozessen sicherstellen (Stichwort: Digitalisierung), sie soll den Grad der Automatisierung erhöhen (Stichwort: Robotics), sie soll die Datenflut beherrschen und schnell die richtigen Kennzahlen und Auswertungen liefern (Stichwort: Big Data) und sie soll Daten vor unbefugten Zugriffen von außen schützen (Stichwort: Cyber Security). Neben diesen fast schon selbstverständlichen Features erwarten die Anwender zusätzlich eine permanente Verfügbarkeit, eine hohe Performance und eine intuitive Bedienung der Systeme. Die Liste dieser innerbetrieblichen Anforderungen an die IT könnte man beliebig erweitern – ein wahrer Themenzirkus mit einem abwechslungsreichen Unterhaltungsprogramm.

Fokusthema IT-Compliance

In den letzten Jahren ist ein weiterer Themenbereich insbesondere bei IT-Verantwortlichen der Finanzbranche in den Fokus gerückt, der stetig an Bedeutung zugenommen hat: Die Einhaltung regulatorischer Anforderungen an die IT im Rahmen einer durchgängigen IT-Compliance. Eine stetig steigende Anzahl von Vorgaben der Gesetzgeber trägt dazu bei, dass es kaum mehr möglich ist einen Gesamtüberblick über alle Anforderungen zu haben. Hinzu kommen noch eine schier unüberschaubare Anzahl an Normen, Standards, Prozess-Frameworks und best practises.

Vorgaben soweit das Auge reicht

Themenübersicht Regulatorik
Wir von frobese haben einmal den Versuch unternommen, eine aktuelle Übersicht aller rechtlichen Vorgaben und unternehmensexternen Regelwerke zur Sicherstellung der IT-Compliance eines Unternehmens zusammen zu stellen. Unsere Erkenntnis: Es gibt unendlich viele Materialien, man könnte Personenjahre für eine Recherche investieren und hätte trotzdem kein vollständiges und aktuelles Ergebnis. Mit Augenmaß haben wir uns auf die prominentesten Quellen gestürzt. Heraus gekommen ist eine Übersicht mit zahlreichen Paragrafen, Abkürzungen und Begrifflichkeiten, die in unterschiedlichen Granularitäten und aus unterschiedlichen Perspektiven die weltbeste IT eines Unternehmens beschreibt – oft schwer verständlich, teilweise widersprüchlich und nicht immer durchgängig.
Garniert werden diese Vorgaben und Regelwerke mit zahlreichen unternehmensspezifischen Arbeitsanweisungen und Richtlinien zur internen IT. Alle zusammen wollen sie nur das Beste: Eine reibungslose, effizientere, sichere und nachhaltig dokumentierte IT-Nutzung samt höherer Zufriedenheit der mittelbar und unmittelbar beteiligten Stakeholder.

Der GAU

Die Verunsicherung seitens der IT-Verantwortlichen insbesondere in der Finanzwelt ist groß: Wie kann man diese unüberschaubare Anzahl an Vorgaben beherrschen? Welche Vorgaben sind umgesetzt und welche sind als nächstes dran? Wie kann die Umsetzung nachgewiesen werden? Umsetzung der Vorgaben und Bewältigung des Tagesgeschäfts – wie geht das? Stehen dann noch die regulatorischen Instanzen wie BaFin oder EZB vor der Tür, um ein Unternehmen auf IT-Risiken zu durchleuchten, geht der Puls bei den Betroffenen schnell nach oben. Meist steht nicht die Frage im Mittelpunkt ob es gravierende Sicherheitsdefizite in den Anwendungen und IT-Systemen gibt, sondern wie schnell diese gerade an neuralgischen Punkten der IT von den Prüfern identifiziert werden.

Der IT-Compliance-Hammer

Die Ergebnisse solcher IT-Risikoanalysen sind oft spaßfrei: Werden die identifizierten Mängel nicht zeitnah behoben, droht Ungemach von der Regulatorik in Form von Bußgeldzahlungen, Amtsenthebungsverfahren oder schlimmstenfalls der Entzug von Gewerbelizenzen. Diese Ansprachen verfehlen ihre Wirkung nicht. Das Topmanagement als direkter Adressat widmet sich nun aufmerksam diesen „Handlungsempfehlungen“ und muss nicht lange davon überzeugt werden, zeitnah als Auftraggeber für neue IT-Compliance-Projekte aktiv zu werden. Schnell werden Budgets bewilligt, Projektteams zusammengestellt, Berichtsstrukturen etabliert und ambitionierte Projektpläne entwickelt. Meist wird unter enormen Zeitdruck und mit hohem personellen Aufwand versucht, IT-Compliance in ein Unternehmen „hineinzuzimmern“. Im Fokus steht dabei vornehmlich, die identifizierten Moniten zu beheben. Nachhaltige und ganzheitliche Lösungen spielen bei der Umsetzung eine eher untergeordnete Rolle. Genau in diesem Zusammenhang werden oft viele Chancen vergeben zur Umsetzung einer ganzheitlichen IT-Compliance im Unternehmen. Die Gefahr ist groß, dass die notwendigen Aktivitäten ausgebremst und flankiert werden von politischen Grabenkämpfen der beteiligten IT-Bereiche.

Die andere Seite der Medaille

Anderseits ist es genau dieser Druck, der erst die notwendigen Kräfte freisetzt, um ein systematisches IT-Risikomanagement, ein durchgängiges IT-Sicherheitsmanagementsystem und die dazu notwenige Aufbauorganisation zu etablieren. Endlich erhält das Thema IT-Compliance die entsprechende Aufmerksamkeit, um in der IT Themen wie IT-Security, IT-Service Management, IT-Notfallmanagement und viele andere mit der notwendigen Intensität umzusetzen.

Ausblick: IT-Compliance und Agilität

Oft erfolgt diese Umsetzung unter Verwendung herkömmlicher Schablonen klassischer Projektmanagement-Verfahren. Die Bereitschaft zur Anwendung agiler Projektverfahren hält sich in Grenzen, obwohl gerade diese die Chance mit sich bringen würden, sich iterativ an die oft generisch formulierten regulatorischen Anforderungen zu nähern. MaRisk und Co. mit ihren oft nur schemenhaft beschriebenen Zielbildern bieten einen exzellenten Ausgangspunkt zur Konkretisierung einer unternehmensspezifischen IT-Compliance z. B. mittels Design Thinking, Scrum und Kanban.
Grundvoraussetzung zur Nutzung dieser Verfahren ist hingegen ein entsprechendes Management-Commitment und die Bereitstellung eines entsprechenden organisatorischen Rahmens. Dabei ist kritisch zu hinterfragen, ob die gleichzeitige Einführung von neuen (agilen) Projektverfahren und die Etablierung einer durchgängigen IT-Compliance vielleicht dann doch etwas zu viel des Guten ist. Nichts desto trotz kann es lohnenswert sein, im Rahmen von gezielten Aufgabenstellung eines IT-Compliance-Projektes, agile Vorgehensweisen auszuprobieren, um erste Erfahrungen im Umgang damit zu machen.
IT-Compliance als Nukleus zur Einführung agiler Vorgehensweisen in einem Unternehmen – was für eine wunderbare Vorstellung!

Kai Witte

Senior Consultant bei der frobese GmbH