Das ideale IT-Compliance Mindset

Kai Witte 23.02.2021

Die IT-Compliance Bredouille

Die VielfĂ€ltigkeit regulatorischer Vorgaben in der IT ist schon bemerkenswert. Es ist kaum möglich, sich einen kompletten Überblick ĂŒber all die Gesetze, Verordnungen, Vorschriften und Erlasse zu verschaffen, zu deren Einhaltung ein Unternehmen verpflichtet ist. Die Gesetzgeber sorgen auch fleißig dafĂŒr, dass diese Vielfalt auch stetig zunimmt. Viele dieser Vorgaben sind dabei noch nicht einmal IT-spezifisch, betreffen aber dennoch die IT-Abteilungen. Die Vorgabentexte bestehen nicht selten aus juristischen Formulierungen und Begriffen, die fĂŒr einen non-Juristen nur schwer verstĂ€ndlich und meist sehr generisch sind. Oft suchen die Betroffenen vergeblich nach konkreten Hinweisen fĂŒr eine Umsetzung - zu mehrdeutig ist die Auslegung und Interpretation dieser Texte. Eigentlich brĂ€uchte man Kohorten von Rechtswissenschaftler:innen und technischen Spezialist:innen, um eine belastbare Rechtssicherheit fĂŒr die eigene IT zu gewĂ€hrlisten.

Titelbild

Das Ergebnis ist Schulterzucken und Verunsicherung auf allen Ebenen: Die fĂŒr die Einhaltung verantwortliche GeschĂ€ftsfĂŒhrung lĂ€sst sich von den zustĂ€ndigen Verteidigungslinien die konkrete Umsetzung darstellen, im guten Glauben, dass die IT compliant ist. Leider ist dies eine gefĂ€hrliche Illusion, denn den Zustand einer vollstĂ€ndigen IT-Compliance zu erreichen, ist, aufgrund der begrenzt zur VerfĂŒgung stehenden KapazitĂ€ten und der dargestellten inhaltlichen KomplexitĂ€t, nahezu ausgeschlossen.


Und nun?
Wie soll ein Unternehmen nun mit diesem Spannungsfeld umgehen, einerseits kaum eine Chance zu haben die vielfĂ€ltigen regulatorischen Anforderungen mit den bestehenden Mitteln zu erfĂŒllen, andererseits dabei folglich gegen Recht und Gesetz zu verstoßen? Es wĂ€re leichtsinnig und auch gefĂ€hrlich, hierauf eine einfache und eindeutige Antwort zu geben – zu vielschichtig ist dieses Thema, um ihm mit simplen Kochrezepten zu begegnen.


Der Klassiker
Mit Resignation kommt man an dieser Stelle nicht weiter! Hilfreich hierbei ist ein systematisches Vorgehen mittels: a) Ermittlung des aktuellen Status Quo, b) Identifizierung von offensichtlichen Gaps und c) Erstellung eines Plans zur weiteren Vorgehensweise. Das liest sich primitiv, gestaltet sich in der Praxis aber schnell als organisatorisches Monstrum: Es werden Arbeitskreise und Fachgruppen damit beauftragt LĂŒcken in der eigenen IT zu identifizieren und zu analysieren, es folgen Diskussionen zum weiteren Umgang mit diesen Gaps quer durch das gesamte Management und schließlich initiieren die zustĂ€ndigen Gremien Projekte zur Behebung dieser IT-Incompliance.

ErfahrungsgemĂ€ĂŸ ist insbesondere die Ermittlung des aktuellen Status Quo ein besonders kniffliges Thema. Wer gesteht sich schon gerne selbst UnzulĂ€nglichkeiten in der eigenen IT ein und wer empfindet die bestehenden regulatorischen Anforderungen schon als relevant, verhĂ€ltnismĂ€ĂŸig und berechtigt? Der Umgang mit diesen Fragestellungen gibt einen guten, aber treffsicheren Hinweis auf die eigene Unternehmenskultur und den Umgang mit neuen Themen und Herausforderungen.


Das g2c Modell der 7 Mindset-Changes fĂŒr eine bessere IT-Compliance
An dieser Stelle möchten wir von g2c zu einem Wandel des Mindsets aufrufen, wenn es um das Thema IT-Compliance in Unternehmen geht. Hierzu haben wir ein Modell mit 7 Mindset-Changes fĂŒr den Umgang mit regulatorischen Anforderungen formuliert. Ziel dieses Modells ist es, sich aus der Rolle der/des IT-Compliance Getriebenen heraus und hin zur/zum agierenden IT-Compliance Promotor:in zu entwickeln. Die Entwicklung folgender 7 Mindsets steht dabei im Fokus:


Mindset-Change 1: Image der IT-Compliance - lÀstig -> selbstverstÀndlich
Viele IT-Mitarbeitende werden ganz melancholisch, wenn sie auf ihre vorherigen beruflichen Stationen zurĂŒckblicken: FrĂŒher war in der IT alles besser – so der allgemeine Tenor. Entwickler:innen konnten auf Zuruf schnell und schlank Änderungen an der Software vornehmen, Administratoren:innen konnten unkompliziert Berechtigungen vergeben und konfigurieren und es klappte vieles hervorragend auch ohne Dokumentation.

IT-Compliance bedeutet nach Ansicht Vieler ein Ende dieser Arbeitsweise, weil man alles dokumentieren und jeden kontrollieren muss. Mit den vielen formalen Vorgaben und zugehörigen Nachweisen, die zu erstellen sind, gilt IT-Compliance landlĂ€ufig als lĂ€stig. Die Folge ist, dass IT-Mitarbeitende sich ĂŒberhaupt nicht mit den AnsĂ€tzen der IT-Compliance identifizieren, sich dagegen sperren und es kategorisch ablehnen.

Diesem Imageproblem der IT-Compliance kann man nur mit AufklĂ€rung begegnen. Die IT-Mitarbeitenden sollten daher mit entsprechenden Awarenss-Maßnahmen abgeholt werden. Basis-Schulungen zur KlĂ€rung der Frage „Was und wofĂŒr ist eine IT-Compliance?“, sowie die Darstellung des Mehrwertes von IT-Compliance Maßnahmen können einen guten Beitrag dazu leisten, das Image regulatorischer Anforderungen aufzupolieren und die Sinnhaftigkeit darzustellen. Ziel ist es, einen Entwicklungsprozess im Mindset der IT-Mitarbeitenden anzustoßen, mit dem IT-Compliance als eine SelbstverstĂ€ndlichkeit vergegenwĂ€rtig wird. Dieser Change kann natĂŒrlich nicht innerhalb weniger Tage umgesetzt werden und bedarf vieler Initiativen, Aktionen und Beteiligter. Eine Verinnerlichung dieser Sichtweise kann viele KrĂ€fte freisetzen, um mit regulatorischen Anforderungen kreativ umzugehen und auf diesem Weg innovative und dabei sichere Wege fĂŒr eine durchgĂ€ngige IT-Compliance zu beschreiten.


Mindset-Change 2: Impuls zur Umsetzung der IT-Compliance - regulatorisch -> unternehmerisch
Die meisten GeschĂ€ftsfĂŒhrer:innen und Unternehmensverantwortlichen widmen sich regulatorischen Vorgaben, um vornehmlich rechtlich auf der sicheren Seite zu sein. Das die Umsetzung auch positive Aspekte hat und sogar das Erreichen von unternehmerischen Zielen fördert, wird hĂ€ufig völlig ausgeblendet. Das hat auch viel mit dem eben beschriebenen schlechten Image des Themas zu tun. Dabei handelt die Regulatorik ja nicht zum Selbstzweck, sondern hat die StĂ€rkung und Sicherung des GeschĂ€ftsbetriebes von Unternehmen, ganzer Branchen und sogar Wirtschaftszweige zum Ziel. So dienen zum Beispiel die von der Regulatorik stark ins Visier genommenen Vorgaben zur IT-Sicherheit letztlich der Sicherung und dem Erhalt von unternehmenseigenen Daten und somit zum Schutz eines der wichtigen Unternehmenswerte.

Automatisierte Verfahren können darĂŒber hinaus dazu beitragen, dass der manuelle Aufwand zur Vergabe und zur Verwaltung von System- und Applikationsberechtigungen auf ein Minimum reduziert und mit wenigen Klicks organisiert wird. Der personelle Aufwand zum Management und zur Administration der IT kann so reduziert werden – das schafft Raum fĂŒr weitere operativen TĂ€tigkeiten.


Mindset-Change 3: Antrieb zur UnterstĂŒtzung der IT-Compliance - reaktiv -> aktiv
Wie bereits erwĂ€hnt kann die konkrete Anzahl derjenigen regulatorischen Vorgaben, die ein Unternehmen zu berĂŒcksichtigen hat, kaum exakt ermittelt werden. Andererseits genĂŒgen schon wenige generisch formulierte Regularien, um völlig ratlos bzgl. der konkreten Umsetzung zu sein. Bereits die grundlegenden verbindlichen Rahmenwerke, z. B. fĂŒr die Finanzbranche (MaRisk, etc.), beinhalten ein buntes Potpourri an Richtlinien, die viele Unternehmen schnell ĂŒberfordern.

Oft ist es hingegen möglich, mit flexiblen und gezielten Mitteln schlagkrĂ€ftige Lösungen zu erzielen und eine hohe Abdeckung zu erreichen. Dazu ist es notwendig, sich nicht von den vielen Anforderungen treiben zu lassen und die Rolle der/des Reaktiven, die/der ewig den zu erreichenden Zielen hinterher hechelt, abzulegen. Viel wichtiger ist es hingegen, sich den anstehenden Aufgaben bewusst zu sein, einen Plan zur Umsetzung zu haben, um dann strukturiert die Themen abzuarbeiten. Nur so gelangt man langsam in die Rolle der/des Agierenden, die/der das Heft des Handelns selbst in der Hand hĂ€lt und nicht fremd- sondern selbstbestimmt fĂŒr die zu erzielenden Ergebnisse verantwortlich ist. Dies hat auch unmittelbare Auswirkungen auf das Selbstvertrauen und Selbstbewusstsein des eigenen Handelns und schafft Mut und Zuversicht fĂŒr die weiteren anstehenden Aufgaben.


Mindset-Change 4: Motivation zur Gestaltung der IT-Compliance - extrinsisch -> intrinsisch
Sowohl die vorher beschriebenen Aspekte zum Image, als auch zur Umsetzung und UnterstĂŒtzung einer IT-Compliance tragen schon viel dazu bei, den regulatorischen Herausforderungen offen zu begegnen und eine Bereitschaft zur Auseinandersetzung mit den damit verbundenen Aufgaben zu haben. Eigentlicher Beweggrund dabei ist aber immer noch eine gefĂŒhlt von außen auferlegte (extrinsische) Pflicht der Regulatoren, sich den Themen zu widmen. Sich aus diesem Korsett von Verpflichtungen zu befreien und sich intrinsisch mit der Regulatorik auseinanderzusetzen, ist ein weiterer wichtiger Change im Mindset zur IT-Compliance. Zugegeben: Es ist ein hehres Ziel, sich selbst soweit fĂŒr regulatorische ZusammenhĂ€nge und die damit verbundenen Fragestellungen zu begeistern, dass man aus innerem Antrieb heraus dafĂŒr brennt, diese nĂ€her zu bearbeiten und auch zu lösen. Bei entsprechenden Rahmenbedingungen ist dies hingegen ohne weiteres möglich, z. B. durch verstĂ€rktes Arbeiten in themenbezogenen Teams oder durch den Einsatz agiler Verfahren und Methoden. So wird damit ein wertvoller Beitrag fĂŒr einen konstruktiven und ideenreichen Umgang mit den genannten Anforderungen geleistet.


Mindset-Change 5: Operationalisierung der IT-Compliance - manuell -> automatisiert
Ein hĂ€ufig genannter Kritikpunkt, wenn es um die Umsetzung regulatorischer Vorgaben geht, ist der immense Aufwand zu Erstellung, Pflege und Aktualisierung der notwenigen Dokumentation. Ebenso in der Kritik steht die oft geforderte Erstellung und Bereitstellung von aussagekrĂ€ftigen Reports mit entsprechenden Kennzahlen, die aus Sicht der IT-Compliance Beteiligten einen leidigen Mehraufwand ohne Mehrwert mit sich bringt. Abhilfe schaffen kann hier die Etablierung von Tools zur UnterstĂŒtzung halbautomatisierter oder vollautomatisierter Verfahren z. B. im Bereich Service- und Berechtigungsmanagement. Auch das laufende Monitoring und die operative Überwachung von Systemen kann mit geeigneten Tools weitestgehend automatisiert erfolgen. Dies schont KapazitĂ€ten und lĂ€sst Raum fĂŒr das TagesgeschĂ€ft. Die EinfĂŒhrung von kĂŒnstlicher Intelligenz in der IT kann darĂŒber hinaus einen wertvollen unternehmerischen Beitrag leisten. Dabei sind einerseits technische Insellösungen zu vermeiden, anderseits ist die kommunikationstechnische und technologische DurchgĂ€ngigkeit der anvisierten Zielsysteme sicher zu stellen. Der konzeptionelle und designtechnische Aufwand hierfĂŒr amortisiert sich meistens schnell im Vergleich zu den manuellen Aufwenden, die alternativ notwendig wĂ€ren.


Mindset-Change 6: methodische Umsetzung der IT-Compliance - klassisch -> agil
Unternehmensinterne Projekte mit eindeutigem IT-Compliance Bezug werden in der Regel mit klassischen Projektverfahren durchgefĂŒhrt: Sequenzielle Arbeitspakte mit einer eindeutig personellen Zuordnung, durchgetaktete ZeitplĂ€ne und terminierte Meilensteine liegen immer noch schwer im Trend und legen den Fokus auf eine strukturiert organisierte Abarbeitung der anstehenden To Dos.

Mittlerweile hat sich in vielen Unternehmen der Einsatz von agilen Projektverfahren bewĂ€hrt und teilweise wurde die gesamte Unternehmenskultur daraufhin ausgerichtet. Agile Methoden wie Kaban und OKR können einen wertvollen Beitrag leisten, damit IT-Compliance-Projekte weniger einen organisatorischen Schwerpunkt haben, sondern sich mehr auf die Abarbeitung von Inhalten und die notwenige Kommunikation und Zusammenarbeit fokussieren. Die g2c-Methode des „ComBan-Boards“, einer Kombination aus einem Kanban-Board mit einer konkreten Abarbeitungsstruktur fĂŒr IT-Compliance Aufgaben, leistet hierbei zum Beispiel eine praxisgerechte und konkrete ArbeitsunterstĂŒtzung. Empfehlenswert in diesem Zusammenhang ist die Zuhilfenahme von agilen Expert:innen und Moderator:innen, die die Compliance-Beteiligten sinnbildlich an die Hand nehmen, um ihnen die Vorbehalte und Scheu vor dem „modernen agilen Zeug“ zu nehmen. Besonders dieser Aspekt bietet aus Sicht von g2c viele AnsĂ€tze fĂŒr eine effektive und zielgerichtetere Erreichung von IT-Compliance Zielen.


Mindset-Change 7: ZustÀndigkeiten der IT-Compliance - hierarchisch -> vernetzt
Einhergehend mit der EinfĂŒhrung agiler Projektverfahren und -methoden ist darĂŒber hinaus eine Betrachtung und Neubewertung der ZustĂ€ndigkeiten von IT-Compliance Aufgaben und ZustĂ€ndigkeiten sinnvoll. Dabei geht es weniger darum, das klassische IT-Compliance Modell der 3 bzw. 5 Verteidigungslinien und somit auch die ĂŒbliche juristische ZustĂ€ndigkeitsstruktur infrage zu stellen. Vielmehr geht es darum, diese ZustĂ€ndigkeiten bewusst und aktiv in die Kommunikation und agile Projektmethodik mit aufzunehmen. Statt wie bisher hierarchisch in getrennten VerteidigungssĂ€ulen zu agieren, ist eine unternehmensweite Vernetzung und operative Einbindung in die unterschiedlichen Handlungsfelder der IT-Compliance unabdingbar. Dies setzt den Willen der Beteiligten voraus, hierarchische Abgrenzungsbestrebungen abzulegen und Bereitschaft fĂŒr eine aktive hierarchieĂŒbergreifende Zusammenarbeit zu zeigen. Oft hilft hier die UnterstĂŒtzung des Top-Managements, solche kulturellen Barrieren zu ĂŒberwinden – der berĂŒhmte „tone at the top“ kann in solchen Situationen sehr hilfreich sein.


ResĂŒmee
Die aufgezeigten 7 Mindset-Changes zeigen einen anderen Umgang mit regulatorischen Vorgaben auf. Sie stellen dar, wie mit der IT-Compliance unternehmerische, kollaborative und operative Vorteile erzielt und darĂŒber hinaus weitere Mehrwerte fĂŒr die IT und somit fĂŒr das Unternehmen generiert werden können.

Starten Sie im Kleinen und weiten Sie den Aktionsradius der oben genannten AnsÀtze stetig aus. Sie werden sehen: Es wirkt!

Kai Witte

Senior Consultant bei der frobese GmbH