Compliance

Das ideale IT-Compliance Mindset

Die IT-Compliance Bredouille

Kai Witte
Kai Witte

Senior Consultant

23.02.2021 Lesedauer ca. 14 Min.

Die Vielfältigkeit regulatorischer Vorgaben in der IT ist schon bemerkenswert. Es ist kaum möglich, sich einen kompletten Überblick über all die Gesetze, Verordnungen, Vorschriften und Erlasse zu verschaffen, zu deren Einhaltung ein Unternehmen verpflichtet ist. Die Gesetzgeber sorgen auch fleißig dafür, dass diese Vielfalt auch stetig zunimmt. Viele dieser Vorgaben sind dabei noch nicht einmal IT-spezifisch, betreffen aber dennoch die IT-Abteilungen. Die Vorgabentexte bestehen nicht selten aus juristischen Formulierungen und Begriffen, die für einen non-Juristen nur schwer verständlich und meist sehr generisch sind. Oft suchen die Betroffenen vergeblich nach konkreten Hinweisen für eine Umsetzung - zu mehrdeutig ist die Auslegung und Interpretation dieser Texte. Eigentlich bräuchte man Kohorten von Rechtswissenschaftler:innen und technischen Spezialist:innen, um eine belastbare Rechtssicherheit für die eigene IT zu gewährlisten.

Das Ergebnis ist Schulterzucken und Verunsicherung auf allen Ebenen: Die für die Einhaltung verantwortliche Geschäftsführung lässt sich von den zuständigen Verteidigungslinien die konkrete Umsetzung darstellen, im guten Glauben, dass die IT compliant ist. Leider ist dies eine gefährliche Illusion, denn den Zustand einer vollständigen IT-Compliance zu erreichen, ist, aufgrund der begrenzt zur Verfügung stehenden Kapazitäten und der dargestellten inhaltlichen Komplexität, nahezu ausgeschlossen.

Und nun?

Wie soll ein Unternehmen nun mit diesem Spannungsfeld umgehen, einerseits kaum eine Chance zu haben die vielfältigen regulatorischen Anforderungen mit den bestehenden Mitteln zu erfüllen, andererseits dabei folglich gegen Recht und Gesetz zu verstoßen? Es wäre leichtsinnig und auch gefährlich, hierauf eine einfache und eindeutige Antwort zu geben – zu vielschichtig ist dieses Thema, um ihm mit simplen Kochrezepten zu begegnen.

Der Klassiker

Mit Resignation kommt man an dieser Stelle nicht weiter! Hilfreich hierbei ist ein systematisches Vorgehen mittels: a) Ermittlung des aktuellen Status Quo, b) Identifizierung von offensichtlichen Gaps und c) Erstellung eines Plans zur weiteren Vorgehensweise. Das liest sich primitiv, gestaltet sich in der Praxis aber schnell als organisatorisches Monstrum: Es werden Arbeitskreise und Fachgruppen damit beauftragt Lücken in der eigenen IT zu identifizieren und zu analysieren, es folgen Diskussionen zum weiteren Umgang mit diesen Gaps quer durch das gesamte Management und schließlich initiieren die zuständigen Gremien Projekte zur Behebung dieser IT-Incompliance.

Erfahrungsgemäß ist insbesondere die Ermittlung des aktuellen Status Quo ein besonders kniffliges Thema. Wer gesteht sich schon gerne selbst Unzulänglichkeiten in der eigenen IT ein und wer empfindet die bestehenden regulatorischen Anforderungen schon als relevant, verhältnismäßig und berechtigt? Der Umgang mit diesen Fragestellungen gibt einen guten, aber treffsicheren Hinweis auf die eigene Unternehmenskultur und den Umgang mit neuen Themen und Herausforderungen.

Das g2c Modell der 7 Mindset-Changes für eine bessere IT-Compliance

An dieser Stelle möchten wir von g2c zu einem Wandel des Mindsets aufrufen, wenn es um das Thema IT-Compliance in Unternehmen geht. Hierzu haben wir ein Modell mit 7 Mindset-Changes für den Umgang mit regulatorischen Anforderungen formuliert. Ziel dieses Modells ist es, sich aus der Rolle der/des IT-Compliance Getriebenen heraus und hin zur/zum agierenden IT-Compliance Promotor:in zu entwickeln. Die Entwicklung folgender 7 Mindsets steht dabei im Fokus:

Mindset-Change 1: Image der IT-Compliance - lästig -> selbstverständlich

Mindset-Change 1: Image der IT-Compliance - lästig -> selbstverständlich
Viele IT-Mitarbeitende werden ganz melancholisch, wenn sie auf ihre vorherigen beruflichen Stationen zurückblicken: Früher war in der IT alles besser – so der allgemeine Tenor. Entwickler:innen konnten auf Zuruf schnell und schlank Änderungen an der Software vornehmen, Administratoren:innen konnten unkompliziert Berechtigungen vergeben und konfigurieren und es klappte vieles hervorragend auch ohne Dokumentation.

IT-Compliance bedeutet nach Ansicht Vieler ein Ende dieser Arbeitsweise, weil man alles dokumentieren und jeden kontrollieren muss. Mit den vielen formalen Vorgaben und zugehörigen Nachweisen, die zu erstellen sind, gilt IT-Compliance landläufig als lästig. Die Folge ist, dass IT-Mitarbeitende sich überhaupt nicht mit den Ansätzen der IT-Compliance identifizieren, sich dagegen sperren und es kategorisch ablehnen.

Diesem Imageproblem der IT-Compliance kann man nur mit Aufklärung begegnen. Die IT-Mitarbeitenden sollten daher mit entsprechenden Awarenss-Maßnahmen abgeholt werden. Basis-Schulungen zur Klärung der Frage „Was und wofür ist eine IT-Compliance?“, sowie die Darstellung des Mehrwertes von IT-Compliance Maßnahmen können einen guten Beitrag dazu leisten, das Image regulatorischer Anforderungen aufzupolieren und die Sinnhaftigkeit darzustellen. Ziel ist es, einen Entwicklungsprozess im Mindset der IT-Mitarbeitenden anzustoßen, mit dem IT-Compliance als eine Selbstverständlichkeit vergegenwärtig wird. Dieser Change kann natürlich nicht innerhalb weniger Tage umgesetzt werden und bedarf vieler Initiativen, Aktionen und Beteiligter. Eine Verinnerlichung dieser Sichtweise kann viele Kräfte freisetzen, um mit regulatorischen Anforderungen kreativ umzugehen und auf diesem Weg innovative und dabei sichere Wege für eine durchgängige IT-Compliance zu beschreiten.

Mindset-Change 2: Impuls zur Umsetzung der IT-Compliance - regulatorisch -> unternehmerisch

Mindset-Change 2: Impuls zur Umsetzung der IT-Compliance - regulatorisch -> unternehmerisch
Die meisten Geschäftsführer:innen und Unternehmensverantwortlichen widmen sich regulatorischen Vorgaben, um vornehmlich rechtlich auf der sicheren Seite zu sein. Das die Umsetzung auch positive Aspekte hat und sogar das Erreichen von unternehmerischen Zielen fördert, wird häufig völlig ausgeblendet. Das hat auch viel mit dem eben beschriebenen schlechten Image des Themas zu tun. Dabei handelt die Regulatorik ja nicht zum Selbstzweck, sondern hat die Stärkung und Sicherung des Geschäftsbetriebes von Unternehmen, ganzer Branchen und sogar Wirtschaftszweige zum Ziel. So dienen zum Beispiel die von der Regulatorik stark ins Visier genommenen Vorgaben zur IT-Sicherheit letztlich der Sicherung und dem Erhalt von unternehmenseigenen Daten und somit zum Schutz eines der wichtigen Unternehmenswerte.

Automatisierte Verfahren können darüber hinaus dazu beitragen, dass der manuelle Aufwand zur Vergabe und zur Verwaltung von System- und Applikationsberechtigungen auf ein Minimum reduziert und mit wenigen Klicks organisiert wird. Der personelle Aufwand zum Management und zur Administration der IT kann so reduziert werden – das schafft Raum für weitere operativen Tätigkeiten.

Mindset-Change 3: Antrieb zur Unterstützung der IT-Compliance - reaktiv -> aktiv

Mindset-Change 3: Antrieb zur Unterstützung der IT-Compliance - reaktiv -> aktiv
Wie bereits erwähnt kann die konkrete Anzahl derjenigen regulatorischen Vorgaben, die ein Unternehmen zu berücksichtigen hat, kaum exakt ermittelt werden. Andererseits genügen schon wenige generisch formulierte Regularien, um völlig ratlos bzgl. der konkreten Umsetzung zu sein. Bereits die grundlegenden verbindlichen Rahmenwerke, z. B. für die Finanzbranche (MaRisk, etc.), beinhalten ein buntes Potpourri an Richtlinien, die viele Unternehmen schnell überfordern.

Oft ist es hingegen möglich, mit flexiblen und gezielten Mitteln schlagkräftige Lösungen zu erzielen und eine hohe Abdeckung zu erreichen. Dazu ist es notwendig, sich nicht von den vielen Anforderungen treiben zu lassen und die Rolle der/des Reaktiven, die/der ewig den zu erreichenden Zielen hinterher hechelt, abzulegen. Viel wichtiger ist es hingegen, sich den anstehenden Aufgaben bewusst zu sein, einen Plan zur Umsetzung zu haben, um dann strukturiert die Themen abzuarbeiten. Nur so gelangt man langsam in die Rolle der/des Agierenden, die/der das Heft des Handelns selbst in der Hand hält und nicht fremd- sondern selbstbestimmt für die zu erzielenden Ergebnisse verantwortlich ist. Dies hat auch unmittelbare Auswirkungen auf das Selbstvertrauen und Selbstbewusstsein des eigenen Handelns und schafft Mut und Zuversicht für die weiteren anstehenden Aufgaben.

Mindset-Change 4: Motivation zur Gestaltung der IT-Compliance - extrinsisch -> intrinsisch

Mindset-Change 4: Motivation zur Gestaltung der IT-Compliance - extrinsisch -> intrinsisch
Sowohl die vorher beschriebenen Aspekte zum Image, als auch zur Umsetzung und Unterstützung einer IT-Compliance tragen schon viel dazu bei, den regulatorischen Herausforderungen offen zu begegnen und eine Bereitschaft zur Auseinandersetzung mit den damit verbundenen Aufgaben zu haben. Eigentlicher Beweggrund dabei ist aber immer noch eine gefühlt von außen auferlegte (extrinsische) Pflicht der Regulatoren, sich den Themen zu widmen. Sich aus diesem Korsett von Verpflichtungen zu befreien und sich intrinsisch mit der Regulatorik auseinanderzusetzen, ist ein weiterer wichtiger Change im Mindset zur IT-Compliance. Zugegeben: Es ist ein hehres Ziel, sich selbst soweit für regulatorische Zusammenhänge und die damit verbundenen Fragestellungen zu begeistern, dass man aus innerem Antrieb heraus dafür brennt, diese näher zu bearbeiten und auch zu lösen. Bei entsprechenden Rahmenbedingungen ist dies hingegen ohne weiteres möglich, z. B. durch verstärktes Arbeiten in themenbezogenen Teams oder durch den Einsatz agiler Verfahren und Methoden. So wird damit ein wertvoller Beitrag für einen konstruktiven und ideenreichen Umgang mit den genannten Anforderungen geleistet.

Mindset-Change 5: Operationalisierung der IT-Compliance - manuell -> automatisiert

Mindset-Change 5: Operationalisierung der IT-Compliance - manuell -> automatisiert
Ein häufig genannter Kritikpunkt, wenn es um die Umsetzung regulatorischer Vorgaben geht, ist der immense Aufwand zu Erstellung, Pflege und Aktualisierung der notwenigen Dokumentation. Ebenso in der Kritik steht die oft geforderte Erstellung und Bereitstellung von aussagekräftigen Reports mit entsprechenden Kennzahlen, die aus Sicht der IT-Compliance Beteiligten einen leidigen Mehraufwand ohne Mehrwert mit sich bringt. Abhilfe schaffen kann hier die Etablierung von Tools zur Unterstützung halbautomatisierter oder vollautomatisierter Verfahren z. B. im Bereich Service- und Berechtigungsmanagement. Auch das laufende Monitoring und die operative Überwachung von Systemen kann mit geeigneten Tools weitestgehend automatisiert erfolgen. Dies schont Kapazitäten und lässt Raum für das Tagesgeschäft. Die Einführung von künstlicher Intelligenz in der IT kann darüber hinaus einen wertvollen unternehmerischen Beitrag leisten. Dabei sind einerseits technische Insellösungen zu vermeiden, anderseits ist die kommunikationstechnische und technologische Durchgängigkeit der anvisierten Zielsysteme sicher zu stellen. Der konzeptionelle und designtechnische Aufwand hierfür amortisiert sich meistens schnell im Vergleich zu den manuellen Aufwenden, die alternativ notwendig wären.

Mindset-Change 6: methodische Umsetzung der IT-Compliance - klassisch -> agil

Mindset-Change 6: methodische Umsetzung der IT-Compliance - klassisch -> agil
Unternehmensinterne Projekte mit eindeutigem IT-Compliance Bezug werden in der Regel mit klassischen Projektverfahren durchgeführt: Sequenzielle Arbeitspakte mit einer eindeutig personellen Zuordnung, durchgetaktete Zeitpläne und terminierte Meilensteine liegen immer noch schwer im Trend und legen den Fokus auf eine strukturiert organisierte Abarbeitung der anstehenden To Dos.

Mittlerweile hat sich in vielen Unternehmen der Einsatz von agilen Projektverfahren bewährt und teilweise wurde die gesamte Unternehmenskultur daraufhin ausgerichtet. Agile Methoden wie Kaban und OKR können einen wertvollen Beitrag leisten, damit IT-Compliance-Projekte weniger einen organisatorischen Schwerpunkt haben, sondern sich mehr auf die Abarbeitung von Inhalten und die notwenige Kommunikation und Zusammenarbeit fokussieren. Die g2c-Methode des „ComBan-Boards“, einer Kombination aus einem Kanban-Board mit einer konkreten Abarbeitungsstruktur für IT-Compliance Aufgaben, leistet hierbei zum Beispiel eine praxisgerechte und konkrete Arbeitsunterstützung. Empfehlenswert in diesem Zusammenhang ist die Zuhilfenahme von agilen Expert:innen und Moderator:innen, die die Compliance-Beteiligten sinnbildlich an die Hand nehmen, um ihnen die Vorbehalte und Scheu vor dem „modernen agilen Zeug“ zu nehmen. Besonders dieser Aspekt bietet aus Sicht von g2c viele Ansätze für eine effektive und zielgerichtetere Erreichung von IT-Compliance Zielen.

Mindset-Change 7: Zuständigkeiten der IT-Compliance - hierarchisch -> vernetzt

Mindset-Change 7: Zuständigkeiten der IT-Compliance - hierarchisch -> vernetzt
Einhergehend mit der Einführung agiler Projektverfahren und -methoden ist darüber hinaus eine Betrachtung und Neubewertung der Zuständigkeiten von IT-Compliance Aufgaben und Zuständigkeiten sinnvoll. Dabei geht es weniger darum, das klassische IT-Compliance Modell der 3 bzw. 5 Verteidigungslinien und somit auch die übliche juristische Zuständigkeitsstruktur infrage zu stellen. Vielmehr geht es darum, diese Zuständigkeiten bewusst und aktiv in die Kommunikation und agile Projektmethodik mit aufzunehmen. Statt wie bisher hierarchisch in getrennten Verteidigungssäulen zu agieren, ist eine unternehmensweite Vernetzung und operative Einbindung in die unterschiedlichen Handlungsfelder der IT-Compliance unabdingbar. Dies setzt den Willen der Beteiligten voraus, hierarchische Abgrenzungsbestrebungen abzulegen und Bereitschaft für eine aktive hierarchieübergreifende Zusammenarbeit zu zeigen. Oft hilft hier die Unterstützung des Top-Managements, solche kulturellen Barrieren zu überwinden – der berühmte „tone at the top“ kann in solchen Situationen sehr hilfreich sein.

Resümee

Die aufgezeigten 7 Mindset-Changes zeigen einen anderen Umgang mit regulatorischen Vorgaben auf. Sie stellen dar, wie mit der IT-Compliance unternehmerische, kollaborative und operative Vorteile erzielt und darüber hinaus weitere Mehrwerte für die IT und somit für das Unternehmen generiert werden können.

Starten Sie im Kleinen und weiten Sie den Aktionsradius der oben genannten Ansätze stetig aus. Sie werden sehen: Es wirkt!

Über Kai Witte

Kai Witte
Kai Witte

Senior Consultant bei der frobese GmbH | Geschäftsleitung & IT-Compliance Consultant bei g2c