Extreme Compliance als Kunst des Möglichen

Wie kann technische Compliance gut funktionieren? Welche Normen sollen wie ausgewählt werden? Ist alles freiwillig – oder alles Zwang?

Extreme Compliance als Kunst des Möglichen …

Einleitung

Stafford Beer hat Viabilität («Lebensfähigkeit») nicht nur im Namen zum zentralen Hebel seines «Viable System Models» gemacht.

Es geht Lebenswesen, Menschen und Organisationen demnach zunächst um das (nicht immer) «einfache» Überleben und dann um das Leben als Wachstum und Entwicklung.

Für Organisationen und Technik gibt es technische Normen und Rahmenwerke, die dies ermöglichen und unterstützen könn(t)en. Oft überhöhen solche Rahmenwerke aber die schon vorhandenen Verkrustungen und den Bürokratismus und ziehen die Unternehmen nur noch weiter nach unten.

  1. Unter welchen Bedingungen und Voraussetzungen kann technische Compliance aber funktionieren – und wie funktioniert sie sehr gut?
  2. Was benötigt es, damit nicht nur das Überleben funktioniert, sondern selbstdefiniertes Wachstum möglich wird?

Was sind technische Normen und Rahmenwerke?

Technische Normen und Rahmenwerke sind in der Regel kodifizierte Verhaltensempfehlungen, die entweder gesetzliche Bedingungen (harte Eintrittsregularien; Beweislastumkehr, falls etwas schief gegangen ist) oder Marktbedingungen (Branchenstandards, Kundenerwartungen) oder beides kodifizieren.

Sie sind in bestimmten Branchen also entweder eine harte Voraussetzung, um ein bestimmtes Geschäfts auszuüben (Bankenlizenz) oder zumindest sehr empfehlenswert (auf gut deutsch: «cover your ass», weil nur so das Geschäft sicher (Beweislastumkehr) oder erfolgreich (Kundenerwartungen) betrieben werden kann.

Können diese bürokratischen Einschränkungen überhaupt nutzbringend eingesetzt werden?

Harte Voraussetzungen

Wenn es um harte rechtliche (Zulassungs-)Voraussetzungen geht, dürfte daran kein Weg vorbei führen. Wer als Arzt oder Rechtsanwalt praktizieren oder Bank- oder Anlagegeschäfte betreiben möchte, muss die Voraussetzungen erfüllen, sonst kann er oder sie schlichtweg nicht tätig werden.

Die sind dann – in dieser Branche eine «Eintritts- und Lebensvoraussetzung» und wirken als Marktzutrittsbeschränkung: Ihr Rechtsanwalt wird Sie sicher gerne beraten, aber nicht immer günstig.

Neue Startups für Startups erleichtern die Qual der Wahl durch vorbereitete Angebote und assemblierbare Dokumentvorlagen (vgl. international: Termsfeed.com), die Ihnen das Überspringen der eigentlichen Hürden erleichtern und kostengünstiger möglich machen.

Die Datenschutz-Grundverordnung fällt als harte europäische Rechtsnorm auch in diese Kategorie und ist ein schönes Beispiel: Hier gibt es inzwischen so viele automatisierte Datenschutz-Grundverordnung-Dokument-Generierungs-Services, die meistens überschiessend Textmengen ohne Ende generieren, so dass es die Sache fast schon wieder erschwert und die Frage aufwirft, ob eine fokussierte anwaltliche Beratung nicht eigentlich viel rascher ginge und im Ergebnis somit günstiger wäre.

Bis zum durch die DSGVO unentschuldbar eingeführten massenhaften Zustimmungs-Box-Wegklick-Syndrom, das den Anwender*innen keine valide Handlungsalternative bietet so eindeutig als negativer Auswuchs auf der Schuldenseite der GDPR verbucht werden muss.

Weiche Voraussetzungen

Wie können – eigentlich gesetzlich nicht zwingend vorgeschriebene – technische Normen und Rahmenwerke erfolgreich eingesetzt werden? 

Ad hoc würde ich diese vier Empfehlungen aussprechen:

It's Your Choice & Choice is Good!

Bei weichen Complianceregeln besteht grundsätzlich Wahlfreiheit. Es geht um Qualität, die Sie nachweisbar liefern möchten. Sie bestimmen, welche für Sie sinnvoll und hilfreich sind: Choice is Good wie die Disziplinierten Agilisten wie ich sagen.

Dabei spielen allerdings Branchenerwartungen hinein. Sie werden als Internet Service Provider beispielsweise gut daran tun, etwas sinnvolles zum Thema “Informationssicherheit” sagen zu können. ISO/IEC 27001 ist dann eine mögliche und weltweit anerkannte gute Antwort, die ihnen längeren Ausführungen über die Servicequalität ihre tollen Mitarbeiter*innen in komfortablen Gamingsitzen, die aber auch womöglich hoffentlich gleichsam engagiert in fremden Ländern sitzen, erspart.

Build on it

Technische Normen und Rahmenwerke bauen häufig aufeinander auf.

Sie können beispielsweise die zwingend notwendige GDPR-Einführung so aufsetzen, dass Sie dann weiter in Richtung eines Informationssicherheits-Management-Systems nach ISO/IEC 27001 segeln: DPIA (Data Protection Impact Assessment) und Risikobeurteilung, Technisch-Organisatorische Massnahmen und ISO/IEC 27001 sind jeweils nicht so weit voneinander weg.

Damit wiederum haben Sie nicht nur Eintritt in die ISO/IEC 27xxx sondern insgesamt in andere ISO/IEC Qualitätsstandards. Mit etwas Weitsicht können Sie sogar eine GDPR Datenschutz-Folgenabschätzungen vorweg als Risikobeurteilung nach ISO/IEC 27005 aufsetzen und nach dem gleichen Muster wiederum die ISO/IEC 27001 umsetzen.  Auf dieser bauen sehr viele weitere Standards auf, nicht nur die der eigenen ISO/IEC 27xxx Familie über Business Continuity, Cloud-Computing, wiederum Datenschutz (der so als technischer Standard im Vorhinein zertifzierbar wird, im Unterschied zur gesetzlichen Vorgabe, die nur durch eine anlassbezogene Behördenprüfung im nachhinein ermittelt werden kann), aber auch beispielsweise BSI Cloudschutz C5 und TISAX im Automotive Bereich. Aber sogar ISO-systemfremde «Standards» wie ISAE 3402 lassen sich auf dieser Basis eines risikobasierten Massnahmenkatalogs und eines lebendigen Informationssicherheits-Management-Systems relativ nahtlos anschliessen. 

Die IEC/IEEC 62433, Sicherheit industrieller Anlagen wiederum schliesst nahtlos an die meisten der hier genannten Normen an. 

Der vernachlässigbare Mehraufwand, den ihnen so eine weitsichtige und «holistische» als gewissermassen kaskadierende Anwendung der 80/20 Regel im Vorhinein bringt, wird mehr als aufgewogen mit der anderen Variante, jede Zertifizierung als Einzelzertifizierung anzustreben, wodurch sich die Aufwände massiv vervielfachen und teilweise gar nicht mehr oder nur mit extrem hohen Kosten und organisatorischem Verschleiss stemmbar wären. 

Umgekehrt gesagt: Warum sollten Sie die Implementierung aller Details der vierteiligen IEC 62433 in Ihrer Organisation und für Ihre Produke schultern, wenn Sie auf dem Weg dorthin nicht eine Menge weiterer hochbelastbarer Zertifikate mit abholen könnten? 

Lipstick Compliance und Extreme Quality-Ownership (Kundenwirkung & Organisatorische Verankerung)

Häufig werden Compliancemassnahmen losgelöst vom Kerngeschäft und im Nachhinein umgesetzt. Das kann man als «Lipstick-Compliance» bezeichen.

Compliancemassnahmen sollten als Teil des Qualitätsmanagements für das gewünschte Qualitätsniveau ihrer Services und Produkte sorgen.

Daraus ergibt sich zweierlei:

  1. Vermeiden Sie überschiessende Compliance, so wie Sie überschiessende Qualität (Gold plating, Waste nach Lean) vermeiden.

  2. Stellen Sie sicher, dass Compliance kundenwirksam wird.

Kundenwirksame Compliance

Wie können Sie kundenwirksame Compliance erreichen?

Sie erreichen diese durch eine bewusste Orchestrierung und Abstimmung von innen- und aussengeleiteten Compliance-Massnahmen:

Compliance-Kommunikation und Marketing

Einerseits – so banal es klingt – durch gezieltes Compliance-Marketing, bis hin zur Auffindbarkeit (SEO) als Antwort auf  entsprechende Suchanfragen. Wenn Sie genüsslich ein halbes Dutzend Qualitäts- und ISO/IEC Normen auflisten und wissen, wofür die jeweils stehen und wie Sie diese argumentativ platzieren könne, dürften Sie sich hier am Markt wesentlich leichter bewegen als vorher.

Auch Kundengespräche, gerade mit grösseren Unternehmen dürften neu auf einer vorher ungewohnten Augenhöhe ablaufen, wenn Sie vormals lästigen Schlagworten wie Corporate Governance Quality Monitoring oder Service Delivery Standards akkurat und freundlich begegnen und darauf die richtigen Argumentregister ziehen können…

Lebendige Prozessverankerung

Andererseits dürfen die Compliance-Massnahmen nicht nur an der Oberfläche des Kundeninterfaces kleben. Sie sollten auch so internalisiert sein, dass ihre Organisation damit selbstverständlich umgehen und jederzeit leicht belastbare Handlungen setzen und Begründungen liefern kann. 

Nach CMMI ist dies die höchste Prozessreife: Als dokumentierte, gemonitorte, belastbare, intersubjektiv nachvollziehbare Prozessverankerung in der Organisation. Auf dieser Stufe entsteht eine neue Leichtigkeit, die auch durch moderne Automatisierungs-Tools und Methoden wie DevOps oder Disciplined Agile gut gestützt werden kann. 

Mein Lieblingsbeispiel hier ist die SBB, die Schweizer Bundesbahn. Sie ist trotz fast schon notorischer Pünktlichkeit und hochrigider Prozessvorgaben in der Lage, auf eine ad hoc Kundenanfrage eines Passagiers einen Zug ausserplanmässig halten zu lassen, wenn diese*r wie neulich zur Prüfung auf die Uni wollte aber irrtümlich einen Schnellzug gewählt hatte, der am Uni-Städtche fahrplanmässig gar nicht stehen bleibt! 

Das kommt der etwas martialischen Vorgabe im subjektiven Kontext von Willink «Discipline equals freedom» im organisatorischen recht nahe: Sich durch harte Disziplin Freiheitsräume eröffnen.

Hochgradige Automatisierung ist der Schlüssel dafür – sowie die volle Internalisierung und intersubjektiv nachvollziehbare Dokumentation in agilen Werkzeugen wie (Confluence oder noch besser Werkzeuge wie Notion, Airtable und Trello, idealerweise mit API und Markdown ald Textformat) als «Enterprise Awareness».

Warum es schwierig ist: Big Fail Approach

Der hier vorgestellte integrative Ansatz für organisatorische und Kundenentwicklung mit technischen Normen und Standards lässt sich in der Praxis aus einem einfachen Grund nicht einfach umsetzen: Sie werden kaum einen Expert-Generalist finden, der eine gute Übersicht über die verschiedenen, teils branchenspezifischen technischen Standards hat und die verschiedenen Compliance-Bälle (gerade bei grösseren Organisationen richtig einschätzen) und sie alle gleichzeitig in der Luft halten und strategisch zu einer gesamten Lösung hinführen kann. 

Der Markt ist ganz im Gegenteil durchsetzt von Global Playern und einzelnen hoch kommoditisierten Einzelangeboten zur Implementierung einzelner Standards und einzelner Rahmenwerke, die sich teilweise noch bewusst gegeneinander ausspielen. Sie sind am Verkauf Ihrer standardisierten Beratungsleistung interessiert, nicht am sorgfältigen Einsetzen in genau Ihrer Organisation. 

Dennoch argumentiert eine der grossen Beratungsfirmen der «Big Four» in der Schweiz dreist zu Gunsten Ihres Schwerpunkts ISAE 3402, indem sie kontrafaktisch ausgerechnet die Individualität und Anpassungsmöglichkeiten der ISAE-3402-Massnahmen behaupten und das in Kontrast zur angeblich stur verdrahteten IEC 27001 stellt, die eine reine uniforme Checkliste darstelle. Da ISO/IEC 27001 auf einer vorangehenden Risikoanalyse aufbaut und nur im Anhang eine beispielsweise Checkliste anführt, ist das schlichtweg falsch.

Es ist auch insofern irreführend, als sie wegen des arbiträren Charakters von ISAE 3402 (sie können ihre Massnahmen dort ohne Risikoanalyse freihändig bestimmen) sich danach nicht nur problemlos auch die ISO/IEC Zertifizierung abholen können, sondern gewissermassen von neuem beginnen müssen. Die behauptete vermeintliche Individualität der Einführung von ISAE 3402 ist so nur Ausdruck der Beschränktheit des Anbieters, der eben genau nur diese Sache gut beherrscht und diese skalieren möchte.

Dabei ist ISAE 3402 gar kein Standard zur Einführung eines Informationssicherheits-Management-Systems, sondern nur ein Standard für einheitliches Reporting im Konzernumfeld. ISAE 3402 kann so auch auf ISO 27001 aufbauen, nicht aber umgekehrt.

Richtig ist das vorhin erwähnte Argument der starren Verdrahtetheit hingegen mit Bezug auf den BSI Grundschutz: Tatsächlich sind das blosse Checklisten, die einem fremde Vorgaben aufzwingen und weder Internalisierung noch Individualisierung von Compliance-Massnahmen zulassen noch Anschlussfähigkeit erzeugen. Man kann über den Wert des BSI Grundschutz diskutieren, eine Absicherung gegen Risiken nach einer Checkliste erscheint aber etwas fragwürdig, insbesondere gegen böswillige Hacker.

Davon können Sie sich zum Glück gut emanzipieren: Technischen Standards und Rahmenwerke entfalten genau den Vorteil, dass sie eben NICHT von gewinnorientierten Beraterfirmen abhängen, sondern davon unabhängig sind.

Wie es möglich wird: Internalisiertes CISM statt externe Beratung von der Stange

Wenn Sie – wie bei der Real Option-Theorie – die möglichen Compliancemassnahmen sinnvoll miteinander kombinieren und nacheinander einführen möchten, benötigen Sie eine internalisierte Perspektive auf Ihr Corporate Information Security Management auf Ihre Organisation und Situation. Nur so können Sie das machen, was Ihnen weiter hilft und was Sie in einzelnen Etappen mit möglichst wenig Reibung und Treibstoff zum Ziel führen kann.

Resümee

Es gibt also eine grosse Menükarte, um mit technischen Normen und Rahmenwerken nicht nur zu überleben, sondern um organisatorisch nachhaltig zu wachsen: Es liegt an Ihnen, zu bestellen und sich das ideale Menü auszuwählen!

Viel Spass dabei, mit der Kunst des Möglichen und mit «Extreme Cloud Compliance»!