Wer heute über die IT-Steuerung eines Kreditinstituts spricht, kommt an einem Begriff nicht vorbei: BAIT – die bankaufsichtlichen Anforderungen an die IT. Hinter dem Kürzel verbirgt sich kein weiteres Technik-Dokument für Spezialisten, sondern eine klare Erwartungshaltung der Aufsicht an das gesamte Haus: IT ist nicht länger „Unterstützung“, sie ist Produktionskern. Damit verschiebt sich die Verantwortung aus dem Serverraum in die Chefetage. BAIT beschreibt das Betriebssystem, auf dem eine Bank ihre IT sicher, beherrscht und prüfbar organisiert – von der Strategie über den Betrieb bis zur Auslagerung. Wer BAIT richtig liest, erkennt, dass es nicht um hübsche Policies geht, sondern um gelebte Routinen, um nachweisbare Wirksamkeit und um die Fähigkeit, in der Krise reproduzierbar zu handeln. Dieser Beitrag ordnet BAIT in den aufsichtsrechtlichen Kontext ein, erläutert die gemeinsame Logik hinter Governance, Risiko, Sicherheit, Berechtigungen, Entwicklung, Betrieb und Auslagerungen und zeigt, welche Schritte Institute jetzt konkret gehen sollten, damit „BAIT-konform“ nicht auf Papier, sondern im Alltag funktioniert.

Warum BAIT? Von der Technikinsel zum Steuerungsmodell

Die Ausgangslage ist einfach: Banken sind digital getriebene Organisationen. Wertschöpfung, Kundenschnittstellen, Zahlungsverkehr, Handel, Meldewesen – alles hängt an Anwendungen, Datenflüssen und Dienstleistern. Fehler in der IT sind keine isolierten Störungen mehr, sondern Geschäftsrisiken. BAIT ist die Antwort darauf. Die Anforderungen verankern IT-Strategie und -Risiko im Herzen der Gesamtsteuerung, verzahnen Informationssicherheit mit Projekt- und Betriebsdisziplin und machen die Auslagerungssteuerung zur Pflichtaufgabe des Managements. Das Regelwerk ist dabei ausdrücklich prinzipienorientiert: Die Aufsicht schreibt kein starres Rezept vor, sondern Ziele und Mindeststandards. Wie ein Institut diese Ziele proportional zu Größe, Komplexität und Risikoprofil erreicht, muss es selbst tragfähig gestalten – und im Zweifel der Prüfung standhalten.

Die Balanced Scorecard (BSC), ein Konzept, das maßgeblich das moderne Management geprägt hat, entstand aus der Zusammenarbeit zweier renommierter Professoren: Robert S. Kaplan und David P. Norton. Als Mitglied des Fakultätsteams der Harvard Business School, zeichnete sich Kaplan durch seine innovative Arbeit in den Bereichen Controlling und Kostenmanagement aus. Besonders hervorzuheben ist dabei sein Beitrag zur Entwicklung der Prozesskostenrechnung, bekannt als Activity Based Costing, welches einen tiefgreifenden Einfluss auf die Unternehmensführung hatte.

Neben Kaplan spielte auch David P. Norton eine entscheidende Rolle in der Gestaltung der BSC. Als Wissenschaftler und Berater brachte er seine umfassende Erfahrung und sein Verständnis für Managementprozesse in das Projekt ein, wodurch die praktische Anwendbarkeit der BSC gewährleistet wurde. Gemeinsam führten Kaplan und Norton in den frühen 90er Jahren ein Forschungsprojekt mit einer Auswahl von US-amerikanischen Unternehmen durch, das darauf abzielte, bestehende Kennzahlensysteme zu revolutionieren.

Effektives und effizientes Projektmanagement ist in der heutigen Zeit nicht mehr wegzudenken . Ein Projekt zeichnet sich durch Einmaligkeit und einen definierten und begrenzten „Lebenszyklus“ aus. Daneben besitzt ein Projekt die Merkmale, dass ein definiertes Ziel mit definierte und messbare Anforderungen gibt. Zumeist müssen diese Ziele mit begrenzte Ressourcen und vor allem begrenzter Zeit erreicht werden. Um diese Anforderungen zu steuern bedarf es einer strukturierten Methode.

PRINCE 2 ist eine Methode, die ein skalierbares Vorgehensmodell definiert, welches aus erfolgreichen und gescheiterten Projekten abgeleitet wird. Es werden hierbei Prozesse, Komponenten, Techniken definiert, wobei jedoch das was nicht benötigt wird, weggelassen werden kann um unnötige Bürokratie zu vermeiden. Der Vorteil dieser Methode liegt darin, dass das Vorgehensmodell generisch ist und sich nicht nur – wie oft bei modernen Vorgehensmodellen – auf den Bereich der IT, sondern auch z.B. bei Bau oder Organisationsprojekten angewendet werden kann. Die Rechte an dem begriff und den Grundlagen der PRINCE2 Methodik liegen bei der OGC (Office of Government Commerce). Wobei der inhaltliche Input und die Fortschreibung des Konzeptes offen vorliegt und weltweite Best-Practices enthält. Dass OGC trägt auch die Verantwortung für Zertifizierungen von Projektleitern und Organisationen

Wenn ich mein Gerät mit ins Unternehmen bringe, habe ich sehr viele Vorteile auf meiner Seite. Ich darf mein Smartphone nutzen, mein Tablet oder mein Notebook. Ich darf mit den Geräten arbeiten, die mir bekannt sind und somit kann ich auf jeden Fall bessere Arbeit leisten. Aber was ist, wenn mein Job gar nicht so sicher ist und ich eines Tages gehen muss? Was passiert denn dann mit den Firmendaten? Wozu verpflichte ich mich? Oder was ist, wenn ich das Unternehmen freiwillig verlasse, vielleicht wegen eines anderen Jobs oder weil ich ein Baby erwarte?

Es gibt unzählige Fragen, die ein Arbeitnehmer sich stellen kann, wenn er sein privates Gerät mit in die Firma bringen kann und dort für die Arbeit nutzt. BYOD ist recht interessant, denn man kennt sein eigenes Gerät immer noch am besten und arbeitet damit auch viel effektiver. Aber man möchte auch keine Probleme bekommen, wenn man sein Arbeitsverhältnis kündigt oder einem gekündigt wird oder man in Rente geht. Natürlich hat der Arbeitgeber das Verfügungsrecht und man darf die Daten nicht weiter nutzen.

BYOD ist zu einem wahren Trend geworden, wenn es darum geht, die privaten Geräte mit auf die Arbeit zu bringen oder aber die Geschäftsgeräte auch privat zu nutzen. Jede Firma macht dies ganz nach eigenem Belieben. Sind genügend Firmengeräte vorhanden, kann der Mitarbeiter diese mitnehmen. Sind nicht genug vorhanden, kann das private Gerät mitgebracht werden und so effektiver gearbeitet werden. Es ist wohl nicht wirklich verwunderlich, dass der Trend aus Amerika stammt und schon erfolgreich in viele Firmen Deutschlands gefunden hat. Klar zu sagen ist, dass es nicht einfach nur ein Trend ist, sondern eine perfekte Lösung für viele Unternehmen und Mitarbeiter. Die meisten Firmen in Deutschland entscheiden sich dafür, dass die Mitarbeiter die privaten Geräte auch geschäftlich nutzen dürfen und das aus den verschiedensten Gründen.

Die Vorteile der privaten Geräte
Bringt der Mitarbeiter die privaten Geräte mit, spart ein Unternehmen die Anschaffungskosten. Das ist bei vielen Mitarbeitern auch eine enorme Summe. Bei kleinen Unternehmen ist es oft so, dass jeder Cent zählt und somit macht es auch hier gute Einsparungen bemerkbar. Im Ganzen kann man also sagen, das Unternehmen hat geringer Kosten für Anschaffungen und Support. Denn immerhin kennt ein Mitarbeiter sein Privatgerät und kann somit die Probleme schnell lösen, die schon mal aufkommen können. Bei einem Firmengerät, welches nicht bekannt ist, müsste man sich an den Support wenden.
Private Geräte sind somit auf jeden Fall leistungsfähiger, denn zum einen kaufen so manche Privatleute das Feinste vom Feinsten, während Unternehmer gerade nur so viel ausgeben wie nötig und die Geräte somit auch nur das Nötigsten können. Die Mitarbeiter kennen sich mit den Geräten aus und sind von daher auch viel motivierter und können viel mehr leisten, was für eine gesteigerte Mitarbeiterzufriedenheit sorgt, die keinem Chef unwichtig sein darf. Denn wenn die Mitarbeiter zufrieden sind, arbeiten sie wieder noch schneller und besser, können eigene Ideen gut einbringen, sind immer freundlich und verlassen das Büro auch mit besserer Laune. Wenn so die Freizeit mehr gesichert ist, kommt der Mitarbeiter am nächsten Tag erholter ins Büro. Ein sehr sinnvoller Kreislauf!
Mit den privaten Geräten sind Mitarbeiter flexibler und mobil. So kann es durchaus sein, dass man bei einer Erkältung nicht ins Büro kommt, aber dem Chef anbieten kann, einige Stunden am Tag zu arbeiten oder wenigsten ganz wichtige Dinge vom Bett aus zu erledigen. Manche Mitarbeiter fühlen sich zu krank, um die Fahrt ins Büro anzutreten, aber sind doch gesund genug, um von zu Hause aus zu arbeiten, was mit den privaten Geräten dann nicht sonderlich schwer ist.