BLOG

BLOG

Categories:   All Categories
Suggested keywords
x
Markus Groß

Third Party Resilience: Nach DORA ist vor der Prüfung

IT
Third Party Resilience: Nach DORA ist vor der Prüfung

Am Tag, an dem DORA anwendbar wurde, endete kein Projekt – es begann ein Dauerzustand. Kaum irgendwo wird das deutlicher als bei der Resilienz von Drittparteien. Die Jahre zuvor hatten viele Häuser in Fragebögen, Vertragsanhängen und Zertifikaten einen hinreichenden Nachweis gesehen, dass ihre Auslagerungen „unter Kontrolle“ seien. Heute weiß jeder, der operative Verantwortung trägt: Kontrolle beginnt nicht im PDF, sondern im Betrieb. Sie beginnt dort, wo Informationsflüsse, Schnittstellen, Protokolle, Wiederanläufe, Meldungen und Entscheidungen sich tatsächlich bewegen. Und sie endet nicht mehr an der Unternehmensgrenze. „Third Party Resilience“ ist zur Kernkompetenz geworden – fachlich, technisch, organisatorisch, juristisch. Der Satz „Nach DORA ist vor der Prüfung“ bringt es auf den Punkt: Wer jetzt nicht in einen belastbaren Betriebsmodus wechselt, wird die nächste Aufsichtsrunde nicht nur als Formalie, sondern als Stresstest erleben.

Von der Auslagerung zur Abhängigkeit: Warum die Messlatte gestiegen ist

Die Modernisierung der Finanz-IT hat drei Bewegungen zusammengeführt: Cloudifizierung kritischer Kernprozesse, Spezialisierung entlang der Wertschöpfungskette und ein exponentielles Wachstum an Software-as-a-Service in Fachbereichen. Was als Effizienz- und Innovationsmotor begann, hat die Systemkopplung dramatisch erhöht. Eine Authentifizierungsstörung in einem globalen IAM-Dienst, eine Aktualisierung im Zahlungs-Gateway, eine veränderte Drosselungslogik in einer API-Plattform – schon kleine Ereignisse strahlen heute weit in Geschäftsprozesse hinein. DORA hat diese Realität nicht geschaffen, aber sie hat sie regulatorisch sichtbar gemacht: Verantwortlichkeit bleibt im Institut, auch wenn Leistung extern erbracht wird. Das ist keine Drohung, es ist eine Einladung zur Professionalität. Wer die Kaskaden versteht, steuert; wer sie ignoriert, hofft.


Weiterlesen
2
Markiert in:
TPRM DORA 3rdParty ISMS
Tweet
1470 Aufrufe
Markus Groß

From Policy to Practice: Governance, die tatsächlich wirkt

IT
From Policy to Practice: Governance, die tatsächlich wirkt

Es klingt immer überzeugend, wenn Unternehmen ihre Governance herausstellen: aktuelle Richtlinien, detailreiche Prozesslandkarten, sauber benannte Rollen, ein Gremium für jedes Thema. Und doch bleibt in vielen Häusern das gleiche Gefühl zurück: Warum ändert das alles so wenig am Alltag? Warum geraten Entscheidungen ins Stocken, obwohl die Regeln klar sind? Warum werden Risiken sauber beschrieben, aber zu spät adressiert? Warum explodieren Vorfälle in Kosten, obwohl alle ihre Pflichten kennen? Der Grund liegt selten in mangelndem Willen, fast nie im Fehlen von Papier – er liegt in der Lücke zwischen Policy und Praxis. Governance wirkt erst, wenn sie nicht nur sagt, was sein soll, sondern wie es zur richtigen Zeit am richtigen Ort geschieht, messbar, wiederholbar, beweisbar. Dieser Beitrag zeichnet eine Landkarte, wie man diese Lücke schließt: von der Sprache zur Ausführbarkeit, von der Absicht zur Evidenz, von der Gremienroutine zum operativen Takt, von der Einzellösung zur unternehmensweiten Lernschleife.

Warum gute Policies oft wenig bewegen

Richtlinien sind Versprechen. Sie definieren Erwartungen, beschreiben Grenzen, sichern Pflichten ab. In der Praxis prallen sie jedoch auf drei unsichtbare Wände. Erstens ist die kognitive Last zu hoch: Mitarbeitende sollen komplexe, juristisch präzise Texte erinnern und in Sekunden auf reale Situationen übertragen – unter Zeitdruck, mit unvollständiger Information, über Systemgrenzen hinweg. Zweitens fehlt die Anschlussfähigkeit: Selbst exzellent formulierte Policies enden an der Schranke zum Tagesgeschäft, wenn Systeme, Workflows und Verträge nicht so gestaltet sind, dass das Richtige durch das Doing passiert. Drittens fehlt die Konsequenz: Wo Verstöße folgenlos bleiben, wo Ausnahmen nicht ablaufen, wo Eskalationen aus Höflichkeit vertagt werden, verliert Governance ihre Schärfe. Sie wird zur höflichen Bitte. Policies, die bewegen sollen, müssen daher Verständlichkeit, Ausführbarkeit und Konsequenz vereinen – sonst bleiben sie gute Literatur.


Weiterlesen
2
Markiert in:
Governance Policy ISMS
Tweet
1494 Aufrufe
Markus Groß

Cyber-Resilienz messbar machen: KPIs, die wirklich zählen

IT
Cyber-Resilienz messbar machen: KPIs, die wirklich zählen

Die meisten Unternehmen reden über Resilienz, als wäre sie ein Gefühl: „Wir sind besser vorbereitet“, „Unsere Verteidigung ist gestärkt“, „Wir haben vieles verbessert“. Das klingt beruhigend – und ist doch häufig nur ein Echo aus Projektsitzungen. Resilienz ist kein Stimmungsbild, sondern ein Ergebnis. Und Ergebnisse lassen sich messen. Genau darin liegt die eigentliche Herausforderung: Cyber-Resilienz messbar zu machen, ohne sich in Zahlen zu verlieren, die zwar schön aussehen, aber nichts verändern. Wer mit Kennzahlen nur berichtet, statt zu steuern, betreibt Statistik – nicht Führung. Dieser Beitrag zeigt, wie messbare Resilienz wirklich funktioniert: mit wenigen, harten Kennzahlen, die Verhalten lenken; mit einer Zeitlogik, die Kosten sichtbar macht; mit Nachweisen aus dem Betrieb statt aus PowerPoint; mit Lieferkettenmetriken, die nicht beschwichtigen, sondern verlässlich machen; mit Übungen, die Zahlen erzeugen, auf die man bauen kann; und mit Governance, die Kennzahlen in Konsequenzen übersetzt.

Warum Resilienz Zahlen braucht – und zwar die richtigen

Cyber-Resilienz ist die Fähigkeit, trotz Vorfällen handlungsfähig zu bleiben, schnell zu erkennen, zügig zu entscheiden, gezielt zu isolieren und verlässlich wiederherzustellen. Dieses „trotz, schnell, zügig, gezielt, verlässlich“ ist keine Poesie, es ist eine Zeitkette. Solange Unternehmen Resilienz als Zustand beschreiben – „reif“, „fortgeschritten“, „gut unterwegs“ – bleibt sie angreifbar, weil niemand weiß, ob das Urteil hält, wenn Stress einsetzt. Zahlen zwingen zur Klarheit: Wie lange dauert Erkennung in kritischen Prozessen? Wieviel Zeit vergeht, bis eine Entscheidung getroffen ist? Wie fix gelingt die Isolation? Wie zuverlässig der Wiederanlauf? Wie verändert sich der erwartete Schaden, wenn eine dieser Zeiten um 30 Minuten länger wird? Antworten darauf beenden Bauchgefühl. Sie schaffen eine Führungssprache, die Technik, Recht, Betrieb, Finanzen und Kommunikation zusammenbringt: Zeit, Wirkung, Kosten.


Weiterlesen
3
Markiert in:
KPI KRI Cyber Resilienz
Tweet
1566 Aufrufe
Markus Groß

Compliance fatigue: Wenn Richtlinien Mitarbeitende ermüden

IT
Compliance fatigue: Wenn Richtlinien Mitarbeitende ermüden

Es beginnt selten mit einem großen Knall. Eher wie leises Rauschen, das den Alltag überlagert: neue Richtlinien, ergänzende Leitfäden, Updates zu bekannten Prozessen, veränderte Freigabeschritte, Lernmodule, Bestätigungs-Buttons, anstehende Audits, Hinweis auf geänderte Meldewege, strengere Dokumentationspflichten, zusätzliche Kontrollen. Jedes einzelne Element wirkt vernünftig. Zusammengenommen entsteht ein Klima steter Überforderung. Man arbeitet „unter Aufsicht“, aber nicht mehr mit Aufsicht. Und irgendwann fällt der Satz, den Führungskräfte am häufigsten hören und am ungernsten ernst nehmen: „Es ist einfach zu viel.“ Was wie Jammern klingt, ist in Wirklichkeit ein Organisationssignal von hoher Relevanz: Compliance fatigue – die Ermüdung durch Übermaß an Regeln, Nachweisen und Pflichten – mindert Wirksamkeit, erhöht Fehlerrisiken, begünstigt Umgehungspfade und frisst Kulturvertrauen auf. Dieser Beitrag erklärt, warum die Müdigkeit entsteht, wie sie sich zeigt, welche Folgeschäden sie anrichtet, und vor allem, wie Unternehmen den Schalter von Erschöpfung zu Ermöglichung umlegen: mit weniger Lärm, klareren Entscheidungen, verständlichen Regeln, automatisierten Nachweisen und einer Führung, die nicht „mehr“ verlangt, sondern besser.

Warum gute Absichten schlechte Effekte haben

Die Logik ist verführerisch: Mehr Regulierung, mehr Risiken, mehr Reputationsdruck – folglich braucht es mehr Richtlinien, mehr Kontrollen, mehr Schulungen, mehr Nachweise. In der Summe entsteht jedoch keine Sicherheit, sondern Verwaltung der Angst. Jede neue Vorgabe konkurriert um Aufmerksamkeit, kognitive Kapazität und Zeitfenster, die ohnehin knapper werden. Mitarbeitende erleben eine stete Verschiebung vom Tätigsein zum Belegen des Tätigseins. Wenn das Verhältnis kippt, tritt ein paradoxes Phänomen ein: Je intensiver Kontrolle eingefordert wird, desto wahrscheinlicher wird das Kontrollversagen – nicht aus Widerstand, sondern aus Erschöpfung.


Weiterlesen
3
Markiert in:
ISMS Fatique Compliance
Tweet
1465 Aufrufe
Markus Groß

GRC-Dashboards: Wie Transparenz zur Führungsdisziplin wird

IT
GRC-Dashboards: Wie Transparenz zur Führungsdisziplin wird

Vorstände lieben Ampeln. Rot, Gelb, Grün versprechen Ordnung in einer Welt, die selten geordnet ist. Chief Risk Officers lieben Heatmaps. Quadranten vermitteln das Gefühl, man habe Komplexität in den Griff bekommen. Compliance liebt PDF-Berichte. Viele Seiten geben den Eindruck von Vollständigkeit. Und doch passiert in unzähligen Unternehmen dasselbe Ritual: Die Präsentation läuft, die Ampeln leuchten, die Quadranten flimmern, die PDFs stapeln sich – und am Tag danach trifft die Organisation Entscheidungen anhand von Einzelmeinungen, E-Mail-Threads und Ad-hoc-Calls. Aus schönen Berichten wird selten Führung. Genau an dieser Bruchkante setzt der radikale Gedanke eines modernen GRC-Dashboards an: Transparenz ist kein dekoratives Element, sondern eine Führungsdisziplin. Sie wird nicht an Folien gemessen, sondern an der Fähigkeit, Handlungen auszulösen, die sich nachweisen lassen. Ein GRC-Dashboard, das diesen Namen verdient, ist nicht eine weitere Sicht auf Daten. Es ist ein Betriebsinstrument, das Governance, Risk und Compliance in den Takt der Organisation übersetzt.

Vom Bericht zum Betrieb: Was ein Dashboard heute leisten muss

Das klassische Verständnis sah im Dashboard eine Verdichtung. Zahlen aus Security, Datenschutz, Legal, Audit, Betrieb und Einkauf wurden gesammelt, grafisch aufbereitet und regelmäßig vorgelegt. Die Annahme dahinter: Wenn Entscheidungsträger die wichtigsten Informationen auf einen Blick vor sich sehen, treffen sie bessere Entscheidungen. Diese Annahme ist nicht völlig falsch – aber unvollständig. Ein Dashboard, das allein informiert, erzeugt häufig Unverbindlichkeit. Die Inhalte werden zur Kulisse; die eigentliche Arbeit verlagert sich zurück in die Linien, wo Stimmenstärke und Verfügbarkeit mehr zählen als Evidenz.


Weiterlesen
2
Markiert in:
GRC Governance Risk Compliance ISMS
Tweet
1546 Aufrufe
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Datenschutz | Impressum