Es gab eine Ära, in der „Governance“ der Stoff für Policies, Organigramme und Audit-Agenden war. Man schrieb Richtlinien, legte Rollen fest, dokumentierte Risiken – und hoffte, dass all das im Ernstfall trägt. Diese Ära endet. Mit dem AI Act und dem Cyber Resilience Act (CRA) rückt die EU Governance an den Ort, an dem sich Wahrheit nicht vertuschen lässt: in die Produktentwicklung und den Betrieb. Plötzlich zählt nicht mehr, ob eine Regel existiert, sondern ob Ihr Produkt – Hardware, Software, Service, Modell – unter Last das hält, was Ihr Governance-Papier verspricht. Governance wird zur Produktprüfung. Wer das als Bürokratie empfindet, hat den Kern verfehlt. Wer es als Chance begreift, baut die Brücke zwischen Recht, Risiko und Ingenieursarbeit – und gewinnt Geschwindigkeit, Vertrauen und Marktzugang.

Der Kipppunkt: Von Papier-Governance zu Prüf-Governance

Warum dieser Bruch? Weil zwei Bewegungen zusammentreffen. Erstens KI-basierte Funktionen durchdringen Produkte quer durch alle Branchen – vom Risiko-Scoring in der Bank über visuelle Inspektionen in der Fertigung bis zu generativen Assistenten in SaaS-Plattformen. Zweitens zwingt die Digitalisierung der Lieferketten praktisch jedes Produkt, „mit dem Internet“ zu sprechen – und damit angreifbar zu sein. Wenn Fehlentscheidungen eines Modells diskriminieren können und eine Schwachstelle im Update-Mechanismus Hunderttausende Geräte trifft, dann reichen schöne Policies nicht mehr. Die EU schlägt daraus zwei Fäden: AI Act (Fokus: verantwortliche KI) und CRA (Fokus: durchgängig sichere Produkte mit digitalen Elementen). Beide Fäden laufen in derselben Mechanik zusammen: Konformität = Fähigkeit + Nachweis. Fähigkeit entsteht in Architektur, Code, Daten und Betrieb. Nachweis entsteht in Tests, Telemetrie und technischer Dokumentation.

Die derzeit aktuellste Studie zum Thema Bring your own Device (BYOD) wurde von der Unternehmensberatung Gartner im Mai 2013 veröffentlicht. Die Analysten haben hierfür weltweit CIOs von großen Unternehmen nach ihrer Meinung und dem Potenzial zum BYOD-Trend und -Maßnahmen befragt. Wichtige Erkenntnisse der Studie sind:

• 38 Prozent der Befragten rechnen damit, dass sie im Jahr 2016 keine (mobilen) Endgeräte mehr für ihre Angestellten beschaffen müssen.
• In mittleren und großen Unternehmen sind BYOD-Programme derzeit schon weiter verbreitet als in kleineren Unternehmen.
• Gerade kleinen Unternehmen bietet BYOD jedoch die Möglichkeit, ohne große Investitionen mobiles Arbeiten zu unterstützen.

Ein Beachtliches Ergbnis der Auswertung ist auch, dass in den USA mehr als doppelt so viele Unternehmen BYOD-Maßnahmen wie in europäischen Ländern unterstützen. Sogar Länder wie Indien, China und Brasilien liegen bei der BYOD-Umsetzung weit vor Europa. Unabhängig davon, ob die Verwendung eigener Devices am Arbeitsplatz erlaubt ist, scheint ein Großteil der Mitarbeiter nach seinen Geräten süchtig zu sein. So geben 86 Prozent der Befragten an, dass sie ihre privaten Geräte Tag und Nacht für die Arbeit verwenden – 44 Prozent sogar während der Mahlzeiten. Daneben erachten sich 20 Prozent der Studienteilnehmer als "Fast-Workaholic", 15 Prozent nehmen ihre Geräte mit in den Urlaub, und für sieben Prozent gibt es nach eigenen Angaben keine Trennung mehr zwischen Arbeits- und Privatleben.

Das Thema Bring your own Device (BYOD), als das Mitbringen und die Nutzung von eigenen Geräten, wird gerade heiß diskutiert. Der Trend eigene Geräte wie Notebook, Smartphone oder neuerdings Tablet mit zur Arbeit zu bringen und diese dort auch in der Unternehmens-Infrastruktur dienstlich zu nutzen ist ungebrochen.

So zeigt die aktuell von dem Branchenverband BITKOM durchgeführte Studie (Link), dass bereits 71 Prozent der Arbeitnehmer private Geräte im dienstlichen Kontext nutzen. Eine Untersuchung von der Unternehmensberatung GARTNER (Link) ergab, dass 38 Prozent der befragten Unternehmen bereits damit rechnen im Jahr 2016 keine (mobilen) Endgeräte mehr für ihre Angestellten beschaffen zu müssen.

Ein Sicherheits-Deep-Dive, inspiriert von einer Prozessgrafik – und ergänzt um das, was die Praxis wirklich ausmacht

Wer heute an der Kasse sein Smartphone an das Terminal hält, löst damit ein erstaunlich komplexes Zusammenspiel aus Kryptografie, Hardware-Sicherheitskomponenten, Token-Diensten der Karten­netzwerke, Bankprüfungen und Händler-Backends aus. Von all dem bekommt man in der Regel nichts mit – und das ist gut so. Die eingangs gezeigte Prozessgrafik macht einen wichtigen Punkt sichtbar: Apple Pay und Google Pay verfolgen ähnlichen Zweck, aber unterscheiden sich im Architekturdetail, vor allem bei der Frage, wo sensible Informationen liegen und wie eine Zahlung kryptografisch gebunden wird. Aus dieser scheinbar kleinen Designentscheidung erwachsen spürbare Unterschiede in Angriffsfläche, Datenschutz und Betriebsmodell.