Trotz erheblicher Investitionen in DevOps und CI/CD stoßen viele Banken bei der Softwarebereitstellung immer noch auf ein zentrales Hindernis: manuelle Governance-Prozesse. Diese bremsen nicht nur die Innovationsgeschwindigkeit, sondern bergen auch Compliance-Risiken. ITWelt.at hat sich eine aktuelle Kosli-Studie zu diesem Thema angesehen. [...]
Traditionelle Governance-Modelle in der Softwareentwicklung setzen nach wie vor auf papierbasierte Prozesse, manuelle Dokumentation und langsame Freigabeschritte. Diese Methoden wirken in einer Welt, in der Software noch jährlich veröffentlicht wurde, doch sie passen nicht mehr zur heutigen Dynamik und Komplexität. Insbesondere in stark regulierten Branchen wie dem Bankwesen wird Governance häufig zum Flaschenhals, der ganze Entwicklungszyklen ausbremst. Laut einer internen Umfrage bei Morgan Stanley etwa kostet allein die Vorbereitung und Genehmigung von Change Tickets jährlich rund 200.000 Stunden – ohne dass dadurch echte Sicherheit gewährleistet wird.
Governance als Entwicklungsbremse
Die Studie „Unbricking the Wall: Rethinking Governance to Unlock Software Delivery at the World’s Largest Banks“ von Kosli beschreibt, wie manuelle Kontrollen den Fortschritt behindern. Entwickler müssen Nachweise zusammentragen, Genehmigungen einholen und sich durch veraltete IT-Service-Management-Systeme (ITSM) kämpfen, die nicht auf die Anforderungen moderner CI/CD-Prozesse ausgelegt sind. Während Cloud-native Unternehmen wie Amazon oder Netflix zehntausende Änderungen täglich produktiv setzen, verlangsamt sich die Release-Frequenz bei traditionellen Banken erheblich. Die Governance-Prozesse, so das Fazit, simulieren Kontrolle, erzeugen aber oft nur Scheinsicherheit.
Dabei ist das Ziel klar: Software soll sicher, regelkonform und schnell ausgeliefert werden. Doch die Diskrepanz zwischen regulatorischen Anforderungen und technologischer Umsetzung führt häufig zu ineffizienten, fehleranfälligen Übergabelösungen – eine Herausforderung, die durch neue Wettbewerber verschärft wird.
Der Wettbewerbsdruck wächst
Neobanken und Fintechs setzen auf schlanke, vollautomatisierte Prozesse und gewinnen Marktanteile. In Großbritannien etwa nutzten Ende 2024 rund 50 Prozent der Erwachsenen digitale Erstbanken, Tendenz steigend. In den USA könnten bis 2026 mehr als 34 Millionen Menschen ein Konto bei einer Neobank führen. Die traditionellen Banken geraten dadurch zunehmend unter Druck, denn jede verzögerte Produktveröffentlichung oder Sicherheitsaktualisierung bedeutet einen Wettbewerbsnachteil.
Die Studie verweist zudem auf regulatorische Konsequenzen mangelhafter Governance: So wurde Swedbank 2023 von der schwedischen Finanzaufsicht mit einer Strafe von über 81 Millionen US-Dollar belegt, nachdem unzureichend kontrollierte IT-Änderungen zu massiven Störungen im Zahlungsverkehr führten. Der Vorfall verdeutlicht, dass bestehende Kontrollmechanismen wie Change Advisory Boards (CAB) häufig keine ausreichende Schutzwirkung entfalten – zumal CABs laut Angaben der britischen Finanzaufsicht (FCA) mehr als 90 Prozent aller Änderungen einfach durchwinken.
Warum halbe Lösungen nicht ausreichen
Die Banken haben bereits versucht, das Problem durch verschiedene Ansätze zu lösen – etwa durch automatisierte Tickets, punktuelle Tools oder selbstentwickelte Compliance-Datenbanken. Doch diese Maßnahmen greifen laut Studie zu kurz. Sie behandeln nur Teilaspekte der Herausforderung und schaffen neue Probleme: hohe Wartungsaufwände, unzureichende Integration in die Toolchains oder Sicherheitslücken.
Ein zentrales Problem liegt in der fragmentierten Datenlage: Sicherheitsanalysen, Freigaben, Deployment-Protokolle – all diese Informationen liegen in unterschiedlichen Systemen vor, ohne dass sie zentral zusammengeführt werden. Das macht Governance zu einer organisatorischen wie technischen Mammutaufgabe.
Stattdessen fordert Kosli einen ganzheitlichen Blick auf den Softwarelebenszyklus: Governance müsse als End-to-End-Prozess verstanden und technisch in die bestehende Infrastruktur integriert werden – unabhängig von verwendeten Tools oder Cloud-Umgebungen.
Eigenschaften einer idealen Lösung
Ein wirksamer Ansatz zur Governance-Automatisierung umfasst laut Kosli vier zentrale Säulen:
- Automatisierte Nachweiserfassung über den gesamten Lebenszyklus: Anforderungen, Codeänderungen, Tests und Sicherheitsüberprüfungen werden automatisch dokumentiert – revisionssicher, nachvollziehbar und in Echtzeit.
- Toolunabhängigkeit: Die Lösung muss sich flexibel in bestehende CI/CD-Landschaften einfügen und mit unterschiedlichen Werkzeugen interagieren können.
- Automatisierte Kontrollmechanismen: Statt manuelle Freigaben sollen Richtlinien automatisch überprüft und durchgesetzt werden, was Geschwindigkeit und Sicherheit erhöht.
- Echtzeitüberwachung und Compliance im laufenden Betrieb: Veränderungen in der Produktionsumgebung werden kontinuierlich auf ihre Regelkonformität geprüft – Abweichungen können sofort erkannt werden.
Dieses Idealbild steht im starken Kontrast zur derzeitigen Realität in vielen Banken, wo Compliance als aufgesetztes Element am Ende des Entwicklungsprozesses verstanden wird.
Buy vs. Build: Warum Eigenentwicklungen scheitern
Kosli argumentiert gegen Eigenlösungen. Zwar hätten einige Banken versucht, eigene Tools zu entwickeln, doch diese Projekte laufen oft aus dem Ruder – mit hohen Kosten, langen Entwicklungszeiten und geringem Mehrwert. Studien von McKinsey zufolge überschreiten große IT-Projekte im Durchschnitt ihr Budget um 45 Prozent, liefern 56 Prozent weniger Nutzen als erwartet und dauern sieben Prozent länger als geplant.
Daher empfiehlt das Unternehmen den Einsatz einer kommerziellen Standardlösung (COTS – Commercial Off The Shelf), die sofort einsatzbereit ist und durch ein spezialisiertes Team begleitet wird. Diese bietet nicht nur technische Funktionen, sondern auch methodische Unterstützung durch sogenannte „Controls Engineers“, die regulatorische Anforderungen in technische Maßnahmen übersetzen.
Governance als dynamischer Prozess
Kosli betont, dass Governance kein einmaliges Projekt sei, sondern ein kontinuierlicher Transformationsprozess. Neue regulatorische Anforderungen, sich wandelnde Sicherheitsbedrohungen und technologische Veränderungen erfordern laufende Anpassungen. Die Plattform unterstützt Unternehmen dabei, Governance-Richtlinien dynamisch weiterzuentwickeln, ohne bestehende Entwicklungsprozesse zu behindern.
Der Einsatz einer entsprechenden Lösung soll es Banken ermöglichen, Geschwindigkeit und Sicherheit miteinander zu verbinden – zwei Ziele, die bislang oft als unvereinbar galten. Die Automatisierung von Governance-Prozessen kann somit nicht nur Risiken senken, sondern auch zur strategischen Differenzierung im Wettbewerb beitragen.
Das Fazit der ITWelt-Redaktion
Die Studie von Kosli zeichnet ein realistisches Bild der Herausforderungen bei der Software-Governance in regulierten Branchen. Sie identifiziert Schwachstellen in bestehenden Prozessen, beschreibt technische und organisatorische Ursachen für ineffiziente Abläufe und skizziert einen praxistauglichen Lösungsweg. Besonders überzeugend ist der ganzheitliche Ansatz, der Technologie, Prozesse und Regulatorik zusammenführt.
Statt punktueller Optimierung propagiert Kosli einen Paradigmenwechsel: Governance soll nicht länger als notwendiges Übel verstanden werden, sondern als integraler Bestandteil moderner Softwareentwicklung. Die vorgestellte Plattform könnte in vielen Banken den entscheidenden Impuls geben, um aus dem selbst geschaffenen Labyrinth manueller Kontrolle auszubrechen.
Die Studie kann hier heruntergeladen werden.
Be the first to comment