Wenn Ihr Governance-Framework niemanden verärgert, machen Sie etwas falsch
Gute Governance = Reibung: Effektive Governance sollte spürbare Reibung verursachen – ein Zeichen dafür, dass sie riskantes Verhalten aktiv verhindert.
Verärgerung bei Compliance-Prozessen erwarten: Bereiten Sie sich auf Unmut bei Entwicklern vor; effektive Governance schafft Grenzen, die zwar einschränkend wirken, aber letztendlich das Unternehmen absichern.
Null Reibung? Lieber nicht!: Ein Governance-Framework, das mit null Reibung wirbt, kann ein Warnsignal sein – es deutet auf fehlende Kontrollen und Aufsicht hin, die für das Risikomanagement unerlässlich sind.
Hier ist eine unbequeme Wahrheit: Wenn Ihre Governance-Richtlinien bei Ihren Entwicklern nicht zumindest für ein gewisses Maß an Verärgerung sorgen, funktionieren sie wahrscheinlich nicht.
Effektive Governance erzeugt zwangsläufig Reibung, denn genau diese Reibung zeigt an, dass Ihre Leitplanken aktiv riskante Verhaltensweisen verhindern und das Unternehmen schützen.
Kürzlich berichtete mir ein CTO von einem peinlichen Moment, als er bei einem vierteljährlichen All-Hands-Meeting stolz erzählte, wie das Team erfolgreich ein neues Governance-Framework mit „null Reibung und vollständiger Akzeptanz“ eingeführt hatte. Innerhalb einer Woche leakte ein nicht getaggter AWS-Bucket Kundendaten, was einen hektischen 72-stündigen Kriseneinsatz, eine Compliance-Strafe im sechsstelligen Bereich und eine demütigende Lektion zur Folge hatte.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Reibungslose Governance ist ein Mythos — und er hatte es auf die harte Tour bewiesen.
Wenn Sie bereit sind, eine Governance aufzubauen, die tatsächlich funktioniert—einschließlich der Beschwerden, die ihre Wirksamkeit beweisen—bietet unser IT Governance Toolkit die Rahmenwerke, Vorlagen und Messinstrumente, um sofort loszulegen.
Governance hat für Unternehmen mit agentischer KI höchste Priorität
Aktuelle Daten unterstreichen genau diesen Spannungsbogen zwischen Innovation und Kontrolle. Eine Umfrage des API-Management-Anbieters Gravitee ergab, dass nahezu 80 % der IT-Fachkräfte Governance als „äußerst wichtig“ einstufen—ein deutliches Zeichen für den großen Fokus auf eine verantwortungsvolle Einführung fortschrittlicher Technologien wie agentischer KI oder großer Sprachmodelle (LLMs).
Die gleiche Studie zeigte, dass zwar 72 % der Unternehmen diese fortschrittlichen KI-Lösungen aktiv einführen, viele jedoch weiterhin mit beträchtlichen Herausforderungen bei der Integration und Datensicherheit kämpfen—genau jene Risiken, die eine funktionierende Governance adressieren soll.
Wie Gravitee-CEO Rory Blundell anmerkt,
Unternehmen sind begeistert, agentische KI zur Steigerung der Produktivität einzusetzen, aber sie sind vorsichtig, was die Governance betrifft. Sobald Unternehmen diese Herausforderungen besser im Griff haben, wird die Einführung noch weiter beschleunigen.
Drei anschauliche Fehlerquellen (und warum sie bestehen bleiben)
1. Laxe Richtlinien
Unternehmen erstellen ausführliche „Best-Practice“-Leitfäden, setzen sie aber nicht durch, in der Annahme, dass Klarheit allein zur Einhaltung führt. In der Praxis betrachten Teams diese Leitfäden als optional, was zu inkonsistenter Umsetzung und letztlich zu deren Missachtung führt.
2. Bequemlichkeitskultur
Wenn Führungskräfte Benutzerfreundlichkeit und reibungslose Workflows über notwendige Einschränkungen stellen, überspringen Teams kritische Schritte. Jede Abkürzung schwächt die Sicherheit und Compliance und ebnet so den Weg für zukünftige Katastrophen.
Ven Auvaa, Director of Information Security bei ArmorPoint, betont diesen Konflikt:
Es ist schwierig, das Gleichgewicht zwischen Sicherheit und Bequemlichkeit zu wahren, und deshalb gibt es viel Frust gegenüber Governance-Frameworks. Werkzeuge, die die Sicherheit erhöhen, wie Multifaktor-Authentifizierung (MFA) oder regelmäßige Passwortänderungen, werden von Nutzern, die deren Bedeutung nicht vollständig verstehen, oft als umständlich empfunden. Viele Sicherheitsvorfälle entstehen genau deshalb, weil Benutzer als lästig empfundene Kontrollen umgehen und dadurch Schwachstellen schaffen. Das Erkennen und Adressieren von Nutzerfrust bei der Entwicklung von Governance-Konzepten ist entscheidend, um eine Balance zwischen Benutzerfreundlichkeit und Sicherheit zu erreichen.
3. Unkontrollierte Ausnahmen
Wenn einzelne Ingenieure regelmäßig „temporäre“ Berechtigungen oder Ausnahmen für kurzfristige Lösungen beantragen, werden diese oft zu dauerhaften Praktiken, die dann nicht mehr revidiert werden. Das Management sieht darüber hinweg, weil kurzfristige Erfolge langfristige Risiken überdecken. Im Laufe der Zeit häufen sich die Ausnahmen an, sodass komplexe Netze von Berechtigungen und Richtlinien entstehen, die kaum noch entwirrt oder effektiv geprüft werden können.
Srikanth Ramachandra, Client Value Architect bei UST, nennt einen Hauptgrund, warum diese Fehlerquellen bestehen bleiben:
Governance-Frameworks scheitern, wenn das Modell zu stark zentralisiert und eindimensional ist und unbeabsichtigt eine Bürokratie schafft, die lokale Teams daran hindert, rechtzeitig Entscheidungen entsprechend ihrer lokalen Kultur und Bedürfnisse zu treffen und damit Innovationen abwürgt. Ironischerweise sollte Governance genau dazu dienen, Flexibilität und schnelles Wachstum zu fördern. Das Problem verschärft sich, wenn es kaum Abstimmung zwischen Business und IT gibt und das Hauptaugenmerk auf Compliance-Kennzahlen liegt, statt echte Begeisterung bei Kunden und Partnern im Ökosystem zu erzeugen.
Ramachandra betont, dass erfolgreiche Governance ein föderiertes, transparentes und datengesteuertes Modell erfordert, bei dem die Entscheidungskompetenz an die Teams delegiert wird, die am nächsten am Geschehen sind:
Verantwortung zu erzwingen beginnt mit einem inklusiven Betriebsmodell, das kontinuierlich weiterentwickelt wird und Zweck, Vision, Richtlinien und Rollen klar formuliert. Letztendlich bestimmt die Unternehmenskultur, wie engagiert Governance angenommen und langfristig umgesetzt wird.
Diese Fehlermuster zu erkennen, ist der erste Schritt, aber für die Umsetzung sind systematische Maßnahmen erforderlich.
Unser IT-Governance-Toolkit bietet eine umfassende Health-Check-Scorecard, um den aktuellen Status Ihres Unternehmens zu bewerten, sowie einen 30-Tage-Sprint-Plan zur Behebung der kritischsten Lücken.
Gezielte Reibung ist unerlässlich
Gute Governance soll nicht jeden zufriedenstellen. Netflix hat das Konzept der „Paved Road“ eingeführt: Ein sicherer, standardisierter Weg, dem Teams folgen sollen – aber nicht müssen. Wer abweicht, trägt die operativen Belastungen und das erhöhte Risiko. Ingenieur:innen haben anfangs gemurrt, aber nach einem Jahr sind die Störfälle deutlich gesunken.
Ähnlich hat Capital One Sicherheits-Gates eingeführt, die risikoreiche Code-Zusammenführungen blockieren. Entwickler:innen waren zunächst frustriert über die „Bürokratie“, aber kritische Schwachstellen gingen um 40 % zurück.
Shopify automatisierte das nächtliche Löschen ungetaggter Cloud-Ressourcen – das führte anfangs zu Beschwerden, sparte aber letztlich Millionen an verschwendeten Cloud-Ausgaben.
Beschwerden sind der Beweis dafür, dass die Leitplanken funktionieren.
So bauen Sie Ihre eigenen Leitplanken auf
1. Kritische Regeln identifizieren
Entscheiden Sie, was nicht verhandelbar ist. Beispiele sind zwingende Ressourcen-Tags, absolutes Verbot öffentlicher S3-Buckets und verpflichtende Schwachstellen-Scans vor Code-Zusammenführungen.
2. Durchsetzung automatisieren
Nutzen Sie Policy-as-Code-Lösungen wie Terraform Sentinel, Open Policy Agent (OPA) und GitHub-Branchenschutz. Integrieren Sie die Einhaltung der Regeln frühzeitig in Ihre Deployments und Build-Prozesse, sodass Abweichungen sofort blockiert werden.
3. Das Gemurre messen
Verfolgen Sie Widerstände und Beschwerden als wichtige Indikatoren. Schweigen Ihre Slack-Kanäle, ist das ein Warnsignal: Ihre Regeln sind wahrscheinlich nicht streng genug.
4. Reibung feiern
Kommunizieren Sie regelmäßig über Vorfälle, die durch Ihr Governance-Framework verhindert wurden, und heben Sie messbare Ergebnisse hervor (Kosteneinsparungen, vermiedene Sicherheitsvorfälle), um den Nutzen gezielter Reibung zu verdeutlichen.
Für detaillierte Leitfäden zur Umsetzung, Policy-Vorlagen und Messrahmen laden Sie unser IT-Governance-Toolkit herunter. Es enthält einsatzfertige Terraform-Sentinel-Policies, GitHub-Branchenschutz-Vorlagen und Dashboards zur Messung von Reibungsmetriken.
Regulatorische Rückenwinde haben sich gerade gedreht
Die Trump-Regierung streicht die KI-Risiko-Direktiven aus der Biden-Ära, kürzt CISA-Finanzierungen und verschärft die Exportkontrollen für KI-Chips.
Für CTOs bedeutet das: Washington gibt Ihnen jetzt mehr Freiraum für schnelle Innovation, aber auch weniger externe Sicherheitsnetze, falls etwas schiefgeht.
Damit ist Ihre interne Governance die wichtigste Verteidigungslinie – sie muss strenger und vielleicht auch etwas unbeliebter werden, um die weniger strikten externen Vorgaben auszugleichen.
1. Mehr Spielraum, weniger Betreuung
- KI- & Cloud-Richtlinien werden dereguliert
- E.O. 14179 „Removing Barriers to American Leadership in AI“ hebt die Risiko-Management-Direktiven der Biden-Ära auf und fordert die Behörden auf, die „KI-Dominanz aufrechtzuerhalten und auszubauen.“
- OMB Memo M-25-21 verlangt von allen Behörden, KI-Pilotprojekte zu beschleunigen und „unnötig belastende Anforderungen zu vermeiden“.
Auswirkung: Die staatlichen Leitplanken werden gelockert; Investoren und Boards erwarten schnellere Fortschritte von Ihnen.
2. Exportkontrolle & Druck auf Lieferketten
Während die inländischen Vorschriften gelockert werden, verschärft das Weiße Haus die Exportkontrollen für KI-Chips – der Rahmen für KI-Diffusion könnte die Versorgung mit fortschrittlichen GPUs für Nicht-Verbündete einschränken.
Auswirkung: Rechnen Sie mit Engpässen bei der Beschaffung, strengeren Lieferantenaudits und plötzlichen Investitionsspitzen für interne Rechenressourcen.
3. Cybersecurity-Kontinuität – aber mit weniger Ressourcen
- Trump hielt an Bidens wesentlichen Cyber-Exekutivanordnungen fest, hat jedoch den Personalbestand und das Budget der CISA um 10 Millionen US-Dollar gekürzt.
- Neue E.O. 14144 zu „Stärkung und Förderung von Innovationen in der Cybersicherheit des Landes“ verlagert die Verantwortung auf branchengesteuerte Lösungen.
Auswirkung: Die Compliance-Checklisten bleiben, aber die staatliche Unterstützung (Fördermittel, Red-Team-Services) wird dünner. Planen Sie für zusätzliche Ausgaben für Drittanbieter-Bewertungen und Bedrohungsanalysen.
4. Staatliches & lokales „Resilienz-Übergabe“
Eine Exekutivanordnung mit dem Titel „Effizienzsteigerung durch staatliche und lokale Vorbereitung““ überträgt die Verantwortung für die Vorbereitung kritischer Infrastrukturen an die Bundesstaaten und Landkreise.
Auswirkung: Multi-jurisdiktionale SaaS-Anbieter (Fintech, Healthtech) müssen möglicherweise bis zu 50 leicht abweichende Resilienz-Anforderungen erfüllen – stellen Sie sicher, dass Ihre Policy-as-Code-Schicht flexibel genug ist, um Abweichungen aufzufangen.
Was Sie dieses Quartal tun sollten
- Bewerten Sie Ihre internen KI-Risiko-Kontrollen neu – Die föderalen Grenzen sind weiter gefasst, aber Aktionäre verlangen weiterhin Nachweise für sichere, regelkonforme KI.
- Erweitern Sie Ihr Exportkontroll-Register auf GPU-Partner und Cloud-Regionen – identifizieren Sie Arbeitslasten, die von neuen Beschränkungen betroffen sein könnten.
- Planen Sie 15 % Aufschlag für unabhängige Sicherheitsbewertungen ein, um entfallene CISA-Leistungen zu kompensieren.
- Vereinheitlichen Sie bundesstaatliche Notfallwiederherstellungsregeln (z. B. mit Terraform Sentinel oder OPA-Richtlinien), damit Sie Vorgaben übernehmen statt stets neu schreiben müssen, wenn sich Anforderungen unterscheiden.
- Informieren Sie den Vorstand frühzeitig – „Wir bewegen uns schneller unter lockereren Bundesvorgaben, aber so sorgt unsere gestärkte interne Governance weiter für Sicherheit.“
Unser Toolkit IT-Governance enthält ROI-Kalkulationsblätter und Vorlagen für Executive-Summaries, damit Sie einen überzeugenden Business Case für diese erweiterten Kontrollen entwickeln können.
Challenge: Heute eine Regel verschärfen
Gute Governance fühlt sich unbequem an, weil sie den Status quo infrage stellt. Verstärken Sie diese Woche eine entscheidende Governance-Regel – etwa durch verpflichtendes Tagging oder vorgeschriebene Security-Gates. Hören Sie dann genau auf Beschwerden. Diese Rückmeldungen sind mehr als nur Lärm; sie bestätigen, dass Ihre Governance robust genug ist, um das Unternehmen zu schützen.
Akzeptieren Sie die Reibung. Sie ist Ihr neuer Maßstab für Sicherheit und Skalierbarkeit.
Brauchen Sie Unterstützung bei der Entscheidung, welche Regel Sie zuerst verschärfen sollten? Unser IT-Governance-Toolkit enthält ein Scorecard zur Governance-Gesundheit, die Ihre schwächsten Kontrollen im Unternehmen identifiziert und Schritt-für-Schritt-Anleitungen zur Behebung gibt. Und abonnieren Sie den CTO Club Newsletter für weitere Tools, Frameworks und Einblicke ins IT-Governance.
