ADVERTORIAL
BANKINGNEWS: Herr Benz, es kommt ja nicht so oft vor, dass Compliance und Innovation in einem Atemzug erwähnt werden. Wie sehen Sie als IT-Dienstleister mVISE AG den Zusammenhang zwischen den beiden Themen?
Thomas Benz: (lacht) Diese Verbindung drängt sich im ersten Moment tatsächlich nicht gleich auf. Allerdings könnte man auch sagen: Ohne Compliance ist kein Kerngeschäft in diesem Vertical möglich. Und weil beim Einsatz von neuesten Technologien und Methoden sowohl im Bereich der Applikationen als auch der entsprechend notwendigen Infrastrukturen immer auch innovative Überlegungen und Entscheidungen zugrunde liegen, gibt es natürlich auch den Zusammenhang zwischen Compliance und Innovation. Compliance, etwa im Bereich PCI DSS, ist ein permanentes Abgleichen und Analysieren von erkannten Schwachstellen und Risiken. Gleichzeitig aber auch das entsprechende Absichern, das Härten der Systemlandschaft sowie natürlich eine lückenlose und revisionssichere Dokumentation. Wenn man so will, schaffen wir auch zeitliche Freiräume, die für innovative Entwicklungen im eigentlichen Kerngeschäft der Kunden genutzt werden.
Wie gehen Sie vor?
Wir glauben, dass der Schlüssel ein „Integrativer Managed Service Ansatz“ ist. Das bedeutet in der Umsetzung, dass wir uns nicht wie ein klassischer Managed Service Provider aufstellen, sondern unsere Ressourcen in technologischer Hinsicht mehrdimensional positionieren und damit technologisches Silodenken vermeiden. Mitarbeiter benötigen dafür entsprechend breiteres Know-how, ohne dabei bei Detailwissen Tiefe einzubüßen. Diesen Ansatz haben wir bereits ab 2016 mit PAYONE, damals noch unter dem Namen BS Card Services/BS PayOne, gemeinsam entwickelt und umgesetzt. Ein wichtiges Element war dabei Compliance im Kontext PCI DSS, gerade auch bei der Aufgabenstellung, die operativen IT-Services neu und zukunftssicher aufzustellen, neue Lösungen zu evaluieren und einzuführen, 24/7-Rufbereitschaften umzusetzen, IT insgesamt effektiver und damit kostengünstiger aufzustellen.
Können Sie eine Implementierung von Technologien beschreiben, die die PAYONE-Infrastruktur besonders zukunftssicher macht?
In den letzten vier Jahren ist viel passiert. Aktuell haben wir uns natürlich stark mit Projekten Kubernetes, Dockers und MS Office 365 befasst. Unsere Leistungen lassen sich insgesamt gut in die Teilbereiche Serversysteme, Netzwerkadministration und Workplace-IT zusammenfassen. Aber Technologie ist immer nur ein Teil der Lösung. Meiner Meinung nach ist der vielleicht wichtigste Teil der Faktor Mensch und die Art und Weise, wie Menschen miteinander agieren.
Auf welche kulturellen Hebel konnten Sie in dem Projekt zugreifen?
Auf Vertrauen, Glaubwürdigkeit, Verlässlichkeit und Begeisterung. Hier möchte ich den Kunden selbst zitieren. Georg Pistol, Head of IT Operations von BS PayOne, hat gesagt: „Die betriebliche Zusammenarbeit wurde auf einem exzellenten Niveau und unter Wahrung aller Vorgaben sichergestellt. Hier etablierte sich das mVISE-Team als kompetenter Partner auf Augenhöhe“. Unsere Zusammenarbeit hat sich bewusst stufenweise entwickelt. Erste Initialprojekte haben sich ausgeweitet, zusätzliche Projekte und Dienstleistungen sind hinzugekommen. Und da möchte ich nochmal auf den Faktor Mensch zurückkommen. Kontinuität, im Sinne von geringer Projektfluktuation und dem auf Langfristigkeit ausgelegten Einsatz von Mitarbeitern aus der Kundenregion, war und ist nach wie vor ein wesentlicher Erfolgsfaktor.
Gab es im Projekt irgendwelche Überraschungen?
Ich wäre verwundert gewesen, wenn es keine Überraschungen gegeben hätte. Im Projektgeschäft ist das nicht ungewöhnlich. Der Punkt ist, wie man damit umgeht, wie man Probleme erkennt oder antizipiert, gemeinsam Lösungen findet und strukturiert, aber auch offen kommuniziert. Eher ungewöhnlich und nicht vorhersehbar ist natürlich die Situation in Bezug auf das Coronavirus. Aber auch hier haben wir unkomplizierte Lösungen gefunden, wie nahezu alle Mitarbeiter in funktionierenden und sicheren Infrastrukturen trotzdem effektiv, verlässlich remote arbeiten können. Das gilt für das komplexe Tagesgeschäft im Bereich IT-Server- und Netzwerk-Operations, Rufbereitschaften, 2nd- und 3rd-Level-Support sowie Incident- und Change-Management. Aber natürlich auch für unternehmenskritische Compliance-Prozesse wie die jährliche PCI-DSS-Auditierung.
Interview: Daniel Fernandez, Thomas Friedenberger
Tipp: Sie wollen mehr zum Thema Compliance? Dann lesen Sie jetzt die Beiträge „Corona-Krise: Wenn ein Virus das Business Continuity- und Krisenmanagement im Unternehmen auf den Plan ruft“ und „The „Regulatory Change Risk” and how to handle it“.