Gestalten Sie die digitale Souveränität – mit Open Source und Projektmanagement im öffentlichen Sektor.

Die Digitalisierung der Verwaltung wirft eine Reihe von besonderen Herausforderungen auf, darunter unterschiedliche Zuständigkeiten, föderale Strukturen, komplexe fachliche Anforderungen und die Notwendigkeit, digitale Lösungen nachhaltig, transparent und wiederverwendbar zu gestalten. Ergänzend ist aktuell die Verlässlichkeit bestehender Technologiepartnerschaften neu zu bewerten. Open-Source-Plattformen bieten dafür ideale Möglichkeiten und professionelles Projektmanagement sorgt dafür, dass diese Potenziale wirksam genutzt werden.

Projektmanagement erfordert einen neuen Ansatz: Offenheit steuerbar machen

Projektmanagement umfasst mehr als nur Zeit, Budget oder Qualität. Das Ziel besteht darin, Strukturen zu etablieren, die Offenheit ermöglichen, ohne diese zu beeinträchtigen. Erfolgreiche Projekte entstehen dort, wo Prozesse, verantwortungsbewusste Mitarbeitende und eine gelebte Kultur von Vertrauen, Offenheit und konstruktiver Fehlerkultur zusammenwirken. Unsere Expertise liegt in der Verbindung von Fachlichkeit, Technik, Organisation und Governance. Es erfolgt eine Bündelung von Informationen und Perspektiven, deren Aufbereitung in einer für die Zielgruppe verständlichen Form sowie die Entwicklung tragfähiger Projektziele. Dies geschieht sowohl für operative Abläufe als auch für strategische Entscheidungen. Die gemeinsame Entwicklung und fortgesetzte Nutzung von Open Source stellt einen strategischen Ansatz dar, der nicht als Selbstzweck betrachtet werden sollte. Die Verwendung offener Komponenten ermöglicht Transparenz, Nachvollziehbarkeit und gemeinsame Weiterentwicklung. Mit dem Ansatz „Public Money Public Code“ stellen wir sicher, dass Lösungen, die mit öffentlichen Mitteln entwickelt wurden, prüfbar und wieder verwendbar sind.

OpenCode als Plattform bietet den Vorteil, dass bestehende Bausteine in unterschiedlichen Verwaltungen leichter nachgenutzt werden können. Zudem wird deren Sichtbarkeit gefördert. Dadurch wird verhindert, dass Lösungen mehrfach entwickelt werden müssen, und die verfügbaren Ressourcen und das Know-how werden effizient genutzt. Digitale Souveränität bezeichnet in diesem Kontext die Fähigkeit, fachliche Anforderungen in digitale Lösungen umzusetzen, die Kontrolle über die technische Infrastruktur zu wahren, Lösungen gemeinsam zu nutzen und weiterzuentwickeln sowie Transparenz, Wiederverwendbarkeit und nachvollziehbare Entwicklungslogik als Grundlage für nachhaltige digitale Lösungen zu gewährleisten.

Komplexität effizient steuern – ohne dabei die Offenheit zu verlieren

Verwaltungsprojekte sind häufig durch eine Vielzahl paralleler Prozesse, verteilter Informationen und unterschiedlicher Logiken gekennzeichnet: technische Standards, rechtliche Rahmenbedingungen, fachliche Anforderungen und föderale Abstimmungen müssen in Einklang gebracht werden. Professionelles Projektmanagement bündelt diese Perspektiven, schafft Struktur, Orientierung und Entscheidungsfähigkeit – ohne den offenen Entwicklungsprozess zu bremsen. Auf diese Weise werden Lösungen entwickelt, die in der Praxis umsetzbar, tragfähig und auf weitere Verwaltungen anwendbar sind.

Vier Prinzipien erfolgreicher Projekte im Open-Source-Umfeld

Aufgrund unserer Erfahrung haben sich vier zentrale Elemente als besonders wirkungsvoll erwiesen:

• Nachvollziehbarkeit: Entscheidungen, Risiken und Ergebnisse werden transparent dokumentiert.

• Klarheit im Vorgehen: Rollen, Abläufe und Eskalationswege sind eindeutig definiert.

• Stabilität trotz Bewegung: Iterative Entwicklung wird mit verbindlichen Meilensteinen kombiniert.

• Nachhaltiges Wissensmanagement: Ergebnisse werden verständlich dokumentiert und für andere Stellen nachnutzbar aufbereitet.

Diese Prinzipien stellen sicher, dass Projekte steuerbar bleiben, Ergebnisse nachvollziehbar sind und Lösungen langfristig tragfähig werden.

Mehrwert für Verwaltung und Gesellschaft

Professionelles Projektmanagement ist der Raum, in dem Entwicklung und öffentliche Governance effektiv zusammenwirken. Das Ziel ist klar definiert: Digitale Souveränität durch Zusammenarbeit, Offenheit und Wiederverwendbarkeit – damit digitale Lösungen im öffentlichen Sektor effizient, nachvollziehbar und nachhaltig gestaltet werden können.

Gibt es bei der Anbahnung von IKT-Dienstleistungen für Risikoanalyse und Due Diligence eine „richtige“ Reihenfolge, oder sollte beides parallel erfolgen?

Matthias Kurfels, Manager, Head of Competence Center “Governance, Risk, Compliance, Information Security, Data Protection” und Christina Renner, Senior Consultant, Competence Center GRCID, beide evolving systems consulting GmbH, Hamburg

Die Auslagerung von IT-Leistungen ist fester Bestandteil der Bankpraxis. Cloud-Services, Plattformlösungen und spezialisierte IT-Anbieter erhöhen Effizienz und Flexibilität, führen jedoch auch zu steigenden Abhängigkeiten. Vor diesem Hintergrund kommt der umfassenden Beurteilung von Risiken eine zentrale Bedeutung zu.

Aus aufsichtsrechtlicher Sicht ist vorgesehen, dass die Risikoanalyse¹ vor dem Vertragsabschluss erfolgen muss, um sowohl den Vertrag als auch die Überwachungsprozesse auf die ermittelten Risiken abzustimmen. Bei Auslagerungen nach MaRisk kommt noch hinzu, dass anhand der Risikoanalyse die Wesentlichkeit einer Auslagerung bestimmt wird. Ergänzend dazu dient die Due Diligence zur Beurteilung, ob der potenzielle IKT-Drittdienstleister für die Erbringung des Services geeignet ist, alle rechtlichen und betriebswirtschaftlichen Voraussetzungen dafür mitbringt und auch die identifizierten Risiken (einschließlich aus weiterverlagerten Aktivitäten) angemessen steuern kann.

Was kommt zuerst – Risikoanalyse oder Due Diligence?

In der Praxis existieren zwei Verfahrensweisen: Ein Teil der Banken fängt mit einer umfassenden Due Diligence an und führt die Risikoanalyse im Anschluss durch. Das trägt dazu bei, dass die Ergebnisse der Sorgfaltsprüfung eine belastbare Risikobewertung ermöglichen. Dennoch ist zumindest eine vorläufige Risikoeinschätzung vor Beginn der Due Diligence erforderlich, um Fehlinvestitionen und inkonsistente Entscheidungen zu vermeiden. Der andere Teil der Banken führt die Due Diligence erst nach der Risikoanalyse durch, um diese – z. B. im Fall nicht wesentlicher Auslagerungen – kürzer halten zu können und damit Effizienzgewinne zu erzielen.

Die letztgenannte Vorgehensweise mag aus der MaRisk-Sicht sinnvoll sein, kann jedoch bei IKT-Dienstleistungen dazu führen, dass erst bei der Due Diligence das Fehlen wesentlicher Voraussetzungen für den Drittbezug bemerkt werden könnte. Wenn der Dienstleister z. B. nicht die erforderlichen Informationssicherheitsanforderungen erfüllt² oder seine organisatorischen Fähigkeiten zur Steuerung von Risiken unzureichend sind³, war der zuvor betriebene Aufwand für die Risikoanalyse faktisch umsonst, weil solche Drittbezugsvoraussetzungen nicht durch die kurzfristige Nachreichung von Dokumenten hergestellt werden können. Somit ist gerade bei IKT-Dienstleistungen die Frage der Reihenfolge besonders relevant, um Grundlage, Tiefe und Fokus der Risikoanalyse sachgerecht zu gestalten.

Lösungsansätze zur Auflösung des Spannungsfelds

Wenn die bislang nachgelagerte Due Diligence z. B. aufgrund von Restriktionen des Workflow-Tools nicht vorgezogen werden kann, könnten wichtige Voraussetzungen, die nicht kurzfristig durch Dokumente nachgewiesen werden können, bereits als Mindestanforderung im Rahmen der Ausschreibung definiert werden. Alternativ könnten einzelne kritische Kriterien, die für den betreffenden Drittbezug individuell ermittelt wurden, gezielt vor der eigentlichen Risikoanalyse abgefragt und „außer der Reihe“ beschafft werden, während weniger kritische Aspekte im weiteren Verlauf der (nachgelagerten) Due Diligence ergänzt werden. Und ein weiterer Ansatz besteht darin die Risikoanalyse und Due Diligence prozessual miteinander zu verzahnen, was die BaFin in ihrer Veranstaltung am 04.12.2025 ausdrücklich empfohlen hat⁴. Unabhängig davon, welcher der genannten Lösungsansätze gewählt wird, ist es immer wichtig, die Vollständigkeit und die inhaltliche Tiefe der Risikoidentifikation zu gewährleisten. Vor allem wenn ein gemeinsamer Fragenkatalog für Auslagerungen nach MaRisk und IKT-Drittbezüge nach DORA verwendet wird, müssen die spezifischen IKT-Risiken, insbesondere bei Cloud-Services, gesondert vertieft werden.

Wie bei Cloud-Services die Qualität der Risikoanalyse durch eine Orientierung am Shared-Responsibility-Modell verbessert werden kann, wird im nächsten Beitrag erläutert, der im März 2026 erscheint.

PRAXISTIPPS

· Falls bei IKT-Dienstleistungen die Due Diligence erst nach der Risikoanalyse erfolgt: Stellen Sie sicher, dass Sie bereits vor Beginn der Risikoanalyse über alle wichtigen Informationen aus der Due Diligence verfügen.

· Gewährleisten Sie vor allem bei IKT-Dienstleistungen, dass die Risikoanalyse alle Aspekte – vor allem etwaige spezifische Aspekte des betreffenden Services, die kein Teil ihres Standardvorgehens sind – berücksichtigt.

· Versuchen Sie – sofern möglich – die Risikoanalyse und die Due Diligence in einem gemeinsamen Prozessschritt durchzuführen, um von gegenseitigen Impulsen zu profitieren und alle Informationen zu einem Sachverhalt gebündelt verarbeiten zu können.

¹ In diesem Artikel wird vereinfachend sowohl für die Risikoanalyse nach MaRisk als auch die Risikobewertung nach DORA der Begriff „Risikoanalyse“ verwendet.

² Erfordernis gemäß Artikel 28 Absatz 5 VO (EU) 2022/2554

³ vgl. Artikel 6 Absatz 1 DV (EU) 2024/1773

⁴ BaFin – IT-Aufsicht im Finanzsektor: Das erste Jahr DORA: BaFin – Veranstaltungen – IT-Aufsicht im Finanzsektor: Das erste Jahr DORA

Quelle: https://www.fch-gruppe.de/newsletter/