Compliance leicht gemacht

Microsoft hat den .NET Messenger für Nutzer in Kuba, Syrien, Iran, Sudan und Nordkorea gesperrt. Diese Länder unterliegen einem Embargo der Vereinigten Staaten; US-Firmen dürfen mit ihnen keine Geschäfte machen. Manche finden das hirnrissig (das ist es auch, aber es ist Gesetz), während andere die Umsetzung für hirnrissig halten. Microsoft benutzt nämlich einfach die im Profil hinterlegte Landeseinstellung des Nutzers, und die ist frei wählbar.

Diese Implementierung ist aber nicht hirnrissig, sondern vollständig rational und typisch für Compliance-Probleme. Security dreht sich um die Lösung eigener Probleme, die Durchsetzung eigener Interessen mit technischen und organisatorischen Mitteln. Diese Mittel sollen – im Rahmen des jeweils vertretbaren Aufwandes – effektiv sein, also böswillige Angriffe tatsächlich abwehren. Dabei besteht ein direkter Zusammenhang zwischen den erwarteten Schäden durch Angriffe und dem vertretbaren Aufwand.

Compliance hingegen erfordert die Wahrung fremder Interessen, auferlegter Regeln und Anforderungen. Zu eigenen Interessen eines Unternehmens werden sie erst aufgrund angedrohter Zwangsmaßnahmen. Effektivität ist auch hier das Ziel, aber maßgeblich sind nun nicht mehr die direkten Auswirkungen, sondern die angedrohten. Die sind willkürlich festgelegt.

Ein Unternehmen, das Compliance erzielen möchte beziehungsweise muss, wird deshalb jeweils zum einfachsten und billigsten Mittel greifen, das die angedrohten Zwangsmaßnahmen genügend zuverlässig abwehrt. Dieses Mittel muss keinen realen Effekt haben. Es muss lediglich die Kontrolleure zufriedenstellen. Die Lösung von Microsoft für das Compliance-Problem des Messengers leistet dies vermutlich.

Das tatsächliche Problem ist damit vorerst gelöst. Ob Kubaner, Sudanesen oder Nordkoreaner mit dem .NET Messenger chatten, ist dagegen nur ein Scheinproblem. Ohne Compliance-Zwänge wäre es Microsoft einfach egal. Aus geschäftlicher Sicht gäbe es keinen Grund darüber auch nur nachzudenken.

2 thoughts on “Compliance leicht gemacht

  1. Und aus politischer Sicht wäre es nur wünschenswert, wenn möglichst viele Leute in den sanktionierten Staaten den Dienst nutzten. Insbesondere Regierungsmitarbeiter der sanktionierten Staaten.
    Ansonsten sind Wirtschaftssanktionen prinzipiell eigentlich ganz sinnvoll. Die Alternative ist Krieg.
    (Die Entscheidung, ob man gegen ein Regime vorgeht, fällt m.E. auf einer anderen Ebene der Überlegungen als die Entscheidung über die Art und Weise des Vorgehens.)

    1. Wenn erst einmal eine Bürokratie mit der Durchsetzung einer Maßnahme beauftragt ist, dann fallen überhaupt keine Entscheidungen mehr. Sturheit gehört zu den Konstruktionsprinzipien von Behörden, und das ist ja grundsätzlich auch OK, wenn man dieses Mittel bewusst und umsichtig einsetzt. Aber mir geht es hier gar nicht so sehr um die politischen und praktischen Fragen und auch nicht um den Sinn oder Unsinn von Sanktionen. Sondern vor allem darum, dass Compliance und Security oft in einen Topf geworfen werden, obwohl sie grundverschieden sind.

      (Dem Gegner als Sanktion ausgerechnet Kommunikationsmittel und Medien vorzuenthalten finde ich freilich auch ziemlich blöd. Gerade mit diesen Mitteln lässt sich ein Regime effektiv untergraben, das auf verzerrter Realitätswahrnehmung und -darstellung beruht. Von den, äh, Partizipationsmöglichkeiten eigener Dienste ganz zu schweigen.)

Comments are closed.