Vielfach hört und liest man, dass Projekte oder Lösungen einer „best practise“ entsprechen (http://de.wikipedia.org/wiki/Best_practice). Das soll aussagen, dass die von denen gewählte Lösung dem entspricht, was auch die Besten in dem Bereich machen. Also muss es auch das Beste sein, oder? Klares Definitionsproblem, wer sind in welchen Bereichen die besten und gelten deren Grundsätze tatsächlich auch für einen selbst? Kann ich zum Beispiel im IT-Sicherheitsbereich eine amerikanische Firma als „best practise“ Beispiel verwenden, oder eine aus der EU? Eher nicht, Unterschiede in der Denkweise und in rechtlichen Belangen können dazu führen, dass ein weltweit berühmter Player als Standard nicht tauglich ist.

Recht oft sieht man solche Problematik in der Überwachung von Arbeitnehmern, was in China absolut normal ist, ist in der Schweiz schon die grosse Katastrophe und in gewerkschaftlich organisierten Ländern der EU wie zum Beispiel Deutschland absolut undenkbar. Wo soll denn da nun die „best practise“ entstehen? Das würde in der Konsequenz bedeuten, es gibt in vielen Bereichen viele „best practises“ für ein Problem – was meine Freiheit in der Umsetzung massiv erhöht, was aber den Wert wieder grundsätzlich mindert.

Wie kommt man überhaupt darauf, sich auf technologisch oder organisatorischer Ebene um zu sehen und zu definieren, wer so etwas wohl am besten macht um danach dessen Lösungen zu kopieren? Viele „Systeme“ (nicht nur in der IT – der Bereich liegt mir aber natürlich viel näher als alle anderen) haben eine Komplexität erreicht, welche nur noch mit massivem Aufwand und vielen kompetenten Leuten in den Griff zu kriegen ist – wenn überhaupt. Aber viele Firmen haben diese Ressourcen schlicht nicht zur Verfügung und erhalten so Zugriff auf durchdachte Konzepte. Ich denke, das war dann auch oft ein Vorteil der grossen Beratungsfirmen, die hatten nicht nur selbst viele Ressourcen zur Verfügung sondern gleichzeitig auch noch Zugriff auf sehr viel Manpower (…darf man das noch sagen, oder was wäre das jetzt… humanpower?….) in den Firmen die von ihnen beraten wurden.

Auch ich habe mich manchmal an „best practise“ Grundsätzen orientiert und habe das gar nicht als falsch erachtet. Gefährlich daran war nur gelegentlich die kritische Distanz zu wahren. Nur weil die vermeintlich besten es so machen (oft sind diese Vorbilder ja Grosskonzerne) darf man nicht meinen, dass es für andere Unternehmen (kleinere, flexiblere) nicht Lösungen geben kann die den Zweck genau so erfüllen und mit weniger Ressourcen auch realisierbar sind. Umgekehrt löst die beste Praxis manchmal die Probleme von Kleinbetrieben im Sinne „mit Kanonen auf Spatzen schiessen“ – vielfach lassen sich Systeme oder Organisationen nicht einfach so skalieren sondern brauchen Anpassungen. Im technischen Bereich bedeutet das dann sehr oft, dass man sich vom Vorbild so weit entfernt durch andere Lösungen, dass man gar nicht mehr davon profitieren kann. Somit ist klar, „best practise“ hat auch etwas mit der Firmengrösse und deren Schutzbedürfnis zu tun.

Immer wieder schwierig war für mich in der Vergangenheit, die aktuell gültigen „Vorgaben“ für beste Praxis zu finden. Da das Internet zum Beispiel nie vergisst erhält man oft sehr sehr viele Informationen die keine aktuelle Situation mehr widerspiegeln. Als ich mal auf der Suche nach bester Praxis für verschlüsselte Datenverbindungen war habe ich noch vor wenigen Jahren 3DES als beste Praxis in vielen Studien gefunden. Das Jahre nachdem AES256 (zum Beispiel) bewiesen hatte, dass 3DES keine Zukunft haben kann und darf.  Beste Praxis ist also auch abhängig – in einigen Bereichen mehr, in anderen weniger – von der Zeit.

Persönlich hatte das auch immer ein wenig den Anklang von „man weiss es im Moment einfach nicht besser“. Man hatte also eigentlich Mängel erkannt, wollte oder konnte aber noch keine wirklichen Änderungen durchsetzen. In diesem Sinnen wäre es sogar möglich, das man mit „best pracitse“ Lösungen implementiert, welche von vielen bekannten Mängeln betroffen sind – weil es aber keiner besser kann oder weiss, ist es trotzdem wieder gut. Somit ist beste Praxis absolut keine Qualitätswertung.

Oft hört man gerade im Ausbildungsbereich (ja, auch bei uns….) von Ausbildungen welche „best for practise“ sein sollen, das hat mit dieser Diskussion hier gar nichts zu tun, da will man Inhalte so weiter geben, dass daraus ein möglichst hoher Mehrwert für die praktische Arbeit ergbit, das einzig gemeinsame ist, dass auch in dem Fall dies keine Qualitätsaussage darstellt.

Fazit: Sich an Modell zu halten ist sicher eine gute Sache. Best practise als Modell zu wählen ist sehr gefährlich, weil es keine beste, allgemein gültige Praxis geben kann, zu unterschiedlich sind die Anforderungen. Sogar die Rechtfertigung von „Mist“ wäre mit diesem Modell – was so oder so nicht das richtige Wort dafür zu sein scheint – problemlos möglich. Wenn man halt nichts besseres findet…… Ich werde mich auf jeden Fall hüten, best practise Aussagen als Grundlage für Entscheide zu benutzen oder die hier gemachten Einschränkungen und/oder Probleme detailliert mit einfliessen zu lassen. Nie darf man ohne Überzeugung Dinge tun, nur weil auch andere das tun.

Fazit 2: Das Ganze hier ist eine geschäftliche Sichtweise die sich auch auf private Belange ausweiten lässt – da würde man sich dann sogar sehr schnell noch in die Bereiche des neidischen Nachmachens hinein begeben – keine Welt für mich!