Von Markus Groß auf Mittwoch, 22. September 2021
Kategorie: IT

COBIT im Praxistest: Warum 2019 nur der Anfang war

C

OBIT 2019 hat die Governance-Welt geordnet wie kaum ein anderes Rahmenwerk: modular, prinzipienorientiert, mit klarem Blick auf Unternehmensziele und mit einem Werkzeugkasten, der vom Vorstandsbeschluss bis zum operativen Ticket durchdekliniert ist. Doch der eigentliche Test beginnt nicht im Handbuch, sondern im Alltag. Erst dort zeigt sich, ob ein Framework bewegt, was es verspricht: Entscheidungen besser machen, Risiken beherrschbar halten, Innovation ermöglichen – und all das so, dass man es später belegen kann. Der Praxistest der letzten Jahre liefert eine klare Erkenntnis: 2019 war ein Startsignal, kein Endpunkt. Wer heute auf COBIT setzt, nutzt es nicht als Checkliste, sondern als Betriebssystem für Steuerung – ein Kompass, der Organisationen befähigt, in Bewegung zu bleiben, ohne die Richtung zu verlieren.

Vom Kapitel zur Kette: Was COBIT 2019 wirklich verändert

Der größte Fortschritt von COBIT 2019 liegt nicht in einem neuen Prozessnamen, sondern in der Kohärenz. Governance wird als System verstanden, in dem Ziele, Entscheidungen, Maßnahmen, Metriken und Nachweise eine Kette bilden. Diese Kette ist keine Theorie: Sie beginnt bei der Goals Cascade (Unternehmensziele → I&T-bezogene Ziele → Governance- und Management-Objectives) und führt über Governance-Komponenten (Prozesse, Organisationsstrukturen, Prinzipien/Policies/Prozeduren, Informationen, Kultur/Ethik/Verhalten, Services/Applikationen/Infrastruktur, Menschen/Kompetenzen) bis hin zum Performance Management (Fähigkeitsniveaus, Messkriterien, Zielwerte). In der Praxis bedeutet das: Man steuert nicht mehr „die IT“, sondern die Wirkung von Information & Technology auf das Geschäft – und man tut es so, dass man es jeden Tag sehen und jeden Monat beweisen kann.

Design-Faktoren: Warum „Norden“ vor „Straßenkarte“ kommt

COBIT 2019 zwingt zu einer längst fälligen Disziplin: erst Design-Faktoren klären, dann Maßnahmen festlegen. Wie groß ist das Haus? Welche Rolle spielt IT im Geschäftsmodell? Wie riskant ist das Umfeld? Welche regulatorischen Zwänge, welche Bedrohungslandschaft, welche Sourcing-Strategie, welche Technologieadoption sind real? Diese Lagebestimmung wirkt wie Magnetnadel und Karte zugleich. Sie verhindert, dass Unternehmen fremde Blaupausen kopieren oder den Maßnahmenmix von gestern fortschreiben. In Projekten zeigt sich: Wer die Design-Faktoren sauber herleitet (und alle sechs bis zwölf Monate überprüft), spart später doppelte Arbeit – weil Prioritäten, Reifeziele und Kontrolldichte begründet sind, statt historisch gewachsen.

Fokusbereiche: Wo der Hebel am längsten ist

COBITs Focus Areas übersetzen die Design-Faktoren in thematische Zuschnitte – etwa Cybersicherheit, Datenschutz, DevOps, Cloud, kleine und mittlere Unternehmen, Enterprise Risk, Daten & Information. Der Praxistest zeigt drei Muster, die fast überall tragen. Erstens: Security als Use-Case denken, nicht als Logmenge. Kennzahlen wie „Time to Detect/Remediate“ und konkrete Erkennungsfälle (Privileg-Eskalation, anomale Datenabflüsse, Policy-Verstöße) wirken stärker als Volumenstatistiken. Zweitens: Change-Qualität über Pipelines absichern (Policy-as-Code, Abnahme­kriterien, Rollback-Fähigkeit) – das ersetzt späte Freigabe­runden durch frühe, messbare Qualität. Drittens: Lieferkette führen, nicht verwalten – Due Diligence vor Vertrag, Informations-/Prüf­rechte praktikabel ausbuchstabieren, Telemetrie statt PDF, Exit-Fähigkeit nicht behaupten, sondern geprobt.

Missverständnisse ausräumen: COBIT ist keine Bürokratie-Übung

Das häufigste Missverständnis im Praxistest lautet: „COBIT heißt Papier“. Tatsächlich belohnt COBIT Betriebswirkung. Ein Beispiel: Ein Notfallhandbuch ohne Restore-Protokoll ist nach 2019 kein Nachweis mehr. Gefragt ist der Integritätsbeleg des wiederhergestellten Systems (Checksummen, Transaktionskohärenz), die gemessene RTO/RPO-Erfüllung und das Ticket, das Abweichungen dokumentiert sowie den Re-Test terminiert. Ganz ähnlich bei Identitäten: Entscheidend ist nicht die schön formatierte Rollenliste, sondern die Rezertifizierungsspur (Population definieren, Stichproben ziehen, Entzug veralteter Rechte protokollieren, Sonderrechte befristen und auswerten). COBIT verlagert den Fokus von Dokumenten auf Evidenzen – und damit von Überzeugungsarbeit auf Nachweis.

Vom Projekt zur Routine: Continuous Governance statt Stichtag

Viele Häuser stolpern über denselben Stein: Sie „führen COBIT ein“, fertig. Doch 2019 hat Governance als dynamischen Regelkreis definiert. Praktisch heißt das: Kontinuität schlägt Kampagne. Einmal pro Quartal Governance-Reviews (Ziele/Metriken/Abweichungen), monatliche Kohärenz-Checks (erzählen Risiko, Incidents, Tests, Auslagerung, Budget dieselbe Geschichte?), halbjährliche Design-Faktor-Updates (Strategie, Sourcing, Bedrohung, Regulatorik). Diese Taktung erzeugt Ruhe im System, weil Feststellungen nicht mehr überraschend aufschlagen – sie entstehen als Nebenprodukt der Routine und werden im CAPA-Zyklus (Corrective and Preventive Actions) abgearbeitet.

Integration statt Inseln: COBIT als Orchestrator

In der Praxis existiert COBIT nie allein. ISO/IEC 27001 liefert ISMS-Struktur, ITIL regelt Services, NIST CSF gibt Cyber-Muster, COSO deckt Enterprise Risk, Projektmethoden wie PRINCE2/PMI steuern Vorhaben, agile Ansätze und DevOps prägen die Auslieferung. COBIT verbindet diese Welten. Ein pattern, das funktioniert: eine Governance-Erzählung, viele Quellen. Beispiel: Das ISMS bringt Richtlinien und Risiken, ITIL liefert Changes/Incidents, DevOps die Pipeline-Nachweise, NIST die Use-Case-Detection, das Finanzreporting die Kostenkorridore. COBIT macht daraus ein Management-Board-fähiges Bild – mit Zielen, Kennzahlen, Schwellen, Entscheidungen, Fristen, Re-Checks. Ergebnis: Weniger Doppelarbeit, weniger Widersprüche, mehr Wirkung.

Die sieben Fragen, an denen COBIT im Alltag gemessen wird

  1. Zielklarheit: Welche I&T-Ziele zahlen messbar auf die Unternehmensziele ein?
  2. Risikotoleranz: Welche Schwellwerte lösen Eskalation aus – fachlich wie technisch?
  3. Entscheidungsrechte: Wer darf was genehmigen, wessen Mandat greift im Ernstfall?
  4. Evidenzpfade: Welche Nachweise fallen automatisch an – und wo müssen wir nachschärfen?
  5. Lieferkette: Welche Drittparteien steuern wir wie, mit welchen Kennzahlen und Rechten?
  6. Wiederherstellung: Wie oft proben wir auf Anwendungsebene, und wer prüft Integrität?
  7. Kohärenz: Beschreiben Risiko, Vorfälle, Tests, Finanzen und Lieferanten dasselbe Bild?

Wer diese Fragen sauber beantwortet und im Takt hält, besteht den Praxistest – unabhängig von Branche und Größe.

Fallbild 1: Bank – Cloud-Transformation ohne Kontrollverlust

Ausgangslage: Modernisierung eines Kerngeschäftsprozesses, Verlagerung von Randdiensten in die Cloud, strenge Aufsichtserwartungen.
Ansatz: Design-Faktoren priorisieren Cloud- und Auslagerungssteuerung, Security-Use-Cases, Restore auf Anwendungsebene. Guardrails in der Landing-Zone (Verschlüsselung, Logging, Netzwerkgrenzen), Change-Qualität via Pipeline (IaC-Checks, Sicherheits-Tests, Rollback), IAM mit Just-in-Time-Privilegien und Sitzungsaufzeichnung. Lieferkette mit Scorecards (SLA, Vorfallmeldezeiten, Sub-Provider-Transparenz), monatliche Kohärenz-Reviews.
Ergebnis: Weniger Ad-hoc-Freigaben, mehr „by design“-Sicherheit, evidente Prüf­fähigkeit, schnellere Störungsauflösung. Der wichtigste Effekt: Planbarkeit – fachlich und regulatorisch.

Fallbild 2: Versicherer – Altlasten, neue Produkte, saubere Linie

Ausgangslage: Komplexe Bestände, neue digitale Produkte, wachsende Datennutzung, restriktive Datenschutzanforderungen.
Ansatz: Fokusbereiche Daten & Information, Security, Lieferkette. Daten-Lineage bis ins Reporting, Freigabeprozesse für Transformationsregeln, Datenqualitäts­kontrollen mit Ticketpflicht. Notfallmanagement verschoben von Infrastruktur-Backups zu fachlichen Restore-Tests (Vertrags- und Schadenfälle end-to-end). Lieferantenverträge mit Telemetrie- und Exit-Regelungen.
Ergebnis: Transparenz über Datenflüsse, weniger Reibung zwischen Fachbereichen, belastbare Restore-Nachweise. Governance wird geschäftsnah, nicht bloß IT-nah.

Fallbild 3: Industrie – OT/IT-Konvergenz ohne Reibungsverluste

Ausgangslage: Automatisierte Produktion, Remote-Wartung durch Dritte, historisch gewachsene Netze, steigender Vernetzungsgrad.
Ansatz: Segmentierung (OT/IT), Härtung und Patch-Fähigkeit, minimalinvasive Überwachung (Use Cases: unautorisierte Fernzugriffe, Konfigurationsdrift, Datenabflüsse), klarer Ausnahmeprozess für produktionskritische Änderungen. Tabletop-Übungen mit Fertigungsleitern, Backup/Restore mit Integritätscheck auf Rezeptur- und Chargenebene.
Ergebnis: Weniger Ausfälle durch kontrollierte Instandhaltung, schnellere Wiederherstellung, bessere Nachvollziehbarkeit gegenüber Kunden und Auditoren.

Fallbild 4: Public Sector – Priorisieren statt überall ein bisschen

Ausgangslage: Breite Aufgaben, begrenzte Budgets, hohe Erwartung an Verfügbarkeit und Datenschutz.
Ansatz: Proportionalität konsequent nutzen. Kleine Governance-Kernschicht (Ziele, Rollen, Eskalationsmatrix), zwei Kennzahlensätze (Betrieb, Sicherheit), quartalsweise Kohärenz-Reviews. Fokus auf Identity-Lifecycle (Bürger- und Mitarbeiterzugänge), Notfallproben zentraler Services, Lieferkettensteuerung für SaaS.
Ergebnis: Wirkung ohne Überforderung. Weniger „Alles auf einmal“, mehr reife Schwerpunkte.

Die fünf Wellen einer gelungenen COBIT-Implementierung

Welle 1 – Inventur & Mandat
Kritische Services/Assets inventarisieren, Schutzbedarfe/Kritikalitäten festlegen, Design-Faktoren herleiten, Mandate/Gremien mit Entscheidungsrechten verankern, Zielbild und zentrale Kennzahlen definieren.

Welle 2 – Evidenz-Baukasten
Systemische Exporte für IAM, Incidents/Changes, Schwachstellen, Backups/Restores, Lieferketten-Scorecards. Versionierte, unveränderliche Ablage (WORM/Hash). Populationsdefinitionen und Stichprobenroutinen.

Welle 3 – Guardrails & Pipelines
Policy-as-Code in der Plattform (Verschlüsselung, Logging, Netzgrenzen, Naming/Tags), IaC-Checks, Security-Tests, Rollback-Regeln. Ausnahmen befristet und begründet.

Welle 4 – Proben & Kohärenz
Restore-Tests mit Integritätsbeleg, Tabletop-Übungen, Rezertifizierungsläufe, Lieferanten-Eskalationen. Monatliche Kohärenz-Reviews über Risiko, Incidents, Tests, Lieferkette, Finanzen.

Welle 5 – Operating Effectiveness
Probe-Audit mit echten Stichproben; CAPA-Plan, Re-Tests terminiert; Reporting wird von Aktivitäts- zu Wirkungsberichten (MTTD/MTTR, Age-Kurven, RTO/RPO-Erfüllung, Rezertifizierungsquote, Lieferketten-Compliance).

Metriken, die Führung erzeugen – nicht nur Beruhigung

Der Praxistest zeigt: Weniger ist mehr, solange die Kennzahlen konsequent sind.

Entscheidend: Jede Kennzahl hat Schwellen, einen Owner, eine Eskalation, eine Frist und einen Re-Check. Das macht aus Zahlen Steuerung.

„Always Audit Ready“: Architektur statt Anspannung

Prüffähigkeit ist kein Endspurt, sondern Architektur. Drei Bausteine sind erfolgskritisch. Erstens: Single Sources of Truth (Servicekatalog/CMDB, Risikoregister, Lieferantenregister, Ticketing/Monitoring, IAM/PAM) mit klaren Verantwortungen und daten­technischer Verbindung. Zweitens: Standardisierte Exporte mit Zeitstempeln, die die Populationsfrage gleich mit beantworten („das ist die Menge, aus der Stichproben gezogen werden“). Drittens: Zyklen – Evidence-Tage, Rezertifizierungsfenster, Testkalender, Scorecards, Kohärenz-Reviews. Wer so arbeitet, erlebt Prüfungen als Bestätigung einer gelebten Praxis, nicht als Ausnahmezustand.

Kultur vor Katalog: Verhalten messen und entwickeln

COBIT 2019 hat „Kultur, Ethik und Verhalten“ als Governance-Komponente explizit gemacht. In der Praxis heißt das: Kultur wird greifbar, wenn man sie messbar macht. Beispiele: Quote rechtzeitig gemeldeter Near Misses; Zeit bis zur Eskalation eines Schwellenbruchs; Anteil fristgerecht geschlossener CAPA-Maßnahmen; Zahl genehmigter Ausnahmen und deren Abbau. Kultur ist dann nicht mehr Meinung, sondern Verhaltensspur – und damit gestaltbar.

Typische Anti-Patterns – und wie COBIT sie bricht

DevOps, agil, schnell – und trotzdem prüfbar

Ein gern bemühtes Gegenargument: „Unsere Delivery ist zu schnell für Governance.“ Der Praxistest zeigt das Gegenteil: Automation ist der beste Freund der Governance. Wenn Qualität und Compliance im Codepfad durchgesetzt werden (Tests, Policies, Gates), wird Geschwindigkeit nicht gefährlich, sondern beherrschbar. Und weil jede Pipeline Spuren hinterlässt (Prüfläufe, Artefakte, Releases), entsteht Evidenz ganz nebenbei. Das ist der eigentliche Dreh: Governance bremst nicht – schlechte Governance bremst.

Daten als roter Faden: Lineage führt die Beweislast

Ohne Lineage bleibt jede Zahl angreifbar. COBIT liefert das Raster: Datenherkunft, Transformationsregeln, Freigaben, Nutzungskontexte, Qualitätsschwellen. In der Praxis bewährt sich ein Data Governance Board, das Golden Sources bestimmt, Regeln freigibt, Qualität überwacht und Eskalationen steuert. Das Ergebnis ist mehr als Revisionssicherheit: Es ist Entscheidungsfähigkeit, weil Zahlen Konsens sind.

Prüfsicht: Woran Auditoren Wirksamkeit erkennen

Auditoren achten weniger auf perfekte Vorlagen als auf Kohärenz und Wirksamkeit. Kohärenz: Erzählen Risiko, Incidents, Tests, Lieferkette und Management-Reporting dieselbe Geschichte? Wirksamkeit: Greifen Kontrollen zeitnah und nachweisbar, lösen Kennzahlen Entscheidungen aus, werden CAPA-Maßnahmen geschlossen? Ein überzeugendes Bild entsteht, wenn das Haus quer denken lässt: Stichproben starten im Risikoregister, springen in Tickets, laufen weiter in Logs/Exports, landen im CAPA-Tracker – und schließen sich im Re-Test.

Roadmap 180 Tage: Vom „haben“ zum „können“

Tag 0–30: Design-Faktoren, kritische Services, Schutzbedarfe, Mandate, Ziel-KPIs.
Tag 31–90: Evidence-Baukasten (Exporte, WORM/Hash), Pipeline-Gates für die Top-3-Risiken, IAM-Quickwins (De-Provisioning-Zeit halbieren, Rezertifizierungslauf starten).
Tag 91–120: Restore-Übungen auf Anwendungsebene, Scorecards mit den Top-5-Dienstleistern, erstes Kohärenz-Review, CAPA-Backlog und Takt.
Tag 121–150: Ausnahmen-Management standardisieren, Use-Case-Überwachung schärfen (3 kritische Szenarien), Daten-Lineage und Qualitätsregeln für zwei Kernreports.
Tag 151–180: Probe-Audit „Operating Effectiveness“, Lücken schließen, Re-Tests terminieren, Quartals-Review institutionalisiert.

Nach 180 Tagen ist Governance kein Projekt mehr, sondern Betriebsmodus: Ziele sind messbar, Risiken haben Schwellen, Maßnahmen erzeugen Evidenzen, Berichte führen zu Entscheidungen.

Warum 2019 nur der Anfang war

COBIT 2019 hat das Vokabular geliefert: Design-Faktoren, Focus Areas, Governance-Komponenten, Goals Cascade, Performance Management. Der Praxistest zeigt, was danach kommen musste: Routine, Automation, Evidenz, Kultur. Der eigentliche Mehrwert entsteht, wenn Häuser den Sprung wagen – weg vom „Wir haben ein Framework“ hin zum „Wir können damit führen“. Dann wird aus einem Rahmen Werk: Entscheidungen werden klarer, Risiken kalkulierbarer, Lieferketten steuerbarer, Innovationen weniger riskant. Und genau deshalb war 2019 nur der Anfang. Das Ziel ist nicht, COBIT „einzuführen“. Das Ziel ist, mit COBIT besser zu werden – jeden Monat ein Stück, sichtbar, messbar, belegbar.

Verwandte Beiträge