COBIT 2019 hat die Governance-Welt geordnet wie kaum ein anderes Rahmenwerk: modular, prinzipienorientiert, mit klarem Blick auf Unternehmensziele und mit einem Werkzeugkasten, der vom Vorstandsbeschluss bis zum operativen Ticket durchdekliniert ist. Doch der eigentliche Test beginnt nicht im Handbuch, sondern im Alltag. Erst dort zeigt sich, ob ein Framework bewegt, was es verspricht: Entscheidungen besser machen, Risiken beherrschbar halten, Innovation ermöglichen – und all das so, dass man es später belegen kann. Der Praxistest der letzten Jahre liefert eine klare Erkenntnis: 2019 war ein Startsignal, kein Endpunkt. Wer heute auf COBIT setzt, nutzt es nicht als Checkliste, sondern als Betriebssystem für Steuerung – ein Kompass, der Organisationen befähigt, in Bewegung zu bleiben, ohne die Richtung zu verlieren.

Vom Kapitel zur Kette: Was COBIT 2019 wirklich verändert

Der größte Fortschritt von COBIT 2019 liegt nicht in einem neuen Prozessnamen, sondern in der Kohärenz. Governance wird als System verstanden, in dem Ziele, Entscheidungen, Maßnahmen, Metriken und Nachweise eine Kette bilden. Diese Kette ist keine Theorie: Sie beginnt bei der Goals Cascade (Unternehmensziele → I&T-bezogene Ziele → Governance- und Management-Objectives) und führt über Governance-Komponenten (Prozesse, Organisationsstrukturen, Prinzipien/Policies/Prozeduren, Informationen, Kultur/Ethik/Verhalten, Services/Applikationen/Infrastruktur, Menschen/Kompetenzen) bis hin zum Performance Management (Fähigkeitsniveaus, Messkriterien, Zielwerte). In der Praxis bedeutet das: Man steuert nicht mehr „die IT“, sondern die Wirkung von Information & Technology auf das Geschäft – und man tut es so, dass man es jeden Tag sehen und jeden Monat beweisen kann.

COBIT war schon immer mehr als nur ein Framework für IT-Kontrollen. Seit den frühen Versionen in den 1990er-Jahren bis hin zur Neuausrichtung mit COBIT 2019 hat sich gezeigt: Wer Informationen und Technologie wirksam steuern will, braucht einen klaren Ordnungsrahmen, der Strategie, Risiko und operatives Handeln zusammenführt. Doch so reif COBIT 2019 auch ist – die Welt steht nicht still. Cloud-Ökosysteme, KI-getriebene Produkte, geopolitische Spannungen, verschärfte Regulierung und der Fokus auf digitale Resilienz verschieben den Maßstab. Aus dieser Dynamik speist sich der Gedanke COBIT Next: nicht als einzelne Version mit Stichtag, sondern als nächste Evolutionsstufe einer Governance-Logik, die Orientierung statt Überforderung bietet.

Was COBIT Next meint – und was nicht

COBIT Next ist keine neue Checkliste. Es ist die konsequente Weiterentwicklung von COBIT 2019 hin zu einem Kompass, der Organisationen befähigt, Governance als lebenden Prozess zu betreiben. Die Fragen dahinter sind handfest: Wohin entwickelt sich Governance nach 2019? Welche Antworten braucht ein Unternehmen, wenn sich Geschäftsmodelle in Monaten drehen, regulatorische Erwartungen sich verdichten und Technologiezyklen im Wochenrhythmus laufen? Und vor allem: Wie entsteht Mehrwert aus Governance – nicht nur formale Compliance?

Es gibt Wörter, die klingen nach Papier, nach Formularen, nach Pflicht. „Governance“ gehört für viele in diese Kategorie. Wer jemals in einer Sitzung gesessen hat, in der Richtlinien gegeneinander abgewogen, Rollen diskutiert und Berichtslinien umgehängt wurden, weiß, wie schnell der Blick auf das Wesentliche verloren gehen kann: Was soll all das bewirken? Wozu dient der Aufwand jenseits von Auditoren, Aufsichtsbehörden und Checklisten? Genau hier hat sich COBIT in den letzten Jahren spürbar verändert. Aus einem Rahmenwerk, das Kontrollen sortiert, ist ein Kompass geworden, der Organisationen hilft, in einer zunehmend unübersichtlichen Landschaft die Richtung zu halten – dahin, wo Strategie, Technologie und Verantwortlichkeit sich nicht widersprechen, sondern sich gegenseitig verstärken.

Warum ein Kompass nötig ist

Die digitale Realität ist schneller als jeder Redaktionsschluss. Produkte werden in Wochenzyklen verändert, Services in der Cloud binnen Minuten bereitgestellt, Sicherheitslücken in Stunden ausgenutzt. Gleichzeitig nimmt die Dichte an Vorgaben stetig zu: Informationssicherheit, Datenschutz, Resilienz, Lieferkettensteuerung, Nachhaltigkeit, branchenbezogene IT-Anforderungen – jedes Themenfeld bringt eigene Begriffe, Rollen und Nachweispflichten mit. Wer versucht, diese Welten nebeneinander zu „managen“, gerät in eine Paradoxie: Je mehr kontrolliert wird, desto weniger wird gesteuert. Ein Kompass hilft, Prioritäten zu setzen, Widersprüche aufzulösen und alles, was wirklich wichtig ist, auf einen gemeinsamen Nenner zu bringen: Wirksamkeit. COBIT definiert genau dafür die Bausteine eines Governance-Systems, das nicht am Papier, sondern am Betrieb gemessen wird.

Wer sich ernsthaft mit Informationssicherheit beschäftigt, stößt früher oder später auf eine Flut an Abkürzungen und Normenbezeichnungen: ISO 27001, ISO 27002, BSI IT-Grundschutz, NIST, COBIT, TISAX, DORA, DSGVO – und das ist nur der Anfang. Für Außenstehende wirkt dieses Regelwerk wie ein unüberschaubarer Dschungel aus Vorschriften, Empfehlungen und Zertifizierungen. Doch wer die wichtigsten Normen kennt und versteht, erkennt schnell, dass sie mehr sind als bloße Bürokratie: Sie sind Werkzeuge, die Struktur schaffen, Risiken reduzieren, Compliance sichern und Vertrauen aufbauen. Das Ziel ist immer dasselbe – Informationen schützen –, aber die Wege dorthin unterscheiden sich. Manche Normen sind international, andere national. Manche sind gesetzlich vorgeschrieben, andere freiwillig, aber in vielen Branchen de facto unverzichtbar. Richtig eingesetzt, machen Normen Informationssicherheit planbar, messbar und nachhaltig – und zwar nicht trotz, sondern wegen ihrer Struktur.

ISO/IEC 27001: Der globale Rahmen für ein wirksames ISMS

ISO/IEC 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Sein Fokus liegt nicht auf Checklisten, sondern auf Management: Risiken verstehen, Ziele setzen, Maßnahmen festlegen, Wirksamkeit prüfen und fortlaufend verbessern. Die Norm folgt der harmonisierten ISO-Struktur (High Level Structure) und lässt sich daher gut mit anderen Managementsystemen (z. B. ISO 9001, ISO 22301) integrieren. Herzstück ist die risikobasierte Steuerung. Unternehmen entscheiden – auf Basis einer nachvollziehbaren Risikoanalyse – selbst, welche Kontrollen angemessen sind, und dokumentieren diese Auswahl in der „Statement of Applicability“ (SoA). Genau diese Flexibilität macht ISO 27001 so mächtig: Ein FinTech, ein Klinikum und ein Maschinenbauer können völlig unterschiedliche Kontrollen wählen und dennoch konform sein, solange die Auswahl risikogerecht und wirksam belegt ist. Das Zertifikat dient international als Gütesiegel: Es signalisiert Kunden, Partnern und Aufsichten, dass Informationssicherheit nicht dem Zufall überlassen wird, sondern nach einem anerkannten Regelwerk geführt wird.

Die Entwicklung der Informationstechnologie ist weit darüber hinausgegangen, dass sie ein gewöhnliches Werkzeug für Unternehmen ist, von dem diese Gebrauch machen können. IT-Praktiken waren für mehrere Unternehmen unabhängig von ihrer Branche oder Größe die notwendige Grundlage. Während es mehreren Unternehmen nicht gelingt, die Fähigkeiten ihrer IT-Praktiken zu optimieren, was dazu führen kann, dass ein Unternehmen statisch bleibt und sehr anfällig für Veralterung wird, besteht ein dringender Bedarf an der Entwicklung und Verwaltung interner Kontrollen und wesentlicher Sicherheitsniveaus, um mit den Trends Schritt halten zu können.

Und daher kommt COBIT 5 ins Spiel: Ein kurzes Verständnis von COBIT 5!
COBIT 5 wurde von ISACA entwickelt und hilft Unternehmen bei der Schaffung von Rahmenbedingungen, der Organisation und Umsetzung von Strategien für Informationsmanagement und -verwaltung. Das COBIT 5-Rahmenwerk vereinfacht eine Reihe von Managementverfahren, wobei jedes Verfahren zusammen mit Prozessinputs und -outputs, Prozesszielen, wichtigen Prozessaktivitäten, elementarem Reifegradmodell und Leistungskennzahlen sorgfältig erläutert wird. Darüber hinaus gibt es eine Menge empfohlener Best Practices für das organisatorische Management und Kontrollverfahren von Datenrahmen und Technologie mit dem Punkt der Anpassung des Unternehmens an die Informationstechnologie. COBIT ist wahrscheinlich das ganzheitlichste Rahmenwerk, das international für die Erreichung der Ziele und Vorgaben der Informationstechnologie von Organisationen anerkannt ist.