Backups gelten als Sicherheitsgurt der IT. Sie beruhigen, wenn alles andere schiefgeht, sie legitimieren mutige Veränderungen und sie sind – so die bequeme Erzählung – die letzte Verteidigungslinie gegen Ransomware, Fehlkonfigurationen und menschliche Irrtümer. Doch genau in dieser Bequemlichkeit steckt ein Risiko. Wer Backups nur als „haben wir“ verbucht, übersieht, dass sie selbst zu Angriffsfläche, Compliance-Falle, Kostenbremse und Operations-Risiko werden können. Dieses Paradoxon begegnet man erst dann, wenn es weh tut: im Incident Room, wenn Wiederherstellungen scheitern; im Audit, wenn Aufbewahrungsfristen und Löschpflichten kollidieren; in der Lieferkette, wenn ein Dienstleister die Telemetrie nicht liefert; im Budget, wenn Zombie-Backups in der Cloud unbemerkt Millionen verschlingen. Zeit, hinzusehen: Wann werden Backups zur Gefahr – und wie baut man sie so, dass sie nicht zum Problem, sondern zum Beweis der eigenen Handlungsfähigkeit werden?

Das Backup-Paradoxon

Je erfolgreicher die Datensicherung, desto unsichtbarer wird sie. Sie läuft nachts, sie meldet „grün“, sie erzeugt beruhigende Reports. Doch Sichtbarkeit ist nicht gleich Wirksamkeit. „Job erfolgreich“ bedeutet nicht, dass sich eine kritische Anwendung konsistent wiederherstellen lässt. „Immutability aktiv“ bedeutet nicht, dass Angreifer nicht doch Löschbefehle platzieren können – über die falschen Adminrechte, die richtige API oder einen Delegationsfehler. „Replikation aktiv“ bedeutet nicht, dass man ein sicheres Restore-Zeitfenster hat; Replikation multipliziert auch Korruption und Verschlüsselung in Rechenzeit, nicht in Tagen. Was zählt, ist nicht die Existenz von Kopien, sondern die Fähigkeit, gezielt, schnell und integer zu rekonstruieren – und das nachweisbar.

Mindestanforderungen klangen lange nach Papier, nach Checklisten und nach der Frage: „Welche Dokumente will der Prüfer sehen?“ Wer MaRisk heute noch so liest, verpasst den entscheidenden Punkt. Das Rundschreiben hat sich in den letzten Jahren von einer Sammlungsstelle „guter Ordnung“ zu einem Betriebssystem für Governance & Compliance entwickelt. Es ordnet Rollen und Verantwortlichkeiten, zwingt Entscheidungen in klare Bahnen, verbindet Geschäftsstrategie mit Risikoappetit, verankert Datenqualität als Führungsaufgabe, macht Auslagerungen steuerbar, rückt IT und Informationssicherheit in die erste Reihe und übersetzt Resilienz von der Prosafloskel in geübte Praxis. Kurz: MaRisk ist kein zusätzliches Projekt mehr. Es ist der Rahmen, in dem alles andere vernünftig wird – oder eben scheitert.

Und genau deshalb wirkt der Standard heute wie ein Gamechanger. Nicht, weil neue Seiten entstanden wären, sondern weil sich das Verständnis verschoben hat: weg von der Erfüllung einzelner Anforderungen hin zu einem integrierten Führungs- und Steuerungssystem, das in Aufsichtsrunden, Release-Boards, Kreditkomitees und Krisenstäben tatsächlich den Takt vorgibt. Wo MaRisk ernst genommen wird, sinken Reibungsverluste, eskalieren Probleme früher – und werden schneller gelöst. Wo es als „Papierarbeit“ abgetan wird, steigen Kosten, wächst Frust, und Risiken werden durch Bürokratie nicht kleiner, sondern bloß unsichtbarer.

BYOD ist ein internationaler Trend, der zunehmend auch in deutschen Unternehmen Einzug hält. Der Begriff bezeichnet den Umstand, dass Mitarbeitern erlaubt wird, anstelle firmeneigener Laptops/Notebooks, Tablet-PCs und Smartphones, private Geräte einzusetzen. Der Trend, Privateigentum zu betrieblichen Zwecken einzusetzen, ist nicht neu. Auch andere Gegenstände werden bereits seit längerer Zeit auf Geheiß des Arbeitgebers dienstlich mitgeführt und eingesetzt. Als Beispiel dient der private PKW, der auch als Dienstfahrzeug eingesetzt wird. In Bezug auf Mobilgeräte ergeben sich jedoch neue rechtliche Fragen, insbesondere aus dem IT- und TK-Recht sowie aus dem Datenschutzrecht.

Vorteile und Risiken von BYOD 

Die Vorteile von BYOD liegen insbesondere in Kostenersparnissen des Unternehmens und dem vielfachen Wunsch der Mitarbeiter, ihre (moderneren) Geräte, mit deren Umgang sie vertraut sind, auch beruflich einsetzten zu können und nicht zugleich sowohl private als auch Firmengeräte mit sich führen zu müssen.

Das Thema BYOD hat in den letzten Monaten offenbar an Bedeutung eingebüßt, weil viele Verantwortliche mittlerweile erkannt haben, dass die damit verbundenen technischen und rechtlichen Probleme inhärent nicht beherrschbar sind und am Ende - insbesondere in Europa - die Verantwortung für dieses weitgehend verantwortungslose Konzept ganz allein bei den IT-Experten hängen bleibt. Dies wurde insbesondere in den letzten Blog Artikel offensichtlich.

Die grundsätzlich ähnlichen Konzepte von BlackBerry BALANCE oder Samsung KNOX, die zur Trennung von geschäftlichen und privaten Inhalten genutzt werden können, bringen neuen Schwung in die Diskussion über sichere und seriöse BYOD Konzepte. Unabhängig davon, dass man die rechtlichen Hürden in Deutschland, die BYOD mit keiner seriösen Technologie lösen kann, ist Samsung KNOX konzeptionell mehr als fragwürdig.

Im digitalen Zeitalter reicht es nicht aus, innovative IT-Lösungen zu bauen. Organisationen müssen zugleich Risiken beherrschen, Regeln einhalten und Wert für Kunden, Eigentümer und Gesellschaft stiften. Genau hier setzt COBIT 2019 an: als international anerkanntes Framework für IT-Governance und -Management, das Technik, Organisation, Menschen, Prozesse und Nachweise zu einem wirksamen Steuerungssystem verbindet. Eine seiner stärksten Seiten ist die integrierte Sicht auf Compliance – nicht als bürokratische Pflicht, sondern als gestaltbare Fähigkeit, die Sicherheit, Verlässlichkeit und Vertrauen messbar erhöht.

Im Folgenden wird verständlich und praxisnah erläutert, wie COBIT 2019 Compliance im Kern der IT-Governance verankert, welche Bausteine es dafür bereitstellt, wie sich Metriken, Kontrollen und Verantwortlichkeiten verknüpfen, welche Spezialthemen (Cloud, Drittparteien, Daten & KI, Resilienz) besondere Beachtung verlangen – und wie Organisationen daraus echten Geschäftsnutzen ziehen.