BLOG

BLOG

Categories:   All Categories
Suggested keywords
x

Governance

Per RSS abonnieren
Markus Groß

Vom SANS zum Standard: Wie die CIS Controls geboren wurden

IT
Vom SANS zum Standard: Wie die CIS Controls geboren wurden

Es fängt – wie vieles in der Informationssicherheit – nicht mit einem großen Plan an, sondern mit Frust. Frust darüber, dass Unternehmen immer wieder an denselben Stellen getroffen werden. Frust darüber, dass dicke Ordner voller Richtlinien kaum helfen, wenn ein Angreifer mit banalen Mitteln durch eine unentdeckte Fernwartungsschnittstelle spaziert. Frust darüber, dass jede Organisation aufwendig eigene Kataloge schreibt, während die Kriminellen längst arbeitsteilig, wiederholbar und effizient vorgehen. Aus diesem Frust entsteht eine Idee, die zunächst beinahe unverschämt schlicht wirkt: Statt noch ein Rahmenwerk, noch eine Norm, noch eine Auslegungshilfe zu veröffentlichen, bündeln wir das, was wirklich wirkt, und bringen es in eine priorisierte Reihenfolge. Keine Theorielehre, sondern ein Programm. Kein schönes Plakat, sondern eine Handlungsanweisung. Aus dieser Idee wurden erst die „Top 20 Critical Security Controls“ – und im nächsten Schritt das, was wir heute als CIS Controls kennen.

Die Ausgangslage: Zu viel Theorie, zu wenig Wirkung

Die frühen 2000er-Jahre sind eine Zeit des Aufbruchs – und der Ernüchterung. Die Sicherheitsgemeinde verfügt über Rahmenwerke en masse: ISO/IEC 27001 mit seinem Managementansatz, NIST SP 800-53 mit seinem umfassenden Kontrollkatalog, COBIT für Governance, ITIL für Serviceprozesse. All das ist wertvoll. Doch im Maschinenraum der Unternehmen bleiben immer wieder dieselben Lücken offen: nicht inventarisierte Systeme, veraltete Software, grob fahrlässige Standardkonfigurationen, allzu großzügige Administratorrechte, schwache Protokollierung, zu seltene Auswertung. Wer ein Incident-Response-Team begleitet, erkennt Muster. Wer viele Reaktionen begleitet, erkennt immer dieselben Muster.


Weiterlesen
6
Markiert in:
Governance Risk Controls CIS
Tweet
12842 Aufrufe
Markus Groß

Zwischen DORA und NIS2: Warum Governance jetzt auf dem Prüfstand steht

IT
Zwischen DORA und NIS2: Warum Governance jetzt auf dem Prüfstand steht

Es gibt Momente, in denen Regulierung nicht nur Regeln setzt, sondern eine ganze Organisation in den Spiegel schauen lässt. DORA und NIS2 sind genau solche Momente. Die eine Verordnung richtet sich mitten ins Herz der Finanzwelt und macht digitale Resilienz zur Chefsache. Die andere spannt den Bogen über große Teile der europäischen Wirtschaft und hebt Cybersicherheit auf ein neues, sektorübergreifendes Niveau. Zusammen erzeugen sie einen Druck, der weit über Checklisten hinausreicht: Governance wird zur Bewährungsprobe. Nicht mehr die Frage, ob Richtlinien existieren, sondern ob Steuerung messbar wirkt, entscheidet darüber, wie belastbar ein Unternehmen wirklich ist.

Der Doppeldruck: Zwei Wellen, ein Kernproblem

Viele Häuser erleben gerade zwei Wellen gleichzeitig. Von DORA her rollt die Erwartung, digitale Betriebsfähigkeit selbst unter Störung nachweislich zu sichern – mit Risikomanagement, Meldung, Tests und streng geführter Lieferkette. Von NIS2 her wächst der Anspruch, Cyberrisiken querschnittlich zu beherrschen – vom Vorstand über Technik bis hin zu Partnern und Dienstleistern. Auf den ersten Blick zwei Welten; in Wahrheit ein Kernproblem: Führung unter Unsicherheit. Wer beide Rahmen ernst nimmt, erkennt schnell: Governance ist nicht die Summe von Einzelanforderungen, sondern ein lebendes System, das Ziele, Risiken, Kontrollen, Daten und Entscheidungen miteinander verzahnt – und zwar so, dass man es jederzeit belegen kann.


Weiterlesen
4
Markiert in:
Informationssicherheit ISMS Governance NIS2 DORA
Tweet
13582 Aufrufe
Markus Groß

COBIT im Praxistest: Warum 2019 nur der Anfang war

IT
COBIT im Praxistest: Warum 2019 nur der Anfang war

COBIT 2019 hat die Governance-Welt geordnet wie kaum ein anderes Rahmenwerk: modular, prinzipienorientiert, mit klarem Blick auf Unternehmensziele und mit einem Werkzeugkasten, der vom Vorstandsbeschluss bis zum operativen Ticket durchdekliniert ist. Doch der eigentliche Test beginnt nicht im Handbuch, sondern im Alltag. Erst dort zeigt sich, ob ein Framework bewegt, was es verspricht: Entscheidungen besser machen, Risiken beherrschbar halten, Innovation ermöglichen – und all das so, dass man es später belegen kann. Der Praxistest der letzten Jahre liefert eine klare Erkenntnis: 2019 war ein Startsignal, kein Endpunkt. Wer heute auf COBIT setzt, nutzt es nicht als Checkliste, sondern als Betriebssystem für Steuerung – ein Kompass, der Organisationen befähigt, in Bewegung zu bleiben, ohne die Richtung zu verlieren.

Vom Kapitel zur Kette: Was COBIT 2019 wirklich verändert

Der größte Fortschritt von COBIT 2019 liegt nicht in einem neuen Prozessnamen, sondern in der Kohärenz. Governance wird als System verstanden, in dem Ziele, Entscheidungen, Maßnahmen, Metriken und Nachweise eine Kette bilden. Diese Kette ist keine Theorie: Sie beginnt bei der Goals Cascade (Unternehmensziele → I&T-bezogene Ziele → Governance- und Management-Objectives) und führt über Governance-Komponenten (Prozesse, Organisationsstrukturen, Prinzipien/Policies/Prozeduren, Informationen, Kultur/Ethik/Verhalten, Services/Applikationen/Infrastruktur, Menschen/Kompetenzen) bis hin zum Performance Management (Fähigkeitsniveaus, Messkriterien, Zielwerte). In der Praxis bedeutet das: Man steuert nicht mehr „die IT“, sondern die Wirkung von Information & Technology auf das Geschäft – und man tut es so, dass man es jeden Tag sehen und jeden Monat beweisen kann.


Weiterlesen
5
Markiert in:
ISACA Governance COBIT2019 COBIT
Tweet
16455 Aufrufe
Markus Groß

COBIT Next: Wohin die Reise nach 2019 wirklich geht

IT
COBIT Next: Wohin die Reise nach 2019 wirklich geht

COBIT war schon immer mehr als nur ein Framework für IT-Kontrollen. Seit den frühen Versionen in den 1990er-Jahren bis hin zur Neuausrichtung mit COBIT 2019 hat sich gezeigt: Wer Informationen und Technologie wirksam steuern will, braucht einen klaren Ordnungsrahmen, der Strategie, Risiko und operatives Handeln zusammenführt. Doch so reif COBIT 2019 auch ist – die Welt steht nicht still. Cloud-Ökosysteme, KI-getriebene Produkte, geopolitische Spannungen, verschärfte Regulierung und der Fokus auf digitale Resilienz verschieben den Maßstab. Aus dieser Dynamik speist sich der Gedanke COBIT Next: nicht als einzelne Version mit Stichtag, sondern als nächste Evolutionsstufe einer Governance-Logik, die Orientierung statt Überforderung bietet.

Was COBIT Next meint – und was nicht

COBIT Next ist keine neue Checkliste. Es ist die konsequente Weiterentwicklung von COBIT 2019 hin zu einem Kompass, der Organisationen befähigt, Governance als lebenden Prozess zu betreiben. Die Fragen dahinter sind handfest: Wohin entwickelt sich Governance nach 2019? Welche Antworten braucht ein Unternehmen, wenn sich Geschäftsmodelle in Monaten drehen, regulatorische Erwartungen sich verdichten und Technologiezyklen im Wochenrhythmus laufen? Und vor allem: Wie entsteht Mehrwert aus Governance – nicht nur formale Compliance?


Weiterlesen
6
Markiert in:
ISACA Governance COBIT2019 COBIT
Tweet
16842 Aufrufe
Markus Groß

Vom Framework zum Kompass: Wie COBIT die neue Governance-Welt ordnet

IT
Vom Framework zum Kompass: Wie COBIT die neue Governance-Welt ordnet

Es gibt Wörter, die klingen nach Papier, nach Formularen, nach Pflicht. „Governance“ gehört für viele in diese Kategorie. Wer jemals in einer Sitzung gesessen hat, in der Richtlinien gegeneinander abgewogen, Rollen diskutiert und Berichtslinien umgehängt wurden, weiß, wie schnell der Blick auf das Wesentliche verloren gehen kann: Was soll all das bewirken? Wozu dient der Aufwand jenseits von Auditoren, Aufsichtsbehörden und Checklisten? Genau hier hat sich COBIT in den letzten Jahren spürbar verändert. Aus einem Rahmenwerk, das Kontrollen sortiert, ist ein Kompass geworden, der Organisationen hilft, in einer zunehmend unübersichtlichen Landschaft die Richtung zu halten – dahin, wo Strategie, Technologie und Verantwortlichkeit sich nicht widersprechen, sondern sich gegenseitig verstärken.

Warum ein Kompass nötig ist

Die digitale Realität ist schneller als jeder Redaktionsschluss. Produkte werden in Wochenzyklen verändert, Services in der Cloud binnen Minuten bereitgestellt, Sicherheitslücken in Stunden ausgenutzt. Gleichzeitig nimmt die Dichte an Vorgaben stetig zu: Informationssicherheit, Datenschutz, Resilienz, Lieferkettensteuerung, Nachhaltigkeit, branchenbezogene IT-Anforderungen – jedes Themenfeld bringt eigene Begriffe, Rollen und Nachweispflichten mit. Wer versucht, diese Welten nebeneinander zu „managen“, gerät in eine Paradoxie: Je mehr kontrolliert wird, desto weniger wird gesteuert. Ein Kompass hilft, Prioritäten zu setzen, Widersprüche aufzulösen und alles, was wirklich wichtig ist, auf einen gemeinsamen Nenner zu bringen: Wirksamkeit. COBIT definiert genau dafür die Bausteine eines Governance-Systems, das nicht am Papier, sondern am Betrieb gemessen wird.


Weiterlesen
6
Markiert in:
Governance COBIT2019 ISACA Framework COBIT
Tweet
16550 Aufrufe
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Datenschutz | Impressum