Die COVID-19-Pandemie hat in wenigen Monaten vollzogen, wofür viele Transformationsprogramme zuvor Jahre veranschlagt hatten. Was Ende 2019 als Gesundheitskrise begann, wurde Anfang 2020 zum weltweiten Katalysator für einen radikalen Kultur- und Technologiewandel: Millionen Menschen wechselten innerhalb kürzester Zeit ins Homeoffice, und das Prinzip „Bring Your Own Device“ (BYOD) rückte aus der Randnotiz in die betriebliche Mitte. Unternehmen, die bis dahin vor allem auf Präsenz, Unternehmensgeräte und klassische Netzwerkgrenzen gesetzt hatten, mussten ad hoc verteilte Arbeitsumgebungen, private Endgeräte und Cloud-Kollaboration in großem Maßstab ermöglichen – und das, ohne Sicherheit, Compliance und Produktivität aus den Augen zu verlieren.

Diese erzwungene Bewährungsprobe veränderte nicht nur IT-Architekturen, sondern auch Führung, Zusammenarbeit, Personalpolitik und rechtliche Rahmenbedingungen. Die folgenden Abschnitte zeichnen nach, wie Homeoffice und BYOD unter dem Druck der Ereignisse etabliert wurden, welche technischen, organisatorischen und menschlichen Herausforderungen bewältigt werden mussten und welche dauerhaften Lehren die Arbeitswelt daraus gezogen hat.

Die Postbank-Digitalstudie 2020 liefert eine überdeutliche Momentaufnahme: Die Deutschen sind online – und zwar so sehr, dass die wöchentliche Internetnutzung im Durchschnitt bereits vor den ersten Corona-Lockdowns einem Vollzeitjob glich. Rund 56 Stunden pro Woche waren es im Erhebungszeitraum (Februar/März 2020), davon 16 Stunden mobil über das Smartphone. Vier von fünf Menschen in Deutschland (79 Prozent) gehen mit dem Handy ins Netz. Laptops/Notebooks folgen mit 71 Prozent, Desktop-PCs mit 58 Prozent, Tablets mit 47 Prozent. Smarte Fernseher (37 Prozent), Spielkonsolen (17 Prozent), eigenständige Sprachassistenten (12 Prozent) und Wearables (8 Prozent) komplettieren das Bild. Bei den Unter-40-Jährigen fällt der Vorsprung des Smartphones noch größer aus: 91 Prozent dieser Gruppe sind damit online; zugleich zeigt sich, dass ältere Nutzerinnen und Nutzer den Desktop-PC etwas häufiger einsetzen als die Jüngeren (60 Prozent vs. 53 Prozent). Und: Digital Natives verbringen mit ihrem Smartphone im Schnitt 27 Stunden pro Woche online und kommen insgesamt auf knapp 75 Stunden Internetzeit.

Diese Zahlen sind keine Eintagsfliege. Sie markieren eine strukturelle Verschiebung, die schon vor Jahren begonnen hat, aber 2020 gleich mehrere Beschleuniger bekam: leistungsfähige Mobilnetze, günstige Datenvolumina, Reife von Apps und Diensten – und dann die Pandemie mit ihrem Schub für Fernarbeit, Videotelefonie, E-Commerce, E-Learning und digitale Freizeitgestaltung. Wer den Alltag, die Wirtschaft und die öffentliche Daseinsvorsorge in Deutschland verstehen will, kommt an „smartphone first“ nicht mehr vorbei.

Die digitale Transformation beschleunigt sich, Technologien und Geschäftsmodelle ändern sich im Jahrestakt, regulatorische Erwartungen steigen – und damit wächst der Druck, IT-Governance nicht nur formal, sondern wirksam zu gestalten. COBIT (Control Objectives for Information and Related Technology) ist seit Jahrzehnten eines der wichtigsten Referenzwerke dafür. Zwischen COBIT 5 (2012) und COBIT 2019 liegt dabei kein bloßes Update, sondern eine inhaltliche Weiterentwicklung, die Governance von „Prozesse einführen und reifen lassen“ hin zu „ein System gestalten, messen und kontinuierlich anpassen“ verschiebt. Dieser Beitrag erklärt, was sich verändert hat, warum das relevant ist – und wie sich die Unterschiede in der Praxis auswirken.

Kontinuität in den Grundsätzen – plus mehr Anpassungsfähigkeit

COBIT 5 formulierte fünf Leitprinzipien: Stakeholder-Nutzen sichern, Unternehmen Ende-zu-Ende abdecken, ein integriertes Rahmenwerk nutzen, ganzheitlich vorgehen und Governance von Management trennen. COBIT 2019 hält diese Prinzipien fest, schärft sie aber an zwei Stellen:

Wer die IT-Aufsicht im deutschen Finanzsektor verstehen will, kommt an drei Kürzeln nicht vorbei: BAIT, VAIT und KAIT. Hinter diesen Abkürzungen stehen die bank-, versicherungs- und kapitalverwaltungsaufsichtlichen Anforderungen an die IT – drei Regelwerke, die in kurzer Folge eingeführt wurden und seitdem die Messlatte für Governance, Informationssicherheit, Outsourcing und den Betrieb geschäftskritischer IT setzen. Sie sind Geschwister aus einem Haus: in Aufbau und Anspruch eng verwandt, im Detail aber spürbar geprägt von den Besonderheiten ihrer jeweiligen Domäne. Wer sie nur als „weitere Checkliste“ liest, übersieht ihren eigentlichen Charakter: Die xAITs beschreiben nicht bloß technische Mindeststandards, sondern ein integriertes Betriebs- und Steuerungsmodell für digitale Stabilität. Dieser Beitrag ordnet das Trio ein, zeigt die gemeinsame DNA – und markiert jene Stellen, an denen die Pfade sichtbar auseinandergehen.

Wozu überhaupt xAIT? Entstehung, Anspruch, Kontext

Der Auslöser ist schnell erzählt: IT hat sich von der Unterstützungsfunktion zum Produktionskern der Finanzwirtschaft entwickelt. Wertschöpfung, Kundenschnittstellen, Risiko- und Meldeprozesse – alles hängt an verteilten Anwendungen, Datenströmen und einer Lieferkette, die weit über die Unternehmensgrenzen reicht. Gleichzeitig hat der Sektor in den vergangenen Jahren mehrere schmerzhafte Lektionen gelernt: Sicherheitsvorfälle, Verfügbarkeitsprobleme, Fehlentwicklungen in Projekten, Abhängigkeiten von einzelnen Dienstleistern. Aufsicht und Institute, Versicherer und Kapitalverwaltungsgesellschaften teilen deshalb dasselbe Zielbild: ein beherrschbares, prüfbares, resilient aufgestelltes IT-Ökosystem. Die xAITs liefern dafür die Systematik – prinzipienorientiert („Ziel, nicht Mittel“), risikobasiert („Tiefe nach Kritikalität“) und proportional („Größe und Komplexität zählen“).

Die Entwicklung der Informationstechnologie ist weit darüber hinausgegangen, dass sie ein gewöhnliches Werkzeug für Unternehmen ist, von dem diese Gebrauch machen können. IT-Praktiken waren für mehrere Unternehmen unabhängig von ihrer Branche oder Größe die notwendige Grundlage. Während es mehreren Unternehmen nicht gelingt, die Fähigkeiten ihrer IT-Praktiken zu optimieren, was dazu führen kann, dass ein Unternehmen statisch bleibt und sehr anfällig für Veralterung wird, besteht ein dringender Bedarf an der Entwicklung und Verwaltung interner Kontrollen und wesentlicher Sicherheitsniveaus, um mit den Trends Schritt halten zu können.

Und daher kommt COBIT 5 ins Spiel: Ein kurzes Verständnis von COBIT 5!
COBIT 5 wurde von ISACA entwickelt und hilft Unternehmen bei der Schaffung von Rahmenbedingungen, der Organisation und Umsetzung von Strategien für Informationsmanagement und -verwaltung. Das COBIT 5-Rahmenwerk vereinfacht eine Reihe von Managementverfahren, wobei jedes Verfahren zusammen mit Prozessinputs und -outputs, Prozesszielen, wichtigen Prozessaktivitäten, elementarem Reifegradmodell und Leistungskennzahlen sorgfältig erläutert wird. Darüber hinaus gibt es eine Menge empfohlener Best Practices für das organisatorische Management und Kontrollverfahren von Datenrahmen und Technologie mit dem Punkt der Anpassung des Unternehmens an die Informationstechnologie. COBIT ist wahrscheinlich das ganzheitlichste Rahmenwerk, das international für die Erreichung der Ziele und Vorgaben der Informationstechnologie von Organisationen anerkannt ist.