Sie sind hier: Home » Markt » Interviews

COBIT versteht sich als Integrator-Rahmenwerk


Wie lässt sich die IT im Unternehmen wirksam steuern? COBIT 5 bietet hier breite Unterstützung
Aufbau und Anwendung des COBIT-Rahmenwerks: Martin Andenmatten in einem Experten-Interview mit dem Fachverlag Symposion Publishing

Herr Andenmatten, bei COBIT denken viele vielleicht immer noch an einen Leitfaden für IT-Prüfer. Doch das trifft längst nicht mehr zu. Können Sie skizzieren, wie sich COBIT verändert hat?

Martin Andenmatten:
Ja, COBIT hatte seinen Ursprung im Bereitstellen von Checklisten und Kontrollzielen für IT-Revisoren. Die IT-Prüfer und das IT-Management haben sich aber oft nicht wirklich verstanden, weil beide mit unterschiedlichen Begriffen und Vorgehensmodellen gearbeitet haben. ISACA, der Eigentümer und treibende Verein hinter COBIT, hat dies bereits seit der Version 3 erkannt und kontinuierlich versucht, die beiden Welten zusammenzuführen. Mit der Version 5 von COBIT hat man sich nun definitiv von Begriffen wie "Control Objectives" verabschiedet und ein ganzheitliches, ausgereiftes Governance- und Management-Framework bereitgestellt.

Warum sollte man die IT im Unternehmen überhaupt durch COBIT steuern? Reichen Standards wie ITIL oder ISO 20000 nicht eigentlich aus?

Andenmatten:
Diese Frage ist berechtigt. Bei den Frameworks wie ITIL, ISO 20000 oder auch bei Standards in der Software-Entwicklung wie CMMI oder im Projektmanagement wie PMBOK und Prince2 handelt es sich allesamt um gute Rahmenwerke. Das Problem liegt bei ihnen aber auf zwei Ebenen: Sie decken immer nur einen Teilbereich der IT-Funktionen ab. Zudem mangelt es den meisten Frameworks an einer nahtlosen Integration mit den Businessprozessen und der Business-Strategie. COBIT hat demgegenüber die gesamte Unternehmens-IT im Fokus und versteht sich als Integrator-Rahmenwerk für die anderen Frameworks. Dadurch will COBIT die anderen Rahmenwerke nicht vertreiben. Im Gegenteil – COBIT sagt, "Was" alles getan werden muss; beim "Wie" verweist es auf die spezifischen Themen-Frameworks.

Was genau ist "Governance", gerade auch im Unterschied zum Begriff "Management"?

Andenmatten:
"Governance" ist ein Begriff, der oft unterschiedlich verstanden wird. Gemäß COBIT stellt Governance sicher, dass die Anforderungen, Rahmenbedingungen und Möglichkeiten der Stakeholder evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele erreichen zu können. Sie gibt die Strategie vor, stellt sicher, dass diese auch erreicht werden, indem die Risiken optimiert und die Ressourcen verantwortungsvoll eingesetzt werden. Es ist eines der Prinzipien von COBIT, dass zwischen Governance und Management eine klare Gewaltentrennung herrschen muss. Während Governance die Richtung vorgibt, die Ergebnisse prüft und bewertet, ist das Management für Planung, Umsetzung, Betrieb und Überwachung der Unternehmens-IT zuständig.

Im Zentrum von COBIT 5 stehen fünf Governance-Prinzipien und sieben sogenannte Enabler. Was hat es damit auf sich?

Andenmatten:
Damit sich eine Governance der IT wirkungsvoll umsetzen lässt, braucht es Prinzipien, auf deren Basis ein gemeinsames Verständnis und Vorgehen sichergestellt werden kann. COBIT 5 hat hier fünf Prinzipien definiert, wovon eines die besprochene Trennung von Governance und Management darstellt. Ein weiteres liegt darin, dass die Ansprüche der Stakeholder durch gute Governance erfüllt werden müssen. Dazu hat COBIT ein Zielkaskadensystem zur Verfügung gestellt. Damit die Governance dessen Wirkung voll entfalten kann, braucht es zudem einen ganzheitlichen Ansatz. Dieses Prinzip besagt, dass verschiedene Faktoren dazu beitragen, die Ziele des Unternehmens zu erfüllen. Prozesse alleine reichen da nicht aus. Es braucht auch klare Richtlinien, Organisationsstrukturen, Ethik und Verhalten, Informationen, gute Services und Mitarbeiter mit entsprechenden Skills und Kompetenzen, die gemeinsam dazu beitragen. Diese Faktoren nennt COBIT die Enabler, die Befähiger der Governance.

Immer alarmierender ist die wachsende Bedrohung durch Cyberkriminalität wie Hacking oder Datendiebstahl. Wie kann COBIT 5 Unternehmen helfen, dieses Problem in den Griff zu bekommen?

Andenmatten:
Die Cyberkriminalität ist zu einer echten Bedrohung von Unternehmen und ganzen Volkswirtschaften geworden. Da reicht die Installation eines einfachen Antivirenprogramms bei Weitem nicht mehr. Es braucht einen umfassenden, ganzheitlichen Ansatz, der alle Schutzmaßnahmen integriert und die Funktion und Sicherheit von Geschäftsprozessen nachhaltig gewährleistet. COBIT 5 eignet sich mit seiner Enabler- Struktur sehr gut, um auf deren Basis gezielte und zusätzliche Sicherheitskontrollen ein- zurichten, damit Cybersecurity in einem Organisationskontext durchgeführt und gepflegt werden kann.

Ebenfalls immer wichtiger – auch im Unternehmenskontext – wird der Einsatz mobiler Geräte. Leider werden die damit verbundenen Risiken oft unterschätzt. Welche Lösung bietet COBIT hier an?

Andenmatten: Die Mobilität bietet für Unternehmen enorme Potenziale und lässt flexible Arbeitsmodelle zu. Mit der zunehmenden Mobilität und der einfachen Nutzung von Cloud-Services haben solche Systeme ein großes Risikopotenzial, dass die Daten und deren Bearbeitung nicht mehr unter vollständiger Kontrolle des Unternehmens bleiben. Es gibt also Chancen und Risiken, die gegenseitig abgewogen werden müssen. COBIT 5 bietet auch hier auf Basis der Enabler eine ideale Grundlage, um für mobile Geräte eine ganzheitliche Security-Management-Lösung zu schaffen und diese nahtlos in andere Governance-, Risk- und Compliance-Praktiken des gesamten Unternehmens zu integrieren.

Herr Andenmatten, vielen Dank für das Gespräch.

Über Martin Andenmatten
Martin Andenmatten ist seit 30 Jahren in unterschiedlichen Bereichen der Informatik tätig. Er ist Certified Information System Auditor (CISA), Certified in the Governance of Enterprise IT (CGEIT), Certified in Risk and Information System Control (CRISC), COBIT 5 Certified Assessor und akkreditierter COBIT 5 Trainer für Foundation, Implementation und Assessor Ausbildungen. Zudem ist Martin Andenmatten zertifizierter ITIL Master, ISO/IEC 20000 Auditor und Practitioner. Als diplomierter Wirtschaftsinformatiker II und diplomierter Betriebsökonom FH verfügt er über ein breit abgestütztes theoretisches Wissen. Seine Praxiserfahrungen hat er als Herausgeber und Autor in seinen Büchern "ISO 20000: Praxishandbuch für Servicemanagement und IT-Governance" sowie "Services managen mit ITIL" beschrieben.
Er war mehrere Jahre
verantwortlich für die Planung und Umsetzung eines operativen IT-Betriebs. Heute ist Martin Andenmatten Geschäftsführer der Firma Glenfis AG und leitet bei verschiedenen Kunden anspruchsvolle Governance und Service-Management-Projekte. Seit 2002 ist er außerdem Kursleiter der erfolgreichen ITIL-, ISO 20000- und COBIT-Trainings. Als akkreditierter Trainer für "Apollo13", "Grab@Pizza", "Challenge of Egypt" und "Polestar" von G2G3 führt er direkt beim Kunden Prozess-Simulationen durch. Martin Andenmatten ist Gründer der Glenfis AG.

COBIT 5 Grundlagen
Planung, Umsetzung und Optimierung der IT-Steuerung
Von: Martin Andenmatten
Hardcover, 580 Seiten mit zahlreichen Abbildungen
ISBN 978-3-86329-653-7
Preis EUR 69,00 (inkl. MwSt. und Versandkosten)
Symposion Publishing 2015
(Fachverlag Symposion Publishing: ra)

Symposium Publishing: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Elektronischer Rechnungsaustausch

    Die Experten Prof. Dr. Georg Rainer Hofmann vom eco - Verband der Internetwirtschaft e.V., Stefan Groß vom VeR, Verband elektronische Rechnung sowie Ha Doan von Comarch diskutieren Status und Entwicklung der elektronischen Rechnung. Sie alle sind beim Impulstag Digitalisierung am 25.06. in Garching vor Ort und werden dort mit Mirjana Stanisic-Petrovic vom Fraunhofer IAO umfangreiche Einblicke in ihre Erfahrungen geben.

  • Test auf das Down-Syndrom

    Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."

  • Gut für Anwälte, schlecht für Anwender

    Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.

  • Forderungsmanagement: Aufgabe für die Kommune

    Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

  • Missbrauch von Daten

    Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis beantwortet sie.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen