- Anzeigen -

Sie sind hier: Home » Markt » Interviews

COBIT versteht sich als Integrator-Rahmenwerk


Wie lässt sich die IT im Unternehmen wirksam steuern? COBIT 5 bietet hier breite Unterstützung
Aufbau und Anwendung des COBIT-Rahmenwerks: Martin Andenmatten in einem Experten-Interview mit dem Fachverlag Symposion Publishing

Herr Andenmatten, bei COBIT denken viele vielleicht immer noch an einen Leitfaden für IT-Prüfer. Doch das trifft längst nicht mehr zu. Können Sie skizzieren, wie sich COBIT verändert hat?

Martin Andenmatten:
Ja, COBIT hatte seinen Ursprung im Bereitstellen von Checklisten und Kontrollzielen für IT-Revisoren. Die IT-Prüfer und das IT-Management haben sich aber oft nicht wirklich verstanden, weil beide mit unterschiedlichen Begriffen und Vorgehensmodellen gearbeitet haben. ISACA, der Eigentümer und treibende Verein hinter COBIT, hat dies bereits seit der Version 3 erkannt und kontinuierlich versucht, die beiden Welten zusammenzuführen. Mit der Version 5 von COBIT hat man sich nun definitiv von Begriffen wie "Control Objectives" verabschiedet und ein ganzheitliches, ausgereiftes Governance- und Management-Framework bereitgestellt.

Warum sollte man die IT im Unternehmen überhaupt durch COBIT steuern? Reichen Standards wie ITIL oder ISO 20000 nicht eigentlich aus?

Andenmatten:
Diese Frage ist berechtigt. Bei den Frameworks wie ITIL, ISO 20000 oder auch bei Standards in der Software-Entwicklung wie CMMI oder im Projektmanagement wie PMBOK und Prince2 handelt es sich allesamt um gute Rahmenwerke. Das Problem liegt bei ihnen aber auf zwei Ebenen: Sie decken immer nur einen Teilbereich der IT-Funktionen ab. Zudem mangelt es den meisten Frameworks an einer nahtlosen Integration mit den Businessprozessen und der Business-Strategie. COBIT hat demgegenüber die gesamte Unternehmens-IT im Fokus und versteht sich als Integrator-Rahmenwerk für die anderen Frameworks. Dadurch will COBIT die anderen Rahmenwerke nicht vertreiben. Im Gegenteil – COBIT sagt, "Was" alles getan werden muss; beim "Wie" verweist es auf die spezifischen Themen-Frameworks.

Was genau ist "Governance", gerade auch im Unterschied zum Begriff "Management"?

Andenmatten:
"Governance" ist ein Begriff, der oft unterschiedlich verstanden wird. Gemäß COBIT stellt Governance sicher, dass die Anforderungen, Rahmenbedingungen und Möglichkeiten der Stakeholder evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele erreichen zu können. Sie gibt die Strategie vor, stellt sicher, dass diese auch erreicht werden, indem die Risiken optimiert und die Ressourcen verantwortungsvoll eingesetzt werden. Es ist eines der Prinzipien von COBIT, dass zwischen Governance und Management eine klare Gewaltentrennung herrschen muss. Während Governance die Richtung vorgibt, die Ergebnisse prüft und bewertet, ist das Management für Planung, Umsetzung, Betrieb und Überwachung der Unternehmens-IT zuständig.

Im Zentrum von COBIT 5 stehen fünf Governance-Prinzipien und sieben sogenannte Enabler. Was hat es damit auf sich?

Andenmatten:
Damit sich eine Governance der IT wirkungsvoll umsetzen lässt, braucht es Prinzipien, auf deren Basis ein gemeinsames Verständnis und Vorgehen sichergestellt werden kann. COBIT 5 hat hier fünf Prinzipien definiert, wovon eines die besprochene Trennung von Governance und Management darstellt. Ein weiteres liegt darin, dass die Ansprüche der Stakeholder durch gute Governance erfüllt werden müssen. Dazu hat COBIT ein Zielkaskadensystem zur Verfügung gestellt. Damit die Governance dessen Wirkung voll entfalten kann, braucht es zudem einen ganzheitlichen Ansatz. Dieses Prinzip besagt, dass verschiedene Faktoren dazu beitragen, die Ziele des Unternehmens zu erfüllen. Prozesse alleine reichen da nicht aus. Es braucht auch klare Richtlinien, Organisationsstrukturen, Ethik und Verhalten, Informationen, gute Services und Mitarbeiter mit entsprechenden Skills und Kompetenzen, die gemeinsam dazu beitragen. Diese Faktoren nennt COBIT die Enabler, die Befähiger der Governance.

Immer alarmierender ist die wachsende Bedrohung durch Cyberkriminalität wie Hacking oder Datendiebstahl. Wie kann COBIT 5 Unternehmen helfen, dieses Problem in den Griff zu bekommen?

Andenmatten:
Die Cyberkriminalität ist zu einer echten Bedrohung von Unternehmen und ganzen Volkswirtschaften geworden. Da reicht die Installation eines einfachen Antivirenprogramms bei Weitem nicht mehr. Es braucht einen umfassenden, ganzheitlichen Ansatz, der alle Schutzmaßnahmen integriert und die Funktion und Sicherheit von Geschäftsprozessen nachhaltig gewährleistet. COBIT 5 eignet sich mit seiner Enabler- Struktur sehr gut, um auf deren Basis gezielte und zusätzliche Sicherheitskontrollen ein- zurichten, damit Cybersecurity in einem Organisationskontext durchgeführt und gepflegt werden kann.

Ebenfalls immer wichtiger – auch im Unternehmenskontext – wird der Einsatz mobiler Geräte. Leider werden die damit verbundenen Risiken oft unterschätzt. Welche Lösung bietet COBIT hier an?

Andenmatten: Die Mobilität bietet für Unternehmen enorme Potenziale und lässt flexible Arbeitsmodelle zu. Mit der zunehmenden Mobilität und der einfachen Nutzung von Cloud-Services haben solche Systeme ein großes Risikopotenzial, dass die Daten und deren Bearbeitung nicht mehr unter vollständiger Kontrolle des Unternehmens bleiben. Es gibt also Chancen und Risiken, die gegenseitig abgewogen werden müssen. COBIT 5 bietet auch hier auf Basis der Enabler eine ideale Grundlage, um für mobile Geräte eine ganzheitliche Security-Management-Lösung zu schaffen und diese nahtlos in andere Governance-, Risk- und Compliance-Praktiken des gesamten Unternehmens zu integrieren.

Herr Andenmatten, vielen Dank für das Gespräch.

Über Martin Andenmatten
Martin Andenmatten ist seit 30 Jahren in unterschiedlichen Bereichen der Informatik tätig. Er ist Certified Information System Auditor (CISA), Certified in the Governance of Enterprise IT (CGEIT), Certified in Risk and Information System Control (CRISC), COBIT 5 Certified Assessor und akkreditierter COBIT 5 Trainer für Foundation, Implementation und Assessor Ausbildungen. Zudem ist Martin Andenmatten zertifizierter ITIL Master, ISO/IEC 20000 Auditor und Practitioner. Als diplomierter Wirtschaftsinformatiker II und diplomierter Betriebsökonom FH verfügt er über ein breit abgestütztes theoretisches Wissen. Seine Praxiserfahrungen hat er als Herausgeber und Autor in seinen Büchern "ISO 20000: Praxishandbuch für Servicemanagement und IT-Governance" sowie "Services managen mit ITIL" beschrieben.
Er war mehrere Jahre
verantwortlich für die Planung und Umsetzung eines operativen IT-Betriebs. Heute ist Martin Andenmatten Geschäftsführer der Firma Glenfis AG und leitet bei verschiedenen Kunden anspruchsvolle Governance und Service-Management-Projekte. Seit 2002 ist er außerdem Kursleiter der erfolgreichen ITIL-, ISO 20000- und COBIT-Trainings. Als akkreditierter Trainer für "Apollo13", "Grab@Pizza", "Challenge of Egypt" und "Polestar" von G2G3 führt er direkt beim Kunden Prozess-Simulationen durch. Martin Andenmatten ist Gründer der Glenfis AG.

COBIT 5 Grundlagen
Planung, Umsetzung und Optimierung der IT-Steuerung
Von: Martin Andenmatten
Hardcover, 580 Seiten mit zahlreichen Abbildungen
ISBN 978-3-86329-653-7
Preis EUR 69,00 (inkl. MwSt. und Versandkosten)
Symposion Publishing 2015
(Fachverlag Symposion Publishing: ra)

Symposium Publishing: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Missbrauch von Daten

    Im Zusammenhang mit den schwerwiegenden Datenschutzverletzungen insbesondere der letzten beiden Jahren stellen sich bei aller Verschiedenheit der Angriffe doch einige typische Fragen. David Lin von Varonis beantwortet sie.

  • Datenverarbeitung in den USA

    Der Europäische Gerichtshof hat in einem aktuellen Urteil festgestellt, dass das sog. Safe Harbor-Abkommen zwischen der EU und den USA ungültig ist. Das Safe Harbor-Abkommen war die wesentliche Grundlage, die es erlaubte, in der EU erhobene, personenbezogene Daten an Unternehmen in den USA zu transferieren. Dr. Fabian Niemann von der Kanzlei Bird&Bird erklärt in einem kurzen Interview mit artegic, was Unternehmen beachten müssen, die bisher Daten auf Grundlage von Safe Harbor in die USA transferiert haben.

  • Trade Compliance ist sehr rechtsbezogen

    Viele international tätige Großunternehmen stehen vor der Frage, welchem Unternehmensbereich (Recht, Finanzen, Supply-Chain-Management) sie das Thema "Trade Compliance" zuordnen können und wie sie Exportkontrollen am besten organisieren. Kai Schwab, Sales Director Germany, Amber Road, sprach darüber kürzlich mit Torsten Röser, Director Export Control & ECO, Infineon Technologies AG.

  • COBIT versteht sich als Integrator-Rahmenwerk

    COBIT hatte seinen Ursprung im Bereitstellen von Checklisten und Kontrollzielen für IT-Revisoren. Die IT-Prüfer und das IT-Management haben sich aber oft nicht wirklich verstanden, weil beide mit unterschiedlichen Begriffen und Vorgehensmodellen gearbeitet haben. ISACA, der Eigentümer und treibende Verein hinter COBIT, hat dies bereits seit der Version 3 erkannt und kontinuierlich versucht, die beiden Welten zusammenzuführen. Mit der Version 5 von COBIT hat man sich nun definitiv von Begriffen wie "Control Objectives" verabschiedet und ein ganzheitliches, ausgereiftes Governance- und Management-Framework bereitgestellt.

  • Der Schlüssel zur sicheren Datenübertragung

    Von kurzen Notizen bis hin zu geschäftskritischen Informationen mit vertraulichen Anhängen - alles wird heute via E-Mail versendet. Dennoch sind die Übertragungswege häufig nicht ausreichend vor unberechtigten Zugriffen geschützt. Warum das so ist und wie sich das mit Ende-zu-Ende Verschlüsselung mit vergleichsweise geringem Aufwand ändern ließe, erläutert Marcel Mock, CTO und Mitbegründer von totemo.