Durch die Digitalisierungswelle im letzten Jahrzehnt kommt der IT-Organisation in Unternehmen eine immer größere Bedeutung zu. Die Geschäftsmodelle sind zunehmend digitaler und rücken so in den Fokus von Cyberkriminellen. Das gilt insbesondere für exponierte Branchen, wie die Finanzindustrie und Banken im Speziellen. Mit geeigneten IT-Governance-Vorgaben können sich Unternehmen jedoch proaktiv auf die kommenden Herausforderungen einstellen und externe Anforderungen besser integrieren. In diesem Beitrag gehen wir auf die Ziele der IT-Governance in Unternehmen und speziell in Banken ein und zeigen worauf bei der Implementierung zu achten ist.
Zielsetzung
Für den Begriff IT-Governance gibt es zahlreiche verschiedene Definitionen und je nach gewähltem Referenzmodell variiert auch die Art und der Umfang deutlich. Die Gemeinsamkeit bei den verschiedenen Referenzmodellen liegt in der allgemeinen Zielsetzung im Unternehmenskontext. In erster Linie soll eine gut aufgesetzte und gelebte IT-Governance den Wertbeitrag der IT zum Unternehmenserfolg erhöhen und fungiert somit als Bindeglied zwischen der Unternehmensstrategie und der daraus abgeleiteten IT-Strategie.
Dabei ist insbesondere auch darauf zu achten, die IT-Governance (organisatorisch) vom IT-Management zu trennen. Denn während Erstere Vorgaben zur Umsetzung an das IT-Management macht und somit den internen (regulatorischen) Rahmen absteckt, ist das IT-Management für die Planung, die Steuerung und die Durchführung des IT-(Infrastruktur-)Betriebs verantwortlich.
Im Rahmen der Implementierung einer guten IT-Governance müssen auch Vorgaben an das Management von IKT-Risiken gemacht werden (IKT steht dabei für Informations- und Kommunikationstechnik). Diese Risiken sollten weiterhin aufgrund zunehmend digitalisierter Prozesse in das Risikoprofil von Unternehmen aufgenommen und quantifiziert werden. IKT-Risiken umfassen ein sehr breites Spektrum, darunter auch Vorgaben zum:
Identity & Access Management (IAM): Identity und Access Management bezeichnet die Verwaltung von Identitäten und Berechtigungen innerhalb einer Organisation oder eines Unternehmens. Im Kontext von IKT-Risiken ist unter Identity & Access Management (IAM) die unbeabsichtigte und ungewünschte Manipulation von Daten oder sensiblen Kundeninformationen, inklusive eines möglichen Datenabflusses, zu verstehen. Die Ursache dafür ist also entweder ein Fehlverhalten oder ein bewusster Angriff, verursacht durch Mitarbeiter innerhalb des Unternehmens.
IT-Assetmanagement: Der Begriff ITAssetmanagement bezeichnet die Administration der Software und Hardwarekomponenten bis hin zu Peripheriegeräten innerhalb von Banken und Unternehmen. Hier ist vor allem auf eine zentrale Verwaltung, Speicherung und Archivierung der vorhandenen Informationen über die verwendete Hardware und Software zu achten. Denn nur so lassen sich diese Komponenten optimal aufeinander abstimmen.
Eine klar definierte IT-Governance hilft Unternehmen dabei, ein geeignetes IKT-Risikoprofil zu erstellen und zu steuern. In der Praxis hat sich zur Steuerung daher das „Three lines of defense“-Modell (3LoD) bewährt:
IT-Governance in Banken
Wie bereits zu Beginn dieses Beitrags erwähnt, sind Banken als Teil der kritischen Infrastruktur stark reguliert. Auch die IT in Banken ist immer stärker von den gesetzlichen Vorgaben betroffen. Im Jahr 2022 hat zudem die BaFin Cyberrisiken als einer von sechs Risiken im Fokus der Aufsicht benannt. Für Banken lohnt es sich daher in besonderem Maße in den Aufbau einer starken, zielgerichteten IT-Governance zu investieren, sodass die immer neuen, externen Anforderungen aus BAIT (Bankaufsichtliche Anforderungen an die IT), EBA Guidelines und DORA (Digital Operational Resilience Act) – um nur einige zu nennen – in den internen Richtlinien sinnvoll verankert werden. Im Fokus der gesetzlichen Vorgaben steht insbesondere das IT-Outsourcing, da Banken in der Regel einen Großteil des IT-Betriebs ausgelagert haben und auch zur Bereitstellung ihrer (kritischen) Business Services (Zahlungsverkehr, Kernbanksysteme) auf externe Dienstleister zurückgreifen. Hier sind Banken gefordert, resiliente Strukturen für die digitalen Prozesse aufzubauen, um somit das Funktionieren ihrer wichtigsten Aufgaben sicherzustellen.
Referenzmodelle für IT-Governance
Frameworks sind bei der Erstellung und Weiterentwicklung von IT-Governance Vorgaben sehr hilfreich. Allerdings muss erwähnt werden, dass es sich hierbei um Vorschläge zur Umsetzung handelt, nicht um strikte Regeln.
ISO/IEC 38500:2015
Der Name für die ISO-Norm lautet „Corporate Governance in Information Technology“ und baut auf den folgenden sechs Prinzipien auf:
- Verantwortung
- Strategie
- Beschaffung
- Leistung
- Konformität
- Faktor Mensch
Inhaltlich liegt der Fokus auf der Notwendigkeit der Einführung einer IT-Governance in Unternehmen und weniger in der praktischen Umsetzung.
COBIT
Das COBIT-Framework 1 (Control Objectives for Information and Related Technology) – aktuell in der Version COBIT 2019 – wurde von der ISACA 2 (Information Systems Audit and Control Association) entwickelt und ist eines der umfangreichsten und wichtigsten Frameworks für die Umsetzung der IT-Governance in Unternehmen. Das aktuelle Framework beinhaltet 40 Governance- und Managementziele, die sehr detailliert darlegen, wie bestimmte Themengebiete in der IT umgesetzt und gemessen werden können.
Der besondere Vorteil liegt darin, dass COBIT ein integratives Framework ist, das heißt in den einzelnen Vorgaben wird auch auf gängige Standards oder Referenzmodelle, wie beispielsweise ITIL (Information Technology Infrastructure Library) und TOGAF® (The Open Group Architecture Framework), referenziert.
Fazit: Die Investition in eine gut verankerte IT-Governance ist für Unternehmen mehr als nur ein Selbstzweck Sie fördert den Wertbeitrag der IT zu den Unternehmenszielen und liefert gleichzeitig einen Rahmen für das IKT-Risikoprofil. Die daraus entstehenden Wettbewerbsvorteile sind insbesondere für die stark regulierte Bankenbranche nicht zu unterschätzen. Bei der Umsetzung von IT-Governance-Vorgaben sollte man sich an den bekannten Referenzmodellen orientieren, um für das Unternehmen passende Strukturen zu schaffen.
Bei weiteren Fragen kommen Sie einfach auf uns zu, wir freuen uns auf einen Austausch.
Ihr
Marco Recktenwald
Links:
1 www.isaca.org/resources/cobit
2 www.isaca.org
