Die Einschätzung der Cyber Academy
COBIT ist das ISACA-Framework für die Governance und das Management der Unternehmens-IT. Die aktuelle Ausgabe ist COBIT 2019. Die Big Four nutzen dieses Framework zur Bewertung der IT-Governance-Reife; es dient zudem als Referenz für die CGEIT-Zertifizierung. Strategischer ausgerichtet als ISO 27001, weniger präskriptiv als NIST.
Was COBIT tatsächlich steuert
COBIT ist das Rahmenwerk der ISACA für die Governance und das Management der Unternehmens-IT. Seine grundlegende Unterscheidung, und diejenige, über die Praktiker am häufigsten stolpern, ist die Trennlinie, die es zwischen Governance und Management zieht. Governance ist Sache des Vorstands und der Geschäftsleitung: die Richtung vorgeben, Optionen bewerten und Ergebnisse überwachen. Management umfasst das Planen, Aufbauen, Betreiben und Überwachen der Aktivitäten, die diese Richtung umsetzen. COBIT hält diese beiden Bereiche getrennt, damit diejenigen, die entscheiden, was die IT erreichen soll, nicht dieselben sind, die berichten, ob es erreicht wurde.
Diese Trennung ist der Grund, warum Auditoren zu COBIT greifen, wenn eine Norm für Informationssicherheit nicht ausreicht. ISO 27001 sagt Ihnen, wie Sie ein Informationssicherheits-Managementsystem betreiben. NIST liefert Ihnen einen Katalog von Maßnahmen und Ergebnissen. COBIT steht über beiden: Es beantwortet, ob die IT als Ganzes auf die Ziele des Unternehmens ausgerichtet ist, ob Risiken und Ressourcen verantwortungsvoll gehandhabt werden und ob die Stakeholder Wert erhalten. Es ist breiter angelegt als Sicherheit und bewusst weniger präskriptiv als eine Maßnahmenliste.
Die Struktur von COBIT 2019
Die aktuelle Ausgabe ist COBIT 2019. Sie gliedert die Arbeit in Ziele, die unter Governance- und Management-Domänen gruppiert sind, und ordnet jedem die Komponenten zu, die zum Funktionieren erforderlich sind: Prozesse, Organisationsstrukturen, Richtlinien, Informationsflüsse, Kultur, Kompetenzen und Services. Der Kern ist, dass ein Prozess auf dem Papier nichts bedeutet, wenn die Strukturen, Kompetenzen und die Kultur darum herum fehlen, sodass COBIT Sie zwingt, sie alle gemeinsam zu betrachten.
Zwei Konzepte machen COBIT 2019 in der Praxis nutzbar und nicht bloß zu einem Poster an der Wand:
- Die Gestaltungsfaktoren. Unternehmensstrategie, Risikoprofil, Compliance-Anforderungen, Rolle der IT und Sourcing-Modell bestimmen gemeinsam, welche Ziele Aufmerksamkeit verdienen. COBIT setzt nicht voraus, dass jede Organisation dasselbe Governance-System benötigt, sodass Sie das Rahmenwerk an den Kontext anpassen, statt es pauschal zu übernehmen.
- Fähigkeit und Reifegrad. Jedes Governance- und Management-Ziel kann auf einer Fähigkeitsskala bewertet werden, und das Rahmenwerk unterstützt zudem eine Reifegradbetrachtung über Schwerpunktbereiche hinweg. So erstellen die Big Four und interne Auditteams ein belastbares Bild von «Wo stehen wir, wo sollten wir stehen» anstelle einer subjektiven Meinung.
Wo COBIT neben anderen Rahmenwerken steht
Praktiker setzen COBIT fast immer neben anderen Rahmenwerken ein, statt an deren Stelle. Ein gängiges Muster: COBIT definiert die Governance-Ziele und die Reifegrad-Baseline, ISO 27001 operationalisiert die Informationssicherheit, ITIL übernimmt das Service-Management, und ein Risiko-Rahmenwerk speist das Risikobild. COBIT wird zum Schirm, der zeigt, wie diese Bausteine den Unternehmenszielen dienen und wo die Lücken liegen.
| Rahmenwerk | Primärer Fokus | Ausrichtung |
|---|---|---|
| COBIT | Governance und Management der Unternehmens-IT | Strategisch, auf Rahmenwerksebene, an den Kontext angepasst |
| ISO 27001 | Informationssicherheits-Managementsystem | Zertifizierbar, operativ, sicherheitsbezogener Geltungsbereich |
| NIST-Rahmenwerke | Cybersicherheitsergebnisse und Maßnahmenkataloge | Detailliert, präskriptiv, maßnahmenorientiert |
| ITIL | IT-Service-Management | Operativ, auf die Servicebereitstellung ausgerichtet |
COBIT ist außerdem der Wissenskörper hinter der CGEIT-Zertifizierung der ISACA, die sich an Fachleute richtet, die für die Governance der Unternehmens-IT verantwortlich sind. Wenn Ihre Rolle darin besteht, die Steuerung der IT auf Vorstandsebene zu prüfen oder zu gestalten, ist COBIT das Referenzrahmenwerk und CGEIT die passende Zertifizierung.
Frequently asked questions
01Ist COBIT ein Sicherheitsrahmenwerk wie ISO 27001?
Nein. COBIT steuert und managt die Unternehmens-IT als Ganzes, nicht nur die Informationssicherheit. ISO 27001 ist eine zertifizierbare Norm für das Sicherheitsmanagement, die einen Teil dessen operationalisiert, was COBIT überwacht. Viele Organisationen nutzen beide, mit COBIT als Governance-Schirm und ISO 27001 darin.
02Was ist die aktuelle Version von COBIT?
COBIT 2019 ist die aktuelle Ausgabe. Sie führte Gestaltungsfaktoren ein, um das Governance-System an den Kontext einer Organisation anzupassen, und verfeinerte das Bewertungsmodell für Fähigkeit und Reifegrad.
03Was ist der Unterschied zwischen Governance und Management in COBIT?
Governance ist die Verantwortung von Vorstand und Geschäftsleitung, Optionen zu bewerten, die Richtung vorzugeben und Ergebnisse zu überwachen. Das Management plant, baut auf, betreibt und überwacht die Aktivitäten, die diese Richtung umsetzen. COBIT hält sie in getrennten Domänen, damit Entscheider und Umsetzer nicht ihre eigene Arbeit beurteilen.
04Wird man in COBIT zertifiziert?
Organisationen werden nicht gegen COBIT zertifiziert, wie sie ein ISO-27001-ISMS zertifizieren. Einzelpersonen können COBIT-Zertifizierungen der ISACA erwerben, und COBIT ist der zugrunde liegende Wissenskörper der CGEIT-Zertifizierung für die Governance der Unternehmens-IT.
05Warum nutzen Auditoren COBIT?
COBIT bietet eine strukturierte, belastbare Methode, um zu beurteilen, wie gut die IT im Hinblick auf die Unternehmensziele gesteuert wird, und stützt sich dabei auf Fähigkeits- und Reifegradbewertungen. Das verschafft Auditteams eine objektive Baseline und ein Lückenbild statt einer subjektiven Meinung.