COBIT ist seit den 1990ern das Referenzwerk, wenn es darum geht, Informations- und Technologieeinsatz vorhersagbar, wirksam und auditierbar zu steuern. Jede veröffentlichte Version hat neue Realitäten aufgegriffen – von standardisierten IT-Prozessen, über Service-Orientierung und Compliance bis hin zu Cloud, Agilität und Cyber-Resilienz. Die eigentliche Frage lautet heute: Welche Rolle spielt COBIT in einer Welt, in der Software zum Produkt wird, Daten zum Rohstoff, KI Entscheidungen vorbereitet, Lieferketten digital ineinandergreifen und Regulierungen wie DORA, NIS2, DSGVO oder der EU-AI-Act Governance auf ein neues Niveau heben? Die kurze Antwort: Eine zentrale. Die lange Antwort lesen Sie hier.

Digitale Transformation: Von IT-Unterstützung zur Wertschöpfung mit Technologie

Digitale Transformation heißt nicht, Papier in PDFs zu verwandeln, sondern Geschäftsmodelle neu zu denken: Plattformen statt Produkte, Ökosysteme statt Ketten, Produkt-IT statt Projekt-IT. Für COBIT bedeutet das eine Verschiebung des Fokus – weg von rein operativen Kontrollfragen hin zu einer zielorientierten Steuerung von Technologie-Investitionen, die Business-Outcomes nachweislich verändern. Zukünftige COBIT-Ausprägungen werden deshalb:

Es gibt Schlagworte, die harmlos klingen, aber im Maschinenraum einer Bank Erdbeben auslösen. „Novelle“ gehört dazu. Auf dem Papier liest sich das nüchtern: ein paar neue Randziffern, geschärfte Formulierungen, ein verändertes Wording zu Auslagerungen, mehr Präzision bei Daten, Governance und IT. In der Praxis fühlt sich das an wie eine Taktverdichtung in einem Orchester, das ohnehin am Limit spielt: mehr Anforderungen, engere Zyklen, schärfere Nachweise, tiefere Eingriffe in die tägliche Steuerung. Mehr Druck also. Und mit ihm – wenn man nicht aufpasst – mehr Risiko: für Überforderung, für Schein-Compliance, für Fehlsteuerung durch Kennzahlen, die niemand wirklich versteht, für IT-Fragilität unter Last, für Lieferkettenprobleme, die man gestern noch „Outsourcing“ nannte und heute „Konzentrationsrisiko“.

Dieser Text seziert nicht die Paragraphen, sondern ihre Wirkung. Er zeigt, wie die MaRisk-Novellen den Alltag von Banken und IT tatsächlich verändern – im Guten wie im Schwierigen. Und er macht deutlich, warum es jetzt weniger auf mehr Papier, sondern auf bessere Praxis ankommt: auf Entscheidungen, die schneller werden, weil sie klar vorbereitet sind; auf Daten, die tragfähig sind; auf Verträge, die Zähne haben; auf IT, die Stabilität wirklich belegt; auf eine Kultur, die Abweichungen nicht verdeckt, sondern gezielt nutzt, um robuster zu werden.

Es gibt Wörter, die klingen nach Papier, nach Formularen, nach Pflicht. „Governance“ gehört für viele in diese Kategorie. Wer jemals in einer Sitzung gesessen hat, in der Richtlinien gegeneinander abgewogen, Rollen diskutiert und Berichtslinien umgehängt wurden, weiß, wie schnell der Blick auf das Wesentliche verloren gehen kann: Was soll all das bewirken? Wozu dient der Aufwand jenseits von Auditoren, Aufsichtsbehörden und Checklisten? Genau hier hat sich COBIT in den letzten Jahren spürbar verändert. Aus einem Rahmenwerk, das Kontrollen sortiert, ist ein Kompass geworden, der Organisationen hilft, in einer zunehmend unübersichtlichen Landschaft die Richtung zu halten – dahin, wo Strategie, Technologie und Verantwortlichkeit sich nicht widersprechen, sondern sich gegenseitig verstärken.

Warum ein Kompass nötig ist

Die digitale Realität ist schneller als jeder Redaktionsschluss. Produkte werden in Wochenzyklen verändert, Services in der Cloud binnen Minuten bereitgestellt, Sicherheitslücken in Stunden ausgenutzt. Gleichzeitig nimmt die Dichte an Vorgaben stetig zu: Informationssicherheit, Datenschutz, Resilienz, Lieferkettensteuerung, Nachhaltigkeit, branchenbezogene IT-Anforderungen – jedes Themenfeld bringt eigene Begriffe, Rollen und Nachweispflichten mit. Wer versucht, diese Welten nebeneinander zu „managen“, gerät in eine Paradoxie: Je mehr kontrolliert wird, desto weniger wird gesteuert. Ein Kompass hilft, Prioritäten zu setzen, Widersprüche aufzulösen und alles, was wirklich wichtig ist, auf einen gemeinsamen Nenner zu bringen: Wirksamkeit. COBIT definiert genau dafür die Bausteine eines Governance-Systems, das nicht am Papier, sondern am Betrieb gemessen wird.

Der Begriff "Workation", eine Kombination aus den Worten "Work" (Arbeit) und "Vacation" (Urlaub), beschreibt ein Konzept, das in den letzten Jahren zunehmend an Popularität gewonnen hat. Es handelt sich dabei um eine Arbeitsform, bei der Arbeitnehmer ihre beruflichen Verpflichtungen von einem Urlaubsort aus erfüllen. Dieses Modell bietet die einzigartige Gelegenheit, die Flexibilität des mobilen Arbeitens mit den Erholungsmöglichkeiten eines Urlaubs zu kombinieren.

Workation ermöglicht es Arbeitnehmern, ihren Arbeitsplatz zeitweise in attraktive Urlaubsregionen zu verlegen, wodurch sie die Möglichkeit haben, direkt nach der Arbeit die Vorzüge eines Urlaubsortes zu genießen. Dieses Konzept ist besonders attraktiv für digitale Nomaden, Freiberufler und Unternehmen, die flexible Arbeitsmodelle unterstützen. Es setzt jedoch eine hohe Disziplin und gute Selbstorganisation voraus, um die Balance zwischen Arbeit und Erholung zu finden.

Cloud-Compliance war lange der ungeliebte Nachzügler moderner IT-Strategien: Erst wurden Workloads migriert, Datenplattformen aufgebaut und Betriebsmodelle skaliert – und wenn alles lief, kam die Frage: „Wie weisen wir das jetzt sauber nach?“ Der BSI-Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) hat diese Reihenfolge auf den Kopf gestellt. C5, ursprünglich als transparenzstarker Prüfmaßstab für Cloud-Anbieter gedacht, ist in der Praxis zu etwas Größerem gereift: zu einem operativen Bezugsrahmen, der technische Realität, Governance und Aufsichtsfähigkeit zusammenführt. Nicht als Fremdkörper, nicht als lästiges Audit-Overlay, sondern als Betriebsleistung, die von der Architektur bis zum Vertrag, vom Logging bis zur Evidenz, vom Incident bis zur Wiederherstellung durchgreift. Genau deshalb ist Cloud-Compliance heute kein Anhängsel mehr. Sie ist die Spielregel des Alltags – und C5 ihr verständlichstes Vokabular.

C5 ändert die Gesprächslogik zwischen Kunden und Hyperscalern, zwischen Anwendungsbetrieb und Revision, zwischen Risiko-Ownern und Produktteams. Statt „Glaubensfragen“ über Sicherheit in dichten Marketing-Whitepapern setzt C5 auf prüfbare Behauptungen: Welche Kontrollen gibt es? Wie wirken sie? Wo liegen Grenzen? Welche Artefakte liegen vor, in welchem Zeitraum, mit welcher Aussagekraft? Das Format – eine Prüfung nach ISAE 3000/3402-Logik inklusive Prüfbericht – zwingt die Beteiligten in dieselbe Sprache: identische Kontrollziele, identische Prüfspuren, identische Zeitfenster. Aus vagen Zusicherungen werden zeitlich und sachlich abgegrenzte Nachweise, aus denen sich konkrete betriebliche Entscheidungen ableiten lassen. Für regulierte Häuser ist das mehr als Bequemlichkeit. Es ist die Bedingung, um Cloud-Nutzung in die Governance einzubetten, ohne Geschwindigkeit oder Innovation zu verlieren.