Im digitalen Zeitalter reicht es nicht aus, innovative IT-Lösungen zu bauen. Organisationen müssen zugleich Risiken beherrschen, Regeln einhalten und Wert für Kunden, Eigentümer und Gesellschaft stiften. Genau hier setzt COBIT 2019 an: als international anerkanntes Framework für IT-Governance und -Management, das Technik, Organisation, Menschen, Prozesse und Nachweise zu einem wirksamen Steuerungssystem verbindet. Eine seiner stärksten Seiten ist die integrierte Sicht auf Compliance – nicht als bürokratische Pflicht, sondern als gestaltbare Fähigkeit, die Sicherheit, Verlässlichkeit und Vertrauen messbar erhöht.

Im Folgenden wird verständlich und praxisnah erläutert, wie COBIT 2019 Compliance im Kern der IT-Governance verankert, welche Bausteine es dafür bereitstellt, wie sich Metriken, Kontrollen und Verantwortlichkeiten verknüpfen, welche Spezialthemen (Cloud, Drittparteien, Daten & KI, Resilienz) besondere Beachtung verlangen – und wie Organisationen daraus echten Geschäftsnutzen ziehen.

Die COVID-19-Pandemie hat in wenigen Monaten vollzogen, wofür viele Transformationsprogramme zuvor Jahre veranschlagt hatten. Was Ende 2019 als Gesundheitskrise begann, wurde Anfang 2020 zum weltweiten Katalysator für einen radikalen Kultur- und Technologiewandel: Millionen Menschen wechselten innerhalb kürzester Zeit ins Homeoffice, und das Prinzip „Bring Your Own Device“ (BYOD) rückte aus der Randnotiz in die betriebliche Mitte. Unternehmen, die bis dahin vor allem auf Präsenz, Unternehmensgeräte und klassische Netzwerkgrenzen gesetzt hatten, mussten ad hoc verteilte Arbeitsumgebungen, private Endgeräte und Cloud-Kollaboration in großem Maßstab ermöglichen – und das, ohne Sicherheit, Compliance und Produktivität aus den Augen zu verlieren.

Diese erzwungene Bewährungsprobe veränderte nicht nur IT-Architekturen, sondern auch Führung, Zusammenarbeit, Personalpolitik und rechtliche Rahmenbedingungen. Die folgenden Abschnitte zeichnen nach, wie Homeoffice und BYOD unter dem Druck der Ereignisse etabliert wurden, welche technischen, organisatorischen und menschlichen Herausforderungen bewältigt werden mussten und welche dauerhaften Lehren die Arbeitswelt daraus gezogen hat.

Die Postbank-Digitalstudie 2020 liefert eine überdeutliche Momentaufnahme: Die Deutschen sind online – und zwar so sehr, dass die wöchentliche Internetnutzung im Durchschnitt bereits vor den ersten Corona-Lockdowns einem Vollzeitjob glich. Rund 56 Stunden pro Woche waren es im Erhebungszeitraum (Februar/März 2020), davon 16 Stunden mobil über das Smartphone. Vier von fünf Menschen in Deutschland (79 Prozent) gehen mit dem Handy ins Netz. Laptops/Notebooks folgen mit 71 Prozent, Desktop-PCs mit 58 Prozent, Tablets mit 47 Prozent. Smarte Fernseher (37 Prozent), Spielkonsolen (17 Prozent), eigenständige Sprachassistenten (12 Prozent) und Wearables (8 Prozent) komplettieren das Bild. Bei den Unter-40-Jährigen fällt der Vorsprung des Smartphones noch größer aus: 91 Prozent dieser Gruppe sind damit online; zugleich zeigt sich, dass ältere Nutzerinnen und Nutzer den Desktop-PC etwas häufiger einsetzen als die Jüngeren (60 Prozent vs. 53 Prozent). Und: Digital Natives verbringen mit ihrem Smartphone im Schnitt 27 Stunden pro Woche online und kommen insgesamt auf knapp 75 Stunden Internetzeit.

Diese Zahlen sind keine Eintagsfliege. Sie markieren eine strukturelle Verschiebung, die schon vor Jahren begonnen hat, aber 2020 gleich mehrere Beschleuniger bekam: leistungsfähige Mobilnetze, günstige Datenvolumina, Reife von Apps und Diensten – und dann die Pandemie mit ihrem Schub für Fernarbeit, Videotelefonie, E-Commerce, E-Learning und digitale Freizeitgestaltung. Wer den Alltag, die Wirtschaft und die öffentliche Daseinsvorsorge in Deutschland verstehen will, kommt an „smartphone first“ nicht mehr vorbei.

Die digitale Transformation beschleunigt sich, Technologien und Geschäftsmodelle ändern sich im Jahrestakt, regulatorische Erwartungen steigen – und damit wächst der Druck, IT-Governance nicht nur formal, sondern wirksam zu gestalten. COBIT (Control Objectives for Information and Related Technology) ist seit Jahrzehnten eines der wichtigsten Referenzwerke dafür. Zwischen COBIT 5 (2012) und COBIT 2019 liegt dabei kein bloßes Update, sondern eine inhaltliche Weiterentwicklung, die Governance von „Prozesse einführen und reifen lassen“ hin zu „ein System gestalten, messen und kontinuierlich anpassen“ verschiebt. Dieser Beitrag erklärt, was sich verändert hat, warum das relevant ist – und wie sich die Unterschiede in der Praxis auswirken.

Kontinuität in den Grundsätzen – plus mehr Anpassungsfähigkeit

COBIT 5 formulierte fünf Leitprinzipien: Stakeholder-Nutzen sichern, Unternehmen Ende-zu-Ende abdecken, ein integriertes Rahmenwerk nutzen, ganzheitlich vorgehen und Governance von Management trennen. COBIT 2019 hält diese Prinzipien fest, schärft sie aber an zwei Stellen:

Wer die IT-Aufsicht im deutschen Finanzsektor verstehen will, kommt an drei Kürzeln nicht vorbei: BAIT, VAIT und KAIT. Hinter diesen Abkürzungen stehen die bank-, versicherungs- und kapitalverwaltungsaufsichtlichen Anforderungen an die IT – drei Regelwerke, die in kurzer Folge eingeführt wurden und seitdem die Messlatte für Governance, Informationssicherheit, Outsourcing und den Betrieb geschäftskritischer IT setzen. Sie sind Geschwister aus einem Haus: in Aufbau und Anspruch eng verwandt, im Detail aber spürbar geprägt von den Besonderheiten ihrer jeweiligen Domäne. Wer sie nur als „weitere Checkliste“ liest, übersieht ihren eigentlichen Charakter: Die xAITs beschreiben nicht bloß technische Mindeststandards, sondern ein integriertes Betriebs- und Steuerungsmodell für digitale Stabilität. Dieser Beitrag ordnet das Trio ein, zeigt die gemeinsame DNA – und markiert jene Stellen, an denen die Pfade sichtbar auseinandergehen.

Wozu überhaupt xAIT? Entstehung, Anspruch, Kontext

Der Auslöser ist schnell erzählt: IT hat sich von der Unterstützungsfunktion zum Produktionskern der Finanzwirtschaft entwickelt. Wertschöpfung, Kundenschnittstellen, Risiko- und Meldeprozesse – alles hängt an verteilten Anwendungen, Datenströmen und einer Lieferkette, die weit über die Unternehmensgrenzen reicht. Gleichzeitig hat der Sektor in den vergangenen Jahren mehrere schmerzhafte Lektionen gelernt: Sicherheitsvorfälle, Verfügbarkeitsprobleme, Fehlentwicklungen in Projekten, Abhängigkeiten von einzelnen Dienstleistern. Aufsicht und Institute, Versicherer und Kapitalverwaltungsgesellschaften teilen deshalb dasselbe Zielbild: ein beherrschbares, prüfbares, resilient aufgestelltes IT-Ökosystem. Die xAITs liefern dafür die Systematik – prinzipienorientiert („Ziel, nicht Mittel“), risikobasiert („Tiefe nach Kritikalität“) und proportional („Größe und Komplexität zählen“).