D

ie digitale Transformation beschleunigt sich, Technologien und Geschäftsmodelle ändern sich im Jahrestakt, regulatorische Erwartungen steigen – und damit wächst der Druck, IT-Governance nicht nur formal, sondern wirksam zu gestalten. COBIT (Control Objectives for Information and Related Technology) ist seit Jahrzehnten eines der wichtigsten Referenzwerke dafür. Zwischen COBIT 5 (2012) und COBIT 2019 liegt dabei kein bloßes Update, sondern eine inhaltliche Weiterentwicklung, die Governance von „Prozesse einführen und reifen lassen“ hin zu „ein System gestalten, messen und kontinuierlich anpassen“ verschiebt. Dieser Beitrag erklärt, was sich verändert hat, warum das relevant ist – und wie sich die Unterschiede in der Praxis auswirken.

Kontinuität in den Grundsätzen – plus mehr Anpassungsfähigkeit

COBIT 5 formulierte fünf Leitprinzipien: Stakeholder-Nutzen sichern, Unternehmen Ende-zu-Ende abdecken, ein integriertes Rahmenwerk nutzen, ganzheitlich vorgehen und Governance von Management trennen. COBIT 2019 hält diese Prinzipien fest, schärft sie aber an zwei Stellen:

• Anpassbarkeit als Systemprinzip: Governance ist kein „one size fits all“. COBIT 2019 macht Tailoring zum Standard: Unternehmen gestalten ihr Governance-System auf Basis von Designfaktoren (dazu gleich mehr) bewusst aus.
• Kontinuierliche Verbesserung: Statt punktueller Reifegradprüfungen rückt ein laufendes Performance-Management in den Mittelpunkt. Governance wird gesteuert, nicht nur „abgehakt“.

Der Effekt: COBIT bleibt stabil in der Logik, wird aber beweglicher in der Anwendung.

Vom Prozesskatalog zum Governance- und Managementziel: 37 → 40, präziser gefasst

COBIT 5 strukturierte Governance über 37 Prozesse in den Domänen EDM (Evaluate, Direct and Monitor), APO (Align, Plan and Organize), BAI (Build, Acquire and Implement), DSS (Deliver, Service and Support) und MEA (Monitor, Evaluate and Assess). COBIT 2019 belässt die Domänen, ersetzt aber die reine Prozesssprache durch „Governance and Management Objectives“ (G&MO) und erweitert auf 40 Ziele (5 Governance-, 35 Managementziele).

Jedes Ziel enthält jetzt:

• Purpose-Statement (Zweckbeschreibung),
• Scope und Zielsetzungen,
• Komponenten (Policies, Strukturen, Verfahren, Informationen, Kultur, Menschen, Services/Technologie),
• Aktivitäten (konkreter als früher),
• metrische Anhaltspunkte (Leading/Lagging Indicators),
• Bezüge zu anderen Standards.

Das macht Anforderungen greifbarer und erleichtert die Messbarkeit.

Designfaktoren: Das Herz der maßgeschneiderten Governance

Der sichtbarste Fortschritt in COBIT 2019 sind die Design Factors. Sie bilden die „Schieberegler“, mit denen Organisationen ihr Governance-System bewusst konfigurieren. Typische Faktoren sind u. a.:

• Unternehmensstrategie (Wachstum, Effizienz, Innovation, Compliance),
• Risikoprofil und Risikobereitschaft,
• Compliance-/Regulierungsdruck (stark vs. gering),
• Rolle von IT/Technologie im Geschäftsmodell (unterstützend / strategisch / als Produkt),
• Sourcing-Modell (Cloud, Managed Services, Eigenbetrieb),
• Unternehmensgröße und Komplexität,
• Industrie/Branche,
• Technologie-Adoption (z. B. Cloud-Erst, DevOps-Reife, KI-Einsatz),
• Bedrohungslandschaft (z. B. hohe Cyber-Exposition).

Aus der Kombination ergibt sich ein Governance-Design, das z. B. Security-Ziele höher priorisiert, zusätzliche Kontrollen für Lieferketten (Third-Party Risk) einbaut oder DevOps-Schnittstellen stärker adressiert. Damit wird COBIT von einem „best practice“-Katalog zu einem Design-Framework.

Fokusbereiche: Vertiefungen dort, wo es zählt

Neben der allgemeinen Ausgestaltung kennt COBIT 2019 Focus Areas – thematische Vertiefungen, die Speziallagen abdecken. Beispiele:

• Information Security / Cybersecurity,
• Privacy (z. B. DSGVO-Anforderungen),
• DevOps / Agile,
• Cloud Services,
• Enterprise Risk Management,
• Small and Medium Enterprises,
• Enterprise Architecture.

Focus Areas verbinden die generischen Ziele mit spezifischen Praktiken und Metriken – etwa anderen Deployment-Kontrollen im DevOps-Kontext oder erweiterten Prüfpflichten bei Cloud-Sourcing. So bleibt das Rahmenwerk kohärent, ohne Spezialanforderungen zu ignorieren.

Das Komponentenmodell: Governance ist mehr als Prozesse

COBIT 5 betonte Prozesse. COBIT 2019 fasst Governance als System aus Komponenten auf. Zu den Komponenten zählen:

• Prinzipien, Richtlinien und Verfahren,
• Prozesse (weiterhin wichtig, aber nicht allein),
• Organisationsstrukturen (Boards, Komitees, Rollen),
• Kultur, Ethik und Verhalten,
• Informationen (inkl. Informationsfluss),
• Menschen, Fähigkeiten und Kompetenzen,
• Services, Infrastruktur und Anwendungen.

Erst das Zusammenspiel dieser Bausteine erzeugt wirksame Governance. Beispiel: Ein hervorragender Patch-Prozess (Prozess-Komponente) bleibt wirkungsschwach, wenn Rollen unklar (Strukturen), Kommunikation stockt (Information) oder Skills fehlen (Menschen).

Performance-Management: Von Reifegradkurven zu wirkungsorientierter Steuerung

COBIT 5 nutzte ein Reifegradmodell (ISO/IEC 15504-basiert) zur Bewertung von Prozessen. COBIT 2019 differenziert:

• Capability-Bewertung für einzelne Governance-/Managementziele (mit klaren Kriterien je Aktivität),
• Metrik-Sets mit Leading (Frühindikatoren) und Lagging Indicators (Ergebnisindikatoren),
• Ausrichtung an Enterprise Goals (Zielkaskade bleibt, wird aber messnäher).

Statt „Prozess ist auf Level 3“ fragt COBIT 2019 stärker: „Erreichen wir unsere Outcome-Ziele?“ – z. B. Time-to-Market, OTIF, Incident-Reduktion, Audit-Findings, Third-Party-KPI-Erfüllung. Das verlagert die Diskussion von „Formal erfüllt?“ zu „Wirkt es?“.

Risikomanagement neu justiert: Szenarien, Profile, Kennzahlen

Risikomanagement bleibt Kern. Neu ist die Einbindung in Designfaktoren (Risikoprofil, Risikobereitschaft) und die szenariogestützte Sicht:

• Aktualisierte Risikoszenarien (z. B. Supply-Chain-Angriffe, Cloud-Outages, Ransomware, regulatorische Verstöße),
• Verzahnung von KRI/KPI (Key Risk Indicators verbunden mit Performance-Metriken),
• Proaktive Steuerung: Schwellenwerte, Eskalationspfade, Test-/Übungszyklen.

Damit kann Governance Risiken vor die Welle bringen, statt nur zu berichten.

Kommunikation & Informationsfluss: Sichtbarkeit statt Silodenken

COBIT 2019 verankert Kommunikation als Governance-Komponente: Wer braucht welche Information, in welcher Qualität, wann und über welchen Kanal? Beispiele:

• Regelmäßige Dashboards von IT-Risiken und -Leistung in Management-Gremien (Board-tauglich, nicht tool-zentriert),
• RACI-Klarheit zwischen IT, Security, Risk, Fachbereichen (Governance vs. Management),
• Eskalationsregeln (z. B. bei DevOps-Incidents: SRE-On-Call, Business-Kommunikation, Regulatorik).

Transparenz ist hier kein Selbstzweck, sondern Steuerungsgrundlage.

Schnittstellen zu anderen Rahmenwerken: Harmonisierung statt Konkurrenz

COBIT war immer integrativ – COBIT 2019 verstärkt die Mappings:

• ISO/IEC 38500 (IT-Corporate-Governance) als Governance-Leitplanke,
• ITIL 4 (Service-Management) für Operatives in APO/BAI/DSS,
• ISO 27001/27701 (Informationssicherheit/Privacy) in Security-Zielen,
• NIST CSF für Cyber-Resilienz,
• TOGAF (Enterprise Architecture) in Architektur-/Portfolio-Zielen,
• PMBOK/PRINCE2/SAFe in Projekt- und Produktsteuerung.

So entsteht eine „Landkarte“: COBIT definiert das Governance-„Was“ und „Warum“, andere Frameworks liefern das „Wie“ im Operativen.

Was die Unterschiede in der Praxis bedeuten

Für Boards & Geschäftsführung: Berichte werden kürzer und aussagekräftiger. Statt Tool-Details sehen Gremien zielorientierte Metriken und Risiken – mit Entscheidungsoptionen. Governance-Gremien (z. B. IT-Steuerkreis) agieren proaktiv.

Für CIO/CISO/CTO: COBIT 2019 erlaubt, DevOps, Cloud, Data & AI in ein Governance-System einzubetten – inklusive klarer Schnittstellen, Metriken und Ownership. Eine Public-Cloud-Strategie wird so governance-fähig, nicht nur technologisch.

Für Risk/Compliance: Risiken aus Lieferketten und Cloud-Sourcing werden systematisch erfasst, KRI greifen früher, Audit-Feststellungen nehmen ab, weil Komponenten (Policies, Skills, Strukturen) mitgedacht werden.

Für Fachbereiche/Produktteams: Governance wird spürbar, aber nicht hinderlich: klare Policies, eindeutige Rollen, Decision-Rights, leichte Messung der Outcomes – z. B. „Security by Design“ als Gegenmaßnahme mit Kennzahl statt reiner Checkliste.

Beispielhafte Anwendung: Mittelständische Bank mit Cloud-Schwerpunkt

• Designfaktoren: Hoher Regulierungsdruck, mittlere bis hohe Risikobereitschaft im Digitalvertrieb, Cloud-First, hohe Third-Party-Abhängigkeit, starke Cyber-Exposition.
• Fokusbereiche: Cloud Services, Information Security, Privacy, DevOps, Third-Party Risk.
• Auswirkung: Governance-Ziele zu Sourcing, Change/Release, Supplier Management und Security erhalten höchste Priorität; Metriken koppeln Bereitstellungsgeschwindigkeit (Lead Time for Changes) mit Stabilität/Sicherheit (Change Failure Rate, KRIs zu Lieferanten-SLAs, Audit-Findings).
• Komponenten: Cloud-Richtlinien (Policies), Cloud-Board (Struktur), IaC-Standards (Verfahren), Schulungen zu Cloud-Security (Kompetenzen), zentrales Cloud-Landing-Zone-Service (Technologie).
• Kommunikation: Quartalsweise, Board-gerechte Risikoberichte mit Ampellogik und Maßnahmenfortschritt.

Beispielhafte Anwendung: Öffentliche Verwaltung mit Fokus auf Verfügbarkeit

• Designfaktoren: Geringe Risikobereitschaft, hoher Compliance-Druck, heterogene Altanwendungen.
• Fokusbereiche: Enterprise Architecture, Service Continuity, Information Security.
• Auswirkung: Priorität auf Betriebsstabilität, Business Continuity und Architektur-Rationalisierung; Metriken u. a. Mean Time to Restore, Service-Verfügbarkeit, Patch-Compliance, Anzahl Shadow-IT-Findings.
• Komponenten: Architekturgremium, verbindliche Standardisierungen, Notfallübungen (Verfahren), Schulungen für Betriebsstörfälle (Menschen).

Rollen und Verantwortlichkeiten: Trennung von Governance und Management

COBIT 2019 bekräftigt die Trennung:

• Governance (z. B. Aufsichtsorgane, Vorstand, IT-/Governance-Board) setzt Richtung, priorisiert, genehmigt, überwacht.
• Management (CIO, CISO, IT-Leitung, Produkt-/Service-Owner) setzt um und liefert Nachweise.

Die RACI-Logik wird expliziter formuliert; das erleichtert Ownership für G&MO-Ziele und minimiert „graue Zonen“.

Metriken, die zählen: Outcome vor Aktivität

Beispiele für Lagging/Leading in COBIT 2019-Logik:

• Information Security: Lagging – Anzahl signifikanter Incidents, Zeit bis Vollumfängliche Wiederherstellung; Leading – Patch-Zeit, MFA-Abdeckung, Phishing-Fail-Rate.
• Change/Release: Lagging – Change Failure Rate, Stabilität post-Release; Leading – Automatisierungsgrad, Test-Abdeckung, Durchlaufzeit.
• Third-Party-Risk: Lagging – SLA-Verfehlungen, Audit-Findings bei Lieferanten; Leading – Anteil kritischer Anbieter mit validiertem Resilienznachweis, Aktualität der Exit-Pläne.
• Portfolio/Architecture: Lagging – Anzahl redundanter Systeme, Gesamtkosten pro Service; Leading – Quote standardkonformer Technologien, Fortschritt bei Konsolidierungs-Roadmaps.

Der Wechsel: Von „Aktivität (Checkliste) erfüllt“ zu „Wirkung nachweislich erreicht“.

Kultur, Verhalten und Fähigkeiten: Die weichen Faktoren hart adressieren

COBIT 2019 nennt Kultur/Ethik/Verhalten und Kompetenzen ausdrücklich. Praktisch heißt das:

• Governance-fähige Arbeitsweisen (z. B. DevSecOps, regelmäßige Retrospektiven, blameless Post-Mortems),
• Skill-Profile für Schlüsselrollen (z. B. Cloud-Architektur, Datenschutz, SRE),
• Verankerung in Zielsystemen (z. B. Objectives & Key Results, die Governance-Outcomes enthalten).

Ohne diese Komponenten bleibt Governance formal, aber wirkungsschwach.

Häufige Missverständnisse und wie COBIT 2019 sie ausräumt

• „COBIT ist nur für Audits.“ – Falsch. COBIT 2019 stellt Design, Steuerung und Verbesserung in den Vordergrund; Audit-Tauglichkeit fällt nebenbei ab.
• „COBIT bremst Agilität.“ – Im Gegenteil: Mit Focus Areas für Agile/DevOps kann Governance leichtgewichtig und flow-kompatibel gestaltet werden (z. B. Policies als „Guardrails“, nicht als Hürden).
• „COBIT ist nur für Großunternehmen.“ – Mit Designfaktoren und SME-Focus Area lässt sich der Umfang skalieren.
• „COBIT = Prozesse erhöhen Reifegrade.“ – COBIT 2019 fragt: Erreichen wir Ergebnisse? Reife ist Mittel, nicht Zweck.

Was bleibt gleich – und was ist wirklich neu?

Gleich geblieben sind: die Domänenlogik (EDM/APO/BAI/DSS/MEA), die Zielkaskade (Enterprise → Alignment → Governance/Management Objectives), die Trennung von Governance und Management, der ganzheitliche Anspruch.

Neu bzw. deutlich weiterentwickelt sind: Designfaktoren, Focus Areas, das Komponentenmodell, wirkungsorientiertes Performance-Management, stärkere Mappings zu anderen Standards, explizite Kommunikationsanforderungen sowie die konsequente Ausrichtung auf Tailoring.

Ausblick: COBIT als Anker in Zeiten von Cloud, KI und Regulatorik

Mit Cloud-Sourcing, plattformgetriebenen Geschäftsmodellen, KI/GenAI, Zero-Trust-Architekturen und wachsenden Anforderungen (von DORA bis NIS2 und Privacy) steigt die Notwendigkeit, Governance-Fähigkeit herzustellen – über Teams, Technologien und Lieferketten hinweg. COBIT 2019 liefert dafür den Anker: Es hilft, Richtung zu geben, Entscheidungen zu verdichten, Risiken zu balancieren und Wirkung nachzuweisen.

Zusammenfassung: Von der Prozessreife zur wirkungsorientierten, maßgeschneiderten Governance

Der Sprung von COBIT 5 zu COBIT 2019 markiert den Übergang von einem prozesszentrierten Reife-Fokus zu einer systemischen, ergebnisorientierten und adaptiven IT-Governance. Mit Designfaktoren, Focus Areas, einem Komponentenmodell und konkreten Metriken ermöglicht COBIT 2019, Governance passgenau zu entwerfen, messbar zu machen und laufend zu verbessern. Für Unternehmen bedeutet das: mehr Klarheit, bessere Steuerbarkeit, höhere Resilienz – und eine Governance, die mit der Geschwindigkeit des Geschäfts mithalten kann.