COBIT Next: Wohin die Reise nach 2019 wirklich geht

COBIT Next: Wohin die Reise nach 2019 wirklich geht

COBIT war schon immer mehr als nur ein Framework für IT-Kontrollen. Seit den frühen Versionen in den 1990er-Jahren bis hin zur Neuausrichtung mit COBIT 2019 hat sich gezeigt: Wer Informationen und Technologie wirksam steuern will, braucht einen klaren Ordnungsrahmen, der Strategie, Risiko und operatives Handeln zusammenführt. Doch so reif COBIT 2019 auch ist – die Welt steht nicht still. Cloud-Ökosysteme, KI-getriebene Produkte, geopolitische Spannungen, verschärfte Regulierung und der Fokus auf digitale Resilienz verschieben den Maßstab. Aus dieser Dynamik speist sich der Gedanke COBIT Next: nicht als einzelne Version mit Stichtag, sondern als nächste Evolutionsstufe einer Governance-Logik, die Orientierung statt Überforderung bietet.

Was COBIT Next meint – und was nicht

COBIT Next ist keine neue Checkliste. Es ist die konsequente Weiterentwicklung von COBIT 2019 hin zu einem Kompass, der Organisationen befähigt, Governance als lebenden Prozess zu betreiben. Die Fragen dahinter sind handfest: Wohin entwickelt sich Governance nach 2019? Welche Antworten braucht ein Unternehmen, wenn sich Geschäftsmodelle in Monaten drehen, regulatorische Erwartungen sich verdichten und Technologiezyklen im Wochenrhythmus laufen? Und vor allem: Wie entsteht Mehrwert aus Governance – nicht nur formale Compliance?

COBIT Next stellt daher weniger „was“-Fragen (Welche Kontrollen existieren?) als „wie“-Fragen: Wie wird entschieden? Wie wird gemessen? Wie fließen Erkenntnisse zurück in Prozesse, Architektur und Kultur? Governance wird damit vom Zustand zur Dynamik.

Governance als lebender Regelkreis

Ein Kernproblem vieler Häuser: Governance wird wie ein Projekt behandelt. Man baut Strukturen auf, beschreibt Prozesse, erfüllt Anforderungen – und hakt ab. In Wirklichkeit verschieben sich Risiken, Abhängigkeiten und Prioritäten täglich. COBIT 2019 hat diesen Bruch vorbereitet, indem es Governance als System mit Design-Faktoren definiert. COBIT Next schärft diese Perspektive: Governance ist ein kontinuierlicher Regelkreis – beobachten, bewerten, entscheiden, umsetzen, nachweisen, verbessern.

Das hat Konsequenzen für die Praxis. Jahresberichte und Dreijahres-Audits allein reichen nicht mehr. Benötigt werden Mechanismen, die in Echtzeit zeigen, wie gut eine Organisation die Lage beherrscht: ob Anomalien erkannt, Schwachstellen fristgerecht geschlossen, Wiederherstellungsziele eingehalten, Auslagerungsrisiken geführt und KI-Modelle nachvollziehbar betrieben werden. Aus „Policy“ wird Betriebswirkung; aus „Audit-Ordner“ wird systemgenerierte Evidenz.

Design-Faktoren: Der „Norden“ auf der Governance-Landkarte

Ein Kompass ist nur hilfreich, wenn klar ist, wo Norden liegt. Bei COBIT übernehmen diese Rolle die Design-Faktoren. Sie verdichten die Rahmenbedingungen eines Hauses in steuerungsrelevante Entscheidungen: Rolle der IT im Geschäftsmodell, Bedrohungslandschaft, Risikoneigung, Regulierungsdruck, Sourcing-Strategie, Organisationsgröße, Kritikalität von Services, Daten-Sensibilität. Aus dieser Lagebestimmung wird die Gewichtung des Governance-Systems abgeleitet: Wo setze ich Schwerpunkte? Welche Ziele sind „must have“, welche „should“, welche „could“? Nicht jedes Objective ist überall gleich wichtig – doch jedes hat einen Platz in der Erzählung.

Wichtig: Design-Faktoren sind kein einmaliger Workshop. Sie sind lebendiger Kontext. Neue Märkte, geänderte Lieferketten, M&A, Cloud-Migrationen, KI-Einführung oder neue Aufsichtserwartungen verschieben die Parameter – und damit die Governance-Konfiguration. COBIT Next macht diese Kalibrierung explizit: Wer sich verändert, verändert seine Governance.

Integration statt Silos: COBIT als Orchestrator

In der Realität treffen Framework-Welten aufeinander: ISO 27001 und NIST in der Informationssicherheit, ITIL im Service-Management, COSO im Enterprise Risk Management, Domänenanforderungen wie MaRisk/BAIT/VAIT/KAIT oder DORA, dazu DSGVO, NIS2 und ESG-Rahmenwerke. Das Ergebnis ist oft ein Nebeneinander von Dokumenten, Tools und Kennzahlen, die sich nicht widerspruchsfrei verbinden. COBIT Next adressiert genau das: nicht als Konkurrenz, sondern als Integrationsschicht.

Die Idee: COBIT liefert die Steuerungslogik – von Zielen über Praktiken bis Metriken – und verknüpft andere Standards dort, wo sie stark sind. ISO 27001 beschreibt das ISMS, COBIT sorgt dafür, dass es in Strategie, Risiko und Lieferkette verankert ist. ITIL definiert Prozesse, COBIT stellt sicher, dass sie auf Geschäftsergebnisse und Risikotoleranzen zahlen. NIST liefert erprobte Cyber-Use-Cases, COBIT sorgt für Management-Wirkung (Wer entscheidet? Welche Schwelle? Welche Frist? Welche Evidenz?). So entsteht eine einheitliche Governance-Erzählung statt fünf paralleler Sprachen.

Continuous Controls Monitoring: Governance in Echtzeit

Die digitale Taktung ist hoch: Cloud-Konfigurationen werden täglich verändert, Pipelines deployen mehrmals pro Woche, Angreifer testen in Stunden neue Wege. Wer Governance quartalsweise betrachtet, steuert mit dem Rückspiegel. COBIT Next setzt deshalb auf Continuous Controls Monitoring (CCM): Kontrollen werden nicht nur beschrieben, sondern laufend überwacht. Systeme liefern Metriken und Nachweise, Dashboards zeigen den Zustand, Alerts signalisieren Schwellenbrüche.

Zwei Effekte sind zentral: Früherkennung (Probleme werden klein gehalten) und Beweisfähigkeit (Evidenz entsteht im Prozess, nicht in der Nacht vor dem Audit). CCM macht Governance vom Prüfobjekt zum Steuerungsinstrument.

Vom Pflichtprogramm zum Vorteil: Resilienz als Zielgröße

Compliance ist nötig, aber nicht hinreichend. Viele Unternehmen erfüllten formal die Anforderungen – und scheiterten im Ernstfall doch: Ransomware, Cloud-Ausfälle, Lieferkettenstörungen, Reputationskrisen. COBIT Next zieht daraus die Konsequenz: Ziel ist Widerstandsfähigkeit, nicht die sterile Erfüllung von Paragrafen. Die Leitfragen sind operativ: Können kritische Prozesse auch bei Störungen weiterlaufen? Wird Wiederherstellung geübt – mit Integritätsbeweis auf Anwendungsebene? Sind Ersatzprozesse definiert, kommuniziert und getestet? Resilienz entsteht durch Architektur (Redundanz, Segmentierung, Entkopplung), durch Proben (Restore-Tests, Tabletop-Exercises), durch klare Entscheidungsrechte im Krisenmodus – und durch Metriken, die Wirksamkeit aufzeigen.

Kultur, Führung, Verantwortung: Governance wird gemacht, nicht geschrieben

Kein Framework kompensiert eine Kultur, die Risiken verschweigt, Eskalationen scheut oder Schattenprozesse toleriert. COBIT Next legt darum Gewicht auf Mandate, Takte, Kohärenz. Mandate: Sicherheitsfunktion mit Unabhängigkeit, Auslagerungssteuerung mit Gatekeeper-Rolle, klare Owner für kritische Services. Takte: Management-Reviews, die auf Zahlen beruhen – Beschlüsse mit Frist und Verantwortlichem, Wirkungskontrolle, Re-Checks. Kohärenz: Alle sehen dieselben Quellen (Exporte, Telemetrie, Ticketverläufe) – nicht hübsch formatierte Parallelwelten. Governance wird an Verhalten gemessen: Werden Limits ernst genommen? Werden Near Misses dokumentiert? Werden Lessons Learned in Maßnahmen übersetzt?

Identitäten und Rechte: „Identity first“ als Prüfstein

Kaum etwas erzeugt so verlässlich Feststellungen wie IAM/PAM. COBIT Next denkt die Kette end-to-end: Rollenmodelle mit Funktionstrennung und begründeten, befristeten Ausnahmen; Lifecycle-Prozess ohne Schattenlisten (Eintritt, Wechsel, Austritt); privilegierte Zugriffe über Jump-Hosts mit Sitzungsaufzeichnung und Just-in-Time-Vergabe; regelmäßige Rezertifizierungen mit echtem Entzug verwaister Rechte; Nachweise aus Systemen (Populationsdefinitionen, Genehmigungsjournale, Log-Links). „Identity first“ heißt: Rechte sind minimal, nachvollziehbar, zeitlich begrenzt – und die Evidenz fällt nebenbei an.

Cloud-Governance: Geschwindigkeit mit Geländer

Cloud ist kein Ziel, sondern ein Betriebsmodell. Die „Shared Responsibility“ macht klar: Der Provider schützt die Basis, der Kunde verantwortet Konfiguration, Identitäten, Daten, Prozesse. COBIT Next liefert die Leitplanken:

• Guardrails in der Landing Zone (Policy-as-Code: Verschlüsselung, Logging, Netzwerkgrenzen, Naming, Tags).
• Pipelines mit Compliance-Checks (IaC gegen Regeln prüfen, riskante Muster blocken).
• Use-Case-basierte Überwachung (Erkennung von offenen Buckets, anomalen API-Calls, Privileg-Eskalation, Datenabfluss).
• Restore-Tests auf Anwendungsebene mit Integritätsnachweis, RTO/RPO-Messung, Re-Tests.
• FinOps als Risikosteuerung (Kosten-Alerts, Budget-Kontrollen, Kosten-pro-Transaktion-Metriken).
• Exit-Fähigkeit als Architekturfrage (exportierbare Formate, Portabilität, geübte Umschaltpfade dort, wo es risikobezogen nötig ist).

Ziel ist nicht „Multi-Cloud um jeden Preis“, sondern steuerbare Komplexität: Konzentrationsrisiken werden benannt, begrenzt, gemessen – und mit realistischen Alternativen unterlegt.

KI-Governance: Nachvollziehbarkeit vor Magie

Künstliche Intelligenz verschiebt Wertschöpfung, aber auch Verantwortung. COBIT Next adressiert Governance-Fragen, die jenseits von Modellgüte liegen: Wer genehmigt Einsatzzwecke? Wie werden Trainingsdaten dokumentiert? Welche Kontrollen erkennen Bias? Wie wird „Human-in-the-Loop“ verankert? Wie werden Modelländerungen versioniert, getestet, freigegeben? Wie werden Fehlempfehlungen erkannt, gemeldet, korrigiert? KI-Governance heißt nicht, Innovation zu bremsen, sondern Vertrauen zu organisieren – intern, regulatorisch, gesellschaftlich.

Daten-Governance und Lineage: Zahlen, denen man trauen darf

Steuerung scheitert oft an widersprüchlichen Daten: unterschiedliche Quellen, fehlende Versionierung, unklare Ableitungen. COBIT Next rückt Daten-Lineage in den Mittelpunkt: Woher kommt eine Kennzahl? Welche Transformationen hat sie durchlaufen? Wer hat wann freigegeben? Wie wird Datenqualität überwacht (Regeln, Schwellwerte, Tickets, Ursachenanalyse, Re-Checks)? Golden Sources werden definiert, Nutzungsregeln dokumentiert, Freigaben nachvollziehbar gemacht. Governance ohne Datenklarheit ist Erzählung – nicht Steuerung.

Lieferkette und Auslagerung: Verantwortlich bleiben, auch wenn andere liefern

Auslagerungen schaffen Tempo – und Abhängigkeiten. COBIT Next fordert Steuerung statt Vertrauen: Due Diligence vor Vertragsschluss (fachlich, technisch, finanziell), klare Informations- und Prüfungsrechte, Meldepflichten bei Vorfällen, Transparenz über Sub-Dienstleister und Datenlokationen, Exit- und Portabilitätsregeln. Nach der Unterschrift beginnt die Arbeit: Scorecards mit SLA- und Sicherheitskennzahlen, wo möglich Telemetrie statt PDFs, Eskalationen bei Schwellenbruch, Änderungs-Trigger (Regionenwechsel, Sub-Provider, Architektur, Major Incidents), Exit-Proben im angemessenen Zuschnitt. Steuerungsfähigkeit heißt: sehen – bewerten – reagieren – belegen.

Metriken, die führen – nicht beruhigen

Kennzahlen sind nur so gut wie die Entscheidungen, die sie auslösen. COBIT Next priorisiert Metriken mit Führungswirkung:

• Erkennung/Behebung: MTTD/MTTR, Klassifizierungs- und Meldezeiten, First-Time-Fix-Rate.
• Schwachstellen/Patches: Alterskurven, Remediation-Quoten, Ausnahmefristen, Kompensation.
• Wiederherstellung: Restore-Erfolgsquote je Serviceklasse, RTO/RPO-Einhaltung, Integritätsbelege.
• Identitäten: Rezertifizierungsquote, De-Provisioning-Zeit, Nutzung privilegierter Sitzungen mit Review.
• Lieferkette: SLA-Compliance, Incident-Meldezeiten, Audit-/Assessment-Ergebnisse, Exit-Readiness.
• FinOps: Kosten pro Transaktion/Service, Budget-Drifts mit Alerting, Ursachenanalysen.

Wichtig ist die Konsequenz: Für jede Kennzahl sind Schwellen, Owner, Eskalationswege, Maßnahmenfristen und Re-Checks definiert. So werden Zahlen zu Steuerung.

Kohärenz: Eine Geschichte, viele Quellen – ein Bild

Das stärkste Qualitätsmerkmal jeder Governance ist Kohärenz. Wenn Risikoregister, Testberichte, Incident-Logs, Auslagerungs-Scorecards und Management-Reports unterschiedliche Wirklichkeiten abbilden, verliert ein Haus schneller Glaubwürdigkeit als durch jede Einzelabweichung. COBIT Next institutionalisiert deshalb Kohärenz-Reviews: regelmäßige, abteilungsübergreifende Termine, in denen Widersprüche zwischen Quellen identifiziert, als Tickets erfasst, fristgerecht behoben und im Re-Check verifiziert werden. Unspektakulär – und doch oft der entscheidende Unterschied zwischen Papier- und Betriebs-Governance.

Reife, Fähigkeit, Proportionalität: gleicher Kompass, unterschiedliche Routen

Nicht jedes Haus braucht dieselbe Dichte – aber jedes braucht Begründung. COBIT Next verbindet Reifegrad- und Fähigkeitsmodelle mit dem Proportionalitätsprinzip: Kleinere Organisationen mit hohem SaaS-Anteil fokussieren auf Auslagerungssteuerung, Dataklassifikation und IAM-Disziplin; plattformorientierte Häuser stärken Guardrails, Pipelines, Schlüssel-Governance und Drift-Kontrolle; hybride Landschaften priorisieren Segmentierung, Standardisierung, End-to-End-Monitoring und abgestimmte Failover-Runbooks. Der Kompass bleibt gleich – die Route wird zugeschnitten.

Anti-Patterns, die zuverlässig schmerzen

• Policies ohne Guardrails: Papier sagt „muss“, Pipeline sagt „trotzdem deployed“.
• IAM im Tabellenmodus: Schattenlisten, unklare Rollen, zähes De-Provisioning.
• Notfall ohne Restore-Beleg: Backups vorhanden, Integrität Behauptung.
• Outsourcing ohne Telemetrie: Berichte statt Beobachtbarkeit; erste Störung wird zur Überraschung.
• SIEM als Datenfriedhof: Viel Log, wenig Erkennung, keine Reaktionszeiten.
• „Multi-Cloud“ als Etikett: doppelte Komplexität, halbe Kontrolle.
• Kennzahlen ohne Führung: Zahlen werden gesammelt, aber nicht entschieden.

COBIT Next ist das Gegenmittel: Automatisieren, wo Varianz schadet; standardisieren, wo Wiederholung günstig ist; messen, wo Unsicherheit teuer wird; belegen, wo Vertrauen nicht reicht.

Drei erweiterte Praxisbilder

Bank mit hoher Cloud-Durchdringung
Das Institut konsolidiert DORA-, MaRisk- und ISO-Anforderungen in einem COBIT-Orchestrierungsmodell. Guardrails in der Landing Zone, Policy-as-Code in Pipelines, Use-Case-Monitoring (u. a. Datenexfiltration, privilegierte API-Aufrufe), Restore-Tests mit Integritätsbeweis auf Zahlungs- und Kernbank-Anwendungen, FinOps-Kennzahlen im Risikoreport. Ergebnis: weniger Doppelarbeit, evidenzbasierte Prüfungen, kürzere Reaktionszeiten.

Versicherer mit ESG-Fokus
Das Haus verknüpft Information-&-Technology-Governance mit Nachhaltigkeitszielen. COBIT-Ziele steuern Daten-Lineage bis in ESG-Berichte, Auslagerungen werden an Transparenz- und Sozialstandards gekoppelt, KI-Modelle in der Schadenregulierung erhalten Freigabe-, Monitoring- und Eskalationspfade. Governance wird zum Bindeglied zwischen IT, Produkt und Corporate Responsibility.

Industriekonzern mit KI-gestützter Produktion
COBIT ordnet die Governance um OT/IT-Konvergenz: Segmentierung, Patch-Fähigkeit, Schutzkorridore, „Human-in-the-Loop“ bei KI-Entscheidungen, Modell-Versionierung und Test-Gates, Forensik-Readiness. Lieferkettensicht umfasst Sensor-Hersteller und Plattform-Provider; Exit-Pfad für Daten und Modelle wird geübt. Ergebnis: höhere Verfügbarkeit, nachweisbare Sicherheit, klare Haftungspfade.

Umsetzungsroadmap: In sechs Monaten vom Rahmen zum Kompass

Monat 1–2: Design-Faktoren erheben, kritische Services/Assets inventarisieren, Schutzbedarfe/Kritikalitäten festlegen, Mandate und Gremien mit Entscheidungsrechten verankern, Führungs-Kennzahlen definieren.
Monat 3–4: Evidence-Baukasten aufbauen (systemische Exporte, versionierte Ablage, WORM/Hash, Populationsdefinitionen), IAM-Quickwins (De-Provisioning-Zeit, Rezertifizierungen, JIT-Privilegien mit Sitzungsaufzeichnung), Testkalender inkl. RTO/RPO-Kriterien, Lieferanten-Nachträge (Info-/Prüf-/Exit-Rechte, Sub-Transparenz).
Monat 5: Restore- und Tabletop-Übungen mit Integritätsnachweis, Scorecards produktiv, erstes Kohärenz-Review über Risiko, Incidents, Tests, Lieferkette, Management-Reports; FinOps-Alerts und Kosten-KPIs ins Reporting.
Monat 6: Probe-Audit „Operating Effectiveness“ mit echten Stichproben (Logs, Tickets, Pipelines), CAPA-Plan (Corrective & Preventive Actions), Re-Tests terminiert; Evidence-Tage und quartalsweise Kohärenz-Reviews institutionalisiert. Danach ist Governance Betriebsmodus – der Kompass liegt griffbereit.

Warum sich der Weg lohnt

COBIT Next verlangt Disziplin – und schenkt Handlungsfähigkeit. Organisationen, die den Kompass nutzen, berichten konsistent: weniger Ausfälle, schnellere Wiederherstellung, bessere Verhandlungsposition mit Dienstleistern, planbare Kosten, vertrauenswürdige Kommunikation mit Stakeholdern und Aufsicht. Vor allem aber entsteht Ruhe im Betrieb – nicht, weil weniger passiert, sondern weil weniger improvisiert werden muss. Evidenz kommt aus dem Prozess, Entscheidungen folgen Zahlen, Kultur trägt Verantwortung.

Schluss: Orientierung ist die neue Geschwindigkeit

„Framework“ klingt nach Schema, „Kompass“ nach Richtung. COBIT Next vereint beides: Struktur, die Ordnung schafft, und Richtung, die Entscheidungen möglich macht. In einer Welt, in der Technologiezyklen sich beschleunigen und Regulierung dichter wird, ordnet COBIT das Zusammenspiel aus Strategie, Risiko, Betrieb und Nachweis neu: Wirksamkeit vor Ritual, Evidenz vor Behauptung, Resilienz vor Formalie. Wer Governance so versteht, gestaltet Zukunft – er verwaltet sie nicht. Genau darin liegt die Stärke von COBIT Next: Es macht Organisationen nicht langsamer, sondern klarer. Und Klarheit ist in unruhigen Zeiten die verlässlichste Form von Geschwindigkeit.