BLOG

BLOG

Categories:   All Categories
Suggested keywords
x

Governance

Per RSS abonnieren
Markus Groß

Governance 2026: Warum Kontrolle allein nicht mehr reicht

IT
Governance 2026: Warum Kontrolle allein nicht mehr reicht

Es gibt Jahre, in denen Governance wie ein gepflegter Maschinenraum wirkt: saubere Schaltbilder, klare Zuständigkeiten, geölte Prozesse, Prüfzeichen am richtigen Ort. Und es gibt Jahre, in denen das gleiche Bild plötzlich alt aussieht. 2026 ist so ein Jahr. Die Architektur der Kontrolle – Regeln, Freigaben, Checklisten – bewährt sich weiterhin, aber sie reicht nicht mehr aus, um Organisationen durch eine Welt zu steuern, in der digitale Abhängigkeiten unübersichtlich, Lieferketten fragil, regulatorische Erwartungen dynamisch und Technologien wie KI, Cloud und vernetzte Produkte zum Taktgeber geworden sind. Der Satz „Kontrolle allein reicht nicht“ klingt wie eine Plattitüde. In Wahrheit markiert er einen Wendepunkt: Governance verschiebt sich von der Frage „Ist es freigegeben?“ zu „Hält es unter Last – und können wir das beweisen, während wir uns anpassen?“

Der Bruch mit der Kontrolllogik

Die Klassik der Governance wurde von zwei Grundgedanken getragen: Erstens lässt sich Risiko durch Regeln und Rollen beherrschen. Zweitens genügt es, die Einhaltung in Zyklen zu prüfen – Jahresabschluss, Auditplan, Projektgate. Das funktionierte, solange Veränderung langsam und Abhängigkeiten überschaubar waren. Heute kollidieren beide Annahmen mit der Praxis. Veränderungen passieren kontinuierlich (Feature-Rollouts, Infrastruktur-Drifts, Datenströme), und Abhängigkeiten ziehen systemische Effekte nach sich (ein Ausfall in der Lieferkette, ein Software-Bug, eine kompromittierte Identität). Kontrolle bleibt nötig – aber sie ist nicht mehr die Königsdisziplin. Die neue Frage lautet: Wie bleibt die Organisation handlungsfähig, obwohl Kontrolle versagen kann – und wie lernt sie schneller als die Welt sich ändert?


Weiterlesen
5
Markiert in:
Informationssicherheit ISMS Resilienz Governance
Tweet
24388 Aufrufe
Markus Groß

C5 2025: Vom Prüfkatalog zur Governance-Benchmark

IT
C5 2025: Vom Prüfkatalog zur Governance-Benchmark

C5 hat sich leise, aber stetig vom Katalog für Cloud-Kontrollen zur Referenz für gelebte Cloud-Governance entwickelt. 2025 markiert den Punkt, an dem diese Entwicklung sichtbar wird: Nicht mehr die Frage „Welche Kriterien erfüllt der Provider?“ dominiert, sondern „Wie steuern wir als Unternehmen – nachweisbar, zeitkritisch und wiederholbar – unsere Cloud-Realität?“ Wer C5 noch als Attest versteht, verschenkt Wirkung. Wer C5 als Betriebssprache, als Schalterset und als Evidenzfundament begreift, gewinnt Tempo, Resilienz und Vertrauen. Dieser Beitrag zeichnet nach, wie C5 2025 zur Benchmark wird: in Architektur und Betrieb, in Audits und Aufsicht, in Lieferketten und Verträgen, in Daten- und KI-Domänen – und wie sich die Kultur ändert, wenn Prüfung kein Ereignis mehr ist, sondern Nebenprodukt guter Arbeit.

Warum 2025 anders ist

Cloud-Nutzung ist erwachsen geworden. Unternehmen betreiben Portfolios, nicht Einzelprojekte. Kritische Geschäftsprozesse sind in Plattformen, Automatisierung und Datenströmen verankert. Regulatorik hat den Takt erhöht: Resilienz wird in Zeiten gemessen, nicht in Reifegradfarben. Meldepflichten verlangen Belege in Stunden, nicht in Wochen. Kunden verlangen Nachweise, die die Wirklichkeit abbilden – nicht Präsentationen. In diesem Umfeld reicht es nicht, einen C5-Bericht abzuheften. Er muss anschließen: an Pipelines, an Plattformen, an Notfallpläne, an Verträge, an Kennzahlensysteme. 2025 ist das Jahr, in dem C5 dort ankommt – und dadurch vom Prüfkatalog zur Benchmark wird.


Weiterlesen
3
Markiert in:
C5 Cloud BSI Governance
Tweet
20389 Aufrufe
Markus Groß

GRC Next: Wie Governance zum strategischen Vorteil wird

IT
GRC Next: Wie Governance zum strategischen Vorteil wird

„GRC“ war über Jahre ein Sammelbegriff, hinter dem sich vieles und damit oft zu wenig verbarg: Richtlinienbibliotheken, Risikomatrizen, Kontrollen-Kataloge, Auditkalender. Das war nützlich, aber selten spürbar wertschöpfend. Heute kippt die Perspektive. Märkte reagieren in Stunden, Lieferketten sind digital verschaltet, Vorfälle verbreiten sich viral, Regulierungen greifen tiefer in Produkte und Prozesse ein. In dieser Welt kann Governance, Risk & Compliance nicht mehr die Disziplin der Nachreichungen sein. Sie muss führen – durch Echtzeitfähigkeit, Anschluss an den operativen Takt und Investitionssteuerung. Genau das meint GRC Next: Governance als Betriebsleistung, die Risiken nicht nur inventarisiert, sondern Zeit gewinnt, Renditen schützt und Wachstum ermöglicht. Es ist der Schritt vom „ordnet“ hin zu „entscheidet“.

Warum das alte GRC an Grenzen stößt

Das klassische GRC versprach Kontrolle durch Vollständigkeit: jede Policy erfasst, jedes Risiko bewertet, jedes Kontrollziel beschrieben, jedes Audit geplant. In stabilen Umfeldern reichte das. Doch drei Entwicklungen haben dieses Modell überholt.


Weiterlesen
6
Markiert in:
GRC Governance Next Compliance
Tweet
21028 Aufrufe
Markus Groß

Daten als Risiko: Governance zwischen Datenschutz und KI-Nutzung

IT
Daten als Risiko: Governance zwischen Datenschutz und KI-Nutzung

Daten waren lange das stille Versprechen der Digitalisierung: mehr Wissen, bessere Entscheidungen, neue Geschäftsmodelle. Heute sind sie zugleich größter Hebel und größtes Haftungsfeld. Zwischen Datenschutz, Compliance und aggressivem Einsatz von KI spannt sich ein Raum, in dem Chancen und Risiken stündlich neu verteilt werden. Governance, die hier wirksam sein soll, muss zwei Dinge gleichzeitig leisten: Vertrauen sichern – gegenüber Kunden, Aufsichten, Partnern, Mitarbeitenden – und Wert freisetzen – durch analytische Exzellenz, Automatisierung, Produkte, die Daten intelligent nutzen. Das gelingt nicht mit Parolen („Data is the new oil“) und auch nicht mit Verboten („Data Sharing nur im Ausnahmefall“), sondern mit einer Betriebsleistung, die Datenflüsse sichtbar, steuerbar und beweisbar macht: von der Erhebung über Speicherung, Verarbeitung, Training von KI-Systemen, Bereitstellung in APIs bis zur Löschung. Dieser Beitrag zeigt, wie Governance diesen Spagat schafft – ohne Illusionen, aber mit praktikablen Mechaniken, Kennzahlen und Entscheidungen, die nicht auf dem Papier, sondern im Alltag tragen.

1. Vom Asset zur Haftung: Warum Daten heute anders zählen

Daten galten einst als „kostenloser Rohstoff“: Sammeln, speichern, irgendwann nutzen. Diese Haltung hat sich überholt – aus drei Gründen. Erstens wandern Daten über SaaS-Landschaften und Cloud-Regionen, die rechtlich, technisch und organisatorisch verschieden ticken. Jeder neue Dienst ist eine weitere Angriffs- und Haftungsfläche. Zweitens entwerten KI-Modelle schlechte oder unklare Daten – Garbage in, turbo-Garbage out. Bias, Halluzinationen, Fehlentscheidungen sind keine Nebensache, sondern Produkt- und Reputationsrisiko. Drittens hat sich das Regelwerk verdichtet: Datenschutzrecht, branchenbezogene Aufsicht, Sicherheitsverordnungen, Produkthaftungsregime für digitale Komponenten und KI-Systeme. Zusammen erzeugen sie eine Pflicht zur Daten-Disziplin: Wer nicht weiß, welche Daten wo, warum, wie lange und unter wessen Kontrolle liegen, riskiert Bußgelder, Vertragsstrafen, Vertrauensbrüche und Stopps bei Zulassungen oder Audits.


Weiterlesen
3
Markiert in:
KI AI Risk Governance
Tweet
21239 Aufrufe
Markus Groß

From Policy to Practice: Governance, die tatsächlich wirkt

IT
From Policy to Practice: Governance, die tatsächlich wirkt

Es klingt immer überzeugend, wenn Unternehmen ihre Governance herausstellen: aktuelle Richtlinien, detailreiche Prozesslandkarten, sauber benannte Rollen, ein Gremium für jedes Thema. Und doch bleibt in vielen Häusern das gleiche Gefühl zurück: Warum ändert das alles so wenig am Alltag? Warum geraten Entscheidungen ins Stocken, obwohl die Regeln klar sind? Warum werden Risiken sauber beschrieben, aber zu spät adressiert? Warum explodieren Vorfälle in Kosten, obwohl alle ihre Pflichten kennen? Der Grund liegt selten in mangelndem Willen, fast nie im Fehlen von Papier – er liegt in der Lücke zwischen Policy und Praxis. Governance wirkt erst, wenn sie nicht nur sagt, was sein soll, sondern wie es zur richtigen Zeit am richtigen Ort geschieht, messbar, wiederholbar, beweisbar. Dieser Beitrag zeichnet eine Landkarte, wie man diese Lücke schließt: von der Sprache zur Ausführbarkeit, von der Absicht zur Evidenz, von der Gremienroutine zum operativen Takt, von der Einzellösung zur unternehmensweiten Lernschleife.

Warum gute Policies oft wenig bewegen

Richtlinien sind Versprechen. Sie definieren Erwartungen, beschreiben Grenzen, sichern Pflichten ab. In der Praxis prallen sie jedoch auf drei unsichtbare Wände. Erstens ist die kognitive Last zu hoch: Mitarbeitende sollen komplexe, juristisch präzise Texte erinnern und in Sekunden auf reale Situationen übertragen – unter Zeitdruck, mit unvollständiger Information, über Systemgrenzen hinweg. Zweitens fehlt die Anschlussfähigkeit: Selbst exzellent formulierte Policies enden an der Schranke zum Tagesgeschäft, wenn Systeme, Workflows und Verträge nicht so gestaltet sind, dass das Richtige durch das Doing passiert. Drittens fehlt die Konsequenz: Wo Verstöße folgenlos bleiben, wo Ausnahmen nicht ablaufen, wo Eskalationen aus Höflichkeit vertagt werden, verliert Governance ihre Schärfe. Sie wird zur höflichen Bitte. Policies, die bewegen sollen, müssen daher Verständlichkeit, Ausführbarkeit und Konsequenz vereinen – sonst bleiben sie gute Literatur.


Weiterlesen
4
Markiert in:
Governance Policy ISMS
Tweet
21217 Aufrufe
Image
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern. Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.

Akzeptieren Ablehnen
Datenschutz | Impressum