Regula Heinzelmann
Regula Heinzelmann
Rechtsberatung
IT-Governance
Bild: MEV Verlag GmbH IT-Governance spielt eine wichtige Rolle im Compliance-Management-System.

IT-Governance umfasst die Abstimmung der IT-Technik und der Prozesse in allen Unternehmensbereichen mit der Strategie und den Geschäftszielen. Um die Sicherheit zu gewährleisten, ist auch das Verhalten der Angestellten zu berücksichtigen.

Was ist IT-Governance: Eine Definition

In der Enzyklopädie der Wirtschaftinformatik wird IT-Governance (ITG) so definiert: „Die Führung und Organisation der Informatik-Abteilungen und ihre Aufgaben, Kompetenzen und Verantwortlichkeiten werden unter dem Begriff "IT- Governance" (ITG) zusammengefasst.“

  • Die außengerichtete Sichtweise leitet den Begriff aus dem Konzept der Corporate Governance ab. ITG wird als Instrument zur Unterstützung der Anforderungen im IT-Bereich betrachtet.
  • Die innenbezogene Sichtweise der ITG befasst sich mit der wirtschaftlichen Gestaltung von IT-Systemen und den betreffenden organisatorischen Strukturen und Prozessen.

Ein Unterschied besteht zwischen IT-Governance und IT-Management. Management bedeutet die Installation von IT-Leistungen und Produkten, die Steuerung der Systementwicklung und -planung sowie den operativen IT-Betrieb. Im Vergleich dazu ist IT-Governance deutlich breiter und umfasst die Abstimmung der IT mit der Strategie und den Geschäftszielen bis hin zur operativen Steuerung der IT-Systeme, das kann über die Technik hinausgehen.

IT-Governance Beispiele

Ein Beispiel für organisierte Internetkriminalität ist  die Betrugsmethode "Fake President Fraud", auch CEO-Fraud genannt: Personen geben sich als hochrangige Manager einer Firma aus und beauftragen bevollmächtigte Angestellte, eine angeblich dringende und geheime Finanztransaktion auf ein ausländisches Konto durchzuführen. Das Geld wird von den Betrügern rasch in kleinen Beträgen weitergeleitet.

Es kommt auch in renommierten Firmen vor, dass Angestellte auf einen solchen oft sehr raffinierten Betrug hereinfallen. Um solche Vorgänge zu bekämpfen, braucht es mehr als nur technische Maßnahmen, deswegen ist das eine Aufgabe der Corporate Governance. Die Geschäftsleitung muss organisatorische Entscheidungen treffen, z.B. dass für die Transaktion höherer Beträge immer zwei Unterschriften notwendig sind und vorher immer eine Rückfrage an die Personen zu stellen ist, die (angeblich) die Anweisung erteilt.

Auch Industriespionage läuft häufig über persönliche Kontakte. Es ist also nötig, die Angestellten davor zu warnen und sie anzuweisen, dass sie niemandem geheime Informationen, Zugänge oder Passwörter verraten, auch nicht Freunden.

Für ITG ist die Geschäftsleitung zuständig. Diese hat dafür zu sorgen, dass die Mitarbeitenden (auch die freien) über die Richtlinien und Risiken informiert werden. Zusätzlich ist eine dauernde Kontrolle notwendig. Die Kontrolle muss sich aber auf die Geschäftsbereiche beschränken, private Daten von Angestellten sind tabu.

Für die IT-Governance sind mindestens folgende Grundsätze zu beachten:

  • Richtlinien ausarbeiten,
  • Kontrollsystem integrieren,
  • Abläufe im IT-Bereich dokumentieren,
  • Mitarbeitende über Straftatbestände und Praktiken der Cyberkriminalität informieren,
  • den Angestellten Firmengeräte zur Verfügung stellen,
  • Datensicherung immer auf neuestem Stand halten,
  • bei Clouds: Service-Anbieter vertraglich verpflichten, Daten nur im eigenen Server zu speichern und gegenseitige Kontrollen vereinbaren,
  • geheime Daten auf keinen Fall in Clouds deponieren,
  • sensible Daten nur von bestimmten Personen an Computern in geschlossenen Räumen bearbeiten, die keinen Kontakt zum Internet haben und versiegelte USB-Zugänge.
  • Nach Beendigung des Arbeitsverhältnisses Zugänge und Passwörter für die betreffende Person sofort sperren.
  • In Verträgen über Forschung, Entwicklung und sonstige sensible Daten Sicherheitsvorkehrungen beide Parteien zu vereinbaren und eine Geheimhaltungsklausel mit Konventionalstrafe.
  • DSGVO berücksichtigen und Kunden über Datenverarbeitung informieren.
  • Eine Meldestelle einrichten, bei der Angestellte oder Dritte ohne persönliche Nachteile Missstände bekannt geben können.

Regeln für die Umsetzung

Zur Umsetzung der ITG gibt es verschiedene Anleitungen und Normen.

  • Die Norm ISO/IEC 38500 richtet sich vor allem an die obere Führungsebene und Entscheidungsträger. Wichtig sind dabei die zentrale Rolle und die systematische Bewertung des IT-Einsatzes sowie die ständige Überwachung der Planumsetzung.
  • COBIT® 2019 ist die jüngste Entwicklung von Isacas weltweit anerkanntem und genutztem Cobit-Rahmenwerk
  • Das COSO-Framework wurde 2017 überarbeitet, es ist eine Anleitung für das Risikomanagement in Unternehmen. Das aktualisierte Dokument, Enterprise Risk Management behandelt die Integration von Strategie und Leistung.
  • Bei der ISO/IEC 20000-1:2018 Zertifizierung erbringt das Unternehmen den Beweis, dass die IT-Services möglichst übersichtlich und störungsfrei funktionieren und regelmäßig kontrolliert werden.
  • Die Norm ISO/IEC 27001 formuliert Anforderungen und Ziele für die IT-Sicherheit und für die Anpassung an juristische Vorschriften.

IT-Governance-Manager: Aufgaben, Rolle und Funktion

Ein IT-Governance-Manager muss die Aufgaben der IT-Governance organisieren und überwachen. Dafür braucht er mehr als nur technische Kenntnisse, sondern auch juristische, z.B. über Datenschutz. Weiter braucht er Kenntnisse über Methoden der Organisation, namentlich Ressourcenmanagement, IT-Risikomanagement, Methoden zur Überwachung der Performance.

Schlagworte zum Thema:  IT-Sicherheit, IT-Compliance, Datenschutz
Meistgelesene beiträge
Neueste beiträge