Vorwort

IT-Governance (2023), S. V, VI

Vorwort

Wolfgang Gaess

Wir haben Stunden miteinander verbracht - und um die Ecke gedacht (Tocotronic – Um die Ecke [gedacht])

Die derzeit stattfindende Technologische Transformation vollzieht sich in Gestalt Disruptiver Technologien wie u.a. Cloud und Künstlicher Intelligenz sowie neuer Methoden wie Agilem Projektmanagement und dem Wandel hin zu datengetriebenen Organisationen. Der sich rasant ändernde Wettbewerb, mit teils marktfremden Akteuren auf „etablierten“ Märkten (u.a. BigTechs) sowie sich ständig ändernden Bedrohungslagen, erfordert kontinuierliche Analyse und planerische Anpassung. Diese Aufgaben erfüllt eine IT-Governance. Nur mit dadurch konkretisierten und operationalisierten Zielwerten und einer Zielerreichungsmessung wird auf Basis einer IT-Strategie wirklich gesteuert.

In der Realität hat sich bisher jedoch meist das Prinzip Wildwuchs durchgesetzt. Systemlandschaften sind Zufallsprodukt auditgetriebenen Durchhangelns. Fehlender Durchblick und dürftige Dokumentation sind zwangsläufige Begleitmangelerscheinungen. Das hat aber nicht nur Auswirkung auf die Performanz der Kernfunktionen der IT. Vielmehr ist bei solchen Unzulänglichkeiten auch kein ordnungsgemäßes IT-Risikomanagement möglich. Beispielsweise müssen Informationsrisiken bzw. Datenschutzrisiken etc. über Geschäftsprozesse und Applikationslandschaften nachvollziehbar und vollständig erfasst werden – ehe sie gesamtheitlich bewertet über eine Configuration Management Database (CMDB) auf die Ebene der Infrastruktur vererbt werden. Dies sind Grundlagen für ein belastbares Internes Kontrollsystem (IKS) und Non Financial Risks (NFR) (bzw. OpRisk 1). Themen, die mithin durch die KRITIS-Verordnung, die zunehmenden Zertifizierungserfordernisse wie TISAX 2 oder nach ISO sowie anerkannte Prüfungsstandards wie ISAE 3 (bzw. IDW PS 4) mittlerweile in allen Lieferketten angekommen sind.

Die durch IT-Governance geschaffenen Leitlinien, Strukturen und Vorlagen erleichtern die Arbeit in und mit der IT. Die hierdurch geschaffene Akzeptanz steigert die Einhaltung der Vorgaben und erzeugt dadurch eine Verbesserung des gesamtheitlichen IT-Betriebs in Form von Effizienzen und minimierten Risiken. Es bewirkt im Nebeneffekt auch höhere IT-Compliance, die branchenübergreifend zunehmend von Wirtschaftsprüfern und In VI terner Revision erwartet wird. Für regulierte Unternehmen wird im Nebeneffekt der Nachweis für Regulierungs-Compliance geschaffen.

Die Erkenntnisse dieses Buches wurden in der Finanzbranche gewonnen und erfolgreich in der Praxis verprobt. Die Finanzbranche eilt bei Themen wie Cyberrisiken sowie den unterstützenden Ordnungsthemen aufgrund ihres hohen Regulierungsgrades bzw. der Regulierungsdichte anderen Industrien voraus (insbesondere in Form von MaRisk 5 und BAIT 6 sowie den Feststellungen in den Prüfungsberichten der Finanzaufsicht).

Als Ursache des besonders hohen Regulierungsgrades in der Finanzbranche kann u.a. noch immer die Finanzkrise in den Jahren 2007/2008 herangezogen werden. Der Zusammenbruch der Silicon Valley Bank, Signature Bank und First Republic sowie der Credit Suisse im Jahr 2023 verleiht der Finanzregulierung neuen Nachdruck. Spätestens mit der KRITIS-Verordnung zeigte sich aber, dass auch andere Branchen von hoheitlicher Seite (hier der kritischen Infrastruktur) als besonders schützenswert eingestuft werden und mit Regulierung von hoheitlicher Seite Mindeststandards durchgesetzt werden.

Die in der Finanzbranche gewonnenen Erfahrungen und Erkenntnisse werden regelmäßig – leicht zeitlich versetzt – als „Good Practice“ in der „Light Version“ in andere Industriestandards übernommen. Diese Entwicklung hat guten Grund. Gerade die IT-Vorgaben in der Finanzbranche sind meist keineswegs allein auf den Finanzbereich gemünzt (das wären eher die fachlichen Vorgaben für Kreditvergabe, Scoring etc.). Vielmehr handelt es sich um allgemeingültige und sinnvolle Anforderungen zur Härtung des ganzheitlichen und integrierten IT-Risikomanagements, was mittelbar mit der Stärkung der IT-Organisation, des IT-Betriebs und der IT-Informationssicherheit einhergeht. Die Verwaltungsanweisungen werden unter maßgeblicher Beiziehung des Bundesamtes für Sicherheit in der Informationstechnik 7, von Wirtschaftsprüfern, IT-Experten sowie weiterer maßgeblicher kompetenter Akteure ausgearbeitet.

Lars Weimer, Dr. Christoph Capellaro, Dr. Franz Thiel, Christoph Becker, Olivia Nowak, Colin Herrmann, Tilman Friedrich und Nils Rasche haben dieses Buchvorhaben unterstützt und möglich gemacht. Ihnen ist an dieser Stelle herzlich gedankt.

Wolfgang Gaess

1	Operationelle Risiken.

2	Zertifizierungsstandard in der Automobilindustrie.

3	International Standard on Assurance Engagements.

4	Institut der Wirtschaftsprüfer Prüfungsstandards.

5	Rundschreiben 10/2021 (BA); Mindestanforderungen an das Risikomanagement – MaRisk.

6	Rundschreiben 10/2017 (BA) in der Fassung vom 16.08.2021; Bankaufsichtliche Anforderungen an die IT.

7	BSI Standards.

V Vorwort