Begriff
IT Governance
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
In einer kleinen Firma macht der Admin, was er will ("Ich installiere mal Linux"). In einem Konzern geht das nicht. Da herrscht Chaos, wenn jeder macht, was er will. IT Governance ist das Regelwerk. Es bestimmt:
- Wer darf entscheiden? (Darf Abteilung X einen eigenen Server kaufen?)
- Welche Regeln gelten? (Müssen wir Passwörter alle 90 Tage ändern?)
- Stimmen IT und Business überein? (Hilft der Server der Firma, Geld zu verdienen?)
Es sorgt dafür, dass die IT kein Spielplatz ist, sondern dem Unternehmen dient.
Merksatz: Die Führung, Struktur und Prozesse, die sicherstellen, dass die IT die Unternehmensziele unterstützt.
Ohne Governance passiert "Shadow IT" (Schatten-IT). Mitarbeiter nutzen Dropbox, weil die Firmen-IT zu langsam ist. Governance sagt nicht nur "Nein", sondern schafft offizielle, sichere Wege. Frameworks wie COBIT helfen dabei, Regeln aufzustellen.
1. Compliance (Rechtstreue)
Governance stellt sicher, dass Gesetze eingehalten werden. z. B. DSGVO (Datenschutz) oder GoBD (Buchführung). Wenn die IT-Governance versagt, muss der Geschäftsführer ins Gefängnis (Haftung), nicht der Admin.
2. KPI (Key Performance Indicators)
Man misst den Erfolg. "Ist unsere IT zu teuer?" "Wie oft fallen Systeme aus?" Governance nutzt diese Zahlen, um zu steuern ("Wir müssen mehr in Sicherheit investieren").
1. Das COBIT Framework Enabler Modell
Während ITIL (Service Management) eher bespricht, wie man einen Server patcht, regelt COBIT (Control Objectives for Information and Related Technology), warum man ihn patcht und wer das als Audit verantwortet. Es separiert streng in zwei Management-Hemisphären:
- Governance (EDM): (Evaluate, Direct, Monitor) agiert auf Board-of-Directors Level. Es priorisiert Risiken und Strategie.
- Management (APO, BAI, DSS): (Plan, Build, Run). Die umsetzenden Administratoren-Teams. Das Kernziel von COBIT ist "Alignment": Jeder investierte Euro im RZ (z.B. in Ansible) muss mathematisch dem Unternehmensziel im Hauptbuch (Balanced Scorecard) zugeordnet sein. Eine Technologie "aus Interesse am Spielen" finanziert COBIT knallhart ab.
2. Enterprise Risk Management & ISMS
Ein essenzieller Triebfeder in der IT-Governance ist das ISMS (Information Security Management System) nach ISO 27001. Hier wird kein Code geschrieben, sondern Assets beziffert. "Wenn die Kundendatenbank crasht, kostet uns das Reputation im Wert von 5 Millionen Euro". Die Wahrscheinlichkeit (ARO) liegt bei 5%. Expected Loss = $250.000. Das Board gibt dem IT-Chef genau dieses Budget für Security-Racks frei. Ein Hacker-Einbruch ist ein reines Wirtschafts-Risiko. IT-Governance verwandelt abstrakte Serverfragen in das Vokabular der Versicherungswirtschaft für Vorstandsentscheidungen.
3. Shadow-IT vs. Bimodal IT Setup
Der ewige Klassiker: Entwickler hassen IT-Governance-Bürokratie, nutzen private AWS-Accounts und produzieren "Shadow-IT" (nicht vom CISO autorisierter Sourcecode). Die moderne Governance kontert nach Gartner Modellen oft mit der Bimodalen IT:
- Mode 1: Traditionelles ERP/Finance/Infrastruktur Backend (Marathon). Extreme Stabilität, ISO27k Checklisten, Changes bedürfen Board-Approval.
- Mode 2: Agiles, exploratives Frontend / AI Apps (Sprint). Eine regulatorisch komplett abgesenkte "Sandkasten"-Zone, wo Teams DevOps zelebrieren und auf eigene Kappe täglich pushen dürfen. Die Governance definiert dazwischen nur harte API-Barrieren.
Quick-Check
Ist Governance Bürokratie?
Oft fühlt es sich so an (viele Formulare). Aber gute Governance macht schnell, weil klar ist, wer was darf. Man muss nicht jedes Mal neu diskutieren.Wer macht das?
Der CIO (Chief Information Officer) ist meist verantwortlich. In großen Firmen gibt es eigene "IT Governance Officer".Was passiert ohne Governance?
Geldverschwendung (zwei Abteilungen kaufen die gleiche Software doppelt) und Sicherheitsrisiken.