Definition

COBIT

Was ist COBIT (Control Objectives for Information and Related Technologies)?

COBIT ist ein IT-Governance-Framework für Unternehmen, das Best Practices für das Implementieren, Überwachen und Verbessern des IT-Managements enthält. COBIT ist die Abkürzung für Control Objectives for Information and Related Technologies; der volle Name wird aber nicht verwendet.

ISACA hat das COBIT-Framework geschaffen, um die entscheidende Lücke zu schließen, die sich in vielen Unternehmen zwischen technischen Fragen, Geschäftsrisiken und Kontrollanforderungen bildet.

COBIT eignet sich für Unternehmen jeder Branche und verspricht, die Qualität, Kontrolle und Zuverlässigkeit von IT-Systemen sicherzustellen. In den Vereinigten Staaten ist COBIT das am häufigsten verwendete Framework, wenn es darum geht, den Sarbanes-Oxley-Act (SOX) einzuhalten.

COBIT ist ein Framework, das am häufigsten zum Einsatz kommt, um den Sarbanes-Oxley-Act umzusetzen, ein Gesetz, dass für alle Unternehmen gilt, die in den USA agieren.
Abbildung 1: COBIT ist ein Framework, das am häufigsten zum Einsatz kommt, um den Sarbanes-Oxley-Act umzusetzen, ein Gesetz, dass für alle Unternehmen gilt, die in den USA agieren.

Die Geschichte von COBIT

ISACA erstellt und entwickelt Leitlinien und Kontrollen für Informations-Governance-, Kontroll-, Sicherheits- und Audit-Experten. Die Organisation heißt eigentlich Information Systems Audit and Control Association, führt jedoch nur noch ISACA als Namen. Die ursprüngliche Version von COBIT richtete sich 1996 an Wirtschaftsprüfer und sollte ihnen dabei helfen, das Wachstum von IT-Umgebungen besser zu steuern.

ISACA veröffentlichte 1998 eine umfassendere Version, die über die bisherigen reinen Audits hinausging. Die Versionen 3 und 4 aus den 2000er Jahren, enthielten weitere Verwaltungsrichtlinien zur Cybersicherheit. COBIT 5 erschien 2013 und konzentrierte sich auf das Bereitstellen von Tools, Best Practices und Zielen, die universell auf alle IT-Operationen von Unternehmen anwendbar waren. COBIT 5 erweiterte COBIT 4 durch die Integration verwandter Standards der International Organization for Standardization (ISO), einschließlich der IT Infrastructure Library (ITIL).

Mit COBIT 5 integrierte ISACA verwandte Standards, wie ITIL.
Abbildung 2: Mit COBIT 5 integrierte ISACA verwandte Standards, wie ITIL.

Im Jahr 2019 kündigte ISACA die aktuelle COBIT-Version an: COBIT 2019. Diese aktuelle Version ist ein allgemeineres, umfassenderes und flexibleres Tool, das sich für alle Unternehmen unabhängig von ihrer Größe oder ihren unmittelbaren Zielen eignet.

Es ist darauf ausgerichtet, mit modernen, sich schnell ändernden Technologien zu arbeiten und mit häufigeren Updates weiterzuentwickeln.

Warum ist COBIT wichtig?

Das Ziel des COBIT-Frameworks ist es, eine gemeinsame Sprache für IT-Experten, Führungskräfte und Compliance-Auditoren festzulegen, in der sie miteinander über IT-Kontrollen, -Ziele, -Vorgaben und -Ergebnisse kommunizieren.

Ohne eine gemeinsame Sprache läuft ein Unternehmen Gefahr, dass Prüfer nicht verstehen, was Regulierungen oder bisherige Prüfergebnisse im Unternehmen überhaupt besagen – und das führt zu endloser Zeitverschwendung in semantischen Debatten und nur schwer vergleichbaren Ergebnissen.

Was sind die Grundlagen des COBIT-Frameworks?

COBIT umfasst mehr als nur technische Standards für IT-Manager. Das Framework unterstützt Geschäftsanforderungen durch die kombinierte Anwendung von IT-, aber auch artverwandten anderen Quellen und Prozessen. Zwei Hauptparameter werden bereitgestellt:

  • Kontrollmethoden. Umfasst IT-Managementverfahren, -praktiken, -richtlinien und -strukturen, die darauf ausgelegt sind, ein akzeptables Maß an Sicherheit zu bieten, um die Geschäftsziele zu erreichen.
  • Ziel der IT-Kontrolle. Definiert dieses akzeptable Maß, dass durch die Implementierung von Kontrollverfahren für einen bestimmten IT-Vorgang erreicht werden soll.

Was sind die Prinzipien von COBIT?

COBIT basiert auf fünf Schlüsselprinzipien für IT Enterprise Governance:

  • Prinzip 1: Erfüllen der Bedürfnisse von Stakeholdern
  • Prinzip 2: Abdecken des gesamten Unternehmens
  • Prinzip 3: Anwenden eines einzigen integrierten Frameworks
  • Prinzip 4: Ermöglichen ganzheitlicher Ansätze
  • Prinzip 5: Trennen von Governance und Management

Das Framework identifiziert sieben Governance-Aspekte, die Anwender aufeinander abstimmen müssen, um die fünf oben genannten Prinzipien zu unterstützen:

  • Prinzipien, Richtlinien und Rahmenbedingungen
  • Prozesse
  • Organisationsstrukturen
  • Kultur, Ethik und Verhalten
  • Information
  • Dienste, Infrastruktur und Anwendungen
  • Menschen, Fähigkeiten und Kompetenzen

Was man vor der Verwendung von COBIT wissen muss

COBIT 2019 ist kein Spickzettel, sondern ein generisches Tool zur Unterstützung Ihrer Geschäftsentscheidungen.

  • Ziele. COBIT 2019 enthält über 40 Unternehmensführungs- und Governance-Ziele. IT-Manager können diese Ziele basierend auf den Bedürfnissen verschiedener Interessengruppen priorisieren oder ignorieren.
  • Domänen. COBIT-Ziele lassen sich in bestimmte Bereiche gruppieren. Domänen sind Geschäftsprozessen wie Planung, Design und Überwachung zugeordnet.
  • Gestaffelte Ziele. Dieser definiert die Verbindung zwischen Bedarf und Unternehmenszielen.
  • Komponenten. Komponenten sind generische Elemente wie Fähigkeiten, Infrastruktur, Prozessbeschreibungen und Strukturen, welche die IT beeinflussen.
  • Designfaktoren. Kontextbezogene, strategische und taktische Faktoren helfen, Bedürfnisse einer Organisation zu identifizieren und zu erkennen, wie sie zu einem Framework in Bezug stehen. Diese Faktoren bestimmen Entscheidungen über die Technologie (zum Beispiel Cloud-Daten), Methoden (zum Beispiel DevOps, ITIL 4 oder Agile) und Outsourcing.
Bei IT-Sicherheits-Frameworks haben Sie zahlreiche Varianten zur Wahl.
Abbildung 3: Bei IT-Sicherheits-Frameworks haben Sie zahlreiche Varianten zur Wahl.

Was ist der Unterschied zwischen COBIT 5 und COBIT 2019?

Alle bisherigen Versionen von COBIT hatten ihre Schwächen und in manchen Situationen sogar direkte negative Auswirkungen. So beobachteten einige Unternehmen, dass COBIT 5 dazu führte, dass Verantwortliche Aufgaben in der Hierarchie wie eine heiße Kartoffel nach unten durchreichten. Andere stellten fest, dass COBIT 5.0 Papierkram und festgefahrene Routinen verursachte, statt IT-Governance-Engagements zu fördern und das Verantwortungsbewusstsein zu verbessern.

Zu den wichtigsten Änderungen zwischen COBIT 5 und der neuesten Version COBIT 2019 gehören die folgenden:

  • eine aktualisierte Ausrichtung an globalen Standards, Frameworks und Best Practices;
  • ein Mechanismus, über den die COBIT-Community Feedback gibt, Anwendungen teilt und Verbesserungen vorschlägt;
  • und neue Anleitungen und Tools zum Anpassen des IT-Governance-Systems, um bestimmte IT-Ziele zu erreichen und eine bessere Entscheidungsfindung zu unterstützen.

Was ist der Unterschied zwischen COBIT und anderen Governance-Frameworks?

In diesem Abschnitt untersuchen wir, wie COBIT im Vergleich zu anderen Frameworks abschneidet.

COBIT versus ITIL

COBIT und ITIL gelten beide als wichtige Analysewerkzeuge zum Steuern von IT-Services. Die beiden Frameworks überschneiden sich und können sehr effektiv zusammenarbeiten.

Während das ITIL-Framework den Fokus auf das IT-Service-Management (ITSM) legt, hat das COBIT-Framework einen breiteren Fokus auf das Risikomanagement, das sich auf fast jeden Bereich des Unternehmens anwenden lässt.

Wenn ein Unternehmen die Compliance dokumentieren muss, müssen Sie mit ITIL ein Drittanbieter-Tool heranziehen, wie zum Beispiel Tudor IT Process Assessment (TIPA). Im Gegensatz können nur ISACA Certified Information Systems Auditors (CISAs) COBIT-Audits durchführen.

COBIT versus TOGAF

Das Open Group Architecture Framework (TOGAF) ist ein weiteres Framework für Governance, Risk and Compliance (GRC), das COBIT ergänzt. Die Open Group, ein unabhängiger Branchenverband, hat TOGAF gegründet und unterhält es.

TOGAF baut auf einem früheren Framework auf, das als TAFIM oder Technical Architecture Framework for Information Management bekannt ist und ursprünglich vom US-Verteidigungsministerium entwickelt wurde. Anfang 2009 veröffentlichte The Open Group TOGAF Version 9.

Die Open Group und andere führen TOGAF-Zertifizierungs- und Bildungsprogramme durch. Typischerweise setzen Unternehmensarchitekten die Verwendung von TOGAF innerhalb von Organisationen durch.

COBIT-Zertifizierungen

ISACA bietet COBIT-Zertifizierungen für Experten im Bereich Informationssicherheit, Cloud Computing und weiteren an. Dazu gehören die Zertifikate COBIT Foundation, COBIT Design and Implementation und COBIT 5.

Diese Definition wurde zuletzt im September 2024 aktualisiert

Erfahren Sie mehr über Datenschutz und Compliance