robot pointing on a wall
Photo by Tara Winstead on Pexels.com
Posted inIT Audit / Compliance / Security

Die Quadratur des digitalen Kreises: KI, agile Governance und Krisenresistenz – Ein Blick in die IT-Governance Fachzeitschrift (Heft 41 & 42)

1. Künstliche Intelligenz (KI) und ihre Governance

Die KI-Thematik wird aus zwei Hauptperspektiven beleuchtet: dem Einsatz in der Wirtschaftsprüfung und den Auswirkungen auf die gesamte Organisation.

KI in Audit und Assurance (Heft 41)

  • Copilot vs. Agentenbasierter Workflow: Generative KI etabliert sich als Schlüsseltechnologie für Wirtschaftsprüfungsgesellschaften. Es wird zwischen zwei zentralen Ansätzen unterschieden:
    • Der KI-basierte Copilot verfolgt einen progressiven Human-in-the-Loop-Ansatz, ist einfacher zugänglich (dialogbasierte Schnittstellen) und dient der Unterstützung des Prüfers unter kontextbezogener menschlicher Aufsicht. Anwendungsfälle umfassen analytische Prüfungshandlungen (Interpretation von Finanzkennzahlen) und die Beurteilung von Rückstellungen mithilfe spezialisierter Expertenbots (z. B. unter Nutzung der Retrieval-Augmented Generation, RAG).
    • Der Agentenbasierte Workflow ist technisch komplexer, zielt aber auf eine vollständig autonome Koordination spezialisierter, kooperierender Chatbots ab. Er ermöglicht die autonome Neugestaltung von Prozessabläufen, solange das übergeordnete Ziel erhalten bleibt. Ein Anwendungsfall ist die Detektion doloser Handlungen (nach ISA 240) durch koordinierte Agenten zur Analyse interner Vorschriften, Datenbankabfrage und Dateninterpretation.
  • Herausforderungen: Die Haupthindernisse für den flächendeckenden Einsatz sind der Schutz mandatsspezifischer Daten (Einhaltung von DSGVO und Verschwiegenheitspflicht) und die mangelnde Nachvollziehbarkeit von Entscheidungen aufgrund komplexer Modellarchitekturen.

KI und Organisationsmodelle (Heft 42)

  • Organisatorischer Wandel: Der Einsatz von KI erfordert einen strategischen Paradigmenwechsel und zwingt Unternehmen zur Abkehr von starren, klassischen Hierarchien.
  • Agile Strukturen: Gefordert sind agile und netzwerkartige Strukturen, um flexibel und schnell auf datenbasierte Entscheidungen reagieren zu können. Agilität wird dabei als eine Haltung des kontinuierlichen Lernens verstanden.
  • Schwarmorganisation: Als visionäres Ziel wird die Schwarmintelligenz diskutiert, bei der eine große Organisation ohne zentrale Lenkung durch ständige, dezentrale Koordination extrem schnell reagiert. Die Herausforderung für die Governance liegt darin, diese Agilität zu unterstützen, während Rechenschaftspflicht und Compliance gewahrt bleiben.
  • Kultur: Culture beats Code: Organisatorischer Wandel und eine Kultur, die Zusammenarbeit, Dezentralisierung und Experimentieren fördert (z. B. durch Weiterbildung), sind wichtiger als reine Technologieinvestitionen für eine erfolgreiche KI-Transformation.

2. IT-Governance und Management-Systeme

Die Fachzeitschrift befasst sich intensiv mit der Rolle und Definition der IT-Governance, insbesondere im Kontext von Compliance und Digitalisierung.

Theoretische Neupositionierung (Heft 42)

  • Missverständnis und Balance: Es wird davor gewarnt, IT-Governance auf eine rein juristische oder Compliance-Fokussierung zu reduzieren. Governance muss „Performance“ (strategische, ethische, leistungsbezogene Aspekte) und „Conformance“ (Rechtskonformität, Sicherheit, Schutz) integriert betrachten und ausbalancieren.
  • Prinzipal-Agent-Theorie: Die Beziehung zwischen Unternehmensleitung (Prinzipal) und IT-Management (Agent) wird als Prinzipal-Agent-Konstellation dargestellt, in der Informationsasymmetrien und daraus resultierende Gefahren (z. B. Hidden Intentions oder Hidden Actions) bestehen.
  • Kooperative Lösungen: Zur Minderung des Kontrollverlusts werden kooperative Lösungsansätze hervorgehoben, die über reine Regulierung hinausgehen: Business/IT-Alignment, agile Vorgehensweisen (Scrum, DevOps) und eine effiziente Abstimmungs- und Besprechungskultur.

Governance in der Praxis und Standardisierung

  • Integrierte Governance (Heft 41): Ein Integriertes Compliance-Management-System (CMS) für IT-/KI-Governance wird als Unterstützung für Organe und Beschäftigte bei der Erfüllung rechtlicher und technischer Anforderungen im Rahmen der digitalen Transformation betrachtet. Compliance bildet die Basis für Governance.
  • COBIT 2019 im Einsatz (Heft 42): Die ROLAND Rechtsschutz-Versicherungs-AG nutzt das COBIT 2019-Framework als Steuerungsrahmen für ihre digitale Transformation. Die Governance-Mechanismen werden auf Basis von drei Komponenten gesteuert: Digitalisierung von Geschäftsprozessen (z. B. Einsatz von KI, Prozessautomatisierung), Agilität als Gestaltungsprinzip (z. B. agile Methoden, kundenzentrierte Produktentwicklung) und die Stärkung der digitalen Resilienz (Cybersecurity, IT-Service-Kontinuität, DORA-Compliance). Die strategische Ausrichtung wird durch die COBIT-Zielkaskade (Enterprise Goals, Alignment Goals, Governance & Management Objectives) in konkrete, operative Maßnahmen übersetzt.

Standards (ISO/IEC 385xx) (Heft 42)

  • Aktualisierungen: Die neue Norm ISO/IEC 38500:2024 übernimmt Governance-Grundsätze aus der ISO 37000 und erweitert das Modell der IT-Governance um die vierte Aufgabe der Stakeholder-Einbindung.
  • Fehlende Abstimmung: Es wird kritisiert, dass der Großteil der gesamten 15 Dokumente umfassenden Normenreihe ISO/IEC 385xx noch nicht auf die Änderungen der ISO/IEC 38500:2024 abgestimmt ist. Dies betrifft auch Dokumente, die kürzlich bestätigt wurden und weiterhin die veralteten sechs Grundsätze nutzen. Dies kann für Anwender einen erheblichen manuellen Anpassungsaufwand bedeuten.

3. Cyber-Resilienz, Krisenmanagement und Sicherheit

Die Notwendigkeit einer effektiven Reaktion auf Sicherheitsvorfälle ist ein weiteres zentrales Thema.

Krisenkommunikation (Heft 41)

  • Zielkonflikte (Dilemmata): Die Analyse von Fallstudien (Capital One, Target, Equifax) zeigt, dass Unternehmen in Krisen mit unvermeidbaren Zielkonflikten konfrontiert sind. Dazu gehören:
    • Transparenz vs. Schutz sensibler Informationen: Eine rasche Offenlegung kann unbeabsichtigt strukturelle Schwachstellen (z. B. Cloud-Schwachstellen) offenlegen und Misstrauen hervorrufen.
    • Informationsdefizit vs. Zeitdruck: Der Zwang zur schnellen Kommunikation kollidiert oft mit einer unvollständigen Informationslage.
    • Verantwortungsübernahme vs. Minimierung rechtlicher Risiken: Offene Schuldeingeständnisse stellen juristische Risiken dar, während das Vermeiden von Entschuldigungen die Glaubwürdigkeit sinken lässt.
  • 10-Punkte-Notfallplan: Für Organisationen, die unvorbereitet in eine Cyberkrise geraten, wird ein 10-Punkte-Plan vorgestellt. Dieser fokussiert auf sofortige Handlungsfähigkeit durch die Bildung eines Krisenstabs, die Nutzung sicherer Kommunikationskanäle und die frühzeitige Hinzuziehung externer Experten (Forensiker, Behörden).

Security Monitoring Leitfaden (Heft 42)

  • Security Use-Cases – ein Katalog: Die ISACA-Fachgruppe Cyber Security hat einen Leitfaden mit 42 konkret beschriebenen Security Use-Cases veröffentlicht, um die Erkennung von Sicherheitsvorfällen (Security Monitoring) systematisch zu verbessern.
  • Methodik: Der Katalog bietet Auswertungsniveaus als Fahrplan für den schrittweisen Aufbau der Cyberabwehr. Jeder Use-Case (z. B. „Löschung von Ereignisprotokollen“) wird anhand strukturierter Metadaten beschrieben und mit dem MITRE ATT&CK Framework sowie dem BSI IT-Grundschutz referenziert.
  • Dokumentation: Der Leitfaden bietet standardisierte Vorlagen zur Dokumentation und Berichterstattung, um die Nachvollziehbarkeit gegenüber Prüfern und Aufsichtsbehörden zu erleichtern.

4. Veranstaltungen und Fortbildung

Beide Hefte berichten über wichtige Branchenereignisse und neue Bildungsangebote.

  • IT Regulatory Assurance Manager (ITRAM) (Heft 41): Ein neuer Zertifikatskurs von ISACA und der Frankfurt School, der eine Lücke in der Zertifizierungspyramide schließt. Er fokussiert auf die wachsenden regulatorischen Anforderungen für Finanzunternehmen und deren Dienstleister, insbesondere durch den Digital Operational Resilience Act (DORA).
  • IT-GRC-Kongress 2025 (Heft 41): Die Veranstaltung in Köln befasste sich mit KI aus regulatorischer Perspektive, der Prüfung von KI-Systemen, der NIS-2-Regulierung und Cyberresilienz. Die Keynote behandelte das neue Digital Trust Ecosystem Framework (DTEF).
  • She@ISACA-Meetup (Heft 41): Das Netzwerk-Event in Hamburg stand unter dem Motto „AI Awakening: Wer behält die Kontrolle?“ und betonte die Notwendigkeit, Unternehmenskultur und Informationssicherheit aktiv mit KI-Kompetenz zu verbinden.
  • FrOSCon 2025 (Heft 42): Ein Konferenzbericht über Free and Open Source Software (FOSS), in dem die IT-Sicherheit von Open Source, die Bedeutung von Datenhoheit und die wirtschaftlichen Vorteile von FOSS (Reduktion von Vendor Lock-in) diskutiert wurden. Es wurde auch thematisiert, wie Large Language Models (LLMs) zu einer Überlastung von Bug-Bounty-Programmen führen können.
  • Buchbesprechung (Heft 41): Besprechung von Maschinelles Lernen für Dummies, das sich insbesondere an Leser richtet, die tiefer in die methodischen und theoretischen Grundlagen des Maschinellen Lernens (inkl. neuronaler Netze und Erklärbarkeit) einsteigen möchten.