{"id":1002,"date":"2025-12-16T10:05:07","date_gmt":"2025-12-16T09:05:07","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1002"},"modified":"2025-12-16T10:07:55","modified_gmt":"2025-12-16T09:07:55","slug":"die-quadratur-des-digitalen-kreises-ki-agile-governance-und-krisenresistenz-ein-blick-in-die-it-governance-fachzeitschrift-heft-41-42","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/12\/16\/die-quadratur-des-digitalen-kreises-ki-agile-governance-und-krisenresistenz-ein-blick-in-die-it-governance-fachzeitschrift-heft-41-42\/","title":{"rendered":"Die Quadratur des digitalen Kreises: KI, agile Governance und Krisenresistenz \u2013 Ein Blick in die IT-Governance Fachzeitschrift (Heft 41 & 42)"},"content":{"rendered":"

1. K\u00fcnstliche Intelligenz (KI) und ihre Governance<\/strong><\/h3>\n

Die KI-Thematik wird aus zwei Hauptperspektiven beleuchtet: dem Einsatz in der Wirtschaftspr\u00fcfung und den Auswirkungen auf die gesamte Organisation.<\/p>\n

KI in Audit und Assurance (Heft 41)<\/strong><\/h4>\n
    \n
  • Copilot vs. Agentenbasierter Workflow:<\/strong> Generative KI etabliert sich als Schl\u00fcsseltechnologie f\u00fcr Wirtschaftspr\u00fcfungsgesellschaften. Es wird zwischen zwei zentralen Ans\u00e4tzen unterschieden:\n
      \n
    • Der KI-basierte Copilot<\/strong> verfolgt einen progressiven Human-in-the-Loop-Ansatz<\/strong>, ist einfacher zug\u00e4nglich (dialogbasierte Schnittstellen) und dient der Unterst\u00fctzung des Pr\u00fcfers unter kontextbezogener menschlicher Aufsicht. Anwendungsf\u00e4lle umfassen analytische Pr\u00fcfungshandlungen (Interpretation von Finanzkennzahlen) und die Beurteilung von R\u00fcckstellungen mithilfe spezialisierter Expertenbots (z. B. unter Nutzung der Retrieval-Augmented Generation, RAG<\/strong>).<\/li>\n
    • Der Agentenbasierte Workflow<\/strong> ist technisch komplexer, zielt aber auf eine vollst\u00e4ndig autonome Koordination<\/strong> spezialisierter, kooperierender Chatbots ab. Er erm\u00f6glicht die autonome Neugestaltung von Prozessabl\u00e4ufen, solange das \u00fcbergeordnete Ziel erhalten bleibt. Ein Anwendungsfall ist die Detektion doloser Handlungen (nach ISA 240) durch koordinierte Agenten zur Analyse interner Vorschriften, Datenbankabfrage und Dateninterpretation.<\/li>\n<\/ul>\n<\/li>\n
    • Herausforderungen:<\/strong> Die Haupthindernisse f\u00fcr den fl\u00e4chendeckenden Einsatz sind der Schutz mandatsspezifischer Daten (Einhaltung von DSGVO<\/strong> und Verschwiegenheitspflicht) und die mangelnde Nachvollziehbarkeit<\/strong> von Entscheidungen aufgrund komplexer Modellarchitekturen.<\/li>\n<\/ul>\n

      KI und Organisationsmodelle (Heft 42)<\/strong><\/h4>\n
        \n
      • Organisatorischer Wandel:<\/strong> Der Einsatz von KI erfordert einen strategischen Paradigmenwechsel und zwingt Unternehmen zur Abkehr von starren, klassischen Hierarchien.<\/li>\n
      • Agile Strukturen:<\/strong> Gefordert sind agile und netzwerkartige Strukturen<\/strong>, um flexibel und schnell auf datenbasierte Entscheidungen reagieren zu k\u00f6nnen. Agilit\u00e4t wird dabei als eine Haltung des kontinuierlichen Lernens verstanden.<\/li>\n
      • Schwarmorganisation:<\/strong> Als vision\u00e4res Ziel wird die Schwarmintelligenz<\/strong> diskutiert, bei der eine gro\u00dfe Organisation ohne zentrale Lenkung durch st\u00e4ndige, dezentrale Koordination extrem schnell reagiert. Die Herausforderung f\u00fcr die Governance liegt darin, diese Agilit\u00e4t zu unterst\u00fctzen, w\u00e4hrend Rechenschaftspflicht und Compliance<\/strong> gewahrt bleiben.<\/li>\n
      • Kultur:<\/strong> Culture beats Code:<\/strong> Organisatorischer Wandel und eine Kultur, die Zusammenarbeit, Dezentralisierung und Experimentieren f\u00f6rdert (z. B. durch Weiterbildung), sind wichtiger als reine Technologieinvestitionen f\u00fcr eine erfolgreiche KI-Transformation.<\/li>\n<\/ul>\n
        \n

        2. IT-Governance und Management-Systeme<\/strong><\/h3>\n

        Die Fachzeitschrift befasst sich intensiv mit der Rolle und Definition der IT-Governance, insbesondere im Kontext von Compliance und Digitalisierung.<\/p>\n

        Theoretische Neupositionierung (Heft 42)<\/strong><\/h4>\n
          \n
        • Missverst\u00e4ndnis und Balance:<\/strong> Es wird davor gewarnt, IT-Governance auf eine rein juristische oder Compliance-Fokussierung zu reduzieren. Governance muss „Performance“<\/strong> (strategische, ethische, leistungsbezogene Aspekte) und „Conformance“<\/strong> (Rechtskonformit\u00e4t, Sicherheit, Schutz) integriert betrachten und ausbalancieren.<\/li>\n
        • Prinzipal-Agent-Theorie:<\/strong> Die Beziehung zwischen Unternehmensleitung (Prinzipal) und IT-Management (Agent) wird als Prinzipal-Agent-Konstellation dargestellt, in der Informationsasymmetrien und daraus resultierende Gefahren (z. B. Hidden Intentions<\/em> oder Hidden Actions<\/em>) bestehen.<\/li>\n
        • Kooperative L\u00f6sungen:<\/strong> Zur Minderung des Kontrollverlusts werden kooperative L\u00f6sungsans\u00e4tze hervorgehoben, die \u00fcber reine Regulierung hinausgehen: Business\/IT-Alignment<\/strong>, agile Vorgehensweisen (Scrum, DevOps<\/strong>) und eine effiziente Abstimmungs- und Besprechungskultur.<\/li>\n<\/ul>\n

          Governance in der Praxis und Standardisierung<\/strong><\/h4>\n
            \n
          • Integrierte Governance (Heft 41):<\/strong> Ein Integriertes Compliance-Management-System (CMS)<\/strong> f\u00fcr IT-\/KI-Governance wird als Unterst\u00fctzung f\u00fcr Organe und Besch\u00e4ftigte bei der Erf\u00fcllung rechtlicher und technischer Anforderungen im Rahmen der digitalen Transformation betrachtet. Compliance bildet die Basis f\u00fcr Governance.<\/li>\n
          • COBIT 2019 im Einsatz (Heft 42):<\/strong> Die ROLAND Rechtsschutz-Versicherungs-AG nutzt das COBIT 2019-Framework als Steuerungsrahmen f\u00fcr ihre digitale Transformation. Die Governance-Mechanismen werden auf Basis von drei Komponenten gesteuert: Digitalisierung von Gesch\u00e4ftsprozessen<\/strong> (z. B. Einsatz von KI, Prozessautomatisierung), Agilit\u00e4t als Gestaltungsprinzip<\/strong> (z. B. agile Methoden, kundenzentrierte Produktentwicklung) und die St\u00e4rkung der digitalen Resilienz<\/strong> (Cybersecurity, IT-Service-Kontinuit\u00e4t, DORA-Compliance). Die strategische Ausrichtung wird durch die COBIT-Zielkaskade (Enterprise Goals, Alignment Goals, Governance & Management Objectives) in konkrete, operative Ma\u00dfnahmen \u00fcbersetzt.<\/li>\n<\/ul>\n

            Standards (ISO\/IEC 385xx) (Heft 42)<\/strong><\/h4>\n
              \n
            • Aktualisierungen:<\/strong> Die neue Norm ISO\/IEC 38500:2024<\/strong> \u00fcbernimmt Governance-Grunds\u00e4tze aus der ISO 37000 und erweitert das Modell der IT-Governance um die vierte Aufgabe der Stakeholder-Einbindung<\/strong>.<\/li>\n
            • Fehlende Abstimmung:<\/strong> Es wird kritisiert, dass der Gro\u00dfteil der gesamten 15 Dokumente<\/strong> umfassenden Normenreihe ISO\/IEC 385xx noch nicht<\/strong> auf die \u00c4nderungen der ISO\/IEC 38500:2024 abgestimmt ist. Dies betrifft auch Dokumente, die k\u00fcrzlich best\u00e4tigt wurden und weiterhin die veralteten sechs Grunds\u00e4tze nutzen. Dies kann f\u00fcr Anwender einen erheblichen manuellen Anpassungsaufwand bedeuten.<\/li>\n<\/ul>\n
              \n

              3. Cyber-Resilienz, Krisenmanagement und Sicherheit<\/strong><\/h3>\n

              Die Notwendigkeit einer effektiven Reaktion auf Sicherheitsvorf\u00e4lle ist ein weiteres zentrales Thema.<\/p>\n

              Krisenkommunikation (Heft 41)<\/strong><\/h4>\n
                \n
              • Zielkonflikte (Dilemmata):<\/strong> Die Analyse von Fallstudien (Capital One, Target, Equifax) zeigt, dass Unternehmen in Krisen mit unvermeidbaren Zielkonflikten konfrontiert sind. Dazu geh\u00f6ren:\n
                  \n
                • Transparenz vs. Schutz sensibler Informationen:<\/strong> Eine rasche Offenlegung kann unbeabsichtigt strukturelle Schwachstellen (z. B. Cloud-Schwachstellen) offenlegen und Misstrauen hervorrufen.<\/li>\n
                • Informationsdefizit vs. Zeitdruck:<\/strong> Der Zwang zur schnellen Kommunikation kollidiert oft mit einer unvollst\u00e4ndigen Informationslage.<\/li>\n
                • Verantwortungs\u00fcbernahme vs. Minimierung rechtlicher Risiken:<\/strong> Offene Schuldeingest\u00e4ndnisse stellen juristische Risiken dar, w\u00e4hrend das Vermeiden von Entschuldigungen die Glaubw\u00fcrdigkeit sinken l\u00e4sst.<\/li>\n<\/ul>\n<\/li>\n
                • 10-Punkte-Notfallplan:<\/strong> F\u00fcr Organisationen, die unvorbereitet in eine Cyberkrise geraten, wird ein 10-Punkte-Plan vorgestellt. Dieser fokussiert auf sofortige Handlungsf\u00e4higkeit durch die Bildung eines Krisenstabs, die Nutzung sicherer Kommunikationskan\u00e4le<\/strong> und die fr\u00fchzeitige Hinzuziehung externer Experten (Forensiker, Beh\u00f6rden).<\/li>\n<\/ul>\n

                  Security Monitoring Leitfaden (Heft 42)<\/strong><\/h4>\n
                    \n
                  • Security Use-Cases \u2013 ein Katalog:<\/strong> Die ISACA-Fachgruppe Cyber Security hat einen Leitfaden mit 42 konkret beschriebenen Security Use-Cases<\/strong> ver\u00f6ffentlicht, um die Erkennung von Sicherheitsvorf\u00e4llen (Security Monitoring) systematisch zu verbessern.<\/li>\n
                  • Methodik:<\/strong> Der Katalog bietet Auswertungsniveaus als Fahrplan f\u00fcr den schrittweisen Aufbau der Cyberabwehr. Jeder Use-Case (z. B. „L\u00f6schung von Ereignisprotokollen“) wird anhand strukturierter Metadaten beschrieben und mit dem MITRE ATT&CK Framework<\/strong> sowie dem BSI IT-Grundschutz referenziert.<\/li>\n
                  • Dokumentation:<\/strong> Der Leitfaden bietet standardisierte Vorlagen zur Dokumentation und Berichterstattung, um die Nachvollziehbarkeit gegen\u00fcber Pr\u00fcfern und Aufsichtsbeh\u00f6rden zu erleichtern.<\/li>\n<\/ul>\n
                    \n

                    4. Veranstaltungen und Fortbildung<\/strong><\/h3>\n

                    Beide Hefte berichten \u00fcber wichtige Branchenereignisse und neue Bildungsangebote.<\/p>\n

                      \n
                    • IT Regulatory Assurance Manager (ITRAM) (Heft 41):<\/strong> Ein neuer Zertifikatskurs von ISACA und der Frankfurt School, der eine L\u00fccke in der Zertifizierungspyramide schlie\u00dft. Er fokussiert auf die wachsenden regulatorischen Anforderungen<\/strong> f\u00fcr Finanzunternehmen und deren Dienstleister, insbesondere durch den Digital Operational Resilience Act (DORA)<\/strong>.<\/li>\n
                    • IT-GRC-Kongress 2025 (Heft 41):<\/strong> Die Veranstaltung in K\u00f6ln befasste sich mit KI aus regulatorischer Perspektive, der Pr\u00fcfung von KI-Systemen, der NIS-2-Regulierung und Cyberresilienz. Die Keynote behandelte das neue Digital Trust Ecosystem Framework (DTEF)<\/strong>.<\/li>\n
                    • She@ISACA-Meetup (Heft 41):<\/strong> Das Netzwerk-Event in Hamburg stand unter dem Motto „AI Awakening: Wer beh\u00e4lt die Kontrolle?<\/strong>“ und betonte die Notwendigkeit, Unternehmenskultur und Informationssicherheit aktiv mit KI-Kompetenz zu verbinden.<\/li>\n
                    • FrOSCon 2025 (Heft 42):<\/strong> Ein Konferenzbericht \u00fcber Free and Open Source Software (FOSS)<\/strong>, in dem die IT-Sicherheit von Open Source, die Bedeutung von Datenhoheit<\/strong> und die wirtschaftlichen Vorteile von FOSS (Reduktion von Vendor Lock-in) diskutiert wurden. Es wurde auch thematisiert, wie Large Language Models (LLMs) zu einer \u00dcberlastung von Bug-Bounty-Programmen f\u00fchren k\u00f6nnen.<\/li>\n
                    • Buchbesprechung (Heft 41):<\/strong> Besprechung von Maschinelles Lernen f\u00fcr Dummies<\/em>, das sich insbesondere an Leser richtet, die tiefer in die methodischen und theoretischen Grundlagen des Maschinellen Lernens<\/strong> (inkl. neuronaler Netze und Erkl\u00e4rbarkeit) einsteigen m\u00f6chten.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

                      1. K\u00fcnstliche Intelligenz (KI) und ihre Governance Die KI-Thematik wird aus zwei Hauptperspektiven beleuchtet: dem…<\/p>\n","protected":false},"author":1,"featured_media":866,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-1002","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1002","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1002"}],"version-history":[{"count":4,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1002\/revisions"}],"predecessor-version":[{"id":1006,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1002\/revisions\/1006"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/866"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1002"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1002"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1002"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}