Ein Student unter der Leitung von Prof. Dr. Beckmann hat in einer systematischen Literaturanalyse die wichtigsten Erkenntnisse zu IT-Governance, Risk und Compliance (IT GRC) zusammengefasst – kompakt, praxisorientiert und direkt anwendbar für kleine und mittlere Unternehmen.
Warum IT GRC für KMU relevant ist
Unternehmen sehen sich heute mit mehr Vorschriften, wachsender IT Komplexität und steigenden Risiken konfrontiert. IT GRC hilft, Governance, Risikomanagement und Compliance nicht als Insellösungen, sondern als vernetztes System zu steuern. Für den Mittelstand bedeutet das: weniger Wildwuchs, mehr Nachvollziehbarkeit und bessere Prüf- und Entscheidungsgrundlagen.
Was die Forschung sagt — kurz und knapp
Vier zentrale Themen dominieren die Literatur: allgemeine Forschung zu IT GRC, Integration von IT GRC, Herausforderungen im Mittelstand und die eingesetzten Frameworks.
Frameworks: COBIT wird am häufigsten genannt; daneben spielen ITIL, Balanced Scorecard und organisationsspezifische Eigenlösungen eine Rolle.
Forschungsdefizit: Es fehlt an einem einheitlichen, wissenschaftlich fundierten Verständnis von IT GRC; viele Definitionen stammen aus Beratungspraxis.
KMU Spezifika: Kleine Unternehmen haben oft geringe IT GRC Reife, fehlende Rollen (z. B. IT Sicherheitsbeauftragte) und begrenzte Ressourcen.
Konkrete, sofort umsetzbare Empfehlungen
Start klein, denken groß: Beginnen Sie mit einem schlanken Piloten in einem Geschäftsbereich; skalieren Sie nach Erfolg.
Ein Referenzmodell wählen: Nutzen Sie COBIT als Steuerungsrahmen und ergänzen Sie gezielt mit ISO/NIST Elementen oder ITIL Bausteinen, statt mehrere Frameworks parallel vollständig einzuführen.
Priorisieren nach Risiko: Definieren Sie 6–8 kritische Geschäftsprozesse und bewerten Sie deren IT Risiken; Maßnahmen richten sich nach Kritikalität.
Pragmatischer Kontrollkatalog: Reduzieren Sie Kontrollen auf das Wesentliche (z. B. Zugriff, Backup, Patch Management, Protokollierung) und weisen Sie klare Zuständigkeiten zu.
Messbar machen: Legen Sie 4–6 KPIs/KRIs fest (z. B. Zeit bis zur Behebung kritischer Schwachstellen, Prozent Control Coverage, Anzahl offener Audit Findings).
Rollen und Verantwortlichkeiten: Definieren Sie einfache Rollen (Owner, Prozessverantwortlicher, IT Sicherheitsbeauftragter) und kurze Eskalationswege.
Toolunterstützung pragmatisch wählen: Automatisieren Sie Nachweise dort, wo Aufwand hoch und Fehleranfälligkeit groß ist (z. B. Patch Status, Benutzerrechte).
Mitarbeiter einbinden: Schulungen kurz, konkret und wiederkehrend; Change Management reduziert Widerstände.
Beispiel Roadmap (90–180 Tage)
Woche 1–4: Scoping und Risikopriorisierung; Pilotprozess auswählen.
Monat 2: Kontrollkatalog erstellen; Verantwortliche benennen; erste KPIs definieren.
Monat 3–4: Pilot implementieren; einfache Tool-Automatisierung (Reporting, Tickets).
Monat 5–6: Maturity Check, Lessons Learned, Rollout Plan für weitere Bereiche.
Fazit:
IT GRC funktioniert für den Mittelstand am besten, wenn es schlank, risikoorientiert und praxisnah umgesetzt wird. Ein klares Referenzmodell, wenige aussagekräftige Kennzahlen und ein schrittweiser Rollout reduzieren Aufwand und erhöhen Akzeptanz.
Die vollständige Arbeit ist Teil des Bands 3, Anwendung Informationsmanagement, der Schriftenreihe Wirtschaftsinformatik und kann kostenlos über den Shop der Steinbeis Edition heruntergeladen werden: