Zum Inhalt springen
Startseite » Fachbeiträge » Governance in der Informationssicherheit: Was damit eigentlich gemeint ist

Governance in der Informationssicherheit: Was damit eigentlich gemeint ist

Unternehmen investieren in Firewalls, Endpoint-Schutz, Backups oder Multifaktor-Authentifizierung. Gleichzeitig entstehen Richtlinien, Prozesse und Dokumentationen, um gesetzliche Anforderungen oder Normen zu erfüllen. Im Unternehmensalltag fällt dabei häufig der Begriff Governance. Was genau damit gemeint ist, bleibt jedoch oft unklar.

Dabei ist Governance weder eine weitere Sicherheitsmaßnahme noch ein Synonym für Informationssicherheit. Vielmehr beschreibt Governance den organisatorischen Rahmen, innerhalb dessen Informationssicherheit geplant, gesteuert, überwacht und kontinuierlich verbessert wird.

Gerade mit steigenden regulatorischen Anforderungen – etwa durch NIS2, den Cyber Resilience Act oder den zunehmenden Einsatz künstlicher Intelligenz – gewinnt eine funktionierende Governance an Bedeutung. Nicht einzelne technische Maßnahmen entscheiden langfristig über das Sicherheitsniveau eines Unternehmens, sondern die Fähigkeit, Verantwortung, Prozesse und Entscheidungen strukturiert zu organisieren.


Governance bedeutet Steuerung – nicht Technik

Der Begriff Governance lässt sich am ehesten mit Unternehmenssteuerung oder verantwortungsvoller Organisationbeschreiben.

Im Bereich der Informationssicherheit umfasst Governance insbesondere die Festlegung von:

  • Verantwortlichkeiten
  • Zuständigkeiten
  • Entscheidungswegen
  • Prozessen
  • Kontrollmechanismen
  • strategischen Zielen

Governance beantwortet damit Fragen wie:

  • Wer trägt die Verantwortung für Informationssicherheit?
  • Wer entscheidet über Risiken?
  • Wie werden Sicherheitsmaßnahmen priorisiert?
  • Wie wird überprüft, ob Maßnahmen wirksam sind?
  • Wie wird kontinuierlich verbessert?

Governance schafft somit den organisatorischen Rahmen, innerhalb dessen Informationssicherheit überhaupt wirksam betrieben werden kann.


Informationssicherheit, IT-Sicherheit und Datenschutz sind unterschiedliche Themen

In der Praxis werden diese Begriffe häufig miteinander vermischt. Für ein funktionierendes Governance-System ist ihre klare Abgrenzung jedoch entscheidend.

Informationssicherheit

Informationssicherheit schützt Informationen – unabhängig davon, ob diese digital, auf Papier oder in Gesprächen verarbeitet werden.

Ziel ist der Schutz der drei grundlegenden Schutzziele:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Hierzu gehören organisatorische, personelle, technische und physische Maßnahmen.


IT-Sicherheit

IT-Sicherheit ist ein Teilbereich der Informationssicherheit.

Sie konzentriert sich auf die Absicherung informationstechnischer Systeme, beispielsweise:

  • Netzwerke
  • Server
  • Endgeräte
  • Anwendungen
  • Cloud-Dienste

Technische Schutzmaßnahmen wie Firewalls, Verschlüsselung oder Schwachstellenmanagement gehören in diesen Bereich.


Datenschutz

Datenschutz verfolgt einen anderen Schwerpunkt.

Er schützt personenbezogene Daten und damit die Rechte und Freiheiten natürlicher Personen. Die Datenschutz-Grundverordnung (DSGVO) regelt unter anderem, unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen und welche Pflichten Verantwortliche dabei erfüllen müssen.

Zwischen Datenschutz und Informationssicherheit bestehen zahlreiche Berührungspunkte. Informationssicherheit dient häufig als Voraussetzung für einen wirksamen Datenschutz, ersetzt diesen jedoch nicht.


Governance verbindet Strategie und operative Umsetzung

Informationssicherheit besteht nicht ausschließlich aus technischen Maßnahmen.

Ebenso wenig reicht es aus, Richtlinien zu erstellen oder ein Informationssicherheitsmanagementsystem einzuführen, wenn Verantwortlichkeiten nicht gelebt werden.

Governance verbindet die strategische Ebene mit der operativen Umsetzung.

Dazu gehören unter anderem:

  • Festlegung einer Informationssicherheitspolitik
  • Definition von Rollen und Verantwortlichkeiten
  • Steuerung des Risikomanagements
  • Ressourcenplanung
  • Freigabe wesentlicher Entscheidungen
  • Kontrolle der Zielerreichung
  • regelmäßige Managementbewertungen
  • kontinuierliche Verbesserung

Erst dieses Zusammenspiel ermöglicht ein dauerhaft wirksames Sicherheitsniveau.


Governance ist Führungsaufgabe

Informationssicherheit kann nicht allein an die IT-Abteilung delegiert werden.

Zwar übernehmen Informationssicherheitsbeauftragte, Datenschutzbeauftragte oder Compliance-Verantwortliche wichtige Aufgaben. Die Verantwortung für die Organisation verbleibt jedoch bei der Unternehmensleitung.

Governance bedeutet deshalb auch, dass Führungskräfte Informationssicherheit aktiv steuern und in betriebliche Entscheidungen einbeziehen.

Dazu gehört beispielsweise,

  • Risiken nachvollziehbar zu bewerten,
  • Prioritäten festzulegen,
  • ausreichende Ressourcen bereitzustellen,
  • Verantwortlichkeiten eindeutig zu definieren und
  • regelmäßig über den Stand der Informationssicherheit informiert zu werden.

Informationssicherheit wird dadurch Bestandteil der Unternehmensführung und nicht ausschließlich der IT.


Governance schafft Transparenz und Nachvollziehbarkeit

Mit zunehmender Regulierung steigt auch die Erwartung, Entscheidungen nachvollziehbar dokumentieren zu können.

Unternehmen müssen nicht nur Sicherheitsmaßnahmen umsetzen, sondern häufig auch nachweisen können,

  • warum Entscheidungen getroffen wurden,
  • welche Risiken bewertet wurden,
  • wer verantwortlich war,
  • welche Maßnahmen beschlossen wurden und
  • wie deren Wirksamkeit überprüft wurde.

Governance schafft hierfür nachvollziehbare Strukturen und unterstützt Unternehmen dabei, Transparenz gegenüber Geschäftsleitung, Aufsichtsorganen, Kunden und Behörden herzustellen.


Warum Governance zunehmend an Bedeutung gewinnt

Die regulatorischen Anforderungen an Unternehmen entwickeln sich kontinuierlich weiter.

Neben klassischen Anforderungen aus der Informationssicherheit rücken zunehmend organisatorische Pflichten in den Mittelpunkt.

Beispiele hierfür sind:

  • stärkere Verantwortung der Unternehmensleitung,
  • dokumentierte Risikosteuerung,
  • kontinuierliche Überprüfung von Sicherheitsmaßnahmen,
  • klare Zuständigkeiten,
  • nachvollziehbare Entscheidungsprozesse,
  • regelmäßige Überwachung und Verbesserung.

Governance bildet den Rahmen, innerhalb dessen diese Anforderungen systematisch umgesetzt werden können.


Was bedeutet das konkret für Unternehmen?

Governance muss nicht zwangsläufig mit umfangreichen Organisationsstrukturen beginnen.

Bereits kleine und mittelständische Unternehmen profitieren davon, grundlegende Verantwortlichkeiten eindeutig festzulegen und Sicherheitsentscheidungen nachvollziehbar zu organisieren.

Dazu gehören beispielsweise:

  • eine dokumentierte Informationssicherheitspolitik,
  • klar definierte Rollen und Zuständigkeiten,
  • ein strukturiertes Risikomanagement,
  • regelmäßige Überprüfung der Sicherheitsmaßnahmen,
  • dokumentierte Entscheidungen der Geschäftsleitung sowie
  • ein kontinuierlicher Verbesserungsprozess.

Governance ersetzt dabei keine technischen Schutzmaßnahmen. Sie sorgt jedoch dafür, dass diese geplant, priorisiert und dauerhaft wirksam betrieben werden können.

Gerade in mittelständischen Unternehmen zeigt sich häufig, dass technische Lösungen vorhanden sind, organisatorische Verantwortlichkeiten jedoch nicht eindeutig geregelt wurden. Eine strukturierte Governance hilft dabei, diese Lücke zu schließen.


Fazit

Governance in der Informationssicherheit beschreibt den organisatorischen Rahmen für verantwortungsvolles Handeln.

Sie legt fest, wer Entscheidungen trifft, wie Risiken gesteuert werden und wie Informationssicherheit dauerhaft in die Unternehmensorganisation integriert wird.

Technische Sicherheitsmaßnahmen bleiben unverzichtbar. Ohne klare Verantwortlichkeiten, nachvollziehbare Prozesse und eine aktive Steuerung durch die Unternehmensleitung entfalten sie jedoch häufig nicht ihre volle Wirkung.

Eine wirksame Governance verbindet Strategie, Organisation und operative Umsetzung zu einem nachvollziehbaren Gesamtsystem. Sie schafft Transparenz, unterstützt die Einhaltung regulatorischer Anforderungen und bildet die Grundlage für eine langfristig wirksame Informationssicherheit.


Projekt86

Ein strukturierter Umgang mit Informationssicherheit beginnt nicht bei einzelnen technischen Maßnahmen, sondern bei klaren Verantwortlichkeiten, nachvollziehbaren Prozessen und einer wirksamen Governance.

Der Projekt86-Newsletter informiert etwa alle zwei Wochen über neue Fachbeiträge zu Informationssicherheit, Datenschutz, Compliance und KI sowie über aktuelle Entwicklungen aus der digitalen Governance.