Rechtsanwalt Wolfgang Gaess ist Director im Team Cyber Security für Banken und Finanzdienstleister bei EY am Standort Frankfurt am Main. Er hat über 15 Jahre Erfahrung in der Beratung zum Thema IT-Risikomanagement, Cloud und Datenschutz im Finanzsektor. Er vereint seinen juristischen Background mit den technischen Skills aktueller Themen der Informationstechnologie.

Die derzeit stattfindende technologische Transformation vollzieht sich in Gestalt Disruptiver Technologien wie u. a. Cloud Computing und Künstliche Intelligenz sowie neuer Methoden wie Scrum und datengetriebene Organisation. Der sich rasant ändernde Wettbewerb mit teils marktfremden Akteuren (u. a. BigTechs) sowie sich ständig ändernden Bedrohungslagen erfordern eine kontinuierliche Analyse und planerische Anpassung. Dies erfordert eine IT-Governance.Nur durch konkretisierte und operationalisierte Zielwerte und eine Zielerreichungsmessung wird auf Basis einer IT-Strategie wirklich gesteuert. In der Realität findet man häufig Wildwuchs vor. Systemlandschaften sind Zufallsprodukt auditgetriebenen Durchhangelns. Unzureichende Dokumentation und fehlender Durchblick aller Beteiligten sind zwangsläufige Begleiterscheinungen. Das hat aber nicht nur Auswirkung auf die Kernfunktionen der IT. Vielmehr ist bei solchen Unzulänglichkeiten auch kein ordnungsgemäßes IT-Risikomanagement möglich. Beispielsweise müssen Informationsrisiken bzw. Datenschutzrisiken etc. sauber über Geschäftsprozesse und Applikationslandschaften erfasst werden - ehe sie gesamtheitlich bewertet über eine CMDB in die Infrastruktur vererbt werden können. Dies sind Grundlagen für ein belastbares IKS und OpRisk (bzw. Non Financial Risk). Themen, die mithin durch KRITIS sowie dem zunehmenden Zertifizierungserfordernis (TISAX, ISO) und Prüfungsstandards (ISAE, IDW PS) mittlerweile in allen Lieferketten angekommen sind.Die straff gehaltenen Ausführungen dieser gesammelten Praxiserfahrungen geben Anregungen für einen Ordnungsansatz mit Checklisten für die Implementierung sowie Musterbeispiele.Der Titel in Kürze: - Themenüberblick einer IT-Governance- Strategische Entwicklung der IT-Organisation und des IT-Betriebs- Grundlagen einer Cloud Governance- Zusammenspiel IT-Governance mit IT-Risikomanagement und IKS- Implementierungsstrahl mit Checklisten und Musterbeispielen