IT-Governance und Cybersecurity für VR und CEO

IT-Governance und Cybersecurity gehören in den Verantwortungsbereich für VR und CEO.
Eine funktionierende und sichere IT ist heute eine der wichtigsten und elementaren Betriebsfaktoren. Ein Ausfall kann massive Auswirkungen auf die Unternehmenstätigkeit haben, bis hin zur Existenzgefährdung.

Die nachfolgende Checkliste soll Inhabern, VR, CEO befähigen, die wesentlichen Bereiche anzusprechen und sich erklären zu lassen.

Ganz am Ende des Artikels finden Sie besondere Hinweise zum Einsatz von KI und KI-Tools.

1. IT-Infrastruktur & Systemlandschaft

Hardware-Inventar (Server, Clients, Laptops, mobile Geräte, Netzwerkkomponenten)

• Software-Inventar (OS, Anwendungen, Lizenzen, Patch-Status)

• Netzwerkstruktur (LAN/WAN, VPN, WLAN, Segmentierung)

• Cloud-Dienste (Anbieter, Nutzung, Datenstandorte, Zugriffskontrolle)

2. IT-Sicherheit & Cybersecurity

• Zugriffsrechte (Accounts, Adminrechte, Rollen)

• Authentifizierung (Passwortrichtlinien, MFA/2FA, SSO)

• Patch-Management & Updates (OS, Software, Firmware)

• Firewall & Antivirus (Konfiguration, Signatur-Updates, Monitoring)

• Intrusion Detection / Prevention (Logs, Alarme, Monitoring)

• Endpoint Security (Laptops, mobile Geräte, Verschlüsselung)

• Backup & Recovery (Strategie, Test der Wiederherstellung, Offsite-Backups)

• Incident Response (Notfallplan, Meldewege, Schulung der Mitarbeitenden)

3. Datenschutz & Compliance

• DSGVO / Datenschutz (Verarbeitungsverzeichnis, Einwilligungen, Löschfristen)

• Datenverschlüsselung (ruhende & übertragene Daten)

• Auftragsverarbeitungsverträge mit Dritten

• Logging & Monitoring sensibler Datenzugriff

• Data-Stewardship (Rollen & Verantwortlichkeiten)

• Data-Lifecycle Management von der Erstellung, bis zur Löschung

4. Prozesse & Governance

• IT-Strategie & Policies (Sicherheitsrichtlinien, BYOD, Change Management)

• Risikomanagement (Identifikation, Bewertung, Maßnahmenplan)

• Kontinuitätsplanung (Business Continuity, Disaster Recovery)

• Schulungen & Awareness (Security Awareness, Phishing-Tests)

5. IT-Governance

• Strategische Ausrichtung der IT auf Unternehmensziele

• Richtlinien & Verantwortlichkeiten (Policies, Rollen, Entscheidungsprozesse)

• Risikomanagement & Kontrollrahmen (Risiko-Katalog, Risikostrategien)

• Audit & Compliance (interne Kontrollen, externe Prüfungen, Zertifizierungen)

• Entscheidungsprozesse (Change Management, Projektpriorisierung, Budgetfreigaben)

6. IT-Controlling & Reporting

• KPIs & Kennzahlen (Sicherheitsvorfälle, Patch-Status, Backup-Erfolg, SLA-Erfüllung)

• Regelmäßiges Reporting (Management-Reports, Board-Reports)

• Budgetkontrolle & Effizienz (IT-Kosten, ROI von Projekten)

• Monitoring & Trendanalyse (Frühwarnindikatoren, Incident-Tracking)

• Dashboards (Security-Status, Compliance, Systemverfügbarkeit)

7. Anwendungen & Datenmanagement

• Kritische Geschäftsanwendungen (ERP, CRM, Produktionssoftware)

• Datenklassifizierung (sensible Daten, Unternehmensgeheimnisse)

• Datenqualität & Integrität (Duplikate, Inkonsistenzen, Backup-Kontrolle)

• Externe Schnittstellen (APIs, Cloud-Integrationen, Datenaustausch)

8. Externe Abhängigkeiten

• Provider & Lieferanten (Sicherheitsniveau, SLA, Incident-Reporting)

• SaaS-Dienste (Zugriffskontrollen, Compliance, Serverstandorte)

• Externe Prüfungen (Penetrationstests, Audits, Zertifizierungen)

✅ Vorgehensweise - so steuern Sie diesen Prozess:

Laden Sie Ihre IT-Leitung oder Ihren externen IT-Provider zu folgendem Vorgehen ein:

1. Vorbereitung: Inventar erstellen, Stakeholder identifizieren

2. Dokumentation: Systeme, Prozesse, Policies aufnehmen

3. Analyse: Risiken bewerten, Schwachstellen identifizieren

4. Bericht & Empfehlung: Priorisierte Massnahmen, Kosten/Nutzen, Zeitplan

5. Controlling Reporting: Umsetzung regelmässig prüfen, erneut Bewerten, und Reports an VR und CEO.

✅ Besonderer Hinweis zum Umgang mit KI und KI-Tools

„KI-Tools können unser Unternehmen sehr unterstützen, bringen aber auch Risiken mit. Im Audit sollten wir prüfen lassen, dass:

1. Definiert ist, welche Tools wie eingesetzt werden dürfen.

2. Daten sauber und sicher – persönliche oder sensible Daten müssen geschützt sein.

3. KI-Entscheidungen nachvollziehbar und fair sind – die Ergebnisse sollen zuverlässig und nicht verzerrt sein.

4. Zugriffe kontrolliert werden – nur befugte Mitarbeitende dürfen die Tools trainieren und nutzen, alle Schritte werden protokolliert.

5. Risiken überwacht werden – Fehler oder Manipulationsversuche sollen schnell erkannt und behoben werden. Sind Kontrollkonzepte und KPI definiert?

6. Klare Regeln & Verantwortlichkeiten bestehen – wer die KI wofür einsetzen darf, ist eindeutig festgelegt.

Sie wollen KI nutzen, um Mehrwert zu schaffen, ohne dass Datenschutz, Sicherheit, Unternehmensentscheidungen oder Kundeninteressen gefährdet werden.

Diese Fragen sorgen dafür, dass der Umgang mit KI transparent und sicher läuft - sofern sich alle an die definierten Regeln halten.

Wenn Sie diesen Prozess extern, neutral und professionell begleiten lassen möchten, setzen Sie sich gerne mit mir in Verbindung.

Lucas Jenni

Blog für strategische Digitalisierung und IT‑Projekte mit messbarem Mehrwert für mehr Unternehmenserfolg.

Gerne gebe ich Ihnen nützliche Tips und Praxis-Beispiele und halte Sie zu wichtigen Themen wie Künstliche Intelligenz (KI), Datenschutz und Datensicherheit auf dem Laufenden.

Ich stelle meine langjährige Expertise im Bereich der strategischen Digitalisierung mit Engagement, Begeisterung und unternehmerischer Sichtweise in den Dienst Ihres Unternehmens.

Es würde mich freuen, Sie persönlich kennen zu lernen und ich danke Ihnen vielmals, wenn Sie diesen Blog weiterempfehlen.