IT Governance12. Februar 202614 min

COBIT vs. ITIL — Welches Framework für IT Governance?

Zwei Frameworks, ein Ziel: IT-Wertschöpfung sicherstellen. Erfahren Sie, wann COBIT, wann ITIL — und wann beide zusammen die richtige Wahl sind.

R&D

R&D Team

Alev-B Research & Development

Inhaltsverzeichnis

  1. 1.COBIT und ITIL im Überblick
  2. 2.Was ist COBIT?
  3. 3.Was ist ITIL?
  4. 4.COBIT vs. ITIL: Der große Vergleich
  5. 5.Wann COBIT wählen?
  6. 6.Wann ITIL wählen?
  7. 7.COBIT + ITIL kombinieren: Best of Both Worlds
  8. 8.Entscheidungshilfe: 5 Fragen für die richtige Wahl
  9. 9.Fazit
  10. 10.Quellen & Referenzen

COBIT und ITIL im Überblick

Die Frage „COBIT oder ITIL?" gehört zu den häufigsten Diskussionen in IT-Governance-Projekten. Beide Frameworks genießen weltweite Anerkennung, verfolgen jedoch fundamental unterschiedliche Zielsetzungen. Während COBIT die strategische Steuerung und Kontrolle der gesamten Unternehmens-IT adressiert, fokussiert ITIL auf die operative Exzellenz im IT-Service-Management.

Für CIOs und IT-Entscheider ist diese Unterscheidung nicht akademisch — sie hat direkte Auswirkungen auf Budgets, Organisationsstrukturen und die Art, wie IT-Wert gemessen wird. Eine falsche Framework-Wahl kann Millionen an Implementierungskosten verschwenden und die digitale Transformation um Jahre zurückwerfen.

In der Praxis zeigt sich: Viele Organisationen brauchen nicht entweder-oder, sondern eine durchdachte Kombination. Dieser Artikel liefert die Entscheidungsgrundlage, die IT-Führungskräfte benötigen — basierend auf realen Projekterfahrungen aus regulierten Industrien, dem Mittelstand und internationalen Konzernen.

Was ist COBIT?

COBIT (Control Objectives for Information and Related Technologies) ist ein von ISACA entwickeltes Governance-Framework, das in seiner aktuellen Version COBIT 2019 einen umfassenden Rahmen für die Steuerung und Überwachung der Unternehmens-IT bereitstellt. Es richtet sich primär an Vorstände, Aufsichtsräte, CIOs und IT-Auditoren — also an die Personen, die Verantwortung für die strategische Ausrichtung der IT tragen.

Das Framework definiert 40 Governance- und Management-Ziele, die in fünf Domänen organisiert sind: Evaluate, Direct and Monitor (EDM) für die Governance-Ebene sowie Align, Plan and Organize (APO), Build, Acquire and Implement (BAI), Deliver, Service and Support (DSS) und Monitor, Evaluate and Assess (MEA) für die Management-Ebene. Diese Struktur unterscheidet konsequent zwischen Governance (Richtungsvorgabe und Kontrolle) und Management (Planung und Ausführung).

COBIT 2019 basiert auf sechs Kernprinzipien: Stakeholder-Bedürfnisse erfüllen, das Unternehmen ganzheitlich abdecken, ein dynamisches Governance-System anwenden, Governance von Management trennen, auf Unternehmensbedürfnisse zuschneiden und ein End-to-End-Governance-System schaffen. Diese Prinzipien machen COBIT besonders geeignet für Organisationen, die regulatorische Anforderungen wie SOX, DSGVO oder Basel III erfüllen müssen.

COBIT Reifegradmodell und Design Factors

Eine der größten Stärken von COBIT 2019 ist das Capability-Maturity-Modell mit sechs Stufen (0–5), das eine objektive Bewertung der Governance-Reife ermöglicht. Organisationen können damit gezielt identifizieren, wo Lücken bestehen und welche Investitionen den größten Governance-Mehrwert schaffen.

Neu in COBIT 2019 sind die elf Design Factors — kontextuelle Einflussfaktoren wie Unternehmensstrategie, IT-Risikoprofil, Compliance-Anforderungen und Unternehmenskultur. Diese ermöglichen eine maßgeschneiderte Governance-Implementierung anstelle eines starren One-Size-Fits-All-Ansatzes. In der Beratungspraxis zeigt sich, dass Design Factors die Akzeptanz bei der Geschäftsleitung signifikant erhöhen, da das Framework auf die spezifische Unternehmenssituation zugeschnitten wird.

Was ist ITIL?

ITIL (Information Technology Infrastructure Library) ist das weltweit am weitesten verbreitete Framework für IT-Service-Management (ITSM). In seiner aktuellen Version ITIL 4 hat Axelos das Framework grundlegend modernisiert und um Konzepte aus Lean, Agile und DevOps erweitert. ITIL richtet sich an IT-Operations-Teams, Service-Desk-Manager, Change-Manager und alle, die IT-Services planen, bereitstellen und kontinuierlich verbessern.

Das Herzstück von ITIL 4 ist das Service Value System (SVS), das beschreibt, wie alle Komponenten einer Organisation zusammenwirken, um Wert durch IT-Services zu schaffen. Das SVS umfasst die Guiding Principles, die Governance-Komponente, die Service Value Chain, Practices und Continual Improvement. Die Service Value Chain ist dabei das operative Modell, das sechs Aktivitäten beschreibt: Plan, Improve, Engage, Design & Transition, Obtain/Build und Deliver & Support.

ITIL 4 definiert 34 Management Practices, die in drei Kategorien fallen: 14 General Management Practices (z. B. Continual Improvement, Risk Management), 17 Service Management Practices (z. B. Incident Management, Change Enablement, Service Level Management) und 3 Technical Management Practices (z. B. Deployment Management). Diese Practices ersetzen die früheren ITIL-v3-Prozesse und bieten mehr Flexibilität bei der Implementierung.

ITIL 4 Guiding Principles

Die sieben Guiding Principles von ITIL 4 bilden die Grundlage für alle Entscheidungen im Service Management: Focus on Value, Start Where You Are, Progress Iteratively with Feedback, Collaborate and Promote Visibility, Think and Work Holistically, Keep It Simple and Practical sowie Optimize and Automate. Diese Prinzipien sind bewusst agil gehalten und ermöglichen die Integration mit modernen Arbeitsmethoden wie Scrum oder Kanban.

In der Praxis ist ITIL 4 deutlich praxisnäher als sein Vorgänger. Während ITIL v3 mit seinem starren Lifecycle-Modell oft als bürokratisch empfunden wurde, erlaubt ITIL 4 durch die Service Value Chain einen flexiblen, wertorientierten Ansatz. Organisationen können gezielt einzelne Practices implementieren, ohne das gesamte Framework übernehmen zu müssen.

COBIT vs. ITIL: Der große Vergleich

Der fundamentale Unterschied zwischen COBIT und ITIL liegt in ihrer Perspektive: COBIT betrachtet IT aus der Governance-Perspektive (Was soll die IT leisten und wie wird das kontrolliert?), während ITIL die operative Perspektive einnimmt (Wie werden IT-Services effizient bereitgestellt?). Beide Fragen sind berechtigt — und beide erfordern unterschiedliche Antworten.

In der folgenden Vergleichstabelle werden die wichtigsten Unterscheidungsmerkmale systematisch gegenübergestellt. Diese Gegenüberstellung basiert auf Implementierungserfahrungen aus über 50 Governance-Projekten in der DACH-Region und bietet IT-Entscheidern eine fundierte Grundlage für die Framework-Auswahl.

Es ist wichtig zu verstehen, dass dieser Vergleich keine Wertung darstellt. Beide Frameworks sind in ihrem jeweiligen Anwendungsbereich hervorragend geeignet. Die richtige Wahl hängt von den spezifischen Zielen, der Organisationsstruktur und dem Reifegrad der IT-Organisation ab.

KriteriumCOBIT 2019ITIL 4
Primärer FokusIT Governance & ComplianceIT Service Management & Betrieb
ScopeEnterprise-weit (Business + IT)IT-Organisation & Service Delivery
ZielgruppeBoard, C-Level, IT-Audit, ComplianceIT Operations, Service Desk, Change Mgmt
ZertifizierungCOBIT Foundation, Design & Implementation (ISACA)ITIL Foundation bis Master (PeopleCert)
Typische Kosten80.000–500.000 € (Enterprise-Implementierung)30.000–200.000 € (ITSM-Einführung)
Implementierungsdauer12–24 Monate (Full Scope)6–18 Monate (Kern-Practices)
Compliance-BezugDirekt (SOX, DSGVO, Basel III, ISO 27001)Indirekt (unterstützt Compliance operativ)
Am besten fürRegulierte Industrien, Board-Reporting, AuditService-Optimierung, Incident Mgmt, ITSM-Tooling
Anzahl Komponenten40 Governance/Management-Ziele34 Management Practices
HerausgeberISACAAxelos / PeopleCert

Wann COBIT wählen?

COBIT ist die richtige Wahl, wenn die IT-Governance auf Vorstandsebene verankert werden soll und regulatorische Anforderungen eine zentrale Rolle spielen. In regulierten Industrien wie dem Finanzsektor, der Pharmabranche oder bei börsennotierten Unternehmen ist COBIT oft keine Option, sondern eine Notwendigkeit. Wirtschaftsprüfer und Aufsichtsbehörden erwarten nachweisbare Governance-Strukturen — und COBIT liefert genau diesen Nachweis.

Für Organisationen, die SOX-Compliance (Sarbanes-Oxley Act) nachweisen müssen, ist COBIT praktisch der De-facto-Standard. Die 40 Governance-Ziele lassen sich direkt auf SOX-Kontrollen mappen, und das Reifegradmodell ermöglicht eine objektive Bewertung gegenüber Auditoren. Auch für die DSGVO-Compliance bietet COBIT mit den Prozesszielen in den Bereichen Datenschutz, Risikomanagement und Informationssicherheit einen strukturierten Rahmen.

COBIT ist der Gold-Standard für Organisationen, die ihre IT-Governance regulatorisch absichern und strategisch auf Vorstandsebene verankern müssen.

COBIT für Enterprise Architecture Alignment

Ein häufig unterschätzter Vorteil von COBIT ist die Fähigkeit, IT-Governance mit der Unternehmensstrategie zu verzahnen. Das APO-Domäne (Align, Plan and Organize) schafft die Brücke zwischen Geschäftszielen und IT-Investitionen. In der Praxis ermöglicht dies IT-Abteilungen, ihre Budgets strategisch zu rechtfertigen und den Business Value der IT messbar zu machen.

Für CIOs, die regelmäßig vor dem Vorstand über den Wertbeitrag der IT berichten müssen, bietet COBIT die strukturierte Methodik, die sowohl die technische als auch die kaufmännische Sprache spricht. Die Governance-Metriken lassen sich in KPI-Dashboards übersetzen, die Vorstände und Aufsichtsräte nachvollziehen können.

Typische COBIT-Anwendungsfälle

In unserer Beratungspraxis sehen wir COBIT besonders häufig bei: Unternehmen mit mehr als 1.000 Mitarbeitern, die ihre IT-Governance zum ersten Mal formalisieren; Organisationen, die eine IT-Due-Diligence im Rahmen von M&A-Transaktionen durchlaufen; Unternehmen, die von der BaFin, der EZB oder vergleichbaren Regulierungsbehörden beaufsichtigt werden; sowie öffentlichen Verwaltungen, die den IT-Planungsrat-Anforderungen genügen müssen.

Wann ITIL wählen?

ITIL ist die optimale Wahl, wenn der Fokus auf der operativen Exzellenz der IT-Servicebereitstellung liegt. Wenn Ihr Service Desk unter einer Flut ungeplanter Incidents ertrinkt, Change-Prozesse chaotisch ablaufen oder SLA-Verletzungen zur Tagesordnung gehören, dann brauchen Sie ITIL — nicht COBIT. ITIL adressiert genau diese operativen Schmerzpunkte mit bewährten Practices und konkreten Handlungsanweisungen.

Die Stärke von ITIL liegt in der unmittelbaren Anwendbarkeit. Während COBIT ein Steuerungsrahmen ist, der Top-down implementiert wird, ermöglicht ITIL einen Bottom-up-Ansatz. IT-Teams können mit einzelnen Practices wie Incident Management oder Change Enablement starten und schrittweise weitere Practices hinzufügen. Diese Modularität macht ITIL besonders attraktiv für mittelständische Unternehmen, die schnelle operative Verbesserungen brauchen.

Ein weiterer entscheidender Faktor ist das Tooling-Ökosystem. Die meisten ITSM-Tools wie ServiceNow, Jira Service Management, BMC Remedy oder Freshservice sind nativ auf ITIL-Practices ausgerichtet. Die Einführung von ITIL wird durch vorhandene Tooling-Unterstützung erheblich vereinfacht — Incident-Workflows, Change-Workflows und Service-Request-Kataloge lassen sich direkt konfigurieren.

ITIL ist ideal für IT-Organisationen, die ihre Service-Qualität messbar verbessern, Incident-Zeiten reduzieren und operative Exzellenz erreichen wollen.

ITIL für Service Desk Transformation

In Transformationsprojekten für Service Desks ist ITIL das Framework der Wahl. Die Practices Incident Management, Problem Management und Knowledge Management bilden das Rückgrat eines professionellen IT-Supports. Durch die Einführung eines strukturierten Incident-Management-Prozesses können First-Call-Resolution-Raten typischerweise um 15–25 % gesteigert werden, während die Mean-Time-To-Resolve (MTTR) um 20–40 % sinkt.

Change Enablement — früher Change Management — ist ein weiterer Bereich, in dem ITIL unmittelbaren Mehrwert schafft. Die Einführung von Standard Changes, Normal Changes und Emergency Changes mit definierten Approval-Workflows reduziert Fehlkonfigurationen und ungeplante Ausfälle signifikant. In regulierten Umgebungen liefert ein ITIL-konformes Change Management zudem den Audit-Trail, den Wirtschaftsprüfer erwarten.

ITIL und DevOps: Kein Widerspruch

Ein verbreitetes Missverständnis ist, dass ITIL und DevOps inkompatibel seien. ITIL 4 hat diesen Mythos bewusst adressiert, indem es agile und DevOps-Prinzipien in das Framework integriert hat. Die Service Value Chain ist explizit so gestaltet, dass sie sowohl traditionelle Wasserfall-Ansätze als auch CI/CD-Pipelines und Infrastructure-as-Code unterstützt.

In der Praxis implementieren wir ITIL-Practices häufig in DevOps-Umgebungen — beispielsweise automatisierte Change Records, die bei jedem Deployment in der CI/CD-Pipeline erstellt werden, oder automatische Incident-Erstellung bei Monitoring-Alerts. ITIL gibt den Rahmen, DevOps die Geschwindigkeit.

COBIT + ITIL kombinieren: Best of Both Worlds

Die leistungsfähigste IT-Governance-Strategie entsteht, wenn COBIT und ITIL nicht als konkurrierende, sondern als komplementäre Frameworks betrachtet werden. COBIT definiert das „Was" und „Warum" der IT-Governance, ITIL liefert das „Wie" auf operativer Ebene. Diese Kombination schafft eine durchgängige Governance-Kette von der Vorstandsentscheidung bis zum Service-Desk-Ticket.

In der praktischen Umsetzung bedeutet das: COBIT steuert die strategische Ebene — welche IT-Investitionen priorisiert werden, welche Risiken akzeptabel sind und wie die IT-Performance gemessen wird. ITIL implementiert diese Vorgaben operativ — wie Services designed, transitioned und betrieben werden. Das COBIT-Ziel „DSS02 – Manage Service Requests and Incidents" wird beispielsweise direkt durch die ITIL-Practices Incident Management und Service Request Management operationalisiert.

Für die Kombination empfehlen wir einen schrittweisen Ansatz: Im ersten Jahr wird die COBIT-Governance-Struktur auf Vorstandsebene etabliert und die kritischsten ITIL-Practices (Incident, Change, Problem) implementiert. Im zweiten Jahr folgen die Verknüpfung der COBIT-Metriken mit ITIL-KPIs und die Erweiterung um weitere Practices wie Service Level Management und Continual Improvement. Ab dem dritten Jahr wird das integrierte Modell optimiert und an neue Anforderungen angepasst.

Mapping: COBIT-Ziele auf ITIL-Practices

Ein strukturiertes Mapping zwischen COBIT-Governance-Zielen und ITIL-Practices ist der Schlüssel zur erfolgreichen Kombination. COBIT EDM01 (Ensured Governance Framework) wird durch ITIL Governance als Teil des Service Value System abgebildet. COBIT APO12 (Managed Risk) korrespondiert mit ITIL Risk Management Practice. COBIT DSS01 (Managed Operations) findet seine operative Umsetzung in den ITIL-Practices Monitoring and Event Management sowie Infrastructure and Platform Management.

Dieses Mapping sollte nicht theoretisch bleiben, sondern in ein integriertes Reporting überführt werden. Wenn der COBIT-Reifegradgrad für „DSS02 – Service Requests and Incidents" bei Stufe 3 liegt, dann müssen die korrespondierenden ITIL-KPIs (First Contact Resolution Rate, MTTR, Customer Satisfaction) diese Reife auch operativ bestätigen. Diskrepanzen zwischen COBIT-Reifegrad und ITIL-Metriken sind ein klares Signal für Handlungsbedarf.

Governance-Rollen im kombinierten Modell

Im kombinierten Modell ist eine klare Rollenverteilung essenziell. Der CIO und das IT-Steering-Committee nutzen COBIT für die strategische Steuerung und das Board-Reporting. IT-Operations-Manager und Practice-Owner arbeiten mit ITIL für das operative Tagesgeschäft. Der IT-Governance-Manager fungiert als Bindeglied und stellt sicher, dass operative Ergebnisse in Governance-Metriken übersetzt werden.

Die Erfahrung zeigt: Ohne diese klare Rollentrennung entstehen Reibungsverluste. Teams, die gleichzeitig COBIT-Assessments durchführen und ITIL-Practices implementieren sollen, sind regelmäßig überfordert. Separierte Governance- und Operations-Verantwortlichkeiten mit definierten Schnittstellen sind der Erfolgsfaktor.

Entscheidungshilfe: 5 Fragen für die richtige Wahl

Die Framework-Wahl sollte nicht von persönlichen Präferenzen oder dem Zertifizierungsstatus einzelner Mitarbeiter abhängen. Stattdessen empfehlen wir, die folgenden fünf strategischen Fragen systematisch zu beantworten. Die Antworten ergeben ein klares Bild, welches Framework — oder welche Kombination — für Ihre Organisation am besten geeignet ist.

  1. 1Wer ist der primäre Auftraggeber? Wenn der Vorstand, Aufsichtsrat oder die Wirtschaftsprüfer den Anstoß geben, deutet alles auf COBIT. Wenn der IT-Leiter operative Verbesserungen fordert, ist ITIL die richtige Wahl.
  2. 2Welche regulatorischen Anforderungen bestehen? Bei SOX, DSGVO, MaRisk, BAIT oder vergleichbaren regulatorischen Vorgaben ist COBIT der natürliche Startpunkt. Für interne Qualitätsstandards und SLA-Optimierung reicht ITIL oft aus.
  3. 3Wie reif ist Ihre IT-Organisation? Organisationen ohne formale IT-Prozesse sollten mit ITIL-Grundlagen starten (Incident, Change, Service Request), bevor sie den Governance-Überbau mit COBIT aufsetzen. COBIT ohne operative Basis ist ein Papier-Tiger.
  4. 4Wie groß ist Ihr IT-Budget und Ihre IT-Organisation? COBIT-Implementierungen erfordern typischerweise dedizierte Governance-Rollen und signifikante Beratungsbudgets. Für IT-Organisationen unter 50 Personen ist ein pragmatischer ITIL-Start oft kosteneffizienter.
  5. 5Wo liegen Ihre größten Schmerzpunkte? Häufige Audit-Findings, mangelnde Transparenz für den Vorstand und fehlende Risikobewertungen sprechen für COBIT. Hohe Incident-Zahlen, langsame Problemlösung und unzufriedene Anwender sprechen für ITIL.

Fazit

Die Frage „COBIT oder ITIL?" ist im Kern eine Frage der Perspektive. COBIT beantwortet die Governance-Frage: Tut die IT die richtigen Dinge? ITIL beantwortet die Management-Frage: Tut die IT die Dinge richtig? Beide Fragen sind für eine erfolgreiche IT-Organisation unverzichtbar.

Für regulierte Unternehmen, die Board-Level-Governance und Compliance-Nachweise benötigen, ist COBIT der unverzichtbare Rahmen. Für IT-Organisationen, die ihre operative Service-Qualität verbessern wollen, liefert ITIL die bewährten Practices. Die höchste Wirkung entfalten beide Frameworks in Kombination — wenn COBIT die strategische Richtung vorgibt und ITIL die operative Umsetzung sicherstellt.

Unser Rat an CIOs: Starten Sie dort, wo der größte Handlungsdruck besteht. Wenn Ihre Auditoren unzufrieden sind, beginnen Sie mit COBIT. Wenn Ihre Anwender unzufrieden sind, beginnen Sie mit ITIL. Und planen Sie von Anfang an die Integration beider Frameworks — denn langfristig brauchen Sie beides.

Als IT-Governance-Berater unterstützen wir Organisationen von der Framework-Auswahl über die Implementierung bis zum kontinuierlichen Verbesserungsprozess. Nutzen Sie unsere Assessment-Tools, um Ihren aktuellen Reifegrad zu bewerten und eine fundierte Roadmap zu entwickeln.

Quellen & Referenzen

Die in diesem Artikel referenzierten Frameworks und Standards basieren auf den folgenden offiziellen Quellen:

  • COBIT 2019 Framework — ISACA: https://www.isaca.org/resources/cobit
  • ITIL 4 — PeopleCert: https://www.peoplecert.org/browse-certifications/it-governance-and-service-management/ITIL-702
  • ISO/IEC 38500 — IT Governance Standard: https://www.iso.org/standard/74907.html
  • ISACA — Globaler Verband für IT-Governance: https://www.isaca.org/

Die wichtigsten Erkenntnisse

  • COBIT steuert die IT-Governance auf strategischer Ebene (Vorstand, Audit, Compliance), ITIL optimiert das operative IT-Service-Management.
  • COBIT 2019 bietet 40 Governance-Ziele und ein Reifegradmodell — ideal für regulierte Industrien und Board-Reporting.
  • ITIL 4 definiert 34 Practices mit dem Service Value System — ideal für Service-Desk-Transformation und operative Exzellenz.
  • Die Kombination beider Frameworks schafft eine durchgängige Governance-Kette von der Unternehmensstrategie bis zum operativen IT-Betrieb.
  • Die Framework-Wahl hängt von Auftraggeber, Regulierung, Reifegrad, Organisationsgröße und den primären Schmerzpunkten ab.
  • Für die meisten mittelgroßen bis großen Organisationen ist die schrittweise Integration von COBIT und ITIL der nachhaltigste Ansatz.

Passende Assessment-Templates

Häufig gestellte Fragen

Ja, COBIT und ITIL ergänzen sich hervorragend und werden in der Praxis häufig parallel eingesetzt. COBIT übernimmt die strategische Governance-Funktion und definiert, welche Ziele die IT erreichen soll, wie Risiken gesteuert werden und welche Compliance-Anforderungen gelten. ITIL operationalisiert diese Vorgaben auf der Service-Management-Ebene mit konkreten Practices für Incident Management, Change Enablement und Service Level Management. Der Schlüssel liegt in einem sauberen Mapping: Jedes COBIT-Governance-Ziel sollte mindestens einer ITIL-Practice zugeordnet sein, und die ITIL-KPIs sollten direkt in das COBIT-Reifegradmodell einfließen. In unserer Beratungspraxis empfehlen wir, mit COBIT auf Governance-Ebene zu starten und parallel die wichtigsten ITIL-Practices zu implementieren.

Für kleine Unternehmen mit weniger als 100 IT-Nutzern ist ITIL in der Regel die bessere Wahl. COBIT ist als Enterprise-Governance-Framework konzipiert und setzt dedizierte Governance-Strukturen voraus, die für kleine Organisationen oft überdimensioniert sind. ITIL hingegen ermöglicht einen pragmatischen Einstieg: Bereits die Einführung von drei Kern-Practices — Incident Management, Change Enablement und Service Request Management — kann die IT-Service-Qualität spürbar verbessern. Kleine Unternehmen können mit ITIL Foundation beginnen, ausgewählte Practices implementieren und bei Bedarf später leichtgewichtige COBIT-Elemente für Risikomanagement und Compliance hinzufügen. Der Investitionsaufwand für einen ITIL-Einstieg liegt typischerweise bei 20.000–50.000 €, während eine COBIT-Implementierung selten unter 80.000 € realisierbar ist.

Die Implementierungsdauer variiert stark nach Organisationsgröße und Scope. Eine vollständige COBIT-Implementierung über alle 40 Governance-Ziele benötigt typischerweise 12–24 Monate bei großen Unternehmen. Eine fokussierte Implementierung der kritischsten Governance-Domänen (EDM und MEA) kann in 6–9 Monaten erreicht werden. ITIL-Implementierungen sind typischerweise schneller: Die Einführung der Kern-Practices (Incident, Change, Problem, Service Request) gelingt in 3–6 Monaten, eine umfassende ITSM-Transformation mit 10+ Practices benötigt 6–18 Monate. Entscheidend für den Zeitrahmen sind nicht die Frameworks selbst, sondern die organisatorische Veränderungsbereitschaft, die Verfügbarkeit von Ressourcen und die Qualität des Change Managements. Wir empfehlen stets einen phasenweisen Ansatz mit Quick Wins in den ersten drei Monaten.

COBIT bietet über ISACA zwei Hauptzertifizierungen: COBIT 2019 Foundation (Grundlagen der Governance-Prinzipien und des Frameworks) und COBIT 2019 Design and Implementation (praktische Anwendung für die Implementierung). Zusätzlich gibt es die übergeordneten ISACA-Zertifizierungen CISA (IT-Audit), CISM (Informationssicherheit) und CGEIT (IT-Governance), die COBIT-Wissen voraussetzen. ITIL bietet über PeopleCert ein umfangreicheres Zertifizierungsprogramm: ITIL 4 Foundation, ITIL 4 Managing Professional (MP), ITIL 4 Strategic Leader (SL) und ITIL 4 Master. Der MP-Pfad umfasst vier Module (Create Deliver & Support, Drive Stakeholder Value, High Velocity IT, Direct Plan & Improve), der SL-Pfad zwei Module. ITIL-Zertifizierungen sind am Arbeitsmarkt stärker nachgefragt, COBIT-Zertifizierungen werden besonders im Audit- und Compliance-Umfeld geschätzt.

COBIT bietet mehrere direkte Ansatzpunkte für die DSGVO-Compliance. Das Governance-Ziel APO01 (Managed IT Management Framework) liefert die Grundlage für Datenschutz-Policies und Verantwortlichkeiten. APO12 (Managed Risk) ermöglicht die systematische Bewertung von Datenschutzrisiken, einschließlich Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO. APO13 (Managed Security) adressiert die technischen und organisatorischen Maßnahmen (TOMs), die Art. 32 DSGVO fordert. DSS05 (Managed Security Services) deckt die operative Sicherheit personenbezogener Daten ab. Das COBIT-Reifegradmodell ermöglicht zudem eine objektive Bewertung des DSGVO-Compliance-Niveaus, die gegenüber Datenschutzbehörden und Auditoren dokumentiert werden kann. ISACA hat zusätzlich ein spezifisches DSGVO-Mapping auf COBIT-Ziele veröffentlicht, das als Implementierungsleitfaden dient.

Die Kosten variieren erheblich nach Organisationsgröße und Implementierungstiefe. Für COBIT liegt der typische Investitionsrahmen bei 80.000–500.000 € für eine Enterprise-Implementierung, aufgeteilt in externe Beratung (40–60 %), Schulungen und Zertifizierungen (15–25 %), Tool-Lizenzen für GRC-Software (15–20 %) und interne Personalkosten. Für ITIL bewegen sich die Kosten zwischen 30.000–200.000 €, wobei ITSM-Tooling (ServiceNow, Jira SM) oft den größten Einzelposten darstellt. Hinzu kommen Schulungskosten: Eine COBIT-Foundation-Zertifizierung kostet ca. 1.500–2.500 € pro Person, eine ITIL-Foundation ca. 1.000–2.000 €. Wir empfehlen, 10–15 % des jährlichen IT-Budgets für Governance- und Service-Management-Verbesserungen einzuplanen. Der ROI zeigt sich typischerweise innerhalb von 12–18 Monaten durch reduzierte Audit-Findings, weniger ungeplante Ausfälle und verbesserte Service-Qualität.

COBITITILIT GovernanceFrameworkComplianceITSM
Vorheriger Artikel
DORA Metrics erklärt: Die 4 Schlüsselmetriken für Software Delivery
Nächster Artikel
Cloud Migration Readiness Checklist: 15 Fragen vor dem Umzug

Bereit für Ihr Assessment?

Nutzen Sie unsere interaktiven Templates, um den Reifegrad Ihrer IT-Organisation zu messen — mit automatischen Scores, KI-Empfehlungen und professionellen PDF-Reports.