Dokumente / Unternehmens- und Risikosteuerung › Strategien

IT-/DOR-Strategie Freigegeben v3

Bearbeiten

Inhalt

Strategische Ausrichtung der IT und der digitalen operationalen Resilienz gemäß DORA und MaRisk.

1. Strategische Ausrichtung


Die IT- und DOR-Strategie wird aus den übergeordneten geschäftlichen Zielsetzungen abgeleitet. Die darin definierten Rahmenbedingungen stärken die digitale Resilienz der IT-Landschaft sowie ausgelagerter IKT-Leistungen. Dadurch können Risiken, die sich etwa aus schwerwiegenden Sicherheitsvorfällen oder Cyberangriffen ergeben, gezielter adressiert werden.

Die Strategie bildet den übergeordneten Orientierungsrahmen für die Bereitstellung informationstechnischer Leistungen zur Unterstützung zentraler Geschäftsprozesse. Die Gesamtverantwortung für die IT liegt auf Leitungsebene.

Bei der Weiterentwicklung der strategischen Ausrichtung werden sowohl externe Einflussgrößen wie Marktveränderungen, Wettbewerbsdruck und technologische Entwicklungen als auch interne Anforderungen wie wirtschaftliche Rahmenbedingungen und verfügbare Ressourcen berücksichtigt. Maßgeblich sind dabei insbesondere einschlägige gesetzliche und regulatorische Vorgaben.

Strategisch wird die IT als zentrales Unterstützungsinstrument verstanden, insbesondere für:

  1. die Bereitstellung moderner und attraktiver Arbeitsumgebungen,
  2. die Förderung zukunftsfähiger Prozesse,
  3. die ordnungsgemäße, qualitativ hochwertige und sichere Umsetzung operativer Aktivitäten,
  4. die Steigerung von Effizienz sowie die Schaffung von Grundlagen für innovative Lösungen.

2. IT-strategische Ziele und Maßnahmen


Als wesentliche strategische Ziele gelten:

  1. die Einhaltung von Ordnungsmäßigkeit und Sicherheit der IT im Einklang mit gesetzlichen und regulatorischen Anforderungen,
  2. die Sicherstellung einer wirtschaftlich angemessenen IT unter Berücksichtigung eines tragfähigen Kosten-Nutzen-Verhältnisses,
  3. der Aufbau und Erhalt einer flexiblen IT-Architektur zur Unterstützung geschäftlicher und risikobezogener Zielsetzungen,
  4. der sichere, stabile und leistungsfähige Betrieb von IT-Lösungen,
  5. eine hohe Zufriedenheit der Anwenderinnen, Anwender und Kunden durch Verlässlichkeit, Performance und bedarfsgerechten Support.

3. Organisation und Steuerung der IT

3.1 IT-Kompetenzen und Mitarbeiterbefähigung


Dem Aufbau und Erhalt fachlicher und technischer Kompetenzen im IT-Umfeld wird hohe Bedeutung beigemessen. Dies umfasst insbesondere:

  1. die Entwicklung entsprechender Kompetenzen auf Entscheidungs- und Steuerungsebene,
  2. die Berücksichtigung von IT-Aspekten in der Personalplanung,
  3. die Qualifizierung von Mitarbeitenden und Verantwortlichen in den Themen IT, digitale operationale Resilienz und Digitalisierung,
  4. die regelmäßige Überprüfung, ob personelle Kapazitäten in IT-Betrieb, Weiterentwicklung und Informationssicherheitsmanagement angemessen ausgestattet sind.

3.2 IT-Organisation


Für die Aufbau- und Ablauforganisation der IT bestehen klare Regelungen. Dabei wird darauf geachtet, Interessenkonflikte und unvereinbare Tätigkeiten zu vermeiden. Zeitgemäße Kommunikations- und Kollaborationslösungen werden eingesetzt. Geeignete organisatorische Strukturen tragen dazu bei, ein hohes Maß an digitaler operationaler Resilienz sicherzustellen.

3.3 IT-Projekt- und Portfoliomanagement


IT-Vorhaben werden in ein übergeordnetes Projektportfolio eingebunden und dort strukturiert erfasst, priorisiert, überwacht und gesteuert.

3.4 IT-Investitionen und -Kosten


Zur Erfüllung der Anforderungen an die digitale operationale Resilienz werden angemessene Ressourcen bereitgestellt. Dazu zählen insbesondere:

  1. personelle Ressourcen,
  2. finanzielle Mittel für Investitionen, Betrieb, Informationssicherheit und resilienzbezogene Maßnahmen,
  3. weitere notwendige Ressourcen wie technische Ausstattung und räumliche Infrastruktur.

Zusätzlich kann für kurzfristig erforderliche Maßnahmen im Bereich der digitalen operationalen Resilienz ein gesondertes Budget vorgesehen werden.

4. Strategische Entwicklung der IKT-Systemlandschaft


Die Weiterentwicklung der IKT-Systemlandschaft orientiert sich an etablierten Standards und langfristig tragfähigen Zielbildern. Im Mittelpunkt stehen eine flexible Architektur zur Unterstützung verschiedener Zugangs- und Servicemodelle sowie ein sicherer, stabiler und leistungsfähiger Betrieb.

Ein zentrales Kernsystem bildet die Basis der operativen Verarbeitung. Ergänzende IKT-Systeme werden durch spezialisierte externe Partner oder Verbundstrukturen bereitgestellt und betrieben.

Ein hybrider Cloud-Ansatz kann genutzt werden, bei dem zentral bereitgestellte Cloud-Dienste mit internen oder dediziert betriebenen privaten Umgebungen kombiniert werden. Auch moderne Plattformen für Kommunikation und Zusammenarbeit können in hybriden Betriebsmodellen umgesetzt werden.

Individuelle Einzellösungen sollen schrittweise reduziert und möglichst in standardisierte Dienstleister- oder Plattformlösungen überführt werden. Eigenentwicklungen kommen nur dann in Betracht, wenn keine geeignete Standardlösung verfügbar ist.

5. IKT-Betrieb

5.1 IT-Ausstattung

Die Interoperabilität der eingesetzten Komponenten wird durch geeignete, freigegebene Hard- und Software sichergestellt. Veraltete IKT-Systeme sollen grundsätzlich nicht verwendet werden. Notwendige Ausnahmen werden im Rahmen des übergeordneten Risikomanagements dokumentiert und bewertet. Nachhaltigkeitsaspekte wie Wiederverwendung, Recycling und Zweitvermarktung finden Berücksichtigung.

5.2 Betrieb der IKT-Systeme


Der Betrieb der IKT-Systeme richtet sich an den Zielen Sicherheit, Verfügbarkeit, Stabilität, Wirtschaftlichkeit, Standardisierung und Automatisierung aus. Hierzu gehören eine vorausschauende Steuerung, kontinuierliches Monitoring und definierte Service Levels.

Serviceanfragen werden zentral entgegengenommen, priorisiert und bearbeitet. Schwachstellen werden systematisch identifiziert und mit geeigneten Gegenmaßnahmen adressiert. Für Änderungen an produktiven Verfahren bestehen geregelte Test-, Freigabe- und Umsetzungsprozesse.

6. Resilienz der IKT

6.1 IKT-Risikomanagementrahmen


Auf Grundlage der allgemeinen Risikostrategie werden für IKT-Risiken klare Toleranzgrenzen festgelegt. Risiken mit besonders hoher Relevanz oder existenzgefährdendem Charakter sollen vermieden werden. Für wesentliche Auswirkungen wird eine finanzielle Schadensschwelle definiert, ab der verpflichtend risikomindernde Maßnahmen einzuleiten sind.

Eine unabhängige Kontrollfunktion überwacht und steuert IKT-Risiken übergreifend. Ein strukturiertes IKT-Assetmanagement stellt sicher, dass Abhängigkeiten innerhalb des Informationsverbunds einschließlich externer IKT-Dienstleister transparent erfasst werden.

6.2 Informationssicherheitsmanagement


Oberstes Ziel ist die Sicherstellung digitaler operationaler Resilienz. Das Informationssicherheitsmanagement orientiert sich an anerkannten Standards und regulatorischen Anforderungen. Die Bedrohungslage im Cyberraum sowie bekannte Schwachstellen werden laufend beobachtet.

Für IKT-Vorfälle bestehen geregelte Prozesse zur Erkennung, Einordnung, Behandlung und Meldung. Ebenso ist ein Identitäts- und Berechtigungsmanagement eingerichtet, das regelmäßige Überprüfungen von Zugriffsrechten vorsieht.

6.3 IKT-Drittdienstleistermanagement


Für kritische oder wesentliche Leistungen werden bevorzugt verlässliche und geeignete externe Dienstleister eingesetzt. Vertragliche Vereinbarungen berücksichtigen die relevanten regulatorischen Mindestanforderungen. Die Überwachung erfolgt durch hierfür benannte verantwortliche Stellen. Ein Informationsregister mit den notwendigen aufsichtsrelevanten Inhalten wird geführt.

6.4 IT-Notfallmanagement / IKT-Geschäftsfortführung


Im Vordergrund stehen die schnelle Wiederaufnahme des Betriebs sowie die Begrenzung möglicher Auswirkungen von Störungen oder Ausfällen. Das IT-Notfallkonzept umfasst Geschäftsfortführungspläne sowie wirksame Reaktions- und Wiederherstellungsverfahren. Regelmäßige szenariobasierte Tests werden durchgeführt, dokumentiert und ausgewertet.

7. Verantwortlichkeiten und Umsetzung

Die Verantwortung für die Umsetzung der Strategie liegt bei der Leitung. Die laufende Überwachung erfolgt durch die zuständige IT-Verantwortung. Ergebnisse werden dokumentiert, ausgewertet und an die relevanten Stellen berichtet. Die IT- und DOR-Strategie wird mindestens einmal jährlich sowie anlassbezogen überprüft und bei Bedarf angepasst.


Mitgeltende Dokumente

  1. https://ohbmb-production.up.railway.app/Dokumente/Details/2
  2. www.google.de

Freigaben

Kein Workflow

Kein Freigabe-Workflow aktiv. Ändern Sie den Modus im Dokument-Edit.

Kenntnisnahmen

0 / 0 bestätigt
Neue Kenntnisnahme zuweisen

Keine Kenntnisnahmen zugewiesen.

Berechtigungen

Öffentlich lesbar
Dokument ist für alle authentifizierten Benutzer lesbar. Die untenstehenden Einträge wirken erst, wenn „Öffentlich lesbar" im Dokument-Edit abgeschaltet wird.
Neue Berechtigung zuweisen

Keine expliziten Berechtigungen zugewiesen.

Versionen

  • v3 Freigegeben 17.04.2026 13:41
    Administrator
  • v2 Freigegeben 17.04.2026 10:00
    Administrator
  • v1 Freigegeben 28.01.2026 00:00
    Hans Schmidt
    „Tz 3.1: Erweiterungen IT-Kompetenzen · Tz 3.4: erweiterte Budgets DOR · Tz 6.1: Ergänzungen Risiko-/Auswirkungstoleranz"

Änderungsverlauf

  • VersionAngelegt 17.04.2026 13:41
    Administrator · Version 3
  • DokumentBearbeitet 17.04.2026 13:41
    Administrator
  • VersionAngelegt 17.04.2026 10:00
    Administrator · Version 2
  • DokumentBearbeitet 17.04.2026 10:00
    Administrator
  • VersionAngelegt 27.01.2026 00:00
    Hans Schmidt · Version 1
  • DokumentErstellt 27.01.2026 00:00
    Hans Schmidt · Import aus PDF (anonymisiert)

Metadaten

Kapitel
Unternehmens- und Risikosteuerung › Strategien
Verantwortlich
Unternehmensentwicklung
Kategorie
Strategie
Schlagworte
it,dor,strategie,dora,marisk,resilienz
Sichtbar ab
27.01.2026
Sichtbar bis
Prüftermin
28.01.2027
Erstellt
27.01.2026 · Hans Schmidt
Geändert
17.04.2026 13:41 · Administrator
Öffentlich lesbar, Druck erlaubt

Anhänge (0)

Keine Anhänge.