Wie unterscheiden sich Governance, Risiko und Compliance, und wie hängen sie zusammen?
Kurzantwort
Governance ist die Art, wie die Führung die Richtung vorgibt, Verantwortlichkeit festlegt und die Sicherheit auf die Geschäftsziele ausrichtet — die Richtlinien, Rollen und Aufsicht, die definieren, wie „gut" aussieht. Risikomanagement ist der Prozess, Bedrohungen für diese Ziele zu erkennen, zu bewerten, zu behandeln und zu überwachen. Compliance bedeutet, die Einhaltung von Verpflichtungen nachzuweisen — Gesetze, Vorschriften, Verträge und interne Richtlinien. Governance steuert Risikoentscheidungen; das Risiko bestimmt, welche Kontrollen Sie brauchen; Compliance belegt, dass diese Kontrollen die geforderten Standards erfüllen. Compliance ist ein Ergebnis guter GRC, kein Ersatz für Sicherheit.
GRC wird oft als ein einziger verschwommener Block behandelt. Interviewer bitten Sie, die drei zu trennen, weil Menschen, die diese Unterscheidung artikulieren können, tendenziell wirklich verteidigungsfähige Programme aufbauen — statt Audit-Häkchen hinterherzujagen, während echtes Risiko unbehandelt bleibt.
Governance
Governance ist die Führungsebene. Sie beantwortet, wer entscheidet, gegenüber welchen Zielen, und wer verantwortlich ist. Sie bringt Strategie, Richtlinien, Rollen und Verantwortlichkeiten, Risikobereitschaft und Aufsicht hervor (Berichterstattung an Vorstand und Geschäftsleitung). Im NIST CSF 2.0 ist dies als Funktion Govern formalisiert. Governance gibt die Richtung vor, der alles andere folgt.
Risikomanagement
Das Risikomanagement ist der Motor. Es erkennt, bewertet, behandelt und überwacht systematisch Bedrohungen für die Ziele der Organisation. Die Behandlungsoptionen sind die klassischen vier: mindern, übertragen, vermeiden oder akzeptieren. Risikoentscheidungen werden im Rahmen der von der Governance festgelegten Risikobereitschaft getroffen und bestimmen, welche Kontrollen sich zu implementieren lohnen.
Compliance
Compliance ist der Nachweis. Sie belegt die Einhaltung externer Verpflichtungen (GDPR, PCI DSS, HIPAA, ISO 27001) und interner Richtlinien. Sie ist nachweisgetrieben: Audits, Attestierungen und Kontrolltests.
Wie sie zusammenpassen
Governance weist den Weg; das Risikomanagement entscheidet, was gegen Bedrohungen zu tun ist; Compliance belegt, dass das Getane die Messlatte erreicht. Der klassische Fehlermodus ist „compliant, aber nicht sicher" — ein Audit zu bestehen, während echtes Risiko unbehandelt bleibt, weil das Team für Häkchen statt für Ergebnisse optimiert hat.
Warum das wichtig ist
Die stärksten Kandidaten betonen den Ablauf (Governance → Risiko → Compliance) und warnen davor, Compliance als Ziel zu behandeln. Diese Unterscheidung trennt eine reife Sicherheitsführungskraft von einer checklistengetriebenen.
Wahrscheinliche Anschlussfragen
- Warum ist „compliant, aber nicht sicher" ein reales und häufiges Problem?
- Wie verbindet die Risikobereitschaft die Governance mit den täglichen Kontrollentscheidungen?
- Wo steht die interne Revision im Verhältnis zu Governance, Risiko und Compliance?