Grundschutz:Überwachung und Audits
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Der Artikel beschreibt, wie der klassische Grundschutzcheck im Grundschutz++ durch ein kontinuierliches, teilautomatisiertes Verfahren ersetzt wird. Im Zentrum stehen laufende Statusermittlung je Anforderung, Monitoring als Evidenzquelle und risikoorientierte interne Audits. Ergänzend wird gezeigt, wie Feststellungen standardisiert bewertet und konsequent in Maßnahmen, Risikobetrachtungen, Ausnahmen und Managementberichte überführt werden. Ziel ist ein wiederholbarer, auditierbarer Regelbetrieb, der den PDCA‑Zyklus der Methodik Grundschutz++ praktisch füllt.
Überwachung, interne Audits und kontinuierliche Bewertung
Dieser Leitfaden beschreibt ein praxistaugliches Vorgehen für Grundschutz++, das die Funktion des klassischen Grundschutzchecks in eine kontinuierliche, teilautomatisierte Überwachung mit internen Audits überführt. Er orientiert sich an der Methodik Grundschutz++ und konkretisiert insbesondere den Prozessschritt 4 „Überwachung“ sowie die Schnittstellen zu Realisierung und kontinuierlicher Verbesserung.
Da die Methodik an einigen Stellen noch nicht konkretisiert wurde, orientiert sich der Leitfaden an den bisher bekannten Inhalten zur Überwachung. Durch die Konkretisierung der Methodik und die Ausarbeitung der Audit-Kriterien durch das BSI kann sich das hier beschriebene Vorgehen jedoch noch ändern.
Ziel und Einordnung
Im klassischen IT-Grundschutz diente der Grundschutzcheck dazu, den Umsetzungsstatus von Anforderungen strukturiert festzustellen und Abweichungen für die weitere Behandlung zu dokumentieren. In Grundschutz++ tritt an diese Stelle kein einmaliger Check mehr, sondern ein Regelkreis aus laufender Statusermittlung, risikoorientierter Überwachung, internen Audits, Managementbewertung und Wirksamkeitsprüfung.
Die Methodik Grundschutz++ definiert dafür fünf Prozessschritte im PDCA-Zyklus: Erhebung und Planung, Anforderungsanalyse, Realisierung, Überwachung sowie kontinuierliche Verbesserung. Der hier beschriebene Leitfaden fokussiert auf den operativen Ablauf, mit dem Organisationen den Nachweis des Sicherheitsniveaus fortlaufend führen und Abweichungen systematisch in Umsetzungsplanung, Risikobetrachtung und Verbesserungsmaßnahmen zurückspielen.
Grundprinzip
Das funktionale Äquivalent zum Grundschutzcheck im Grundschutz++ besteht aus drei verzahnten Prozessschritten: laufende Ermittlung des Umsetzungsstatus je Anforderung, kontinuierliches Monitoring sicherheitsrelevanter Sachverhalte und risikoorientierte interne Audits. Erst die Kombination dieser Schritte liefert ein belastbares Bild darüber, ob Anforderungen formal vorhanden, tatsächlich wirksam und für den aktuellen Informationsverbund noch angemessen sind.
Für die Praxis bedeutet das: Der Umsetzungsstatus wird nicht nur periodisch manuell erhoben, sondern soweit möglich aus vorhandenen Systemen, Tickets, Konfigurationen, Nachweisen und Monitoringdaten gespeist. Interne Audits prüfen ergänzend stichprobenartig, themenbezogen oder anlassbezogen, ob diese Informationen zutreffend sind und ob Verfahren tatsächlich gelebt werden.
Abgrenzung zum klassischen Grundschutzcheck
| Aspekt | Klassischer Grundschutzcheck | Grundschutz++-Vorgehen |
|---|---|---|
| Zweck | Periodische Feststellung des Umsetzungsstatus | Fortlaufende Bewertung von Status, Wirksamkeit und Angemessenheit |
| Taktung | Jährliche oder anlassbezogene Erhebung | Kontinuierlich plus geplante Audits |
| Datenbasis | Interviews, Sichtung, manuelle Checklisten | Nachweise, Systemdaten, Monitoring, Audits, Managementbewertung |
| Ergebnis | Umsetzungsgrad und offene Maßnahmen | Aktueller Status, Feststellungen, Risiken, Maßnahmen, Trends |
| Steuerung | Maßnahmenverfolgung nach Check | Integrierter PDCA-Regelkreis |
Der Grundschutz++ ersetzt den Check also nicht ersatzlos, sondern verteilt dessen Funktionen auf mehrere wiederkehrende/kontinuierliche Verfahren. Für Anwendende ist deshalb entscheidend, ein verbindliches Betriebsmodell für diese Verfahren zu definieren.
Voraussetzungen
Vor dem operativen Betrieb müssen einige Grundlagen aus Prozessschritt 1 und 2 belastbar vorliegen. Ohne diese Grundlagen entsteht zwar Monitoring, aber kein methodisch belastbarer Nachweis im Sinne von Grundschutz++.
Erforderlich sind insbesondere:
- festgelegter Geltungsbereich des ISMS und definierte Informationsverbünde,
- dokumentierte Geschäftsprozesse, relevante Assets und deren Zuordnung zu Zielobjektkategorien,
- ein konsolidiertes Anforderungspaket je Informationsverbund einschließlich Ergänzungen aus externen Verpflichtungen und Risikobetrachtungen,
- definierte Rollen, Zuständigkeiten, Freigaben und Dokumentationswege,
- ein Verfahren für Risikobetrachtungen bei Nicht-Umsetzung, Sicherheitsniveau-Absenkung, hohem Schutzbedarf oder ergänzenden Anforderungen.
Leitbild für den laufenden Betrieb
Für den laufenden Betrieb empfiehlt sich ein mehrstufiges Modell. Nicht jede Anforderung wird mit derselben Prüftiefe und derselben Frequenz bewertet; stattdessen werden Anforderungen nach Nachweisart, Kritikalität und Automatisierbarkeit behandelt. Dieses Vorgehen schließt eine wesentliche methodische Lücke zwischen abstrakter Überwachung und praktischer Umsetzbarkeit.
Sinnvoll könnte folgende Einteilung sein:
- Typ A – automatisiert prüfbar: technische Konfigurationen, Patchstände, Verschlüsselungsparameter, Logging-Aktivierung, Backup-Status, Schwachstellenbefunde, zentrale Identitäts- und Berechtigungsmerkmale.
- Typ B – teilautomatisiert prüfbar: Workflows mit Systembezug, etwa Ticketstatus, Genehmigungen, Fristen, dokumentierte Ausnahmen, Schulungsstände, Wiederholungsprüfungen.
- Typ C – manuell bzw. auditiv prüfbar: Governance, Rollenwahrnehmung, Wirksamkeit organisatorischer Verfahren, Angemessenheit von Entscheidungen, Vollständigkeit von Managementbewertungen.
Diese Zuordnung sollte je Anforderung oder Anforderungsgruppe dokumentiert werden. Sie bildet die Basis für Prüffrequenz, Datenquelle, Verantwortlichkeit und Eskalationsweg.
Verfahrensmodell
1. Prüfeinheiten festlegen
Die kleinste steuerbare Einheit ist nicht der gesamte Informationsverbund, sondern eine Anforderung in Bezug auf einen Verbund, ein Asset, einen Geschäftsprozess oder eine verbundweite Zuständigkeit. Für jede Prüfeinheit sollten mindestens folgende Metadaten gepflegt werden:
- eindeutige Anforderungs-ID,
- Bezug auf Informationsverbund, Asset oder Geschäftsprozess,
- federführend zuständige Rolle,
- Nachweisart,
- Prüfmethode,
- Prüffrequenz,
- Datenquelle bzw. Nachweisquelle,
- Status der letzten Bewertung,
- Datum der letzten Prüfung,
- Verweis auf Feststellungen, Risiken oder Maßnahmen.
Damit wird aus dem Anforderungspaket ein steuerbares Kontrollobjekt. Ohne diese Operationalisierung bleibt die Methodik in der Praxis zu grob.
2. Umsetzungsstatus laufend ermitteln
Die Methodik verlangt, den Umsetzungsstatus aller Anforderungen systematisch zu überprüfen. Der Status ist grundsätzlich nur „umgesetzt“ oder „nicht umgesetzt“; eine Anforderung gilt nur dann als umgesetzt, wenn auch abhängige Anforderungen umgesetzt sind.
Für die Praxis ist eine Vorstufe sinnvoll, die intern mit Arbeitswerten arbeitet, etwa „Nachweis ausstehend“, „in Prüfung“ oder „Abweichung erkannt“. Formal in die Methodik zurückgeschrieben werden aber nur die beiden Ergebnisse „umgesetzt“ oder „nicht umgesetzt“, damit die Nachvollziehbarkeit zum GS++ gewahrt bleibt.
3. Nachweise beschaffen und bewerten
Für jede Prüfeinheit ist festzulegen, welche Nachweise akzeptiert werden. Geeignete Nachweise können unter anderem sein:
- Systemkonfigurationen und automatisierte Prüfergebnisse,
- Tickets, Freigaben, Changes und Ausnahmegenehmigungen,
- Protokolle aus Schwachstellenmanagement, Incident Handling oder Notfallübungen,
- Schulungs- und Sensibilisierungsnachweise,
- Richtlinien, Leitlinien und freigegebene Verfahrensdokumente,
- Auditnachweise aus Interviews, Beobachtungen und Stichproben.
Ein Nachweis ist nur belastbar, wenn Aktualität, Geltungsbezug und Verantwortlichkeit erkennbar sind. Reine Dokumentenexistenz genügt nicht, wenn die tatsächliche Anwendung nicht plausibel belegt ist.
4. Monitoring etablieren
Prozessschritt 4 verlangt geeignete Monitoringmethoden und -tools zur Erkennung von Sicherheitsvorfällen, Schwachstellen, neuen Bedrohungen und relevanten Veränderungen. Genannt werden unter anderem SIEM, IDS/IPS, Vulnerability-Management und Configuration-Monitoring; die konkrete Ausprägung ist an Größe und Komplexität der Institution anzupassen.
Für den Leitfaden bedeutet das: Monitoring dient nicht nur der Incident Detection, sondern auch als fortlaufende Evidenzquelle für den Umsetzungsstatus und für die Leistungsbewertung des ISMS. Jede Monitoringquelle sollte deshalb einem oder mehreren Anforderungen, Risiken oder Kennzahlen zuordenbar sein.
5. Interne Audits risikoorientiert planen
Grundschutz++ fordert ein strukturiertes Auditprogramm mit risikoorientierter Planung, dokumentierten Auditplänen, geeigneten und unabhängigen Auditoren sowie nachvollziehbarer Nachverfolgung. Alle angewandten Praktiken sollen mindestens einmal sinnvoll geprüft werden.
Ein praxistaugliches Auditprogramm kombiniert daher mehrere Auditarten:
- turnusmäßige Systemaudits für definierte Informationsverbünde,
- themenbezogene Audits, etwa Identitätsmanagement, Protokollierung, Notfallmanagement oder Lieferantensteuerung,
- anlassbezogene Audits nach Sicherheitsvorfällen, wesentlichen Änderungen, neuen regulatorischen Anforderungen oder wiederholten Abweichungen,
- Follow-up-Audits zur Wirksamkeitskontrolle umgesetzter Maßnahmen.
6. Feststellungen bewerten
Die Methodik verlangt ein einheitliches Bewertungsschema und strukturierte Auditberichte. Sie fordert außerdem, identifizierte Schwachstellen, positive Feststellungen und empfohlene Maßnahmen nachvollziehbar zu dokumentieren.
Für die Praxis empfiehlt sich mindestens folgende Klassifikation:
- Nichtkonformität,
- Teilnachweis bzw. unzureichender Nachweis,
- Verbesserungspotenzial,
- positive Feststellung,
- Beobachtung ohne unmittelbaren Maßnahmenbedarf.
Wichtig ist die methodische Trennung zwischen Feststellung und Risiko: Nicht jede Feststellung ist automatisch ein hohes Risiko, aber jede Nicht-Umsetzung relevanter Anforderungen muss in die Risikobetrachtung oder Maßnahmenplanung überführt werden, soweit die Methodik dies verlangt.
7. In Maßnahmen und Risiken überführen
Fehlende Umsetzungen, relevante Auditfeststellungen, Compliance-Lücken, neue Bedrohungen oder erkannte Schwachstellen müssen in Umsetzungsplanung, Risikobetrachtung und Verbesserungsprozess übernommen werden. Die Methodik beschreibt dafür die Schnittstellen von Prozessschritt 4 zu Realisierung und kontinuierlicher Verbesserung ausdrücklich.
In der Praxis sollte jede relevante Feststellung genau einen primären Folgemechanismus erhalten:
- Umsetzungsmaßnahme,
- Risikobetrachtung,
- Ausnahmeentscheidung,
- Korrekturmaßnahme,
- Verbesserungsmaßnahme,
- reine Beobachtung mit Termin zur erneuten Prüfung.
Dadurch werden Doppelbearbeitung und methodische Leerstellen vermieden.
Empfohlener Betriebszyklus
Ein sinnvoller Regelbetrieb kann in vier Takte gegliedert werden. Die konkrete Frequenz hängt von Größe, Schutzbedarf, Regulatorik und Automatisierungsgrad ab; die Methodik nennt für die Validierung des Anforderungspakets als Orientierungswert im Allgemeinen jährlich, abhängig von Organisationsgröße, Parametern und Prüftiefe.
| Takt | Inhalt | Ziel |
|---|---|---|
| laufend | Monitoring, Schwachstellenbehandlung, Incident-Erkennung, Nachweisaktualisierung | Früherkennung und aktuelle Evidenzbasis |
| monatlich oder quartalsweise | Review offener Feststellungen, Maßnahmenstatus, Fristen, Ausnahmen, Kennzahlen | operative Steuerung |
| quartalsweise oder halbjährlich | risikoorientierte interne Audits und thematische Prüfungen | unabhängige Wirksamkeitskontrolle |
| mindestens jährlich | Managementbewertung und Validierung des Anforderungspakets | strategische Neubewertung und PDCA-Abschluss |
Für kleinere Institutionen kann dieser Zyklus schlanker ausgestaltet werden. Wesentlich ist nicht maximale Formalisierung, sondern die verlässliche Wiederholbarkeit und Dokumentation.
Rollenmodell
Die Methodik fordert klare Rollen, unabhängige Auditierung und dokumentierte Zuständigkeiten. Für den Leitfaden ist folgende Mindestverteilung zweckmäßig:
| Rolle | Kernaufgaben im Leitfaden |
|---|---|
| Institutionsleitung | Freigaben, Prioritäten, Behandlung wesentlicher Risiken, Managementbewertung |
| ISB | Steuerung des Verfahrens, Auditprogramm, Konsolidierung der Ergebnisse, Eskalation |
| Prozess- oder Asset-Owner | Nachweise liefern, Status bestätigen, Maßnahmen umsetzen |
| Auditierende | unabhängige Prüfung, Feststellungen, Berichte |
| Compliance-/Datenschutz-/Fachstellen | Einbringung externer Verpflichtungen und Fachanforderungen |
| Betrieb/Administration/SOC | technische Evidenz, Monitoring, Incident- und Schwachstelleninformationen |
Die Rollen sollten nicht nur textlich beschrieben, sondern in einem konkreten RACI oder vergleichbaren Zuständigkeitsmodell hinterlegt werden. Gerade im GS++ mit verteilten Zuständigkeiten ist das für die Auditierbarkeit entscheidend.
Mindestinhalte eines Auditplans
Für jedes interne Audit sollte mindestens dokumentiert werden:
- Auditgegenstand und Bezug auf Informationsverbund oder Thema,
- Auditziele,
- Auditkriterien, insbesondere relevante Anforderungen, interne Vorgaben und externe Verpflichtungen,
- Auditumfang und Abgrenzung,
- Methoden, zum Beispiel Interview, Dokumentensichtung, technische Stichprobe, Beobachtung,
- Audittermin und Zeitraum,
- Auditierende und geprüfte Rollen,
- Unabhängigkeit der Auditierenden,
- Berichtsempfänger,
- Frist und Verfahren für Maßnahmenrückmeldung.
Diese Inhalte leiten sich direkt aus den methodischen Vorgaben zum Auditprogramm und zu Auditplänen ab und schließen die in der Methodik offen gelassene operative Ausgestaltung.
Mindestinhalte eines Auditberichts
Ein Auditbericht sollte mindestens enthalten:
- Zusammenfassung von Ziel, Umfang und Methode,
- geprüfte Anforderungen oder Themenbereiche,
- verwendete Nachweise,
- Feststellungen je Anforderung oder Themenblock,
- Bewertung nach einheitlichem Schema,
- Begründung der Bewertung,
- positive Feststellungen,
- empfohlene Maßnahmen,
- Fristen, Zuständigkeiten und Verweise auf Tickets oder Maßnahmenobjekte,
- Entscheidung, ob eine Risikobetrachtung erforderlich ist.
Damit ist der Bericht nicht nur Revisionsdokument, sondern unmittelbar als Input für Prozessschritt 3 und 5 nutzbar.
Bewertungslogik für Anforderungen
Für eine einzelne Anforderung empfiehlt sich folgende Entscheidungslogik:
- Ist die Anforderung für den betrachteten Informationsverbund, das Asset oder den Geschäftsprozess relevant?
- Liegt ein belastbarer, aktueller und dem Geltungsbereich zuordenbarer Nachweis vor?
- Ist die Anforderung inhaltlich vollständig erfüllt, einschließlich relevanter Abhängigkeiten?
- Gibt es Hinweise aus Monitoring, Vorfällen, Schwachstellen oder Audits, dass die Anforderung zwar formal vorhanden, aber nicht wirksam ist?
- Ist eine Ausnahme dokumentiert und durch die zuständige Rolle freigegeben?
- Muss die Nicht-Umsetzung oder Abweichung in eine Risikobetrachtung überführt werden?
Erst wenn die Punkte 2 bis 4 positiv beantwortet werden können, sollte der formale Status „umgesetzt“ gesetzt werden. Andernfalls ist „nicht umgesetzt“ methodisch sauberer, ergänzt um eine differenzierte interne Feststellung.
Kennzahlen und Berichte
Die Methodik fordert eine Leistungsbewertung des ISMS, Managementbewertungen und eine transparente Darstellung des Sicherheitsniveaus einschließlich Trends. Sie nennt ausdrücklich Kennzahlen, grafische Darstellungen und Trendanalysen als geeignete Instrumente.
Für einen praxistauglichen Managementbericht eignen sich mindestens folgende Kennzahlen:
- Anteil umgesetzter Anforderungen je Informationsverbund,
- Anzahl offener Nichtkonformitäten nach Schweregrad,
- Fristverletzungen bei Maßnahmen,
- Anzahl und Alter offener Ausnahmen,
- Schwachstellenbestand und Behebungszeiten,
- Auditabdeckung nach Praktiken und Verbünden,
- Anzahl relevanter Sicherheitsvorfälle,
- Trend des Sicherheitsniveaus über Berichtszeiträume.
Wichtig ist, dass Kennzahlen nicht isoliert betrachtet werden. Sie müssen mit Feststellungen, Risiken und getroffenen Entscheidungen verknüpft werden, sonst bleiben sie steuerungsarm.
Behandlung typischer Fälle
Fall 1: Nachweis fehlt, Umsetzung wahrscheinlich vorhanden
Ohne belastbaren Nachweis sollte die Anforderung nicht als umgesetzt gewertet werden. Praktisch kann eine kurzfristige Nachweiserbringung mit enger Frist vorgesehen werden; bleibt sie aus, ist die Feststellung wie jede andere Nicht-Umsetzung zu behandeln.
Fall 2: Dokument vorhanden, gelebter Prozess fehlt
Das ist kein Dokumentationsmangel, sondern eine Nichtkonformität in der Wirksamkeit. Der Fall gehört regelmäßig in Auditfeststellung, Maßnahme und gegebenenfalls Risikobetrachtung.
Fall 3: Technische Abweichung durch bewusste Ausnahme
Dann muss die Ausnahme begründet, freigegeben, befristet und nachverfolgbar dokumentiert sein. Fehlt eines dieser Elemente, liegt keine tragfähige Ausnahme im Sinne eines kontrollierten Ausnahmemanagements vor.
Fall 4: Neue Assets oder Änderungen im Verbund
Dann ist nicht nur eine Einzelmaßnahme nötig; vielmehr muss das Anforderungspaket validiert und bei Bedarf neu modelliert oder ergänzt werden. Die Methodik sieht hierfür ausdrücklich die regelmäßige Validierung der Anforderungen und die Berücksichtigung veränderter Geschäftsprozesse, IT-Komponenten und externer Faktoren vor.
Empfehlungen zur Teilautomatisierung
Die Methodik empfiehlt bei mittleren und großen Institutionen ausdrücklich einen teilautomatisierten oder weitgehend automatisierten Betrieb des ISMS und betont die Maschinenlesbarkeit der Anforderungen sowie die Möglichkeit toolgestützter Modellierung und Vererbung.
Für den Leitfaden folgen daraus diese Mindestanforderungen an eine praxistaugliche Toolunterstützung:
- zentrales Register der Anforderungen mit Statushistorie,
- Verknüpfung von Anforderungen, Assets, Verbünden, Risiken, Maßnahmen und Nachweisen,
- Import oder Anbindung technischer Evidenzquellen,
- Workflow für Feststellungen, Freigaben, Ausnahmen und Fristen,
- revisionsfeste Historisierung,
- auswertbare Kennzahlen und Trendberichte,
- Schnittstelle zum Auditprogramm und Managementbericht.
Ohne solche Strukturen skaliert Grundschutz++ nur begrenzt. Für kleinere Umgebungen kann dies zunächst auch mit Wiki, Ticketsystem und wenigen technischen Datenquellen umgesetzt werden, solange Eindeutigkeit, Aktualität und Nachvollziehbarkeit gewahrt bleiben.
Für mittlere und große Informationsverbünde lässt sich das nur mit einem ausgereiften ISMS-Tool und der Integration entsprechender Sensoren und Schnittstellen an eine CMDB oder ein SIEM praktikabel umsetzen.
Mindestverfahren als Dokumentationsstruktur
Für eine Dokumentation des Vorgehens in Form eines Umsetzungsleitfadens bietet sich die folgende Gliederung an:
- Zweck und Abgrenzung des Verfahrens.
- Begriffe: Überwachung, interne Audits, Feststellung, Nichtkonformität, Ausnahme, Wirksamkeitsprüfung.
- Voraussetzungen aus Geltungsbereich, Informationsverbund und Anforderungspaket.
- Rollen und Zuständigkeiten.
- Prüfeinheiten und Nachweisarten.
- Laufende Statusermittlung.
- Monitoring als Evidenzquelle.
- Auditprogramm und Auditplanung.
- Durchführung interner Audits.
- Bewertungsschema und Berichtswesen.
- Übergabe an Risikobetrachtung, Maßnahmenmanagement und Verbesserung.
- Managementbewertung und Trendanalyse.
- Vorlagen und Beispieltabellen.
Beispieltabellen für die Dokumentation
Tabelle: Register für Prüfeinheiten
| Feld | Beschreibung |
|---|---|
| Anforderung | eindeutige Kennung der Anforderung |
| Verbund/Asset/Prozess | Bezugsobjekt der Prüfung |
| Prüftyp | automatisiert, teilautomatisiert, manuell |
| Nachweisquelle | System, Ticket, Dokument, Audit, Monitoring |
| Prüffrequenz | laufend, monatlich, quartalsweise, jährlich, anlassbezogen |
| Verantwortliche Rolle | fachlich führende Zuständigkeit |
| Letztes Ergebnis | umgesetzt oder nicht umgesetzt |
| Letzte Prüfung | Datum |
| Folgemaßnahme | Ticket, Risiko, Ausnahme oder Verbesserung |
Tabelle: Bewertung von Feststellungen
| Kategorie | Bedeutung | Folge |
|---|---|---|
| Nichtkonformität | Anforderung nicht erfüllt oder nicht wirksam | Maßnahme, ggf. Risikobetrachtung |
| Unzureichender Nachweis | Nachweis für Erfüllung nicht belastbar | Nachweiserbringung oder Neubewertung |
| Verbesserungspotenzial | keine Pflichtverletzung, aber Optimierung sinnvoll | Verbesserungsmaßnahme |
| Positive Feststellung | wirksame, gute Praxis | dokumentieren, ggf. multiplizieren |
| Beobachtung | Hinweis ohne unmittelbare Abweichung | Wiedervorlage |
Tabelle: Taktung des Verfahrens
| Aktivität | Mindesttakt | Anlassbezogene Auslöser |
|---|---|---|
| Aktualisierung technischer Evidenzen | laufend | Änderungen, neue Systeme, Vorfälle |
| Review offener Maßnahmen | monatlich oder quartalsweise | Fristüberschreitung, Eskalation |
| interne Audits | risikoorientiert, mindestens nach Auditprogramm | Vorfall, wesentliche Änderung, Compliance-Hinweis |
| Validierung des Anforderungspakets | im Allgemeinen jährlich | neue Assets, neue Verpflichtungen, neue Bedrohungen |
| Managementbewertung | mindestens jährlich | schwerwiegende Feststellungen, strategische Änderungen |
Methodische Lücken und ihre Schließung
Die Methodik beschreibt die Zielrichtung der Überwachung, lässt aber mehrere operative Fragen offen. Für einen belastbaren Umsetzungsleitfaden sollten diese Punkte verbindlich ergänzt werden:
- Prüfobjekt festlegen: Nicht pauschal „Informationsverbund prüfen“, sondern Anforderungen als kleinste Prüfeinheit definieren.
- Nachweislogik definieren: Welche Evidenzen zulässig sind, wie aktuell sie sein müssen und wann sie als unzureichend gelten.
- Zwischenstatus nur intern verwenden: Methodisch bleibt der Endstatus binär; operative Zwischenstände dürfen die formale Bewertung nicht verwässern.
- Feststellungen standardisieren: Einheitliches Schema für Nichtkonformität, Nachweislücke, Verbesserungspotenzial und positive Feststellung.
- Folgeprozess erzwingen: Jede relevante Feststellung muss eindeutig in Maßnahme, Risiko, Ausnahme oder Beobachtung überführt werden.
- Auditabdeckung regeln: Alle angewandten Praktiken müssen über den Auditzyklus sinnvoll geprüft werden; risikoorientiert, aber nicht beliebig.
- Wirksamkeit separat prüfen: Umsetzung allein reicht nicht; Wirksamkeit muss gesondert bewertet werden.
- Änderungen rückkoppeln: Neue Assets, neue Pflichten oder neue Bedrohungen müssen zur Validierung des Anforderungspakets führen.
Kurzverfahren für kleine Institutionen
Für kleine Institutionen kann das Verfahren reduziert werden, ohne den methodischen Kern zu verlieren:
- ein gemeinsames Register für Anforderungen, Nachweise, Feststellungen und Maßnahmen,
- quartalsweiser Review durch ISB und Verantwortliche,
- wenige, klar fokussierte interne Audits pro Jahr,
- Nutzung vorhandener Tickets, Checklisten und Systemberichte statt separater Spezialwerkzeuge,
- jährliche Managementbewertung und Validierung des Anforderungspakets.
Entscheidend ist auch hier, dass Nachweise aktuell sind, Ausnahmen dokumentiert werden und Nicht-Umsetzungen in Maßnahmen oder Risiken münden.
Ergebnis des Verfahrens
Das Ergebnis dieses Leitfadens ist kein einmaliger Prüfbericht, sondern ein dauerhaft betriebenes Nachweis- und Steuerungsverfahren. Es ersetzt den klassischen Grundschutzcheck funktional durch einen wiederholbaren, auditierbaren und teilautomatisierbaren Mechanismus zur Feststellung von Umsetzungsstatus, Wirksamkeit, Sicherheitsniveau und Verbesserungsbedarf im Grundschutz++.
