Gestaltungsentscheidungen

Gestaltungsentscheidungen und Parameter sind zentrale Bausteine im Grundschutz++, um abstrakte Anforderungen in passgenaue, organisationseigene Regeln zu übersetzen. Sie machen den Katalog von „Pflichtenheft“ zu einem steuerbaren Werkzeug für dein ISMS.

Warum gibt es Gestaltungsentscheidungen und Parameter?

Der Grundschutz++‑Katalog ist bewusst generisch formuliert. Er beschreibt, was erreicht werden soll (z.B. „regelmäßige Berichte“, „hinreichende Ressourcen“, „anerkannter Standard“), aber nicht im Detail, wie das in einer konkreten Institution aussieht.

Hier kommen zwei Konzepte ins Spiel:

• Parameter: Platzhalter innerhalb einer Anforderung, die mit einer organisationsspezifischen Ausprägung gefüllt werden (z.B. „regelmäßig“, „BSI Grundschutz“, „einem anerkannten Standard“).
• Gestaltungsentscheidungen: Deine bewussten, dokumentierten Festlegungen, wie genau diese Platzhalter im konkreten ISMS umgesetzt werden (z.B. „vierteljährlich“, „TR‑03183‑3“, „MFA für alle Admin‑Konten obligatorisch“).

Dadurch bleibt der Katalog universell nutzbar, während jede Organisation ihn auf ihre Größe, Risiken und Rahmenbedingungen zuschneidet.

Parameter im Grundschutz++: Struktur und Funktion

Viele Anforderungen im Katalog enthalten Parameter, die in der Satzschablone als {{parameter}} bzw. in OSCAL als insert param, parameter‑prm1 o.ä. eingebettet sind. Typische Beispiele:

• Zeitliche Parameter
  • „regelmäßig“, „in angemessenen Abständen“ → Du entscheidest: z.B. monatlich, quartalsweise, jährlich.
• Qualitative Parameter
  • „hinreichende Ressourcen“, „geeignete Methoden“, „anerkannter Standard“ → Du entscheidest: z.B. konkrete FTE‑Zahlen, konkret benannte Methoden oder Normen.
• Referenz-Parameter
  • „nach BSI Grundschutz“, „nach einem anerkannten Standard“ → Du entscheidest: z.B. BSI‑Standards 200‑1/‑2/‑3, TR‑03183‑3, ISO 27001, EN‑Normen etc.

Diese Parameter sind im Katalog bewusst nicht ausdefiniert, damit:

• kleine Institutionen keine überzogenen Vorgaben übernehmen müssen,
• große Institutionen trotzdem hohe Reifegrade und komplexe Prozesse abbilden können,
• du Gestaltungsspielraum hast, aber die normative Anforderung klar bleibt.

Vom Platzhalter zur konkreten Regel

Eine Gestaltungsentscheidung ist im Kern eine konkretisierte Auslegung eines Parameters oder einer offenen Formulierung – und sollte immer dokumentiert sein (z.B. im ISMS‑Handbuch, in Richtlinien oder Prozessbeschreibungen).

Beispiel 1: „regelmäßiger Bericht an die Leitung“

• Anforderung (vereinfacht): Die Leitung MUSS {{regelmäßig}} über den Stand des ISMS informiert werden.
• Parameter: „regelmäßig“.
• Gestaltungsentscheidung:
  • „Die Informationssicherheitsleitung erstattet der Geschäftsführung mindestens einmal pro Quartal einen schriftlichen Managementbericht zum ISMS‑Status. Zusätzlich erfolgt ein ad‑hoc Bericht bei schweren Vorfällen (z.B. meldepflichtige Datenschutzverletzungen).“

Nutzen:

• Auditfest: Du kannst nachweisen, was „regelmäßig“ bedeutet.
• Erwartungsmanagement: Leitung weiß, wann sie Informationen erhält.
• Steuerung: Berichtszyklen können mit Budget‑ und Strategiezyklen verzahnt werden.

Beispiel 2: „hinreichende Ressourcen für den ISB“

• Anforderung: Dem Informationssicherheitsbeauftragten MUSS {{hinreichende Ressourcen}} zugewiesen werden.
• Parameter: „hinreichende“.
• Gestaltungsentscheidung:
  • „Der/die ISB erhält 0,5 FTE in einer Organisation bis 250 Mitarbeitende; ab 500 Mitarbeitenden mindestens 1 FTE plus anteilige Unterstützung durch Fachverantwortliche.“

Nutzen:

• Macht eine häufig schwammige Forderung messbar.
• Erleichtert die Argumentation gegenüber der Leitung.
• Dient als Referenz bei Re‑Zertifizierung und Reifegradbewertungen.

Beispiel 3: „anerkannter Standard für Schwachstellen-Meldeprozesse“

• Anforderung: Für IT‑Produkte KANN ein Schwachstellenmeldeprozess nach {{einem anerkannten Standard}} vereinbart werden.
• Parameter: „einem anerkannten Standard“.
• Gestaltungsentscheidung:
  • „Als anerkannte Standards gelten für die Organisation BSI TR‑03183‑3 und CSAF‑basierte Meldeprozesse. Bei Neuverträgen mit Herstellenden von sicherheitskritischen Produkten ist mindestens einer dieser Standards zu vereinbaren.“

Nutzen:

• Einheitliche Vertragsgestaltung.
• Klare Erwartung an Lieferanten.
• Nachweisbare Umsetzung von „Stand der Technik“.

Bedeutung für Governance, Compliance und Auditierbarkeit

Gestaltungsentscheidungen sind mehr als Detailfragen – sie sind ein Governance‑Instrument:

1. Transparenz: Alle Beteiligten (ISB, IT, Datenschutz, Leitung) sehen, wie abstrakte Anforderungen konkret verstanden werden.
2. Nachvollziehbarkeit: Audits können prüfen, ob:
   • eine Gestaltungsentscheidung existiert,
   • sie angemessen ist (bezogen auf Risiko, Branche, Größe),
   • sie tatsächlich gelebt wird (Nachweise!).
3. Konsistenz: Parameter wie „regelmäßig“, „hinreichend“, „geeignet“ tauchen an vielen Stellen auf. Wenn du sie einmal institutionell definierst (z.B. in einer „Parameter- und Gestaltungsentscheidungsliste“), verhinderst du widersprüchliche Auslegungen.
4. Risikoorientierung: Du kannst bewusst unterschiedliche Ausprägungen wählen, z.B.:
   • „regelmäßig“ im Monitoring kritischer Systeme: täglich/wöchentlich,
   • „regelmäßig“ bei allgemeinen Awareness‑Schulungen: jährlich.

Damit verknüpfst du den Grundschutz++ konsequent mit deinem Risiko- und Schutzbedarfsmodell.

Praktischer Nutzen im ISMS-Alltag

Gut dokumentierte Gestaltungsentscheidungen und Parameter wirken an mehreren Stellen:

1. ISMS‑Handbuch und Richtlinien

• Du kannst Parameter in Form von Leitplanken definieren: „Im Kontext dieses ISMS bedeutet ‚regelmäßig‘ in der Regel mindestens jährlich, sofern nicht spezifisch anders festgelegt; für sicherheitskritische Prozesse mindestens quartalsweise.“
• Einzelne Anforderungen verweisen dann nur noch auf diese zentrale Definition.

2. Umsetzung und Nachweise

• Implementation wird einfacher:
  • Aus einem Parameter „regelmäßige Überwachung“ wird ein konkreter Log‑Review‑Plan mit Frequenzen, Verantwortlichen und Tools.
• Nachweise lassen sich klar zuordnen:
  • Protokolle, Reports, Tickets entsprechen direkt der Gestaltungsentscheidung.

3. Kommunikation mit der Leitung

• Die Leitung muss nicht jeden Katalogsatz im Detail verstehen. Du kannst auf wenige, entscheidungsrelevante Gestaltungsentscheidungen herunterbrechen:
  • „Wollen wir jährliche oder halbjährliche Management‑Reviews?“
  • „Welcher Standard soll für Lieferanten gelten?“
  • „Welche Mindest‑FTE reservieren wir für Informationssicherheit?“

4. Weiterentwicklung und Reifegrad

• Mit wachsendem Reifegrad kannst du Gestaltungsentscheidungen nachschärfen, ohne den ganzen Katalog neu zu interpretieren:
  • Heute: jährliche Tests der Incident‑Response; in zwei Jahren: halbjährlich plus Tabletop‑Übungen.
  • Heute: MFA nur für Admins; später: MFA für alle externen Zugriffe.

Die Anforderungen bleiben dieselben, aber deine Parameter‑Ausprägungen spiegeln den Reifegrad wider.

Empfehlung für die Praxis

Aus ISMS‑Sicht lohnt es sich, systematisch vorzugehen:

1. Parameter inventarisieren: Alle Anforderungen mit Parametern {{ ... }} bzw. insert param, …‑prm1 herausziehen und in einer Liste sammeln.
2. Organisationsweite Definitionen erstellen: Zentrale Definitionen für wiederkehrende Begriffe („regelmäßig“, „angemessen“, „hinreichend“) formulieren – risikoorientiert abgestuft.
3. Spezifische Gestaltungsentscheidungen dokumentieren: Für besonders kritische Anforderungen (z.B. Berichte, Ressourcen, Lieferketten, Schwachstellenmanagement, Notfallprozesse) eigene, eindeutig formulierte Entscheidungen treffen.
4. Verzahnung mit Risiko- und Schutzbedarfsmodell: Klar festhalten, ab welchem Schutzbedarf oder Risikoniveau schärfere Parameter‑Ausprägungen gelten (z.B. MFA ab Schutzbedarf „hoch“).
5. Regelmäßige Überprüfung: Gestaltungsentscheidungen in Management‑Reviews und internen Audits explizit mit prüfen – sind sie noch angemessen, praktikabel, risikoadäquat?