Zum Hauptinhalt springen

Modellierung von Norm-Anforderungen

Managementsystem der nächsten Generation

Audio-Podcast (DE): Auditnachweise per Klick ( ca. 2min)

Die systematische Modellierung von Normanforderungen ist ein entscheidender Schritt, um statische Compliance-Dokumente in ein lebendiges GRC-System (Governance, Risk & Compliance) zu überführen.

Wenn ein Auditor fragt: "Wie erfüllen Sie Anforderung X der Norm Y?", klicken Sie auf das Norm-Anforderung das Modell mit die Traceability-Ansicht sofort die verknüpften Elemente mit den verantwortlichen Rolle , Zielen, Prüfobjekten und den Ort des Nachweises sowie der Kontrolltätigkeiten und Risiken.

Compliance by Design (CbD) ist der Goldstandard, um die Lücke zwischen theoretischen Vorschriften („totem Papier“) und der operativen Realität zu schließen. Compliance by Design transformiert Compliance von einer bremsenden Kontrollinstanz zu einem eingebauten Sicherheitsgurt: Er behindert nicht beim Fahren, aber er rettet im Ernstfall Leben (und das Unternehmen). Anstatt Compliance als lästige Checkliste am Ende eines Projekts zu sehen, wird sie zum funktionalen Design-Kriterium.

  • Prävention statt Detektion: Fehler werden verhindert, bevor sie entstehen, anstatt sie später mühsam in Audits aufzuspüren.
  • Automatisierung: Compliance-Regeln werden in Code (Policy as Code) oder feste Prozess-Workflows gegossen.

Struktur der Traceability - Die Kette

Golden Standard ist die bestmögliche, bewährte Referenzmethode, die als Maßstab für anderen dient. Dieser Golden Standard fungiert als ein Benchmark für die Modellierung.

Ein Traceability-Diagramm (Rückverfolgbarkeits-Diagramm) ist eine visuelle Darstellung der Verknüpfungen zwischen einer abstrakten Vorgabe (z. B. einem Paragrafen der ISO 27001, DSGVO oder anderen Compliance-Vorgaben) und deren konkreter Umsetzung im Unternehmen.

Ein Traceability-Diagramm verbindet verschiedene Informationsobjekte (Objekttypen) miteinander. Man liest es meist von oben nach unten oder von links nach rechts.

Audio-Podcast (DE): Compliance by Design zwischen Schutz und Bürokratie ( ca. 20min)

Als Beispiel für die Modellierung wird das Cyber Risk Rating verwendet, das CRR ist eine objektive, datengestützte Bewertung der Cybersicherheitsleistung eines Unternehmens. Sinngemäß kann aber jeder andere Norm oder Compliance-Fragenkatalog verwendet werden.

Traceability-Diagramm

Abbildung IT-Security-Management (ISEC) CRR-B-Beziehungs-Diagramm (Bildquelle = platinus)

Die Rückverfolgbarkeit wird durch die Verknüpfung spezifischer Objekttypen sichergestellt. Jedes Glied der Kette hat einen klaren Owner und Zweck:

EbeneObjekttypVerantwortungZweck / Nutzen
VorgabeVorgabe (Norm/Frage)Anforderungsverantwortlicher,
Compliance-Beauftragter		Fachliches Fundament & referenzieller Ankerpunkt.
ZielKontrollzielCompliance-BeauftragterDefinition des Soll-Zustands; Bindeglied zur Prozesswelt.
MessungKennzahlMessverantwortlicherObjektive Indikatoren & Grenzwerte für das Monitoring.
AktionControlAuditor / Control-OwnerOperative Umsetzung; Integration in den Workflow.
RisikoRisikoRisikomanager / Risk-OwnerIdentifikation von Bedrohungen; Basis für RKM.
BeweisDokument (Nachweis)ProzessverantwortlicherMaterielle Basis der Sorgfaltspflicht-Dokumentation.

Audio-Podcast (DE): Vom_Aktenstaub zu Compliance by Design ( ca. 14min)

Folgenden Objekte werden verknüpft.

Vorgaben

Anforderungen und Fragen werden mit dem Objekttyp Vorgaben erfasst. Die jeweilige Normen dient dabei als Datenquellen. Bei unseren Beispiel Cyber Risk Rating gibt es einen Schema mit Fragen.

image-20260412201518969

Auszug aus dem CRR-Fragenkatalog (Quelle = https://cyberrisk-rating.at/schema.html)

Im Titel wird CRR+Kürzel für die einfache Referenzierung verwendet. Das unterstützt die Suche. Die Beschreibung dient zum Nachlesen der Anforderung und der Auflistung weiterer Anforderungsquellen.

image-20260412211244247

Für die Erfassung, Bereitstellung und Pflege der Vorgaben ist der jeweilige Anforderungsverantwortliche (oder Compliance-Beauftragte, Auditor) zuständig. Die vollständige Auflistung und Beschreibung der Anforderungen und Vorgaben bildet das fachliche Fundament des Managementsystems. Sie dient als referenzieller Ankerpunkt, um eine lückenlose Rückverfolgbarkeit (Traceability) von der abstrakten Norm bis hin zur operativen Umsetzung im Geschäftsprozess zu gewährleisten.

Erst durch diese systematische Katalogisierung wird aus ‚totem Papier‘ ein steuerbares Instrument, das im Rahmen der Sorgfaltspflicht-Dokumentation jederzeit gerichtsfeste Belege über die Einhaltung regulatorischer Rahmenbedingungen liefert und so das Haftungsrisiko der Geschäftsführung effektiv minimiert.“

image-20260412201837582

Kontrollziel

Anforderungen werden systemseitig über den Objekttyp 'Kontrollziel' (Control Objective) operationalisiert. Dies ermöglicht eine lückenlose Verknüpfung zwischen abstrakten Normvorgaben und den spezifischen Sicherheitszielen, die durch operative Kontrollen im Prozess erreicht werden müssen.

image-20260412211319708

Für die Erfassung, Bereitstellung und Pflege der Kontrollziele ist der jeweilige Anforderungsverantwortliche (oder Compliance-Beauftragte, Auditor) zuständig. Die Beschreibung der Kontrollziele bildet den präzisen Soll-Zustand des Managementsystems ab und fungiert als verbindliches Bindeglied zwischen den abstrakten Normanforderungen und der operativen Prozesswelt.

Sie bildet damit das Herzstück der Traceability, da sie festlegt, welche spezifischen Schutzziele erreicht werden müssen, um die Konformität (Compliance) sicherzustellen und das Unternehmen vor Haftungsrisiken (IT-RI) zu schützen.

image-20260412203308258

Kennzahlen

Kontrollziele (Control Objectives) werden mittels Objekttyp 'Kennzahlen' operationalisiert. Diese Kennzahlen dienen als objektive Indikatoren für die Wirksamkeit der implementierten Kontrollen.

image-20260412211346501

Für die Erfassung, Bereitstellung und Pflege der Kennzahlen und der Grenzwerte ist der jeweilige Messverantwortliche (Metric Owner) in Abstimmung mit dem Prozessverantwortlichen zuständig.

Durch die Definition klarer Grenzwerte (Schwellenwerte) wird sichergestellt, dass Abweichungen vom Soll-Zustand frühzeitig erkannt und automatisiert eskaliert werden können. Dies ermöglicht den Übergang von einer rein statischen Dokumentation hin zu einem aktiv steuerbaren Managementsystem, das die Einhaltung der Sorgfaltspflicht nicht nur behauptet, sondern durch kontinuierliches Monitoring (Continuous Control Monitoring) jederzeit belegbar macht.

image-20260412204132851

Prüfobjekt - Nachweise (Evidenzdaten - Das "Beweisstück")

Die Erfüllung von Anforderungen erfolgt über definierte Prüfobjekte oder Nachweise. Diese werden mittels **Objekttyp 'Dokumente' **operationalisiert.

image-20260412211417011

Für die Erfassung, Bereitstellung und Pflege dieser Nachweise ist der jeweilige Prozessverantwortliche zuständig. Diese Dokumente und Daten bilden die materielle Basis der Sorgfaltspflicht-Dokumentation; sie dienen als objektive Evidenz dafür, dass die definierten Kontrollen tatsächlich und wirksam ausgeführt wurden. Durch die systematische Zuordnung dieser Nachweise zu den entsprechenden Kontrollzielen wird die Rückverfolgbarkeit (Traceability) vervollständigt. Dies stellt sicher, dass das Unternehmen im Falle eines Audits oder Haftungsereignisses nicht nur auf prozessuale Beschreibungen verweist, sondern die Einhaltung regulatorischer Vorgaben belastbar belegen kann.

image-20260412204920994

Kontrolle - Kontrollaktivität

Die Überprüfung der Erfüllung von Anforderungen erfolgt über definierte Kontrollen. Diese werden mittels **Objekttyp 'Controls' **operationalisiert.

image-20260412211443182

Für die Definition und Ausführung der Kontroll-Aktivitäten ist der jeweilige Auditor (Control-Owner)) in Zusammenarbeit mit den operativen Fachbereichen zuständig.

Diese Kontroll-Aktivitäten bilden die praktische Umsetzung des 'Compliance by Design'-Ansatzes, indem sie sicherstellen, dass Sicherheits- und Konformitätsvorgaben direkt in den Arbeitsablauf integriert sind. Die lückenlose Dokumentation dieser Aktivitäten schafft die notwendige Transparenz, um im Rahmen der Sorgfaltspflicht-Dokumentation nachzuweisen, dass Kontrollen nicht nur existieren, sondern auch zeitgerecht und fachlich korrekt durchgeführt wurden.

image-20260412211606965

Risiken

Kontrollen dienen zur Reduktion von Risiken. Diese werden mittels **Objekttyp 'Risiko' **operationalisiert.

image-20260412212009618

Die Erfassung, Bereitstellung und Pflege von Risiken liegt in der Verantwortung des Risikomanagers (oder Risk Owners) in Zusammenarbeit mit den jeweiligen Fachbereichsleitern. Dieser Prozess stellt sicher, dass Bedrohungen kontinuierlich identifiziert, bewertet und in einer zentralen Risiko-Kontroll-Matrix (RKM) dokumentiert werden.

Durch die systematische Verknüpfung dieser Risiken mit den entsprechenden Kontroll-Aktivitäten entsteht ein transparentes Bild der Risikolage. Dies bildet die Grundlage für eine risikoorientierte Steuerung und den Nachweis der Sorgfaltspflicht, da jederzeit belegt werden kann, welche spezifischen Risiken (z. B. IT-R oder IT-RI) durch welche Maßnahmen auf ein akzeptables Maß reduziert wurden.

image-20260412212117756