Khosla·Compliance Betriebliche Compliance-Kompetenz · Teil 3
Betriebliche Compliance-Kompetenz · Teil 3
Einordnung · Systemunterstützung
Juni 2026 · Khosla Compliance
12 Minuten Lesezeit

Welche Systeme gelebte Compliance tragen

Wie Freigabe, Umsetzung und Review über mehrere Systeme verbunden bleiben

Ein neuer Mitarbeiter startet. HR kennt Rolle und Eintrittsdatum. Das Ticketsystem kennt den Auftrag. Der Systemowner hat den Zugriff per E-Mail freigegeben. Das IAM kennt die tatsächlich vergebenen Rechte. Die Lernplattform hält den Schulungsnachweis. Für den Access Review existiert kein verbindlicher Termin. Jede Information ist vorhanden. Der vollständige Vorgang lässt sich trotzdem nur durch erneutes Zusammensuchen erklären.

HR meldet. Der Vorgesetzte begründet. Der Systemowner entscheidet. IT setzt um. Eine eindeutige Vorgangsreferenz hält diese Schritte zusammen.

Kernthese

Das Unternehmen braucht dafür nicht zwangsläufig ein neues Gesamtsystem. Es muss jedoch festlegen, welches System den Vorgang führt, welche Referenz alle Informationen verbindet, wo Entscheidungen dokumentiert werden, wie die Umsetzung zurückgemeldet wird, wo Belege liegen und wodurch die nächste Prüfung ausgelöst wird.

Ein geschlossenes Ticket belegt den technischen Abschluss. Für eine spätere Prüfung müssen zusätzlich Antrag, Freigabe, tatsächliche Rechte, Ausnahmen, Belege und Review eindeutig miteinander verbunden bleiben.
HR-System kennt den Eintritt.
Ticketsystem führt den Auftrag.
IAM setzt den Zugriff.
Ablage hält die Freigabe.
Wiedervorlage startet den Review.
!
Praxisanker · Benutzeranlage

Der Vorgang aus dem Einstieg wurde vollständig durchgeführt. Antrag, Freigabe, technische Umsetzung, Ausnahme, Belege und Review gehören aber nicht automatisch eindeutig zusammen. Sie liegen in HR, Ticket, E-Mail, Verzeichnisdienst, Lernplattform und Kalender — jeweils für sich korrekt, aber ohne verbindende Klammer.

Die Leitfrage lautet daher: Wie müssen Unternehmen ihre vorhandenen Systeme verbinden, damit diese Informationen auch Monate später demselben Vorgang zugeordnet werden können?

1
Prozessspur

Das Ticket ist geschlossen. Der Vorgang ist noch nicht erklärt.

Ein fachlich gestalteter Prozess beantwortet, wer was prüft, entscheidet und umsetzt. Im Betrieb verteilt sich diese Arbeit auf Rollen und Systeme. HR eröffnet den Anlass. Der Vorgesetzte ergänzt den Bedarf. Der Systemowner entscheidet. IT setzt die Freigabe um. IAM oder Verzeichnisdienst kennt das technische Ergebnis. E-Mail oder Ablage enthält Freigabe und Ausnahme. Kalender oder Aufgaben­verwaltung soll den Review auslösen.

Die Informationen liegen verteilt. Die Schwierigkeit liegt häufig nicht in fehlenden Daten. Die eindeutige Verbindung zwischen Anlass, Entscheidung, Umsetzung und erneuter Prüfung fehlt.

Kernaussage

Das Unternehmen muss einen führenden Vorgang und eine eindeutige Referenz festlegen. Danach lassen sich Daten, Entscheidungen, Rechte und Belege einem konkreten Vorgang zuordnen.

2
Systemrollen

Ein System muss den Vorgang führen

Die Systemlandschaft muss nicht aus einem einzigen Werkzeug bestehen. Ein Vorgang braucht aber einen Ort, an dem Verantwortung, Status, Entscheidung und offene Punkte zusammengeführt werden. Dieses führende System hält mindestens Vorgangsnummer, Anlass, betroffene Person, Rolle, System oder Lieferant, fachlichen Owner, Status, Frist, Entscheidung, offene Punkte und nächsten Prüftermin.

Das führende Vorgangssystem muss nicht alle technischen oder fachlichen Daten selbst speichern. Es muss auf die zugehörigen Daten und Belege verweisen. Das kann ein Ticketsystem, Workflowsystem, eine Service-Management-Lösung, Lieferantenmanagement, Vorgangsakte oder der Compliance Arbeitsplatz sein.

01
Auslösendes System
Wo beginnt der Vorgang? Dort entstehen Anlass, Startzeitpunkt und erster Bezug.
02
Führendes Vorgangssystem
Wo werden Vorgangsnummer, Owner, Status, Frist und offene Punkte geführt?
03
Datenführendes System
Wo liegen verbindliche Stamm- und Fachdaten zu Person, System, Lieferant oder Vertrag?
04
Ausführendes System
Wo erfolgt die technische oder organisatorische Umsetzung?
05
Entscheidungs- und Nachweisablage
Wo bleiben Freigaben, Ausnahmen, Auflagen und Belege erhalten?
06
Wiedervorlage und Auswertung
Wo wird die erneute Prüfung ausgelöst und der Prüftermin sichtbar?

Ein System muss nicht alle Funktionen erfüllen. Der Vorgang braucht aber eine klare Zuordnung, damit niemand nachträglich erraten muss, welche Information führend war.

3
Vorgangsreferenz

Eine Referenz verbindet alle beteiligten Systeme

Mehrere Systeme erkennen denselben Vorgang nur, wenn eine gemeinsame Referenz in allen Übergaben verwendet wird. Dazu gehören eine eindeutige Vorgangsnummer, gemeinsame Personen-, Lieferanten- oder Systemreferenzen, Links zwischen Ticket, Freigabe und Beleg, Zeitstempel, benannte Owner und ein eindeutiger Reviewtermin.

Bei der Benutzeranlage enthält der HR-Datensatz die Vorgangsnummer. Das Ticket übernimmt dieselbe Referenz. Die Freigabe verweist auf das Ticket. Die IAM-Rückmeldung nennt Ticket und Person. Der Schulungsnachweis wird zugeordnet. Der Reviewtermin verweist erneut auf denselben Vorgang.

01
Vorgangsnummer
Eine Kennung verbindet Antrag, Freigabe, Umsetzung, Beleg und Review.
02
Links und Zeitstempel
Jede Übergabe verweist auf Quelle, Zeitpunkt und zuständige Rolle.
03
Gemeinsame Referenzen
Person, System, Lieferant oder Vertrag werden konsistent bezeichnet.
04
Reviewbezug
Die erneute Prüfung verweist auf denselben Vorgang und nicht nur auf einen isolierten Kalendereintrag.

Danach liegt eine vollständige Verbindung zwischen Antrag, Freigabe, Umsetzung, Ausnahme und Review vor. Eine Prüfung kann erkennen, dass Belege und Entscheidungen tatsächlich zu derselben Berechtigung oder demselben Vorgang gehören.

4
Soll und Ist

Entscheidung und Umsetzung müssen zusammenpassen

Ein genehmigter Zugriff und ein tatsächlich eingerichteter Zugriff sind zwei verschiedene Informationen. Die Freigabe beschreibt beantragte Rechte, genehmigte Rechte, Auflagen, Einschränkungen, Ablaufdatum und Ausnahme. Das ausführende System meldet eingerichtetes Konto, Gruppen und Rollen, MFA-Status, Gerät, technische Einschränkungen und Umsetzungsdatum zurück.

Das führende Vorgangssystem verbindet beides. Das Unternehmen muss die technische Umsetzung an den Vorgang zurückmelden. Danach liegt ein Vergleich zwischen freigegebenem Soll und eingerichteter Berechtigung vor. Eine Prüfung kann erkennen, ob IT exakt die genehmigten Rechte eingerichtet hat oder davon abgewichen ist.

5
Ausnahmen und Reviews

Ausnahmen und Reviews dürfen nicht in E-Mails verschwinden

Eine Ausnahme benötigt mindestens betroffene Regel oder Maßnahme, Begründung, Risikoeinordnung, kompensierende Maßnahme, entscheidende Rolle, Gültigkeitsdauer und Reviewtermin. Die Wiedervorlage benötigt Datum, Owner, Prüfanlass, erwartete Entscheidung und Eskalation bei Fristüberschreitung.

Das betrifft MFA-Ausnahmen, privilegierten Lieferantenzugriff, Patch-Verschiebungen, Zugriff auf Altsysteme oder temporäre Administratorrechte. Eine Ausnahme ohne Ablaufdatum wird leicht zum Dauerzustand. Ein Kalendereintrag ohne Vorgangsbezug erklärt später nicht, worüber entschieden werden soll.

Kernaussage

Das Unternehmen muss Ausnahme, Gültigkeit und erneute Prüfung am Vorgang festhalten. Danach liegt eine befristete Entscheidung mit benanntem Owner und Prüftermin vor.

6
Vorgangsspur

Die vollständige Vorgangsspur

Am Ende muss der Vorgang beantworten: Was hat ihn ausgelöst? Welche Daten lagen vor? Wer hat den Bedarf begründet? Wer hat geprüft? Wer hat entschieden? Was wurde tatsächlich umgesetzt? Welche Ausnahme bestand? Welche Belege stützen die Aussagen? Welche Punkte blieben offen? Wann wurde oder wird erneut geprüft?

Systeme tragen gelebte Compliance, wenn der Vorgang auch Monate später ohne Suche in persönlichen Postfächern erklärt werden kann. Die Vorgangsspur ist die eindeutige Verbindung von Anlass, Antrag, Entscheidung, Umsetzung, Ausnahme, Belegen und Review.

Prüfsituation führen

Die Systeme liefern die Fakten. Die Prüfsituation führt die Entscheidung.

Die Systemlandschaft kann Informationen aus HR-System, IAM oder Verzeichnisdienst, ITSM oder Ticketsystem, SIEM und Monitoring, Lieferantenmanagement, Vertragsablage, Schwachstellenmanagement, Dokumentenablage, Schulungsplattform, Kalender und Aufgaben­verwaltung liefern. Diese Systeme bleiben für ihre jeweiligen operativen Aufgaben zuständig.

Der Compliance Arbeitsplatz ersetzt diese Systeme nicht. Er führt eine konkrete NIS2-Prüfsituation, für die Informationen aus mehreren Quellsystemen benötigt werden.

QuellsystemeHR · IAM · ITSM · SIEM · Einkauf · Ablage
Operative Systeme bleiben führend für ihre jeweiligen Fakten.
Betriebliche Daten und BelegeRolle · Zugriff · Ereignis · Freigabe · Ausnahme · Maßnahme
Die Informationen stammen aus laufenden Prozessen und vorhandenen Belegen.
NIS2-PrüfsituationKundenanfrage · Meldebewertung · Geschäftsführungsentscheidung
Der konkrete Anlass bestimmt, welche Informationen benötigt und bewertet werden.
Ergebnis

Auskunft · Meldung · Entscheidung

01
Quellsysteme erzeugen Fakten
HR hält Rolle und Eintrittsdatum. IAM hält Konten, Gruppen, Rechte und MFA. ITSM hält Antrag, Owner und Bearbeitung. SIEM hält Ereignisse und Zeitpunkte. Lieferantenmanagement hält Vertrag, Leistung und Ansprechpartner. Schwachstellenmanagement hält Befund, Kritikalität und Maßnahme.
02
Ein Anlass eröffnet die Prüfsituation
Ein Kunde fordert NIS2-Nachweise. Ein Sicherheitsereignis muss bewertet werden. Die Geschäftsführung muss einen Sachverhalt entscheiden, abnehmen oder erneut prüfen.
03
Das Unternehmen bewertet die Auswahl
Die Prüfsituation führt Anlass, benötigte Aussagen, zugeordnete Quellinformationen, Verantwortliche, Entscheidungen, fehlende Angaben, offene Maßnahmen, Fristen und Freigabe.
04
Für den Zweck entsteht ein Ergebnis
Je nach Situation entstehen Kunden-Nachweisübersicht, Meldebewertung und Meldeunterlagen oder Entscheidung und Nachweis der Geschäftsführung.
Keine Eins-zu-eins-Zuordnung

Es besteht keine feste Zuordnung zwischen einem Quellsystem, einem Prozess und einem Paket. Eine Kundenanfrage kann Informationen aus Lieferantenmanagement, IAM, Patch Management und Incident-Prozess benötigen. Eine Meldebewertung kann auf Monitoring, Benutzerrechten, Dienstleisterinformationen und Wiederanlaufdaten aufbauen. Eine Geschäftsführungsentscheidung kann Risiken, Ausnahmen, Maßnahmen und Wirksamkeitsprüfungen aus mehreren Bereichen zusammenführen.

Die Pakete sind situationsbezogene Zuschnitte. Sie bestimmen, welche vorhandenen Informationen für einen konkreten NIS2-Anlass benötigt, bewertet, entschieden und ausgegeben werden.

Der Compliance Arbeitsplatz ist in dieser Logik das führende System für die Prüfsituation, nicht zwangsläufig für den operativen Quellprozess. Das IAM bleibt führend für tatsächlich eingerichtete Rechte. Das ITSM bleibt führend für technische Bearbeitung. Das SIEM bleibt führend für Ereignisdaten. Der Compliance Arbeitsplatz führt die Kundenanfrage, die Meldebewertung oder die Geschäftsführungsentscheidung.

Der Compliance Arbeitsplatz muss festhalten, warum die Prüfsituation eröffnet wurde, welche Informationen angefordert wurden, aus welcher Quelle die Angaben stammen, wer die Angaben bewertet hat, welche Entscheidung getroffen wurde, welche Lücken offen bleiben, wer diese Lücken übernimmt, wann erneut geprüft wird und welches Ergebnis ausgegeben wurde.

Eine spätere Prüfung kann erkennen, welche Quellinformationen verwendet wurden, ob die Daten zum damaligen Zeitpunkt aktuell waren, wer die Bewertung vorgenommen hat, wer die Aussage oder Entscheidung freigegeben hat, welche offenen Punkte bekannt waren und welche Wiedervorlage gesetzt wurde.

Produktrolle

Der Compliance Arbeitsplatz verweist auf die vorhandenen Belege und führt ihre Bewertung für einen konkreten Anlass zusammen. Der Praxisleitfaden zeigt, wie sich Versionen, Freigaben und Änderungen über Systeme verbinden lassen.

7
Benutzeranlage

Ein Vorgang – mehrere Systeme – eine vollständige Spur

Die Benutzeranlage zeigt, wie Systemunterstützung funktioniert. Der Zusammenhang entsteht durch eindeutige Referenzen, gemeinsame Kennungen, Links, Zeitstempel und benannte Owner. Dafür braucht es keine technische Integrationszeichnung. Es braucht eine verbindliche Übergabe.

ProzessschrittWas muss das Unternehmen tun?Was liegt danach vor?Welches System führt es?Was kann eine Prüfung erkennen?
HR meldet den EintrittRolle, Organisationseinheit, Startdatum und Vorgesetzten erfassen.Eindeutiger Anlass für Konto, Gerät und Berechtigungen.HR-System und führendes Ticket.Für wen und ab wann der Zugriff benötigt wurde.
Vorgesetzter begründet den BedarfSysteme, Rollen und Sonderrechte festlegen.Fachlich begründeter Berechtigungs­antrag.Ticketsystem oder Workflow.Warum der Zugriff zur Tätigkeit passt.
Systemowner entscheidetRechte genehmigen, ablehnen oder mit Auflage versehen.Dokumentierte Entscheidung mit Datum und Rolle.Workflow, Ticket oder Entscheidungs­ablage.Wer auf welcher Grundlage entschieden hat.
IT setzt umKonto, Gruppen, MFA und Gerät einrichten.Dokumentierter Ist-Zustand.IAM, Verzeichnisdienst und Geräte­verwaltung.Ob Freigabe und Umsetzung übereinstimmen.
Review auslösenTermin, Owner und Prüfanlass festlegen.Verbindliche erneute Zugriffsprüfung.Workflow, Aufgaben­verwaltung oder Compliance Arbeitsplatz.Ob Rechte weiterhin angemessen sind.

Das Praxisbeispiel IT-Onboarding und Zugriff dokumentieren zeigt denselben Vorgang aus der operativen Perspektive.

8
Bestehende Werkzeuge

Vorhandene Systeme gezielt nutzen

Viele mittelständische Unternehmen haben bereits HR-System, Ticket- oder Workflowsystem, Microsoft 365 oder vergleichbare Bürosoftware, Verzeichnisdienst oder IAM, Dokumentenablage, Kalender, Aufgaben­verwaltung, Schulungsplattform sowie Einkaufs- oder Lieferantensystem. Der Einstieg gelingt, wenn diese Systeme klare Aufgaben erhalten und Übergaben verbindlich gestaltet werden.

Stufe 1

Bestehende Werkzeuge verbindlich nutzen

  • einheitliche Vorgangsnummer
  • feste Ablage
  • benannte Owner
  • dokumentierte Freigabe
  • Reviewtermin

Ergebnis: Der Vorgang lässt sich ohne neue Plattform vollständig zuordnen.

Stufe 2

Workflow führen

  • Pflichtfelder
  • Statusregeln
  • rollenbasierte Freigaben
  • automatische Erinnerungen
  • Eskalationen

Ergebnis: Unvollständige Vorgänge werden sichtbar und Fristen werden aktiv nachgehalten.

Stufe 3

Systeme verbinden

  • Stammdatenübernahme
  • Übergaben
  • Umsetzungsrückmeldung
  • Fristen
  • gemeinsame Auswertung

Ergebnis: Weniger manuelle Übertragung und geringeres Risiko widersprüchlicher Angaben.

Der erforderliche Integrationsgrad richtet sich nach Häufigkeit, Risiko, Prozesskomplexität und Zahl der Beteiligten. Nicht jedes Unternehmen muss Stufe 3 erreichen. Ein seltener Vorgang kann mit verbindlicher Arbeitsweise auskommen. Ein häufiger oder risikoreicher Vorgang braucht mehr Führung.

9
Prüfungsperspektive

Was eine Prüfung tatsächlich sehen will

Ein bestimmtes Tool ist nicht der Prüfgegenstand. Relevant ist, ob das Unternehmen erklären und belegen kann, warum der Vorgang begonnen hat, wer zuständig war, welche Daten vorlagen, wer entschieden hat, was tatsächlich umgesetzt wurde, wie Abweichungen behandelt wurden und ob offene Punkte erneut geprüft wurden.

Das BSIG schreibt kein bestimmtes Ticketsystem, IAM oder GRC-Produkt vor. Die Organisation muss jedoch zeigen können, wie relevante Entscheidungen umgesetzt, dokumentiert und erneut geprüft werden.

Übertragung

Drei weitere Vorgänge folgen derselben Logik

Lieferant mit Systemzugriff

Einkauf, Vertrag, Ticket, IAM, Fernzugang, Nachweisablage und Wiedervorlage halten Zweck, Umfang, Freigabe, Authentifizierung, Laufzeit, Logging, Meldeweg und Review zusammen.

Lieferantenzugriff ansehen →

Patch-Ausnahme

Schwachstellenscanner, Ticket, Assetdaten, Entscheidungs­ablage, Change Management und Wiedervorlage verbinden Schwachstelle, Begründung, Maßnahme, Owner, Freigabe und neues Datum.

Patch Management ansehen →

Sicherheitsvorfall und Meldebewertung

Monitoring, Incident-Ticket, Vorfalldokumentation, Meldebewertung, Kommunikationsweg und Wiedervorlage verbinden Kenntniszeitpunkt, Lagebild, Wirkung, Entscheidung und Meldestatus.

Meldebewertung ansehen →
Überleitung zu Teil 4

Sind Vorgang und Systeme verbunden, bleibt eine zweite Frage: An welchen Stellen darf der Prozess weiterlaufen, und wann braucht er Prüfung, Entscheidung oder Eskalation? Diese Frage behandelt der nächste Beitrag.

Häufige Fragen
Benötigt werden Funktionen für Vorgangserfassung, Datenbezug, Entscheidung, technische Rückmeldung, Belegzuordnung und Review. Diese Funktionen können auf vorhandene Systeme verteilt sein, sofern eine eindeutige Referenz sie verbindet.
Eine neue Plattform ist nicht automatisch erforderlich. Bestehende Systeme können den Einstieg tragen, wenn klar geregelt ist, welches System den Vorgang führt und wie Entscheidungen, Umsetzungen und Reviews zugeordnet werden.
Das führende System hält Vorgangsnummer, Owner, Status, Frist, Entscheidung und offene Punkte. Stammdaten und technische Umsetzung dürfen in anderen Systemen liegen, müssen aber eindeutig auf den Vorgang verweisen.
Durch eine eindeutige Vorgangsnummer, gemeinsame Referenzen, Links, Zeitstempel und benannte Owner. Bei höherem Volumen können automatische Übergaben und Statusrückmeldungen hinzukommen.
Eine Ablage speichert einzelne Dateien. Die Vorgangsspur verbindet Anlass, Antrag, Entscheidung, Umsetzung, Ausnahme, Belege und Review, sodass der Vorgang später ohne Rekonstruktion erklärt werden kann.