Welche Systeme gelebte Compliance tragen
Wie Freigabe, Umsetzung und Review über mehrere Systeme verbunden bleiben
Ein neuer Mitarbeiter startet. HR kennt Rolle und Eintrittsdatum. Das Ticketsystem kennt den Auftrag. Der Systemowner hat den Zugriff per E-Mail freigegeben. Das IAM kennt die tatsächlich vergebenen Rechte. Die Lernplattform hält den Schulungsnachweis. Für den Access Review existiert kein verbindlicher Termin. Jede Information ist vorhanden. Der vollständige Vorgang lässt sich trotzdem nur durch erneutes Zusammensuchen erklären.
HR meldet. Der Vorgesetzte begründet. Der Systemowner entscheidet. IT setzt um. Eine eindeutige Vorgangsreferenz hält diese Schritte zusammen.
Das Unternehmen braucht dafür nicht zwangsläufig ein neues Gesamtsystem. Es muss jedoch festlegen, welches System den Vorgang führt, welche Referenz alle Informationen verbindet, wo Entscheidungen dokumentiert werden, wie die Umsetzung zurückgemeldet wird, wo Belege liegen und wodurch die nächste Prüfung ausgelöst wird.
Ein geschlossenes Ticket belegt den technischen Abschluss. Für eine spätere Prüfung müssen zusätzlich Antrag, Freigabe, tatsächliche Rechte, Ausnahmen, Belege und Review eindeutig miteinander verbunden bleiben.
Der Vorgang aus dem Einstieg wurde vollständig durchgeführt. Antrag, Freigabe, technische Umsetzung, Ausnahme, Belege und Review gehören aber nicht automatisch eindeutig zusammen. Sie liegen in HR, Ticket, E-Mail, Verzeichnisdienst, Lernplattform und Kalender — jeweils für sich korrekt, aber ohne verbindende Klammer.
Die Leitfrage lautet daher: Wie müssen Unternehmen ihre vorhandenen Systeme verbinden, damit diese Informationen auch Monate später demselben Vorgang zugeordnet werden können?
Das Ticket ist geschlossen. Der Vorgang ist noch nicht erklärt.
Ein fachlich gestalteter Prozess beantwortet, wer was prüft, entscheidet und umsetzt. Im Betrieb verteilt sich diese Arbeit auf Rollen und Systeme. HR eröffnet den Anlass. Der Vorgesetzte ergänzt den Bedarf. Der Systemowner entscheidet. IT setzt die Freigabe um. IAM oder Verzeichnisdienst kennt das technische Ergebnis. E-Mail oder Ablage enthält Freigabe und Ausnahme. Kalender oder Aufgabenverwaltung soll den Review auslösen.
Die Informationen liegen verteilt. Die Schwierigkeit liegt häufig nicht in fehlenden Daten. Die eindeutige Verbindung zwischen Anlass, Entscheidung, Umsetzung und erneuter Prüfung fehlt.
Das Unternehmen muss einen führenden Vorgang und eine eindeutige Referenz festlegen. Danach lassen sich Daten, Entscheidungen, Rechte und Belege einem konkreten Vorgang zuordnen.
Ein System muss den Vorgang führen
Die Systemlandschaft muss nicht aus einem einzigen Werkzeug bestehen. Ein Vorgang braucht aber einen Ort, an dem Verantwortung, Status, Entscheidung und offene Punkte zusammengeführt werden. Dieses führende System hält mindestens Vorgangsnummer, Anlass, betroffene Person, Rolle, System oder Lieferant, fachlichen Owner, Status, Frist, Entscheidung, offene Punkte und nächsten Prüftermin.
Das führende Vorgangssystem muss nicht alle technischen oder fachlichen Daten selbst speichern. Es muss auf die zugehörigen Daten und Belege verweisen. Das kann ein Ticketsystem, Workflowsystem, eine Service-Management-Lösung, Lieferantenmanagement, Vorgangsakte oder der Compliance Arbeitsplatz sein.
Ein System muss nicht alle Funktionen erfüllen. Der Vorgang braucht aber eine klare Zuordnung, damit niemand nachträglich erraten muss, welche Information führend war.
Eine Referenz verbindet alle beteiligten Systeme
Mehrere Systeme erkennen denselben Vorgang nur, wenn eine gemeinsame Referenz in allen Übergaben verwendet wird. Dazu gehören eine eindeutige Vorgangsnummer, gemeinsame Personen-, Lieferanten- oder Systemreferenzen, Links zwischen Ticket, Freigabe und Beleg, Zeitstempel, benannte Owner und ein eindeutiger Reviewtermin.
Bei der Benutzeranlage enthält der HR-Datensatz die Vorgangsnummer. Das Ticket übernimmt dieselbe Referenz. Die Freigabe verweist auf das Ticket. Die IAM-Rückmeldung nennt Ticket und Person. Der Schulungsnachweis wird zugeordnet. Der Reviewtermin verweist erneut auf denselben Vorgang.
Danach liegt eine vollständige Verbindung zwischen Antrag, Freigabe, Umsetzung, Ausnahme und Review vor. Eine Prüfung kann erkennen, dass Belege und Entscheidungen tatsächlich zu derselben Berechtigung oder demselben Vorgang gehören.
Entscheidung und Umsetzung müssen zusammenpassen
Ein genehmigter Zugriff und ein tatsächlich eingerichteter Zugriff sind zwei verschiedene Informationen. Die Freigabe beschreibt beantragte Rechte, genehmigte Rechte, Auflagen, Einschränkungen, Ablaufdatum und Ausnahme. Das ausführende System meldet eingerichtetes Konto, Gruppen und Rollen, MFA-Status, Gerät, technische Einschränkungen und Umsetzungsdatum zurück.
Das führende Vorgangssystem verbindet beides. Das Unternehmen muss die technische Umsetzung an den Vorgang zurückmelden. Danach liegt ein Vergleich zwischen freigegebenem Soll und eingerichteter Berechtigung vor. Eine Prüfung kann erkennen, ob IT exakt die genehmigten Rechte eingerichtet hat oder davon abgewichen ist.
Ausnahmen und Reviews dürfen nicht in E-Mails verschwinden
Eine Ausnahme benötigt mindestens betroffene Regel oder Maßnahme, Begründung, Risikoeinordnung, kompensierende Maßnahme, entscheidende Rolle, Gültigkeitsdauer und Reviewtermin. Die Wiedervorlage benötigt Datum, Owner, Prüfanlass, erwartete Entscheidung und Eskalation bei Fristüberschreitung.
Das betrifft MFA-Ausnahmen, privilegierten Lieferantenzugriff, Patch-Verschiebungen, Zugriff auf Altsysteme oder temporäre Administratorrechte. Eine Ausnahme ohne Ablaufdatum wird leicht zum Dauerzustand. Ein Kalendereintrag ohne Vorgangsbezug erklärt später nicht, worüber entschieden werden soll.
Das Unternehmen muss Ausnahme, Gültigkeit und erneute Prüfung am Vorgang festhalten. Danach liegt eine befristete Entscheidung mit benanntem Owner und Prüftermin vor.
Die vollständige Vorgangsspur
Am Ende muss der Vorgang beantworten: Was hat ihn ausgelöst? Welche Daten lagen vor? Wer hat den Bedarf begründet? Wer hat geprüft? Wer hat entschieden? Was wurde tatsächlich umgesetzt? Welche Ausnahme bestand? Welche Belege stützen die Aussagen? Welche Punkte blieben offen? Wann wurde oder wird erneut geprüft?
Systeme tragen gelebte Compliance, wenn der Vorgang auch Monate später ohne Suche in persönlichen Postfächern erklärt werden kann. Die Vorgangsspur ist die eindeutige Verbindung von Anlass, Antrag, Entscheidung, Umsetzung, Ausnahme, Belegen und Review.
Die Systeme liefern die Fakten. Die Prüfsituation führt die Entscheidung.
Die Systemlandschaft kann Informationen aus HR-System, IAM oder Verzeichnisdienst, ITSM oder Ticketsystem, SIEM und Monitoring, Lieferantenmanagement, Vertragsablage, Schwachstellenmanagement, Dokumentenablage, Schulungsplattform, Kalender und Aufgabenverwaltung liefern. Diese Systeme bleiben für ihre jeweiligen operativen Aufgaben zuständig.
Der Compliance Arbeitsplatz ersetzt diese Systeme nicht. Er führt eine konkrete NIS2-Prüfsituation, für die Informationen aus mehreren Quellsystemen benötigt werden.
Auskunft · Meldung · Entscheidung
Es besteht keine feste Zuordnung zwischen einem Quellsystem, einem Prozess und einem Paket. Eine Kundenanfrage kann Informationen aus Lieferantenmanagement, IAM, Patch Management und Incident-Prozess benötigen. Eine Meldebewertung kann auf Monitoring, Benutzerrechten, Dienstleisterinformationen und Wiederanlaufdaten aufbauen. Eine Geschäftsführungsentscheidung kann Risiken, Ausnahmen, Maßnahmen und Wirksamkeitsprüfungen aus mehreren Bereichen zusammenführen.
Die Pakete sind situationsbezogene Zuschnitte. Sie bestimmen, welche vorhandenen Informationen für einen konkreten NIS2-Anlass benötigt, bewertet, entschieden und ausgegeben werden.
Der Compliance Arbeitsplatz ist in dieser Logik das führende System für die Prüfsituation, nicht zwangsläufig für den operativen Quellprozess. Das IAM bleibt führend für tatsächlich eingerichtete Rechte. Das ITSM bleibt führend für technische Bearbeitung. Das SIEM bleibt führend für Ereignisdaten. Der Compliance Arbeitsplatz führt die Kundenanfrage, die Meldebewertung oder die Geschäftsführungsentscheidung.
Der Compliance Arbeitsplatz muss festhalten, warum die Prüfsituation eröffnet wurde, welche Informationen angefordert wurden, aus welcher Quelle die Angaben stammen, wer die Angaben bewertet hat, welche Entscheidung getroffen wurde, welche Lücken offen bleiben, wer diese Lücken übernimmt, wann erneut geprüft wird und welches Ergebnis ausgegeben wurde.
Eine spätere Prüfung kann erkennen, welche Quellinformationen verwendet wurden, ob die Daten zum damaligen Zeitpunkt aktuell waren, wer die Bewertung vorgenommen hat, wer die Aussage oder Entscheidung freigegeben hat, welche offenen Punkte bekannt waren und welche Wiedervorlage gesetzt wurde.
Der Compliance Arbeitsplatz verweist auf die vorhandenen Belege und führt ihre Bewertung für einen konkreten Anlass zusammen. Der Praxisleitfaden zeigt, wie sich Versionen, Freigaben und Änderungen über Systeme verbinden lassen.
Ein Vorgang – mehrere Systeme – eine vollständige Spur
Die Benutzeranlage zeigt, wie Systemunterstützung funktioniert. Der Zusammenhang entsteht durch eindeutige Referenzen, gemeinsame Kennungen, Links, Zeitstempel und benannte Owner. Dafür braucht es keine technische Integrationszeichnung. Es braucht eine verbindliche Übergabe.
| Prozessschritt | Was muss das Unternehmen tun? | Was liegt danach vor? | Welches System führt es? | Was kann eine Prüfung erkennen? |
|---|---|---|---|---|
| HR meldet den Eintritt | Rolle, Organisationseinheit, Startdatum und Vorgesetzten erfassen. | Eindeutiger Anlass für Konto, Gerät und Berechtigungen. | HR-System und führendes Ticket. | Für wen und ab wann der Zugriff benötigt wurde. |
| Vorgesetzter begründet den Bedarf | Systeme, Rollen und Sonderrechte festlegen. | Fachlich begründeter Berechtigungsantrag. | Ticketsystem oder Workflow. | Warum der Zugriff zur Tätigkeit passt. |
| Systemowner entscheidet | Rechte genehmigen, ablehnen oder mit Auflage versehen. | Dokumentierte Entscheidung mit Datum und Rolle. | Workflow, Ticket oder Entscheidungsablage. | Wer auf welcher Grundlage entschieden hat. |
| IT setzt um | Konto, Gruppen, MFA und Gerät einrichten. | Dokumentierter Ist-Zustand. | IAM, Verzeichnisdienst und Geräteverwaltung. | Ob Freigabe und Umsetzung übereinstimmen. |
| Review auslösen | Termin, Owner und Prüfanlass festlegen. | Verbindliche erneute Zugriffsprüfung. | Workflow, Aufgabenverwaltung oder Compliance Arbeitsplatz. | Ob Rechte weiterhin angemessen sind. |
Das Praxisbeispiel IT-Onboarding und Zugriff dokumentieren zeigt denselben Vorgang aus der operativen Perspektive.
Vorhandene Systeme gezielt nutzen
Viele mittelständische Unternehmen haben bereits HR-System, Ticket- oder Workflowsystem, Microsoft 365 oder vergleichbare Bürosoftware, Verzeichnisdienst oder IAM, Dokumentenablage, Kalender, Aufgabenverwaltung, Schulungsplattform sowie Einkaufs- oder Lieferantensystem. Der Einstieg gelingt, wenn diese Systeme klare Aufgaben erhalten und Übergaben verbindlich gestaltet werden.
Bestehende Werkzeuge verbindlich nutzen
- einheitliche Vorgangsnummer
- feste Ablage
- benannte Owner
- dokumentierte Freigabe
- Reviewtermin
Ergebnis: Der Vorgang lässt sich ohne neue Plattform vollständig zuordnen.
Workflow führen
- Pflichtfelder
- Statusregeln
- rollenbasierte Freigaben
- automatische Erinnerungen
- Eskalationen
Ergebnis: Unvollständige Vorgänge werden sichtbar und Fristen werden aktiv nachgehalten.
Systeme verbinden
- Stammdatenübernahme
- Übergaben
- Umsetzungsrückmeldung
- Fristen
- gemeinsame Auswertung
Ergebnis: Weniger manuelle Übertragung und geringeres Risiko widersprüchlicher Angaben.
Der erforderliche Integrationsgrad richtet sich nach Häufigkeit, Risiko, Prozesskomplexität und Zahl der Beteiligten. Nicht jedes Unternehmen muss Stufe 3 erreichen. Ein seltener Vorgang kann mit verbindlicher Arbeitsweise auskommen. Ein häufiger oder risikoreicher Vorgang braucht mehr Führung.
Was eine Prüfung tatsächlich sehen will
Ein bestimmtes Tool ist nicht der Prüfgegenstand. Relevant ist, ob das Unternehmen erklären und belegen kann, warum der Vorgang begonnen hat, wer zuständig war, welche Daten vorlagen, wer entschieden hat, was tatsächlich umgesetzt wurde, wie Abweichungen behandelt wurden und ob offene Punkte erneut geprüft wurden.
Das BSIG schreibt kein bestimmtes Ticketsystem, IAM oder GRC-Produkt vor. Die Organisation muss jedoch zeigen können, wie relevante Entscheidungen umgesetzt, dokumentiert und erneut geprüft werden.
Drei weitere Vorgänge folgen derselben Logik
Lieferant mit Systemzugriff
Einkauf, Vertrag, Ticket, IAM, Fernzugang, Nachweisablage und Wiedervorlage halten Zweck, Umfang, Freigabe, Authentifizierung, Laufzeit, Logging, Meldeweg und Review zusammen.
Lieferantenzugriff ansehen →Patch-Ausnahme
Schwachstellenscanner, Ticket, Assetdaten, Entscheidungsablage, Change Management und Wiedervorlage verbinden Schwachstelle, Begründung, Maßnahme, Owner, Freigabe und neues Datum.
Patch Management ansehen →Sicherheitsvorfall und Meldebewertung
Monitoring, Incident-Ticket, Vorfalldokumentation, Meldebewertung, Kommunikationsweg und Wiedervorlage verbinden Kenntniszeitpunkt, Lagebild, Wirkung, Entscheidung und Meldestatus.
Meldebewertung ansehen →Sind Vorgang und Systeme verbunden, bleibt eine zweite Frage: An welchen Stellen darf der Prozess weiterlaufen, und wann braucht er Prüfung, Entscheidung oder Eskalation? Diese Frage behandelt der nächste Beitrag.
Von verbundenen Systemen zu wirksamen Prüfpunkten
Sind Antrag, Entscheidung und Umsetzung eindeutig verbunden, bleibt die nächste Frage: An welcher Stelle muss der Prozess stoppen, freigeben oder eskalieren? Teil 4 behandelt diese Quality Gates.