Eingerichtet ist
nicht wirksam.
§30 BSIG erwartet, dass Sicherheitsmaßnahmen im Betrieb funktionieren — nicht nur auf dem Papier existieren. Und dass das nachweisbar ist. Wirksamkeit ist kein Beschluss, den man einmal fasst, sondern ein Stand, den man führt.
MFA läuft. Backup läuft. Review und Freigabe der Geschäftsführung noch offen.
Viele Unternehmen haben Maßnahmen eingerichtet. Was oftmals fehlt, ist der Nachweis, dass diese Maßnahmen im Betrieb gelebt werden und funktionieren. Ob das MFA-System wirklich von allen genutzt wird. Ob das Backup im letzten Test erfolgreich wiederhergestellt werden konnte. Ob der IT-Dienstleister die vereinbarten Leistungen — zum Beispiel im Bereich Security — erbringt.
Eine Wiedervorlage ist noch kein Nachweis
Viele führen Wirksamkeit als Erinnerung an sich selbst — eine Outlook-Wiedervorlage mit dem Titel „Prüfung Lieferantenzugriffe". Die schiebt den Termin nach vorn. Sie hält aber nicht fest, was bewertet wurde, von wem, mit welchem Ergebnis und was daraufhin beschlossen wurde. Genau das ist der Unterschied zwischen einem Termin und einem Nachweis.
Erinnert daran, dass etwas zu prüfen ist. Kein Ergebnis, keine Rolle, kein Beschluss. Beim nächsten Mal beginnt die Frage von vorn.
Wann bewertet, von wem, mit welchem Ergebnis — und welche Entscheidung folgte. Der Stand bleibt nachvollziehbar, auch ein Jahr später und auch für eine Prüfung.
Wo §30 BSIG ansetzt
Die Anforderung aus §30 BSIG lässt sich in drei Stufen beschreiben. Nur Stufe 3 ist ein belastbarer Nachweis:
Wirksamkeit liegt in der engen Beobachtung und Steuerung
§30 BSIG schreibt keinen festen Review-Intervall vor. Was erwartet wird: eine regelmäßige Bewertung der Restrisiken und der Angemessenheit der Maßnahmen — in Anwesenheit aller verantwortlichen Rollen wie ISB, Geschäftsführung, CISO oder IT-Leitung. Das Review-Ergebnis wird als Beschluss festgehalten, auch wenn keine Anpassung nötig ist.
Bewertung geplant
Der Review-Termin steht im Kalender — unabhängig vom Tagesgeschäft. Kritische Maßnahmen werden häufiger bewertet als unkritische.
Alle Beteiligten eingebunden
IT, zuständige Fachbereiche und Geschäftsführung sitzen zusammen. Die Verantwortung dafür liegt bei der Leitung. §38 BSIG macht das eindeutig.
Ergebnis dokumentiert entschieden
Funktioniert die Maßnahme? Wenn ja: weiter so, dokumentiert. Wenn nein: was wird angepasst, bis wann, wer verantwortet das. Beides ist ein Beschluss.
Auch wenn ein IT-Dienstleister Maßnahmen umsetzt: Die Bewertung, ob die Leistung das Sicherheitsziel erfüllt, liegt im Unternehmen. Wer das nicht regelmäßig bewertet, hat einen Vertrag — aber keinen Nachweis, dass die ausgelagerte Leistung wirkt.
Vom verstreuten Stand zum geführten Stand
Der Unterschied liegt nicht in mehr Aufwand, sondern in der Form. Dieselben Bewertungen, aber an einem Ort, mit Datum, Rolle, Ergebnis und Beschluss — statt verteilt über Mails, PDFs und Erinnerungen.
Maßnahmen mit Status statt einer offenen Liste
Wer im Arbeitsplatz arbeitet, gibt jeder Maßnahme einen Stand: bewertet, mit Beschluss, mit nächster Wiedervorlage. Was offen ist, wird sichtbar — was erledigt ist, bleibt belegt. Die folgende Darstellung zeigt, wie ein solcher Stand aussehen kann.
Wie oft ist ein Review erforderlich?
Es gibt keine gesetzliche Mindestfrequenz. Maßgeblich ist das Risiko der Maßnahme:
MFA / Zugriffsrechte: Bei jedem Personalwechsel, bei neuen Admin-Zugängen, mindestens quartalsweise.
Backup: Wiederherstellungstest nach jeder Systemänderung, mindestens jährlich mit dokumentiertem Ergebnis.
IT-Dienstleister: Beim Vertragsreview, nach Sicherheitsvorfällen, regelmäßig anhand vereinbarter Leistungsberichte.
Befassung der Geschäftsführung: Jährliche Wiedervorlage, nach wesentlichen Änderungen in der Risikolage oder nach einem erheblichen Vorfall.
Wirksamkeit entsteht nicht durch Beschluss — sondern durch Bewertung.
Diese Verantwortung liegt nicht nur in der IT. Nach §38 BSIG liegt sie bei der Geschäftsführung — dokumentiert, regelmäßig erneuert, nachweisbar. Besonders sichtbar wird Wirksamkeit bei offenen Schwachstellen: Wurde die Ausnahme überprüft, die kompensierende Maßnahme umgesetzt und die Wiedervorlage eingehalten? Vertiefung: NIS2 Patch Management und offene Restrisiken einordnen. Für Herkunft, Versionierung und Freigabe hilft der Praxisleitfaden, Wirksamkeitsnachweise belastbar zu führen.
Maßnahmenstand strukturiert führen
Im Arbeitsplatz lassen sich vorhandene Maßnahmen, Review-Termine und Entscheidungen geordnet festhalten — als Grundlage für den internen Review und für externe Anfragen. Aus einer offenen Liste wird ein nachvollziehbarer Stand.
Wirksamkeit ist nicht nur eine technische Prüffrage. Bei wesentlichen Risiken, offenen Maßnahmen oder kritischen Ausnahmen braucht die Geschäftsleitung eine dokumentierte Befassung mit Entscheidung und Wiedervorlage. Ein Incident-Prozess ist zudem erst dann belastbar, wenn Meldewege, Rollen, Zeitstempel und Folgemeldung im Ereignisfall funktionieren.