Was bedeutet Wirksamkeit nach §30 BSIG?

Eine Maßnahme ist wirksam, wenn sie nicht nur eingerichtet ist, sondern im Betrieb funktioniert, regelmäßig bewertet wird und bei Abweichungen angepasst wird. Das Ergebnis jedes Reviews muss dokumentiert sein — einschließlich der Entscheidung, ob die Maßnahme weitergeführt, angepasst oder ersetzt wird.

Wie oft müssen Sicherheitsmaßnahmen nach §30 BSIG bewertet werden?

§30 BSIG schreibt kein festes Intervall vor. Maßgeblich ist, dass Reviews geplant, durchgeführt und dokumentiert werden — mit einer risikoorientierten Frequenz. Kritische Maßnahmen werden häufiger bewertet als unkritische.

Wer ist für die Wirksamkeit von Sicherheitsmaßnahmen verantwortlich?

Die Verantwortung liegt nach §38 BSIG bei der Geschäftsführung. Sie muss nicht die technische Umsetzung kennen — aber sicherstellen, dass Maßnahmen funktionieren, bewertet werden und dass Abweichungen zu dokumentierten Entscheidungen führen.

Wirksamkeit & Review

Das Problem

MFA läuft. Backup läuft. Review und GF-Freigabe noch offen.

Viele Unternehmen haben Maßnahmen eingerichtet. Was oftmals fehlt, ist der Nachweis, dass diese Maßnahmen im Betrieb gelebt werden und funktionieren. Ob das MFA-System wirklich von allen genutzt wird. Ob das Backup im letzten Test erfolgreich wiederhergestellt werden konnte. Ob der IT-Dienstleister die vereinbarten Leistungen — zum Beispiel im Bereich Security — erbringt.

§30 BSIG · Drei Stufen

Wo §30 BSIG ansetzt

Die Anforderung aus §30 BSIG lässt sich in drei Stufen beschreiben. Nur Stufe 3 ist ein belastbarer Nachweis:

Stufe 1

Vorhanden

Eingerichtet oder beschlossen. Kein Nachweis über Funktion im Betrieb.

Stufe 2

Angewendet

Wird genutzt. Noch kein Nachweis, ob die Maßnahme das Sicherheitsziel im Betrieb tatsächlich erfüllt.

Stufe 3 · Ziel

Wirksam nachgewiesen

Wann bewertet, von wem, mit welchem Ergebnis — und was daraufhin beschlossen wurde. Das ist der Nachweis nach §30 BSIG.

Operative Erwartung

Wirksamkeit liegt in der engen Beobachtung und Steuerung

§30 BSIG schreibt keinen festen Review-Intervall vor. Was erwartet wird: eine regelmäßige Bewertung der Restrisiken und der Angemessenheit der Maßnahmen — in Anwesenheit aller verantwortlichen Rollen wie ISB, Geschäftsführung, CISO oder IT-Leitung. Das Review-Ergebnis wird als Beschluss festgehalten, auch wenn keine Anpassung nötig ist.

1

Bewertung geplant

Der Review-Termin steht im Kalender — unabhängig vom Tagesgeschäft. Kritische Maßnahmen werden häufiger bewertet als unkritische.

2

Alle Beteiligten eingebunden

IT, zuständige Fachbereiche und Geschäftsführung sitzen zusammen. Das ist kein IT-Thema allein — es ist ein Führungsthema. §38 BSIG macht das eindeutig.

3

Ergebnis dokumentiert entschieden

Funktioniert die Maßnahme? Wenn ja: weiter so, dokumentiert. Wenn nein: was wird angepasst, bis wann, wer verantwortet das. Beides ist ein Beschluss.

Outsourcing ändert das nicht

Auch wenn ein IT-Dienstleister Maßnahmen umsetzt: Die Bewertung, ob die Leistung das Sicherheitsziel erfüllt, liegt im Unternehmen. Wer das nicht regelmäßig bewertet, hat einen Vertrag — aber keinen Nachweis, dass die ausgelagerte Leistung wirkt.

Praxisfrage · Review-Rhythmus

Wie oft ist ein Review erforderlich?

Es gibt keine gesetzliche Mindestfrequenz. Maßgeblich ist das Risiko der Maßnahme:

MFA / Zugriffsrechte: Bei jedem Personalwechsel, bei neuen Admin-Zugängen, mindestens quartalsweise.

Backup: Wiederherstellungstest nach jeder Systemänderung, mindestens jährlich mit dokumentiertem Ergebnis.

IT-Dienstleister: Beim Vertragsreview, nach Sicherheitsvorfällen, regelmäßig anhand vereinbarter Leistungsberichte.

GF-Einbindung: Jährliche Wiedervorlage, nach wesentlichen Änderungen in der Risikolage oder nach einem erheblichen Vorfall.

Beispiel · GF-Schulung

Wann eine Schulung wirksam ist — und wann nicht

Dokumentiert allein

·Schulung wurde durchgeführt

·Teilnehmerliste liegt vor

Wirksam nachweisbar

·Ziel definiert — z.B. Awareness erhöhen

·Teilnahme dokumentiert, kurzer Wissenstest

·Ergebnis festgehalten

·Wiederholungsintervall festgelegt

Ein Nachweis zur GF-Einbindung nach §38 BSIG — mit Schulungsdokumentation und Wiederholungsplanung: GF-Haftungsnachweis ansehen →

Von der Erwartung zum Nachweis

Wirksamkeit entsteht nicht durch Beschluss — sondern durch Bewertung.

Diese Verantwortung liegt nicht nur in der IT. Nach §38 BSIG liegt sie bei der Geschäftsführung — dokumentiert, regelmäßig erneuert, nachweisbar.

Maßnahmenstand strukturiert erfassen

Das Maßnahmenpaket hilft, vorhandene Maßnahmen, Review-Termine und Entscheidungen geordnet festzuhalten — als Grundlage für den internen Review und für externe Anfragen.

Maßnahmenpaket ansehen → GF-Verantwortung nach §38 BSIG →