← Übersicht
Khosla·Compliance
§30 BSIG · Wirksamkeit
Das Problem

MFA läuft. Backup läuft. Review und Freigabe der Geschäftsführung noch offen.

Viele Unternehmen haben Maßnahmen eingerichtet. Was oftmals fehlt, ist der Nachweis, dass diese Maßnahmen im Betrieb gelebt werden und funktionieren. Ob das MFA-System wirklich von allen genutzt wird. Ob das Backup im letzten Test erfolgreich wiederhergestellt werden konnte. Ob der IT-Dienstleister die vereinbarten Leistungen — zum Beispiel im Bereich Security — erbringt.

Der Unterschied

Eine Wiedervorlage ist noch kein Nachweis

Viele führen Wirksamkeit als Erinnerung an sich selbst — eine Outlook-Wiedervorlage mit dem Titel „Prüfung Lieferantenzugriffe". Die schiebt den Termin nach vorn. Sie hält aber nicht fest, was bewertet wurde, von wem, mit welchem Ergebnis und was daraufhin beschlossen wurde. Genau das ist der Unterschied zwischen einem Termin und einem Nachweis.

Termin
Wiedervorlage in Outlook

Erinnert daran, dass etwas zu prüfen ist. Kein Ergebnis, keine Rolle, kein Beschluss. Beim nächsten Mal beginnt die Frage von vorn.

Nachweis
Geführter Stand im Arbeitsplatz

Wann bewertet, von wem, mit welchem Ergebnis — und welche Entscheidung folgte. Der Stand bleibt nachvollziehbar, auch ein Jahr später und auch für eine Prüfung.

§30 BSIG · Drei Stufen

Wo §30 BSIG ansetzt

Die Anforderung aus §30 BSIG lässt sich in drei Stufen beschreiben. Nur Stufe 3 ist ein belastbarer Nachweis:

Stufe 1
Vorhanden
Eingerichtet oder beschlossen. Kein Nachweis über Funktion im Betrieb.
Stufe 2
Angewendet
Wird genutzt. Noch kein Nachweis, ob die Maßnahme das Sicherheitsziel im Betrieb tatsächlich erfüllt.
Stufe 3 · Ziel
Wirksam nachgewiesen
Wann bewertet, von wem, mit welchem Ergebnis — und was daraufhin beschlossen wurde. Das ist der Nachweis nach §30 BSIG.
Operative Erwartung

Wirksamkeit liegt in der engen Beobachtung und Steuerung

§30 BSIG schreibt keinen festen Review-Intervall vor. Was erwartet wird: eine regelmäßige Bewertung der Restrisiken und der Angemessenheit der Maßnahmen — in Anwesenheit aller verantwortlichen Rollen wie ISB, Geschäftsführung, CISO oder IT-Leitung. Das Review-Ergebnis wird als Beschluss festgehalten, auch wenn keine Anpassung nötig ist.

1

Bewertung geplant

Der Review-Termin steht im Kalender — unabhängig vom Tagesgeschäft. Kritische Maßnahmen werden häufiger bewertet als unkritische.

2

Alle Beteiligten eingebunden

IT, zuständige Fachbereiche und Geschäftsführung sitzen zusammen. Die Verantwortung dafür liegt bei der Leitung. §38 BSIG macht das eindeutig.

3

Ergebnis dokumentiert entschieden

Funktioniert die Maßnahme? Wenn ja: weiter so, dokumentiert. Wenn nein: was wird angepasst, bis wann, wer verantwortet das. Beides ist ein Beschluss.

Outsourcing ändert das nicht

Auch wenn ein IT-Dienstleister Maßnahmen umsetzt: Die Bewertung, ob die Leistung das Sicherheitsziel erfüllt, liegt im Unternehmen. Wer das nicht regelmäßig bewertet, hat einen Vertrag — aber keinen Nachweis, dass die ausgelagerte Leistung wirkt.

Was sich ändert

Vom verstreuten Stand zum geführten Stand

Der Unterschied liegt nicht in mehr Aufwand, sondern in der Form. Dieselben Bewertungen, aber an einem Ort, mit Datum, Rolle, Ergebnis und Beschluss — statt verteilt über Mails, PDFs und Erinnerungen.

Vorher · verstreut
×Review-Termin als Mail an sich selbst
×Ergebnis im Kopf oder in einem Protokoll-PDF
×Beschluss mündlich, nicht festgehalten
×Bei der nächsten Prüfung: Suche beginnt von vorn
Nachher · geführt
Bewertung terminiert, risikoorientiert getaktet
Ergebnis dokumentiert: wann, von wem, womit
Beschluss festgehalten, Wiedervorlage gesetzt
Stand bleibt nachvollziehbar, auch ein Jahr später
Zielbild · so kann Ihr Stand aussehen

Maßnahmen mit Status statt einer offenen Liste

Wer im Arbeitsplatz arbeitet, gibt jeder Maßnahme einen Stand: bewertet, mit Beschluss, mit nächster Wiedervorlage. Was offen ist, wird sichtbar — was erledigt ist, bleibt belegt. Die folgende Darstellung zeigt, wie ein solcher Stand aussehen kann.

Maßnahmenstand · §30 BSIG Beispiel
Mehr-Faktor-Authentisierung
Bewertet 14.04. · ISB · Beschluss: weiterführen
Wirksam · belegt
Backup & Wiederherstellung
Wiederherstellungstest 02.03. · erfolgreich
Wirksam · belegt
Zugriffe IT-Dienstleister
Letzte Bewertung Q3 · Wiedervorlage fällig
Review fällig
Veranschaulichendes Beispiel — keine Auswertung Ihrer Daten. Werte frei gewählt.
Praxisfrage · Review-Rhythmus

Wie oft ist ein Review erforderlich?

Es gibt keine gesetzliche Mindestfrequenz. Maßgeblich ist das Risiko der Maßnahme:

MFA / Zugriffsrechte: Bei jedem Personalwechsel, bei neuen Admin-Zugängen, mindestens quartalsweise.

Backup: Wiederherstellungstest nach jeder Systemänderung, mindestens jährlich mit dokumentiertem Ergebnis.

IT-Dienstleister: Beim Vertragsreview, nach Sicherheitsvorfällen, regelmäßig anhand vereinbarter Leistungsberichte.

Befassung der Geschäftsführung: Jährliche Wiedervorlage, nach wesentlichen Änderungen in der Risikolage oder nach einem erheblichen Vorfall.

Von der Erwartung zum Nachweis

Wirksamkeit entsteht nicht durch Beschluss — sondern durch Bewertung.

Diese Verantwortung liegt nicht nur in der IT. Nach §38 BSIG liegt sie bei der Geschäftsführung — dokumentiert, regelmäßig erneuert, nachweisbar. Besonders sichtbar wird Wirksamkeit bei offenen Schwachstellen: Wurde die Ausnahme überprüft, die kompensierende Maßnahme umgesetzt und die Wiedervorlage eingehalten? Vertiefung: NIS2 Patch Management und offene Restrisiken einordnen. Für Herkunft, Versionierung und Freigabe hilft der Praxisleitfaden, Wirksamkeitsnachweise belastbar zu führen.

Maßnahmenstand strukturiert führen

Im Arbeitsplatz lassen sich vorhandene Maßnahmen, Review-Termine und Entscheidungen geordnet festhalten — als Grundlage für den internen Review und für externe Anfragen. Aus einer offenen Liste wird ein nachvollziehbarer Stand.

Wirksamkeit ist nicht nur eine technische Prüffrage. Bei wesentlichen Risiken, offenen Maßnahmen oder kritischen Ausnahmen braucht die Geschäftsleitung eine dokumentierte Befassung mit Entscheidung und Wiedervorlage. Ein Incident-Prozess ist zudem erst dann belastbar, wenn Meldewege, Rollen, Zeitstempel und Folgemeldung im Ereignisfall funktionieren.

Weiter im Pfad