Maßnahmen
Technische und organisatorische Maßnahmen (TOMs) zur Umsetzung von Kontrollen
Eine Kontrolle definiert was erreicht werden soll – eine Anforderung aus einem Framework wie ISO 27001 oder NIS2. Eine Maßnahme beschreibt wie du diese Anforderung konkret umsetzt.
Diese Trennung ist zentral für ein funktionierendes ISMS: Kontrollen bleiben stabil (sie kommen aus dem Framework), während Maßnahmen sich ändern können (wenn du die Umsetzung anpasst).
Für ISO 27001-Berater
In der deutschen Übersetzung der ISO 27001 werden Annex A Items oft als "Maßnahmen" bezeichnet. Kopexa unterscheidet präziser:
- Kontrolle = Die Anforderung aus Annex A (z.B. A.9.4.2 "Secure log-on procedures")
- Maßnahme = Deine technische/organisatorische Umsetzung (z.B. "Azure AD mit MFA")
Diese Trennung ermöglicht: Eine Kontrolle kann mehrere Maßnahmen haben, eine Maßnahme kann mehrere Kontrollen erfüllen (cross-framework). Das entspricht dem Aufbau des Statement of Applicability (SoA).
Kontrolle vs. Maßnahme
| Kontrolle | Maßnahme | |
|---|---|---|
| Fragt | Was muss erfüllt werden? | Wie setzen wir es um? |
| Quelle | Framework (ISO 27001, NIS2, etc.) | Dein Unternehmen |
| Beispiel | "Zugriff auf Systeme muss kontrolliert werden" | "Wir nutzen Azure AD mit MFA und rollenbasierter Zugriffskontrolle" |
| Änderungshäufigkeit | Selten (nur bei Framework-Updates) | Häufiger (bei Technologie- oder Prozessänderungen) |
Warum diese Trennung?
1. Audits werden einfacher
Der Auditor fragt: "Wie erfüllen Sie A.9.2.1?" Du zeigst die Maßnahme mit allen Nachweise. Die Verbindung zwischen Anforderung und Umsetzung ist dokumentiert.
2. Wiederverwendung über Frameworks
Eine Maßnahme kann mehrere Kontrollen aus verschiedenen Frameworks erfüllen:
| Maßnahme | Erfüllt |
|---|---|
| Azure AD mit MFA | ISO 27001 A.9.4.2, NIS2 Art. 21(2)(i), TISAX 3.2.1 |
| Zentrales Patch-Management | ISO 27001 A.12.6.1, NIS2 Art. 21(2)(e), BSI C5 OPS-04 |
| Verschlüsselte Backups | ISO 27001 A.12.3.1, DSGVO Art. 32(1)(c) |
Du dokumentierst die Maßnahme einmal. Kopexa verknüpft sie mit allen relevanten Kontrollen.
3. Änderungen sind nachvollziehbar
Wenn du die Maßnahme änderst (z.B. von Azure AD auf Okta wechselst), aktualisierst du eine Stelle. Alle verknüpften Kontrollen sehen die neue Maßnahme.
ISO 27001: Mapping zum Statement of Applicability
Das Statement of Applicability (SoA) ist das zentrale Dokument für ISO 27001. Es listet alle Annex A Kontrollen und dokumentiert:
- Ist die Kontrolle anwendbar? (Ja/Nein + Begründung)
- Wie wird es umgesetzt? (Verweis auf Maßnahmen)
So bildet Kopexa das SoA ab:
| SoA-Spalte | Kopexa-Entsprechung |
|---|---|
| Kontroll-ID (A.9.4.2) | Kontrolle in Kopexa |
| Anwendbar? | Kontroll-Status: FULFILLED oder OUT_OF_SCOPE |
| Begründung bei Nicht-Anwendbarkeit | Kontroll-Beschreibung / Notizen |
| Umsetzung | Verknüpfte Maßnahme(n) |
| Nachweis | Nachweise der Maßnahme |
Kopexa generiert dein SoA automatisch aus den Kontroll-Maßnahmen-Verknüpfungen. Kein manuelles Excel-Pflegen mehr.
Audit-Workflow mit Kopexa
Stage 1 (Dokumentenprüfung):
- Auditor prüft: Sind alle Annex A Kontrollen adressiert?
- Kopexa zeigt: Kontroll-Liste mit Status
FULFILLED/OUT_OF_SCOPE
Stage 2 (Implementierungsprüfung):
- Auditor fragt: "Zeigen Sie mir A.9.4.2"
- Du öffnest die Kontrolle → siehst die Maßnahme → zeigst die Nachweise
Surveillance Audit:
- Auditor prüft Stichproben
- Kopexa zeigt: Aktuelle Nachweise mit Zeitstempel
Aufbau einer Maßnahme
Titel
Kurz und prägnant. Beschreibt die Maßnahme auf einen Blick.
- ✓ "Azure AD mit MFA"
- ✓ "Quartalsweiser Access Review"
- ✓ "TLS 1.3 für externe Verbindungen"
- ✗ "Azure AD mit MFA, Passwort-Policy 12 Zeichen, Conditional Access, Session Timeout 30 Min" (zu detailliert)
Beschreibung
Hier gehört das Detail hin:
- Was genau ist implementiert?
- Welche technischen Parameter?
- Welche Prozesse?
- Wer ist verantwortlich?
Beispiel:
Alle Mitarbeiter authentifizieren sich über Azure AD mit verpflichtender MFA (Microsoft Authenticator oder FIDO2-Key). Conditional Access Policies erzwingen MFA für alle Anwendungen außerhalb des Firmennetzwerks. Session-Timeout nach 30 Minuten Inaktivität. Passwort-Policy: mindestens 12 Zeichen, keine Wiederverwendung der letzten 10 Passwörter.
Status
Der Status einer Maßnahme wird automatisch aus den verknüpften Nachweisen und offenen Aufgaben abgeleitet. Du setzt ihn nicht manuell. Damit spiegelt der Status immer den realen Wirksamkeitszustand wider, ohne dass jemand ihn nachpflegen muss.
| Status | Bedeutung | Wann |
|---|---|---|
| Wirksam | Maßnahme ist nachweislich wirksam | Alle verknüpften Nachweise haben den Status Bestanden und keine verknüpfte offene Aufgabe ist überfällig |
| Eingeschränkt wirksam | Maßnahme ist teilweise wirksam | Mindestens ein verknüpfter Nachweis ist nicht Bestanden, oder eine verknüpfte offene Aufgabe ist seit mehr als 30 Tagen überfällig |
| Nicht wirksam | Maßnahme ist nicht wirksam (auch Default für neue Maßnahmen) | Es liegen keine Nachweise vor |
| Archiviert | Maßnahme wurde stillgelegt | Manuell archiviert. Wird in Kontroll- und Trust-Center-Aggregaten ignoriert |
Wann eine Aufgabe als überfällig zählt
Eine offene Aufgabe zieht eine ansonsten wirksame Maßnahme auf Eingeschränkt wirksam, wenn:
- sie mit der Maßnahme verknüpft ist
- ein Fälligkeitsdatum gesetzt ist
- das Fälligkeitsdatum mehr als 30 Tage in der Vergangenheit liegt
- sie noch nicht abgeschlossen ist (Status-Gruppe ist nicht Erledigt oder Abgebrochen)
Sobald du die Aufgabe schließt oder das Fälligkeitsdatum verlängerst, fällt die Maßnahme zurück auf den nachweisbasierten Status.
Wann läuft die Statusberechnung?
Der Maßnahmen-Status wird neu berechnet, sobald sich etwas Relevantes ändert:
- Du änderst die Maßnahme selbst (Status, verknüpfte Nachweise, Aufgaben, Kontrollen)
- Ein verknüpfter Nachweis wechselt den Status (z. B. Bestanden → Nicht bestanden)
- Eine verknüpfte Aufgabe wird angefasst (Fälligkeitsdatum verschoben, Aufgabe geschlossen)
- Ein Dokument wird archiviert (wirkt auf die daran hängenden Nachweise)
Zusätzlich läuft einmal täglich eine automatische Überprüfung im Hintergrund, die alle aktiven Maßnahmen neu bewertet. So werden auch rein zeitgetriebene Wechsel erkannt, zum Beispiel „eine verknüpfte Aufgabe ist gerade über die 30-Tage-Schwelle gerutscht", ohne dass jemand die Aufgabe noch einmal anfassen muss.
Trust Center
Im Trust Center werden ausschließlich Maßnahmen mit Status Wirksam angezeigt. Eingeschränkt wirksame und nicht wirksame Maßnahmen tauchen dort nicht auf.
Verantwortliche:r
Die Person, die für die Maßnahme verantwortlich ist. Bei technischen Maßnahmen oft jemand aus der IT, bei organisatorischen Maßnahmen oft der Prozessverantwortliche.
Nachweise
Nachweise, dass die Maßnahme umgesetzt ist und funktioniert:
| Typ | Beispiele |
|---|---|
| Technisch | Screenshots, Konfigurationsdateien, Logs, Scan-Reports |
| Dokumentarisch | Policies, Prozessbeschreibungen, Arbeitsanweisungen |
| Prüfberichte | Audit-Reports, Penetration-Test-Ergebnisse |
Maßnahme anlegen
- Öffne einen Kontrolle
- Gehe zum Tab Maßnahmen
- Klicke Neue Maßnahme
- Fülle aus:
- Titel: Kurze Beschreibung
- Beschreibung: Technische und organisatorische Details
- Verantwortliche:r: Person, die für die Maßnahme zuständig ist
- Klicke Erstellen
Die neue Maßnahme startet mit Status Nicht wirksam. Sobald du Nachweise verknüpfst, schaltet der Status automatisch um.
Die Maßnahme ist jetzt mit der Kontrolle verknüpft.
Maßnahme mit mehreren Kontrollen verknüpfen
Eine Maßnahme kann mehrere Kontrollen erfüllen. Das ist der Normalfall – die meisten technischen Maßnahmen adressieren Anforderungen aus verschiedenen Frameworks.
- Öffne die Maßnahme
- Gehe zum Tab Verknüpfte Kontrollen
- Klicke Kontrolle verknüpfen
- Suche nach der Kontrolle (z.B. "A.9.4.2" oder "access")
- Wähle die Kontrolle aus
- Klicke Verknüpfen
Wiederhole für alle relevanten Kontrollen.
Wenn du ein Framework aktivierst, das ähnliche Anforderungen hat wie ein bereits aktives Framework, schlägt Kopexa automatisch vor, bestehende Maßnahmen zu verknüpfen.
Maßnahme von Risiko aus verknüpfen
Maßnahmen können auch direkt mit Risiken verknüpft werden. Das ist sinnvoll, wenn eine Maßnahme ein spezifisches Risiko adressiert, auch wenn kein Framework-Kontrolle existiert.
- Öffne das Risiko
- Gehe zum Tab Maßnahmen
- Klicke Maßnahme verknüpfen oder Neue Maßnahme
Der Zusammenhang Risiko → Maßnahme → Nachweis ist damit dokumentiert.
Nachweise hinzufügen
Nachweise gehören zur Maßnahme, nicht zum Kontrolle. Das ergibt Sinn: Du weist nach, dass die Maßnahme umgesetzt ist – nicht, dass eine Kontrolle existiert.
- Öffne die Maßnahme
- Gehe zum Tab Nachweise
- Klicke Nachweis hinzufügen
- Wähle eine Datei oder erstelle einen Text-Eintrag
- Füge eine Beschreibung hinzu (was zeigt diese Nachweis?)
- Klicke Hochladen
Nachweise werden versioniert. Wenn du eine neue Version hochlädst, bleibt die alte erhalten. Bei Audits kannst du zeigen, wie sich der Nachweis über die Zeit entwickelt hat.
Best Practices
Granularität richtig wählen
Eine Maßnahme pro logische Einheit. Nicht zu grob, nicht zu fein.
Zu grob:
"IT-Sicherheit" – Sagt nichts aus, kann nicht bewertet werden
Zu fein:
"Firewall-Regel für Port 443 auf Server X" – Zu detailliert, führt zu hunderten Maßnahmen
Richtig:
"Perimeter-Firewall mit Default-Deny" – Beschreibt eine konkrete Maßnahme, die bewertet und nachgewiesen werden kann
Keine Doppelungen
Wenn du feststellst, dass du dieselbe Maßnahme zweimal beschreibst, lösche eine und verknüpfe die andere mit beiden Kontrollen.
Nachweise aktuell halten
Alte Screenshots oder Reports verlieren an Aussagekraft. Plane regelmäßige Aktualisierungen:
- Technische Nachweise: Bei jedem Change oder mindestens jährlich
- Dokumentarische Nachweise: Bei Dokumentenänderung
- Prüfberichte: Nach jedem Audit oder Test
Verantwortliche:n aktiv halten
Die verantwortliche Person ist zuständig für:
- Aktualität der Beschreibung
- Vollständigkeit und Aktualität der Nachweise (daraus leitet sich der Status automatisch ab)
- Reaktion auf überfällige verknüpfte Aufgaben, bevor sie die Maßnahme degradieren
Wenn die verantwortliche Person das Unternehmen verlässt, sofort neu zuweisen.
Zusammenhang im Überblick
Eine Maßnahme kann:
- Mehrere Kontrollen erfüllen (aus verschiedenen Frameworks)
- Mehrere Risiken adressieren
- Mehrere Nachweise haben
Die Nachweise hängen an der Maßnahme. Wenn eine Auditorin eine Kontrolle prüft, sieht sie die verknüpfte Maßnahme und deren Nachweise.
Nachweis-Lebenszyklus
In Kopexa hängen Nachweise oft an Dokumenten, die selbst einen Lebenszyklus haben (Status, Überprüfung, Versionierung). Dieser Dokument-Lebenszyklus beeinflusst den Nachweis-Status automatisch.
Nachweis-Status
| Status | Bedeutung | Typische Ursache |
|---|---|---|
| Ausstehend | Nachweis ist angelegt, aber noch nicht geprüft | Neu erstellt |
| Handlung erforderlich | Unterliegendes Dokument ist in Überprüfung oder abgelaufen | Dokument abgelaufen / Überprüfung fällig |
| Bestanden | Nachweis ist gültig und freigegeben | Dokument veröffentlicht und freigegeben |
| Nicht bestanden | Nachweis ist ungültig | Dokument widerrufen, gelöscht oder Überprüfung nicht erfolgreich |
Wirkungskette
Beispiel
- Eine Richtlinie (Dokument) läuft in den jährlichen Überprüfungszyklus.
- Das Dokument springt auf den Status „Überprüfung erforderlich".
- Alle Nachweise, die auf dieser Richtlinie basieren, wechseln automatisch auf „Handlung erforderlich".
- Die betroffenen Maßnahmen fallen auf „Eingeschränkt wirksam" oder „Nicht wirksam".
- Die zugehörigen Kontrollen schalten von „Umgesetzt" auf „Teilweise umgesetzt".
So entsteht eine durchgehende Kette: Dokument → Nachweis → Maßnahme → Kontrolle.
Sonderfall: Dokument archivieren
Wenn du ein Dokument archivierst, werden alle daran hängenden Nachweise automatisch gelöscht. Stellst du das Dokument später wieder her, kommen die Nachweise nicht zurück. Die betroffenen Maßnahmen werden sofort neu bewertet und fallen typischerweise auf Nicht wirksam, wenn kein anderer Nachweis übrig ist.
Der Archivierungs-Dialog im Frontend weist explizit auf diese Konsequenz hin.