Kopexa

Maßnahmen

Technische und organisatorische Maßnahmen (TOMs) zur Umsetzung von Controls

Ein Control definiert was erreicht werden soll – eine Anforderung aus einem Framework wie ISO 27001 oder NIS2. Eine Maßnahme beschreibt wie du diese Anforderung konkret umsetzt.

Diese Trennung ist zentral für ein funktionierendes ISMS: Controls bleiben stabil (sie kommen aus dem Framework), während Maßnahmen sich ändern können (wenn du die Umsetzung anpasst).

Control vs. Maßnahme

ControlMaßnahme
FragtWas muss erfüllt werden?Wie setzen wir es um?
QuelleFramework (ISO 27001, NIS2, etc.)Dein Unternehmen
Beispiel"Zugriff auf Systeme muss kontrolliert werden""Wir nutzen Azure AD mit MFA und rollenbasierter Zugriffskontrolle"
ÄnderungshäufigkeitSelten (nur bei Framework-Updates)Häufiger (bei Technologie- oder Prozessänderungen)

Warum diese Trennung?

1. Audits werden einfacher

Der Auditor fragt: "Wie erfüllen Sie A.9.2.1?" Du zeigst die Maßnahme mit allen Evidenzen. Die Verbindung zwischen Anforderung und Umsetzung ist dokumentiert.

2. Wiederverwendung über Frameworks

Eine Maßnahme kann mehrere Controls aus verschiedenen Frameworks erfüllen:

MaßnahmeErfüllt
Azure AD mit MFAISO 27001 A.9.4.2, NIS2 Art. 21(2)(i), TISAX 3.2.1
Zentrales Patch-ManagementISO 27001 A.12.6.1, NIS2 Art. 21(2)(e), BSI C5 OPS-04
Verschlüsselte BackupsISO 27001 A.12.3.1, DSGVO Art. 32(1)(c)

Du dokumentierst die Maßnahme einmal. Kopexa verknüpft sie mit allen relevanten Controls.

3. Änderungen sind nachvollziehbar

Wenn du die Maßnahme änderst (z.B. von Azure AD auf Okta wechselst), aktualisierst du eine Stelle. Alle verknüpften Controls sehen die neue Maßnahme.

Aufbau einer Maßnahme

Titel

Kurz und prägnant. Beschreibt die Maßnahme auf einen Blick.

  • ✓ "Azure AD mit MFA"
  • ✓ "Quartalsweiser Access Review"
  • ✓ "TLS 1.3 für externe Verbindungen"
  • ✗ "Azure AD mit MFA, Passwort-Policy 12 Zeichen, Conditional Access, Session Timeout 30 Min" (zu detailliert)

Beschreibung

Hier gehört das Detail hin:

  • Was genau ist implementiert?
  • Welche technischen Parameter?
  • Welche Prozesse?
  • Wer ist verantwortlich?

Beispiel:

Alle Mitarbeiter authentifizieren sich über Azure AD mit verpflichtender MFA (Microsoft Authenticator oder FIDO2-Key). Conditional Access Policies erzwingen MFA für alle Anwendungen außerhalb des Firmennetzwerks. Session-Timeout nach 30 Minuten Inaktivität. Passwort-Policy: mindestens 12 Zeichen, keine Wiederverwendung der letzten 10 Passwörter.

Status

StatusBedeutung
GeplantMaßnahme ist definiert, aber noch nicht umgesetzt
In UmsetzungImplementierung läuft
UmgesetztMaßnahme ist aktiv
Nicht anwendbarMaßnahme wurde geprüft, ist aber für diesen Kontext nicht relevant

Owner

Die Person, die für die Maßnahme verantwortlich ist. Bei technischen Maßnahmen oft jemand aus der IT, bei organisatorischen Maßnahmen oft der Prozessverantwortliche.

Evidenzen

Nachweise, dass die Maßnahme umgesetzt ist und funktioniert:

TypBeispiele
TechnischScreenshots, Konfigurationsdateien, Logs, Scan-Reports
DokumentarischPolicies, Prozessbeschreibungen, Arbeitsanweisungen
PrüfberichteAudit-Reports, Penetration-Test-Ergebnisse

Maßnahme anlegen

  1. Öffne einen Control
  2. Gehe zum Tab Maßnahmen
  3. Klicke Neue Maßnahme
  4. Fülle aus:
    • Titel: Kurze Beschreibung
    • Beschreibung: Technische und organisatorische Details
    • Status: Aktueller Umsetzungsstand
    • Owner: Verantwortliche Person
  5. Klicke Erstellen

Die Maßnahme ist jetzt mit dem Control verknüpft.

Maßnahme mit mehreren Controls verknüpfen

Eine Maßnahme kann mehrere Controls erfüllen. Das ist der Normalfall – die meisten technischen Maßnahmen adressieren Anforderungen aus verschiedenen Frameworks.

  1. Öffne die Maßnahme
  2. Gehe zum Tab Verknüpfte Controls
  3. Klicke Control verknüpfen
  4. Suche nach dem Control (z.B. "A.9.4.2" oder "access")
  5. Wähle das Control aus
  6. Klicke Verknüpfen

Wiederhole für alle relevanten Controls.

Wenn du ein Framework aktivierst, das ähnliche Anforderungen hat wie ein bereits aktives Framework, schlägt Kopexa automatisch vor, bestehende Maßnahmen zu verknüpfen.

Maßnahme von Risiko aus verknüpfen

Maßnahmen können auch direkt mit Risiken verknüpft werden. Das ist sinnvoll, wenn eine Maßnahme ein spezifisches Risiko adressiert, auch wenn kein Framework-Control existiert.

  1. Öffne das Risiko
  2. Gehe zum Tab Maßnahmen
  3. Klicke Maßnahme verknüpfen oder Neue Maßnahme

Der Zusammenhang Risiko → Maßnahme → Evidence ist damit dokumentiert.

Evidenzen hinzufügen

Evidenzen gehören zur Maßnahme, nicht zum Control. Das ergibt Sinn: Du weist nach, dass die Maßnahme umgesetzt ist – nicht, dass ein Control existiert.

  1. Öffne die Maßnahme
  2. Gehe zum Tab Evidenzen
  3. Klicke Evidence hinzufügen
  4. Wähle eine Datei oder erstelle einen Text-Eintrag
  5. Füge eine Beschreibung hinzu (was zeigt diese Evidence?)
  6. Klicke Hochladen

Evidenzen werden versioniert. Wenn du eine neue Version hochlädst, bleibt die alte erhalten. Bei Audits kannst du zeigen, wie sich der Nachweis über die Zeit entwickelt hat.

Best Practices

Granularität richtig wählen

Eine Maßnahme pro logische Einheit. Nicht zu grob, nicht zu fein.

Zu grob:

"IT-Sicherheit" – Sagt nichts aus, kann nicht bewertet werden

Zu fein:

"Firewall-Regel für Port 443 auf Server X" – Zu detailliert, führt zu hunderten Maßnahmen

Richtig:

"Perimeter-Firewall mit Default-Deny" – Beschreibt eine konkrete Maßnahme, die bewertet und nachgewiesen werden kann

Keine Doppelungen

Wenn du feststellst, dass du dieselbe Maßnahme zweimal beschreibst, lösche eine und verknüpfe die andere mit beiden Controls.

Evidenzen aktuell halten

Alte Screenshots oder Reports verlieren an Aussagekraft. Plane regelmäßige Aktualisierungen:

  • Technische Evidenzen: Bei jedem Change oder mindestens jährlich
  • Dokumentarische Evidenzen: Bei Dokumentenänderung
  • Prüfberichte: Nach jedem Audit oder Test

Owner aktiv halten

Der Owner ist verantwortlich für:

  • Aktualität der Beschreibung
  • Korrektheit des Status
  • Vollständigkeit der Evidenzen

Wenn ein Owner das Unternehmen verlässt, sofort neu zuweisen.

Zusammenhang im Überblick

Eine Maßnahme kann:

  • Mehrere Controls erfüllen (aus verschiedenen Frameworks)
  • Mehrere Risiken adressieren
  • Mehrere Evidenzen haben

Die Evidenzen hängen an der Maßnahme. Wenn ein Auditor einen Control prüft, sieht er die verknüpfte Maßnahme und deren Evidenzen.

On this page

Control vs. MaßnahmeWarum diese Trennung?Aufbau einer MaßnahmeTitelBeschreibungStatusOwnerEvidenzenMaßnahme anlegenMaßnahme mit mehreren Controls verknüpfenMaßnahme von Risiko aus verknüpfenEvidenzen hinzufügenBest PracticesGranularität richtig wählenKeine DoppelungenEvidenzen aktuell haltenOwner aktiv haltenZusammenhang im Überblick