Quickstart
In 15 Minuten zum ersten dokumentierten Risiko mit Control und Maßnahme
Am Ende dieses Tutorials hast du:
- Eine Organization mit verifizierter Domain
- Einen Space für dein Team
- Ein Framework (ISO 27001) aktiviert
- Dein erstes Risiko dokumentiert
- Einen Control zugewiesen
- Eine Maßnahme angelegt (wie du den Control umsetzt)
- Evidence hochgeladen
Voraussetzungen
- Ein Kopexa-Account (hier anmelden)
- Zugriff auf deine Domain-DNS-Einstellungen (für SSO-Setup)
1. Organization erstellen
Nach dem Login landest du im Onboarding. Gib die Daten deiner Organization ein:
| Feld | Beispiel |
|---|---|
| Name | Mustermann GmbH |
| Slug | mustermann-gmbh |
| Branche | IT-Dienstleistungen |
Der Slug wird Teil deiner URL: app.kopexa.com/mustermann-gmbh
Klicke Create Organization.
2. Domain verifizieren
Damit dein Team sich per SSO anmelden kann, musst du deine Domain verifizieren.
- Gehe zu Settings → Domains
- Klicke Add Domain
- Gib deine Domain ein:
mustermann-gmbh.de - Kopexa zeigt dir einen TXT-Record:
_kopexa-verification.mustermann-gmbh.de TXT "kopexa-verify=abc123xyz"- Füge diesen Record bei deinem DNS-Provider hinzu (Cloudflare, AWS Route53, etc.)
- Warte 1-5 Minuten, dann klicke Verify
DNS-Propagation kann bis zu 24 Stunden dauern. In der Praxis sind es meist wenige Minuten.
3. Ersten Space anlegen
Spaces trennen Arbeitsbereiche. Für den Start reicht ein Space.
- Klicke Spaces → New Space
- Fülle aus:
| Feld | Beispiel |
|---|---|
| Name | Hauptunternehmen |
| Beschreibung | ISMS für die Mustermann GmbH |
- Klicke Create Space
Du wirst automatisch in den neuen Space weitergeleitet.
4. Framework aktivieren
Jetzt aktivierst du ISO 27001 als Basis für deine Controls.
- Im Space: Settings → Frameworks
- Finde ISO 27001:2022 in der Liste
- Klicke Activate
Kopexa importiert jetzt alle Annex-A-Controls. Das dauert wenige Sekunden.
Du kannst später weitere Frameworks aktivieren (NIS2, DSGVO, TISAX®). Die Controls werden automatisch gemappt, wo sie sich überschneiden.
5. Erstes Asset anlegen
Bevor du Risiken bewertest, brauchst du ein Asset. Starte mit etwas Konkretem.
- Gehe zu Inventory → Assets
- Klicke New Asset
- Fülle aus:
| Feld | Beispiel |
|---|---|
| Name | Produktionsserver |
| Typ | Server |
| Beschreibung | Linux-Server für Kundenprojekte |
| Owner | IT-Abteilung |
| Kritikalität | Hoch |
- Klicke Create
6. Erstes Risiko dokumentieren
Jetzt dokumentierst du ein Risiko für dieses Asset.
- Gehe zu Risks → New Risk
- Fülle aus:
| Feld | Wert |
|---|---|
| Titel | Unauthorisierter Zugriff auf Produktionsserver |
| Beschreibung | Angreifer könnten durch gestohlene Credentials oder ungepatchte Schwachstellen Zugriff erlangen |
| Asset | Produktionsserver (aus Dropdown wählen) |
| Kategorie | Vertraulichkeit |
- Bewerte das Risiko:
| Dimension | Wert | Begründung |
|---|---|---|
| Impact | Hoch (4) | Kundendaten betroffen, Reputationsschaden |
| Likelihood | Mittel (3) | Server ist exponiert, aber grundlegend gehärtet |
Die Risikomatrix zeigt: Risikowert 12 (Hoch)
- Klicke Create
7. Control zuweisen
Jetzt verknüpfst du das Risiko mit einem passenden Control aus ISO 27001.
- Öffne das eben erstellte Risiko
- Gehe zum Tab Controls
- Klicke Link Control
- Suche nach "access" oder "Zugriff"
- Wähle A.9.2.1 - User registration and de-registration
- Klicke Link
Das Control definiert das Was – die Anforderung aus dem Framework.
8. Maßnahme anlegen
Jetzt erstellst du eine Maßnahme (Control Implementation), die beschreibt wie du das Control umsetzt.
- Öffne das verknüpfte Control
- Gehe zum Tab Maßnahmen
- Klicke Neue Maßnahme
- Fülle aus:
| Feld | Wert |
|---|---|
| Titel | Zentrales User-Management via Active Directory |
| Beschreibung | Alle Benutzerkonten werden über AD verwaltet. Onboarding/Offboarding erfolgt via Ticket-System mit 4-Augen-Prinzip. |
| Status | Partially Implemented |
| Owner | Max Mustermann |
| Fälligkeit | In 30 Tagen |
- Klicke Create
Control vs. Maßnahme: Das Control sagt "Benutzerregistrierung muss kontrolliert erfolgen" (Was). Die Maßnahme sagt "Wir nutzen AD mit Ticket-basiertem Onboarding" (Wie).
9. Evidence hochladen
Zum Schluss dokumentierst du, dass die Maßnahme umgesetzt ist.
- In der Maßnahme: Tab Evidence
- Klicke Add Evidence
- Wähle eine Datei (z.B. Screenshot deiner AD-Konsole oder Onboarding-Ticket)
- Beschreibung: "AD User-Management Stand Q1 2025"
- Klicke Upload
Geschafft
Du hast jetzt:
- ✓ Eine Organization mit Domain
- ✓ Einen Space
- ✓ ISO 27001 aktiviert
- ✓ Ein Asset dokumentiert
- ✓ Ein Risiko bewertet (Impact × Likelihood)
- ✓ Einen Control zugewiesen
- ✓ Eine Maßnahme angelegt
- ✓ Evidence hochgeladen
Das ist der Kern-Workflow in Kopexa:
Asset → Risiko → Control → Maßnahme → Evidence
- Control = Was muss erfüllt werden? (Framework-Anforderung)
- Maßnahme = Wie setzen wir es um? (Konkrete Implementierung)