IT-Sicherheit
NIS2 und ISO 27001: die technische Basis, die Audits trägt.
Auditierbarkeit entsteht nicht aus mehr Papier, sondern aus einem zentralen Source of Truth, den interne IT und externe Dienstleister gemeinsam pflegen, statt alles doppelt. Diese Seite zeigt die Tools dahinter. Was NIS2 fordert, wer betroffen ist und welche Pflichten gelten, erklärt unsere Seite NIS2: Grundlagen & Pflichten.
Eine Wahrheit für alle Teams
- Interne IT, Dienstleister und Auditor sehen denselben Stand
- Keine widersprüchlichen Excel- und Visio-Versionen
Schluss mit Doppelarbeit
- Einmal zentral pflegen statt parallel in jedem Team
- Externe dokumentieren in dasselbe System, nicht daneben
Nachweis ohne Suchen
- Richtlinien, Diagramme und Logs versioniert an einem Ort
- Im Audit sofort vorzeigbar, mit Änderungshistorie
Das Problem
Doppelarbeit und blinde Flecken kosten im Audit Zeit.
Typisch, wenn interne IT und Dienstleister nebeneinander her arbeiten, ohne gemeinsame Quelle.
- Interne IT und externe Dienstleister pflegen getrennte, oft veraltete Dokumentation.
- Im Audit gibt es auf dieselbe Frage je nach Ansprechpartner unterschiedliche Antworten.
- Netzpläne, Asset-Listen und Diagramme liegen verstreut, niemand weiß, welcher Stand gilt.
- Notfallpläne existieren auf Papier, sind aber nicht getestet und im Ernstfall nicht auffindbar.
- Wechselt ein Dienstleister, geht Wissen verloren, weil es nur in Köpfen und lokalen Dateien steckt.
Das Prinzip
Auditierbarkeit ist kein Papierstapel, sondern ein gepflegter Stand, den alle teilen.
Ein Auditor fragt nicht nach Ordnern, sondern: Stimmt die Dokumentation mit der Realität überein, und wer hält sie aktuell? Ein zentraler Source of Truth beantwortet beides. Interne IT und externe Dienstleister pflegen denselben Stand, Änderungen bleiben nachvollziehbar, und Nachweise entstehen nebenbei statt im Stress kurz vor der Prüfung.
Eine Quelle
Ein verbindlicher Stand statt vieler paralleler Listen und Diagramme.
Alle Teams
Interne IT und Dienstleister arbeiten in dasselbe System, kein doppeltes Pflegen.
Jede Änderung nachvollziehbar
Versioniert und protokolliert, damit im Audit klar ist, wer was wann geändert hat.
Die Bausteine
Womit wir das Fundament bauen.
Eine bewährte Auswahl offener Werkzeuge, die zusammen einen verbindlichen, auditierbaren Stand ergeben, den interne IT und Dienstleister gemeinsam pflegen. Kein abschließender Werkzeugkasten: Welche Tools konkret passen, hängt von Ihrer Umgebung und dem ab, was Sie bereits einsetzen.
Source of Truth
Asset- & Netzdokumentation
Geräte, IP-Adressen, Standorte, Verkabelung und Abhängigkeiten an einer Stelle, versioniert und als verbindliche Referenz für alle Teams.
Wissen & Dokumente
Wiki, Runbooks & Ablage
Richtlinien, Betriebshandbücher und Schulungsnachweise durchsuchbar und mit Änderungshistorie, dazu eine sichere Ablage für Dokumente und Nachweise statt lokaler Dateien.
Architektur
Diagramme, die aktuell bleiben
Netz- und Architekturdiagramme zentral und versioniert, statt verstreuter Einzeldateien in unterschiedlichen Ständen.
Resilienz
Notfall- & Wiederanlaufpläne
Dokumentierte, getestete Notfallpläne mit klaren Wiederanlaufzeiten (RTO/RPO), zentral auffindbar statt im Aktenordner.
Transparenz
Audit-Zugänge & Dienstleister
Definierte, nachvollziehbare Zugänge für Auditoren und externe Dienstleister: kontrollierte, protokollierte Sitzungen und ein Passwort-Tresor statt geteilter Passwörter, mit Rollen und Rechten.
Detektion & Nachweis
Logging, SIEM & Change-Historie
Zentrale Logs und Auswertung, damit Vorfälle auffallen und sich belegen lässt, dass Maßnahmen wirken, Änderungen und Incidents nachvollziehbar über Ticketing und Asset-Verwaltung.
Best Practice statt Pflichtstack: Wir kombinieren, was zu Ihrem Betrieb passt, und binden vorhandene Systeme ein, statt alles zu ersetzen.
Transparenz im Betrieb
Das Kunden-Cockpit: Ihr Source of Truth, transparent einsehbar
Wenn wir betreiben, laufen diese Werkzeuge gebündelt in einer Kunden-VM: Wiki, Passwort-Tresor, Inventar, Konfigurationssicherungen und eigene Audit-Zugänge, vollständig transparent und exportierbar.
Zusammenarbeit
Interne IT und Dienstleister, ohne doppelte Pflege.
Ohne gemeinsamen Source of Truth
- Jedes Team pflegt eigene Listen, Diagramme und Passwörter.
- Stände driften auseinander, keiner ist verbindlich.
- Der Auditor bekommt je nach Ansprechpartner andere Antworten.
- Ein Dienstleisterwechsel bedeutet Wissensverlust.
Mit Source of Truth
- Ein verbindlicher Stand für interne IT und Dienstleister.
- Änderungen versioniert und nachvollziehbar.
- Der Auditor sieht denselben, belegbaren Stand.
- Wissen bleibt im System, nicht in Köpfen.
Was es trägt
Welche Tools welche Anforderung tragen.
Die Bausteine sind kein Selbstzweck. Sie liefern die Nachweisschicht für die zentralen Anforderungen aus NIS2 (§ 30 BSIG) und ISO/IEC 27001.
Anforderung (NIS2 / ISO 27001)
Tragendes Fundament
Asset- & Risikomanagement
NetBox als verbindliches Inventar, Risikoregister und Schutzbedarf im Wiki.
Zugriffskontrolle & MFA
IAM mit Rollen, MFA und Passkeys, kontrollierte und protokollierte Dienstleister-Zugänge.
Erkennung & Reaktion auf Vorfälle
Zentrales Logging und SIEM, Playbooks im Wiki, Tickets als Nachweis der Bearbeitung.
Business Continuity & Wiederanlauf
Notfallpläne, getestete Backups und dokumentierte Wiederanlaufzeiten (RTO/RPO).
Lieferketten- & Dienstleister-Sicherheit
Gemeinsamer Source of Truth, definierte Rollen und protokollierte Zugänge für Externe.
Nachweis- & Dokumentationspflicht
Versionierte Richtlinien, Diagramme und Audit-Logs an einem auffindbaren Ort.
Schulung & Verantwortlichkeiten
Rollen, Freigaben und Schulungsnachweise im Wiki nachgehalten und einsehbar.
Technisches Fundament und Nachweisschicht. Die vollständige Erfüllung von NIS2 oder ISO 27001 umfasst auch organisatorische und rechtliche Aspekte, siehe die Info-Seite und unseren Zertifizierungspartner.
Vorgehen
Vom verstreuten Wissen zum gemeinsamen Stand.
Inventur & Source of Truth
Assets, Netze und Abhängigkeiten in NetBox erfassen, als verbindliche Referenz für alle Teams.
Doku & Diagramme zentralisieren
Richtlinien, Runbooks und Diagramme ins Wiki und nach draw.io überführen, versioniert und auffindbar.
Zugänge & Rollen ordnen
Read-only-Audit-Zugänge und Dienstleister-Rollen sauber einrichten und Sitzungen protokollieren.
Notfall & Nachweis aufsetzen
Notfallpläne, Backups und Logging so aufstellen, dass die Wirksamkeit belegbar ist.
Gemeinsam aktuell halten
Interne IT und Dienstleister pflegen denselben Stand, Änderungen laufen nachvollziehbar über Ticketing.
Inventur & Source of Truth
Assets, Netze und Abhängigkeiten in NetBox erfassen, als verbindliche Referenz für alle Teams.
Doku & Diagramme zentralisieren
Richtlinien, Runbooks und Diagramme ins Wiki und nach draw.io überführen, versioniert und auffindbar.
Zugänge & Rollen ordnen
Read-only-Audit-Zugänge und Dienstleister-Rollen sauber einrichten und Sitzungen protokollieren.
Notfall & Nachweis aufsetzen
Notfallpläne, Backups und Logging so aufstellen, dass die Wirksamkeit belegbar ist.
Gemeinsam aktuell halten
Interne IT und Dienstleister pflegen denselben Stand, Änderungen laufen nachvollziehbar über Ticketing.
Bevor das Audit kommt
Fragen zur technischen Basis.
Antworten zu Source of Truth, Zusammenarbeit mit Dienstleistern, Audit-Zugängen und der Frage, was die Tools für NIS2 und ISO 27001 leisten.
Basis prüfen lassenDas ist der Kern. Ein gemeinsamer Source of Truth verhindert, dass Stände auseinanderdriften und Arbeit doppelt gemacht wird. Jeder pflegt seinen Bereich an einer Stelle, mit klaren Rollen und Rechten. Der Auditor sieht dann genau einen, belegbaren Stand statt mehrerer widersprüchlicher.
Ein zentrales, verbindliches System für Ihre Infrastruktur, bei uns typischerweise NetBox für Assets, IP-Adressen und Netze, ergänzt um ein Wiki für Richtlinien und Runbooks und draw.io für Diagramme. Alles versioniert, sodass jede Änderung nachvollziehbar ist.
Über kontrollierte, rollenbasierte Zugänge, read-only wo möglich, und protokollierte Sitzungen, zum Beispiel mit Apache Guacamole. So ist nachvollziehbar, wer worauf zugegriffen hat, ohne geteilte Zugangsdaten und ohne Vollzugriff für Externe.
Diese Tools sind das technische Fundament und die Nachweisschicht, sie machen Dokumentation, Detektion und Nachvollziehbarkeit prüffähig. Die vollständige Erfüllung von NIS2 oder ISO 27001 ist breiter und umfasst auch organisatorische und rechtliche Aspekte. Grundlagen und Pflichten erklärt unsere Info-Seite, die rechtliche Bewertung übernehmen spezialisierte Partner.
In der Regel ja. Wir integrieren vorhandene Systeme, wo es sinnvoll ist, statt alles zu ersetzen. Ziel ist ein verbindlicher Source of Truth, nicht ein Werkzeugzwang.
Der nächste Schritt
Bauen wir Ihren Source of Truth auf.
Wir erfassen Assets und Netze als verbindliche Referenz, zentralisieren Doku und Diagramme, ordnen Audit-Zugänge und sorgen dafür, dass interne IT und Dienstleister denselben Stand pflegen. Für die rechtliche Tiefe arbeiten wir mit spezialisierten Partnern zusammen.