Realität im Audit

„Wie stellen Sie sicher, dass Ihre Rollen in Azure AD aktuell sind?“

Die Frage kommt im Audit. Die Antwort:

• Ein Screenshot.
• Eine Excel-Tabelle.
• Ein Schulterzucken?

Informationssicherheit wird in der Praxis oft nur mit Dokumentation gleichgesetzt.

Doch genau diese papierlastige Sichtweise führt zu typischen Schwächen im Betrieb und Audit: Nachweise sind unvollständig, Zuständigkeiten unklar verteilt, und der Überblick geht verloren.

Statt wirkungsvoller Steuerung entsteht bürokratischer Mehraufwand. Richtlinien in Word, Nachweise im SharePoint, Maßnahmen in Excel – das mag für den Auditor reichen, aber nicht für die Realität dynamischer Organisationen.

Klingt absurd? Ist aber gelebter Alltag.

Regology (State of Regulatory Compliance 2024): Laut Umfrage sind 82 % der Compliance-Teams noch auf manuelle Prozesse angewiesen, und 79 % verwenden Tabellenkalkulationen für das Compliance-Management [Link]

Auch das BSI reagiert – und stellt den IT-Grundschutz ab 2026 als JSON-Regelwerk bereit [Link].

Warum ISMS heute scheitert – und wie es besser geht

Viele Informationssicherheitsmanagement-Systeme (ISMS) wirken, als wären sie für eine statische Organisation geschrieben worden:

• Reaktiv statt proaktiv
• Papierlastig statt integriert
• Kontrollierend statt unterstützend

Was wäre, wenn Informationssicherheit als digitaler Teammate mitlaufen würde – wie ein intelligent Assistent im Hintergrund?

ISMS as Code – vom Dokument zum dynamischen System

Die Frage ist nicht, ob sich Informationssicherheit automatisieren lässt – sondern wann man damit beginnt. Der moderne Ansatz ist „ISMS as Code“. Ein automatisiertes ISMS, das nicht nur beschreibt, sondern Vorgaben aktiv steuert und bewertet, z. B.:

• Anforderungen sind maschinenlesbar und versionierbar
• Kontrollen sind automatisiert und regelbasiert
• Rollen, Assets und Risiken sind logisch verknüpft

Ein durchgängiges automatisiertes, intelligentes ISMS ist kein Luxus, sondern eine Notwendigkeit – wie eine belastbare Infrastruktur in einer wachstumsstarken Stadt.

Nicht alles muss sofort erneuert werden. Aber dort, wo Prozesse stocken, braucht es anschlussfähige, modulare Lösungen. Altsysteme lassen sich nicht über Nacht ablösen – aber mit Weitblick weiterentwickeln.

Modularität ist der Schlüssel: Anforderungen lassen sich priorisieren, iterativ umsetzen und flexibel anpassen. So bleibt das ISMS steuerbar – auch bei stetigen Änderungen.

Die technischen Grundlagen sind bereits vorhanden, wie Beispielsweise: OSCAL (Open Security Controls Assessment Language), REGO (Policy-as-Code) oder Documentation As Code

So viel sich mit Technologie auch automatisieren lässt – eines bleibt nicht delegierbar: Verantwortung muss menschlich bleiben – auch im Zeitalter von KI. Automatisierung schafft Klarheit, Konsistenz und Tempo, aber ersetzt keine Pflichten der handelnden Personen. Sie kann Teammitglied und Sparringspartner sein – aber nie der Leader.

Martin Peters, CEO von Secobo GmbH

Der Enterprise Security Graph – Kontext statt Chaos

Daten gibt es im ISMS reichlich - aber oft fehlt der Zusammenhang:

• Wer ist verantwortlich?
• Welche Rolle hat Zugriff auf welches Asset?
• Welche Richtlinie deckt welches Risiko ab?

Genau hier setzt das Konzept eines Enterprise Security Graph an.

Ein möglicher Ansatz ist der Open Source "Emergence Security Graph": ein Modell, das sicherheitsrelevante Informationen – Richtlinien, Rollen, Risiken, Maßnahmen, Nachweise – in einem durchsuchbaren Beziehungsnetz abbildet.

Beispiel: Ein Asset ist einem Risiko zugeordnet. Ein Verantwortlicher ist definiert. Aber dieser wird bei Maßnahmen nicht eingebunden? Der Graph erkennt das automatisch, meldet die Abweichung, dokumentiert sie revisionssicher.

Einstieg in ein automatisiertes ISMS – praxisnah und skalierbar

Ein modernes ISMS ist mehr als eine strukturierte Ablage. Es ist ein lebendiges, in die Prozesse und Tool-Landschaft integriertes System.

Über 2.300 eingesparte Arbeitsstunden: Durch die Einführung von Microsoft 365 Copilot und Azure-basierter Automatisierung konnte ein Unternehmen allein bei der internen Audit-Berichtserstellung mehr als 2.300 Stunden Zeit einsparen [https://blogs.microsoft.com/]

Fünf Tools und drei Use Case für den Einstieg:

1. Anforderungen strukturieren → z. B. mit OSCAL
2. Abhängigkeiten modellieren → z. B. mit OpenCRE
3. Regelwerke definieren → z. B. mit REGO / OPA
4. Automatisierungen integrieren → z. B. via n8n, GitHub Actions, Jira Workflows
5. Kontext herstellen → mit einem Security Graph

1. Ownership-Prüfung Hat jede Ressource in Azure, AWS oder GCP einen zugewiesenen Owner? Ein automatisierter Abgleich mit Entra ID erkennt Lücken sofort und meldet sie [8].

2. Rollen-Review automatisieren Vergleich zwischen in Richtlinien definierten Rollen und realen Berechtigungen in Azure AD, GitHub, Jira. Abweichungen erzeugen automatisch Aufgaben in eurem Ticketsystem.

3. Datenklassifizierung verifizieren Microsoft Purview kann klassifizierte Daten mit Schutzbedarf verknüpfen. Bei Abweichung erfolgt eine automatisierte Benachrichtigung.

Fazit

Governance, Risk und Compliance entfalten ihre Wirkung nicht im Auditbericht, sondern im Alltag, genau dort, wo Unterstützung gebraucht wird oder Risiken entstehen.

Jetzt ist der richtige Zeitpunkt, um zu starten. Denn: Wer Automatisierung, Kontext und Kontrolle heute integriert, sichert sich das nötige Know-how – und bleibt anschlussfähig in einer zunehmend dynamischen und regulierten Welt.

Ob konkreter Use Case oder ganzheitliches Konzept – der Einstieg gelingt schnell, strukturiert und praxisnah.

Wir unterstützen - hands-on, technologieoffen und mit einem klaren Blick fürs Machbare.

Hier klicken, um ein unverbindliches Strategiegespräch zu buchen.

Glossar

• ISMS – Managementsystem für Informationssicherheit
• OSCAL – Maschinenlesbare Anforderungsformate
• REGO / OPA – Regelwerke als Code (Policy-as-Code)
• Enterprise Security Graph – Kontextmodell für ISMS-Daten
• OpenCRE – Open Source Quelle für Abhängigkeiten zwischen Standards

‍