HITGuard Release April 2025

Ab diesem Release kann der Einmelder eines Risikos den Verantwortlichen und den Sachbearbeiter zum Risiko selbst vorschlagen. Bisher wurde der Einmelder des Risikos als Sachbearbeiter gesetzt. Erst der Expert bzw. Professional User konnte den Verantwortlichen des Risikos definieren und ggf. den Sachbearbeiter verändern. Der Einmelder wird beim Einreichen eines Risikos sowohl als Verantwortlicher als auch als Sachbearbeiter vorbesetzt. Er kann dies aber auf einen anderen Benutzer ändern. Die Option besteht bis zum ersten Zwischenspeichern bzw. Einreichen des Risikos, dann kann er keine Änderungen mehr durchführen.

Bis das Risiko gemeldet wird, befindet es sich im neuen Status „Einreichung ausstehend“ und ist nur für den Verantwortlichen und den Sachbearbeiter sichtbar. Es ist in diesem Zustand auch mit einem Badge versehen, damit es nicht übersehen und vergessen werden kann.

Eine weitere Neuerung ist, dass auch der Verantwortliche stärker eingebunden wird. Wurde bspw. eine Überprüfung eines Risikos angefordert, so kann der Verantwortliche zu diesem Zeitpunkt nun auch den Sachbearbeiter ändern. Tut er dies, werden sowohl der vorherige wie auch der neue Sachbearbeiter über die Änderung informiert. Sich selbst kann er dabei nicht aus der Verantwortung nehmen. Weiters kann der Sachbearbeiter seine Verantwortung auch nicht selbst abgeben, er muss dazu entweder den Verantwortlichen oder einen Expert/Professional kontaktieren.

Die Strukturanalyse im Risikomanagement wurde um folgende Komfortfeatures erweitert:

• Einerseits kann man die Ansicht nun auch wechseln, in dem man Radiobuttons neben den Optionen der Hauptsichten verwendet. Der bereits bekannte Doppelklick funktioniert aber auch weiterhin.
• Andererseits wurden Link Buttons eingefügt, durch die man aus der Strukturanalyse schnell auf die Indexseiten der jeweiligen Hauptsichten springen kann, also zu Organisationseinheiten, Ressourcen, Datenkategorien und Prozessen. 

Folgende KPIs wurden um Auswahloptionen erweitert, mit denen man konfigurieren kann, ob sie nur Risiken, nur Chancen oder beides in Ihren Auswertungen berücksichtigen sollen:

• Aktive Risiken/Chancen und ihre Behandlung
• Risiken/Chancen nach Kategorie
• Risiken/Chancen nach Status
• Risikomatrix
• Top Risiken/Chancen

Dafür wurden im Filter Checkboxen implementiert, anhand derer man die Auswahl treffen kann.

Für Risiken und Chancen gibt es eine zusätzliche, neue Auswertungsmöglichkeit, indem man in der Übersicht die Schutzziele einblenden kann. Nach diesen kann auch gefiltert und sortiert werden. Damit ist es nun möglich, Risiken und Chancen auf der Ebene der Schutzziele miteinander zu vergleichen.

Eine weitere Komfortfunktion in der Übersicht der Risiken und Chancen ist die neue Möglichkeit, nach deren monetärer Auswirkung zu filtern und zu sortieren. Hier haben wir zusätzlich noch eine Summierung eingebaut, sodass Sie die Gesamtheit der monetären Auswirkungen auf einmal im Blick haben können.

Der Risikomanagement Bericht „Statement of Applicability“, den Sie unter Risikomanagement > Berichte > Standards und Normen > Statement of Applicability finden, wurde um eine neue Berichtsoption „verknüpfte Dokumente“ ergänzt. Diese Option finden Sie nur dann, wenn Sie das Doku-Management Add-on für Ihren Benutzer lizenziert und aktiviert haben. Über diese Option können die Dokumente, die im Doku-Management mit den diversen Standardkapiteln verknüpft sind, im Bericht aufgelistet werden. Dies geschieht in Form der Dateinamen, die bei den jeweiligen Kapiteln angegeben werden.

Für mehr Komfort und Geschwindigkeit beim Planen von Audits und einzelnen Überprüfungen ist es jetzt möglich, Überprüfungen auf Knopfdruck zu kopieren oder einer Neubewertung zu unterziehen. Diese neuen Optionen findet man in den Kalendern des Auditmanagements, im Menüpunkt Auditdurchführung und auch im Risikomanagement im Bereich Schwachstellen vor.

Überprüfungen können in jedem Status kopiert werden. Die Stammdaten werden dabei übernommen und die Prüfobjekte, die in der zu kopierende Überprüfung enthalten waren, werden als leere, unbeantwortete Objekte (nach dem Schema der alten Überprüfung) in der Kopie angelegt. Die dadurch erstellten neuen Überprüfungen befinden sich dann im Status „Entwurf“.

Abgeschlossene Überprüfungen können auf Knopfdruck neubewertet werden. Auch hier werden die Stammdaten der ursprünglichen Überprüfung übernommen und zusätzlich werden die Prüfobjekte entsprechend der bereits bekannten Konfigurationseinstellungen zur Neubewertung vorbereitet. D.h. dass Sie die Prüfobjekte z.B. schon mit den positiven Antworten der Vorjahre vorbesetzen können, um beispielsweise nur die negativen Erkenntnisse bzw. neuen Fragen nach aktualisierten Fragekatalogen wieder einer Bewertung zu unterziehen.

Hinweis: In beiden Fällen hat man die Möglichkeit, die aktuelle Wissensdatenbank zur Erstellung der Prüfobjekte zu verwenden. D.h. dass in diesem Fall die bevorzugte Version der Wissensdatenbank als Quelle der Erstellung der Prüfobjekte verwendet wird. Es werden also neue Prüffragen ergänzt, signifikant veränderte Prüffragen zu neuerlicher Bewertung aufgeworfen und gelöschte Prüffragen entfernt. Wählt man diese Option nicht, so wird die Version verwendet, die auch in der Original-Überprüfung verwendet wurde.

Wir haben die Darstellung der direkten (verknüpften) und indirekten (verwandten) Norm-Mappings bei Prüffragen übersichtlicher gestaltet. Vor allem bei Fragen mit sehr vielen Mappings ist dies von großer Hilfe. Die Bezeichnungen der Standards und Normen sind jetzt unterstrichen und die einzelnen Kapitel werden alphabetisch aufgelistet.

Wird eine Überprüfung als Self Assessment erstellt, so heißt das Enddatum ab sofort Beantwortungsfrist. Damit ist es einfacher, den Überblick darüber zu behalten, wo man etwas zu tun hat und wo nicht. Auch in Übersichtstabellen und Berichten wird diese Unterscheidung gemacht.

Im Sinne der Barrierefreiheit haben wir für den Einstieg zum Hinweisgeberportal eine weitere Hilfe eingebaut. Es ist hier nun möglich, sich das Captcha auf Deutsch oder Englisch vorlesen zu lassen.

Mehr zum Captcha und was es auf technischer Seite dafür braucht, finden Sie hier.

Ein Einmelder eines Risikos kann nun auch Maßnahmen und Kontrollen zum Risiko verknüpfen bzw. dort auch direkt einreichen. Ab dem ersten Zwischenspeichern und vor dem Einreichen, also im Status „Einreichung ausstehend“, kann ein Einmelder eines Risikos auf den Tab Maßnahmen und Kontrollen zugreifen. Dort werden ihm zwei Möglichkeiten angeboten:

Einerseits kann er Maßnahmen und Kontrollen, die bereits existieren, mit dem Risiko verknüpfen. Dafür stehen ihm all jene Maßnahmen und Kontrollen des gewählten Managementsystems zur Verfügung, in die er persönlich involviert ist (als Verantwortlicher, Umsetzer oder Prüfer; direkt, als Teammitglied oder als Teamleiter). Die Bewertung der Ability to Control bleibt jedoch den Experten und Professionals des Managementsystems vorbehalten.

Andererseits hat er auch die Option, neue Maßnahmen für die Behandlung des aktuellen Risikos direkt aus dem Risiko heraus einzureichen, die dann gleich mit diesem verknüpft sind. Das Einreichen funktioniert genau wie das Einreichen über den „Maßnahme einreichen“ Button unter Meine Aufgaben > Maßnahmen.

In Berichten, die Maßnahmenfortschritte enthalten, wird nun zum einfacheren Verständnis der diversen Begriffe wie folgt unterschieden:

• der Fortschritt in der Maßnahmenübersicht heißt jetzt Akzeptierter Fortschritt
• der Fortschritt in der Statistik heißt jetzt Gemeldeter Fortschritt

Ist keine Fortschrittsmeldung vorhanden, ist der Fortschritt im Bericht 0%. Ist die Maßnahme jedoch im Status „Erledigt“, ihre Implementierung also abgeschlossen, so wird der Fortschritt im Bericht als 100% dargestellt. Dies ist unabhängig von etwaigen Fortschrittsmeldungen (d.h. egal, was gemeldet oder nicht gemeldet wurde, fertige Maßnahmen werden im Bericht mit 100% dargestellt).

Beispiel: Im Screenshot sieht man, dass der akzeptierte und der gemeldete Fortschritt nicht derselbe sind. Das liegt daran, dass es eine noch nicht akzeptierte Fortschrittsmeldung mit einem Fortschritt von 90% gibt – dem gemeldeten Fortschritt. Die letzte akzeptierte Fortschrittsmeldung – und damit der letzte akzeptierte Fortschritt – lag zuvor bei 60%.

Diese Neuerung findet sich in den folgenden Berichten:

• Maßnahmen > Maßnahme
• Maßnahmen > Maßnahmen nach Standard/Norm
• Auditmanagement > Audit
• Fallmanagement > Akte
• Risikomanagement > Abweichungsanalyse
• Risikomanagement > Konformität nach Überprüfungen
• Risikomanagement > Risiken & Chancen > Allgemein
• Risikomanagement > Risiken & Chancen> Brutto-Netto-Risiko
• Risikomanagement > ESG

Beim Erstellen neuer Verarbeitungstätigkeiten sowie beim Bearbeiten von bestehenden, haben die involvierten Benutzer ab sofort mehr Mitarbeitsmöglichkeiten. Beim Erstellen einer VT kann der Ersteller den Verantwortlichen und den Sachbearbeiter anpassen. Er wird zuerst für beide Felder vorschlagshalber vorbesetzt, kann dies jedoch ändern und einen anderen Benutzer hinterlegen. Erst nach dem Klick auf „Verarbeitungstätigkeit erstellen“ ist das Feld Verantwortlicher für ihn schreibgeschützt. Wird eine Bearbeitung angefordert, hat der Verantwortliche wiederum die Möglichkeit, den Sachbearbeiter anzupassen, falls dies notwendig ist.

Bei lizensiertem Doku-Management werden hochgeladene Anhänge (z.B. Evidenzen von Maßnahmen oder Kontrolldurchführungen) nicht nur in ihrem eigenen Menüpunkt angezeigt. Sie sind zusätzlich in einem eigenen Ordner in der Verzeichnisstruktur des Menüpunkts Dokumente vorhanden. Von dort können sie in andere Ordner verschoben werden, um sie so ins Doku-Management integrieren zu können.

Verfügen diese Anhänge über verknüpfte Standard- oder Normkapitel (weil bspw. die Maßnahme oder Kontrolldefinition ein Norm-Mapping hat, zu der das Dokument hochgeladen wurde), werden diese Mappings beim Verschieben für die Dokumente mit übernommen. Sie können danach jederzeit noch bearbeitet und angepasst werden.

Mit dieser Version stellen wir Ihnen einen neuen Standard zum Import zur Verfügung:

• NIS-2-Richtlinie: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union

Die Standards können unter Administration > Standards und Normen importiert werden.

Diese Normen waren bereits zum Import verfügbar, oder Sie haben sie vielleicht sogar schon in Ihr Repertoire aufgenommen. Sie brauchen hier auch keine Änderungen vorzunehmen, das Update passiert automatisch für Sie.

• EN IEC 62443-2-1:2019 Entwurf wird zur EN IEC 62443-2-1:2024
• NIS Anforderungskatalog wird zum KRITIS Maßnahmenkatalog (Umbenennung) und enthält die Ergänzung des neuen Kapitels 13

Hinweis: Sollten Sie bereits eine der Vorversionen importiert haben, so wird dieser Standard automatisch auf die neue Version aktualisiert.

Ab sofort ist die ISO 27001:2022 sowie die ISO 27002:2022 zur Gänze auf Deutsch verfügbar. Inhalte und Struktur sind von dieser Änderung nicht betroffen. Sollten Sie sich stattdessen eine gänzlich englische Version wünschen, wenden Sie sich bitte an support@togethersecure.at.

Die Mappings des Standards 27001:2022 wurden auf die neuen Standards (NIS-2 Richtlinie) bzw. deren neue Kapitel (KRITIS Maßnahmenkatalog Kapitel 13) erweitert.

Der VDA (Verband der Automobilindustrie e.V.) hat sein Vorgehen dahingehend geändert, dass zukünftig der VDA ISA Katalog zuerst in der Primärsprache Englisch weiterentwickelt wird. Daher wird in HITGuard weiterhin standardmäßig der Standard in englischer Sprache verfügbar sein. Sollten Sie sich stattdessen eine gänzlich deutsche Version wünschen, wenden Sie sich bitte an support@togethersecure.at.

Unter Administration > Standards und Normen | Verknüpfte Elemente können jene Elemente angezeigt werden, die mit einzelnen Standardkapiteln verknüpft sind: das sind Dokumente aus dem Doku-Management, Risiken/Chancen, Maßnahmen und Kontrollen. Mit einer neuen Checkbox kann man jetzt zusätzlich alle Elemente einblenden, die mit verwandten Kapiteln (weiterführende Mappings) verknüpft sind.

Beispiel: Im Screenshot sieht man, dass ein Risiko und eine Maßnahme direkt mit der NIS-2-Richtlinie verknüpft sind. Da die Richtlinie jedoch auf einige Kapitel der ISO 27001:2022 mappt, erscheinen weitere verknüpfte Elemente, sobald man die gemappten Normkapitel inkludiert.

Dokumente, die unter Administration > Standards und Normen | Verknüpfte Elemente zu finden sind (nur möglich bei lizensiertem Doku-Management), können ab sofort entweder per Klick in einem neuen Tab zur Anzeige geöffnet werden. Oder man verwendet den Link Button, um sie im Doku-Management in die Ordnerstruktur eingebettet einzusehen.

Unter Meine Aufgaben finden sich die Dashboards mit den einzelnen Aufgabenblöcken, z.B. Maßnahmen oder Kontrollen. Dort werden nun zu erledigende Aufgaben nicht nur fett dargestellt, sondern auch ganz vorne angereiht, sodass man anstehende Aufgaben nie aus dem Blick verlieren kann.

Im gesamten Tool gibt es ab sofort die Möglichkeit, zum besseren Erkennen von z.B. Tabellen, Menüführungen oder Buttons und Badges den Kontrast zu erhöhen.

Um Ihnen die Profileinstellungen zu vereinfachen, haben wir die diversen Buttons und Optionen auf der Profilseite neu angeordnet und mit ausführlichen Erklärungen versehen.

Um die Sicherheit bei der Nutzung von Benutzername und Passwort weiter zu steigern, haben wir die Mindestlänge von Passwörtern von zehn auf zwölf Zeichen erhöht.

Ein weiteres neues Sicherheitsfeature ist, dass Experten in HITGuard einstellen können, dass bei der Anmeldung mit Benutzername und Passwort die 2-Faktor-Authentifizierung verwendet werden muss. Benutzer, die Benutzername und Passwort verwenden, können auf HITGuard dann nicht zugreifen, solange sie keinen zweiten Faktor eingerichtet haben.

Dieselbe Option gibt es für das Lieferantenportal, für das ebenfalls die 2FA erzwungen werden kann.

Achtung: Die Option zum Erzwingen der 2-Faktor-Authentifizierung ist mit dem Update automatisch gesetzt, kann nach dem ersten Login von einem Administrator oder Experten aber deaktiviert werden.