HITGuard Release März 2024

Da von einigen unserer Kunden der Wunsch aufgekommen ist, Dokumente direkt in HITGuard ablegen und verwalten zu können, haben wir einen neuen Menüpunkt Doku-Management eingebaut. Wenn jemand auf das Dokumentenmanagement berechtigt ist, findet er in diesem Menüpunkt die Bereiche „Dokumente“, „Hochgeladene Anhänge“ und „Berichtsarchiv“.

Im Bereich Dokumente können, wie im Explorer oder auf einem Fileshare, Verzeichnisse erstellt und Dokumente darin gespeichert werden. Dateien (Word, Excel, PDF, Bilddateien etc.) können über einen Button oder einfach via Drag & Drop hochgeladen werden und zeigen das Datum der letzten Änderung sowie den Ändernden. Die Dokumente können weiters auf Kapitel von Standards und Normen gemappt werden.

Wird ein Dokument mit dem gleichen Dateinamen erneut hochgeladen, kann man entweder beide Dateien behalten oder die bestehende Datei durch die neue ersetzen. Die diversen Versionen des Dokuments sind dann im Versionsverlauf ersichtlich und stehen dort weiterhin zur Verfügung.

Die Bereiche „Hochgeladene Anhänge“ und „Berichtsarchiv“ finden sich, sofern man nicht auf das Dokumentenmanagement berechtigt ist, weiterhin im Menüpunkt Administration.

Mehr zum Bereich „Dokumente“ im Doku-Management finden Sie hier.

Wir haben die Art verbessert, wie Maßnahmen und Kontrollen zu Abweichungen zugewiesen werden können. Es gibt nun einen Button für Maßnahmen und einen für Kontrollen und jeder davon öffnet einen Dialog, in dem es möglich ist,

• neue Maßnahmen bzw. Kontrollen zu erstellen und
• bestehende Maßnahmen bzw. Kontrollen zu verknüpfen.
  

Die Liste von Maßnahmen bzw. Kontrollen hier zeigt auf einen Blick

• jene, die aus Vorlagen aus der Wissensdatenbank erstellt wurden,
• Vorlagen aus der Wissensdatenbank, die für die aktuelle Abweichung empfohlen sind, und
• bestehende Maßnahmen bzw. Kontrollen, die durch ihr Norm-Mapping darauf schließen lassen, dass sie auch zur Lösung der betroffenen Abweichung geeignet wären.
  

In der Liste kann gesucht und gefiltert werden. Zusätzlich stehen Checkboxen zur Verfügung, mit denen die Ansicht auf Knopfdruck eingeschränkt oder neu sortiert werden kann (die zuletzt verknüpften Maßnahmen oder Kontrollen können nach vorne gereiht werden).

Man kann nun also leichter erkennen, ob es empfohlene Vorlagen zu einem bestimmten Thema gibt, und sieht ohne eine zusätzliche Suche, ob es eventuell schon bestehende Maßnahmen gibt, die man im aktuellen Kontext ebenfalls verknüpfen könnte.

In der Spalte „Beziehungen“ sieht man sowohl die verknüpften wie auch die verwandten Standards und Normen. So kann man beispielsweise eine bestehende BSI-Maßnahme sehen, die auch beim Umsetzen der ISO 27001 passend ist und wiederverwendet werden soll.

Das Popup, das auf Empfehlungen bei Abweichungen hinweist, wurde dafür entfernt.

Mehr zum Zuweisen von Maßnahmen und Kontrollen bei Prüffragen und eine detaillierte Erklärung der verfügbaren Checkboxen und Badges finden Sie hier.

Prüffragen aus Wissensdatenbanken zeigen ihre Norm-Mappings auch direkt in Überprüfungen, sofern sie mit Standardkapiteln verknüpft sind. Lead- und Co-Auditoren haben damit immer einen Überblick über die verknüpften und verwandten Standards und Normen des aktuellen Themas.

Die gängigen Standards und Normen unterliegen regelmäßigen Aktualisierungen und es wächst stetig die Anzahl der gesetzlichen Anforderungen denen entsprochen werden muss. Dadurch werden die Herausforderungen, die Erfüllung der Compliance-Vorgaben darzustellen, immer komplexer. Das spiegelt sich auch in der wachsenden Zahl an dazugehörenden Wissensdatenbanken, ihren Versionen und den sie alle verbindenden Beziehungen untereinander (Norm-Mappings) in HITGuard wider.

Beispiel: Man hat sich bereits intensiv mit den TISAX-Anforderungen ausein-andergesetzt. Im nächsten Schritt möchte man herausfinden, wie weit man noch von einer ISO 27001 Zertifizierung entfernt ist. Oder man hat bereits mehrere Audits nach der ISO 27001:2013 durchgeführt, für den nächsten Audit möchte man aber sehen, ob auch nach ISO 27001:2022 alles passt. Auch im Zusammenhang mit den aktuellen und bevorstehenden NIS/NIS-2 Projekten ergeben sich hier weitere solche Beispiele. Den Überblick zu behalten und allen Anforderungen gerecht zu werden, wird zu einer immer größeren Herausforderung für Verantwortliche in allen Bereichen.

Um unseren Kunden bei dieser Aufgabenstellung noch besser zu helfen, haben wir HITGuard entsprechend erweitert. Sowohl beim Risikomanagementbericht „Konformität nach Standards und Normen“ sowie bei den KPIs „Compliance Erfüllung“, „Fragen Deckung (Total)“ und „Fragen Deckung (Prozentuell)“ haben wir die Konfigurations- und Auswertungsmöglichkeiten ausgebaut.

Wenn bei den Berichtsoptionen die Checkbox „Gemappte Normkapitel inkludieren“ selektiert wird, erscheint nun zwischen dem ursprünglich gewählten Standard und den dazugehörigen Wissensdatenbanken eine weitere Auswahl „Gewählter und gemappte Standards und Normen“: hier kann man jene gemappten Standards auswählen, die in die Datengrundlage des Berichts aufgenommen werden sollen. Man kann so genau festlegen, welche Information in den Bericht einfließen soll um die Erfüllung einer Normanforderung durch die Compliance mit bestimmten anderen Normen gezielt darzustellen (siehe Beispiele oben).

Die Liste der Wissensdatenbanken passt sich automatisch an die gewählten Standards und Normen an. Beide Listen zeigen die Anzahl der Prüfobjekte, die sich hinter dem jeweiligen Element befinden, sodass man nicht versehentlich leere Berichte generiert.

Eine weitere Checkbox „Prüfergebnisse miteinbeziehen“ ermöglicht es, die Ergebnisse, die nicht mit einer Wissensdatenbank verknüpft sind, ebenfalls in den Bericht zu inkludieren oder sie auszulassen.

Hinweis: Der Screenshot oben zeigt, dass für jeden der beiden Standards zusätzliche Prüfergebnisse erfasst wurden, deshalb ist die Anzahl der Prüfobjekte bei den Standards höher als bei den Wissensdatenbanken.

Mehr zu den Berichten im Risikomanagement finden Sie hier.

Bei den KPIs „Compliance Erfüllung“ und „Fragen Deckung (Total)“ kann man im Filter auswählen, ob man alle relevanten Wissensdatenbanken zu einem gewählten Standard in die Spinne einrechnen oder die Auswahl auf eine oder mehrere individuelle Wissensdatenbanken einschränken möchte. Auch das Miteinbeziehen von Prüfergebnissen kann gesteuert werden.

Inkludiert man bei diesen beiden Kennzahlen gemappte Normkapitel, werden alle gemappten Standards und Normen berücksichtigt und die Liste der verfügbaren Wissensdatenbanken erweitert sich entsprechend.

Das folgende Beispiel zeigt die Erfüllung der Norm ISO/IEC 27001:2022 anhand der Überprüfungen zu zwei Wissensdatenbanken, die auf die Norm ISO/IEC 27001:2013 mappen, und Prüfergebnissen.

Beim KPI „Fragen Deckung (Prozentuell)“ kann man weiterhin nur einzelne Wissensdatenbanken auswählen. Auch das Miteinbeziehen von Prüfergebnissen ist hier nicht möglich, da der Prozentsatz auf die Gesamtzahl der verfügbaren Fragen in der jeweiligen Wissensdatenbank gerechnet wird.

Das folgende Beispiel zeigt die prozentuelle Deckung der Fragen einer Wissensdatenbank, die auf die Norm ISO/IEC 27001:2022 mappt.

Mehr zu den KPIs im Risikomanagement finden Sie hier.

Weitere Neuerungen zu Standards & Normen in HITGuard, die in diesem Kontext relevant sind, finden Sie im Kapitel Neue und aktualisierte Standards & Normen.

Der Beantwortungsstatus eines Self Assessments wird nun mithilfe eines Badges bei der Bezeichnung der Überprüfung hervorgehoben.

Um den Umfang von Berichten einschränken zu können, kann ab jetzt gewählt werden, ob die Kopfdaten der Audits, der Überprüfungen und der Prüfobjekte vollständig oder in reduzierter Form dargestellt werden sollen. In diesem Fall enthält die Tabelle mit den Kopfdaten weniger Information als bei der vollständigen Darstellung, die alle zur Verfügung stehenden Daten enthält.

Diese neuen Optionen stehen in folgenden Berichten zur Verfügung:

• Auditmanagement > Auditbericht
• Auditmanagement > Überprüfungsprotokoll > Abweichungsanalyse
• Risikomanagement > Abweichungsanalyse
• Risikomanagement > Konformität > Nach Überprüfungen

Details zu den Kopfdaten finden Sie hier.

Wir haben die Möglichkeit vereinfacht, einen Kalendereintrag im Auditkalender zu erstellen. Man kann per Rechtsklick im Kalender auswählen, ob man eine Überprüfung oder einen Sonstigen Termin erstellen möchte.

Zusätzlich ist es mit einer Checkbox möglich, auch Überprüfungen, die keinem Audit zugewiesen sind, im Auditkalender einzublenden. Dies erleichtert die Planung von Terminen, wenn man sowohl im Risikomanagement wie auch im Auditmanagement Überprüfungen erstellt. Es sind dann alle sichtbar und können nachträglich noch einem Audit zugewiesen werden.

Öffnet man das Fenster zum Erstellen eines Termins mit Doppelklick, kann man auch direkt im Fenster ganz oben noch auswählen, welche Art des Termins es werden soll.

Auch die Erstellung von Audits und Blockern wurde so angepasst, dass die Optionen jetzt nicht mehr Grobplanung und Feinplanung heißen, sondern Blocker und Audit erstellen.

Wir haben Überprüfungen um eine weitere Feststellungsart – „Vorbildliche Umsetzung“ – ergänzt, mit der positive Ergebnisse hervorgehoben werden können.

Mehr zu Feststellungsarten finden Sie hier.

Zusätzlich zu den Bildanhängen der Prüffragen werden jetzt auch Bildanhänge des Audits im Bericht angedruckt, wenn die Option „Bildanhänge einbetten“ beim Auditbericht selektiert ist.

Wird die Management Summary zum Audit im Auditbericht angedruckt, so befindet sich die Sektion nun direkt nach den Kopfdaten des Audits. So kann man die Information in den Kopfdaten und die in der Management Summary enthaltene Information am besten kombinieren und einander ergänzen lassen.

Um mehr Hintergrundinformation zu Vorfällen erfassen zu können, gibt es drei neue Felder im Hinweisgebersystem:

• Handelt es sich um einen internen Beobachter?
• Wo wurde die Beobachtung gemacht?
• Wer war involviert?

Die Felder können in den Einstellungen des Fallmanagements einzeln aktiviert werden und stehen dem Melder dann optional zum Ausfüllen zur Verfügung. Auch Agents, die Meldungen z.B. für Anrufer oder aus anonymen Postkästen in HITGuard anlegen, können anhand dieser Felder dem Betreuungsteam zusätzliche Information geben, die bei der Bearbeitung der Fälle helfen kann.

Das Betreuungsteam der Meldung sieht die Information dann bei der Meldung und in den dazugehörigen Berichten.

Unter Administration > Globale Einstellungen gibt es einen neuen Bereich „Hinweisgebersystem-Einstellungen“. Dieser Bereich ist verfügbar, sofern für mindestens ein Managementsystem mit Fallmanagement Add-on auch das anonyme Melden (Hinweisgebersystem) aktiviert ist. Hier kann ein Logo hinterlegt werden, das auf der Startseite des Meldeportals angezeigt wird.

Mehr zum Hinweisgebersystem finden Sie hier.

Wenn man aus einer Prüffrage oder aus einem Risiko heraus eine Maßnahme oder Kontrolle neu erstellt und die Prüffrage oder das Risiko sind auf ein Standard- oder Normkapitel gemappt, so wird das Norm-Mapping aus diesem Element direkt übernommen. Diese Mappings können in der Maßnahme oder Kontrolle jederzeit noch editiert werden.

Beispiel: Hat man in einer Überprüfung nach dem BSI ein Risiko identifiziert, das dann mit dem jeweiligen Baustein verknüpft ist, und erstellt man im Tab Maßnahmen & Kontrollen eine neue Maßnahme oder eine neue Kontrolle, so ist das Mapping auf diesen selben BSI-Baustein dort vorbesetzt.

Fortschrittsmeldungen, die vom Verantwortlichen der Maßnahme ohne Anforderung geschickt wurden, sind für die Experts und Professionals des Managementsystems jetzt eindeutiger gekennzeichnet. Üblicherweise sind die Daten der Fortschrittsmeldung mit „Angefordert am“ und „Angefordert“ gekennzeichnet, aber in diesem Fall wird „Gemeldet am“ und „Gemeldet“ angezeigt.

Eine weitere Vereinfachung der Arbeit für die Expert User des Managementsystems ist, dass nun bei delegierten Fortschrittsmeldungen angezeigt wird, an wen die Fortschrittsmeldung delegiert wurde. Gibt es also Rückfragen, bevor die Meldung retourniert wird, muss nicht nachgeforscht werden, wer zum aktuellen Zeitpunkt damit beschäftigt ist.

Wie bei Kontrollen, können nun auch bei Maßnahmen Anmerkungen erfasst werden, die optional im Bericht angedruckt werden können.

Wenn man die Ampelsteuerung (unter Maßnahmen > Einstellungen > Ampelsteuerung) fristbasiert konfiguriert hat, ist es nun möglich, die Ampelfarbe einer erledigten Maßnahme nachträglich zu ändern. Solange der Analysezeitraum noch nicht überführt wurde und die erledigte Maßnahme daher noch editierbar ist, kann das Erledigt am-Datum noch korrigiert und die Farbe damit verändert werden. Die Farbe selbst ist von der Einstellung abhängig (Tage vor/nach Fristende).

Beispiel: Die Maßnahme im folgenden Screenshot ist am 29.02.2024 fällig und wurde rechtzeitig bereits am 27.02.2024 fertiggestellt. Die Fortschrittsmeldung über 100% erfolgte jedoch erst am 01.03.2024 und dieses Datum wurde beim Akzeptieren automatisch gesetzt. Sie wurde daher zuerst rot dargestellt. Nach der Korrektur des Erledigt am-Datums in der Maßnahmenmaske durch einen Expert wird sie in der Übersicht nun grün dargestellt.

Der Schritt 4 der Datenschutz-Folgenabschätzung (DSFA) wurde um ein Textfeld ergänzt, in dem die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Verarbeitungszweck ausdrücklich beschrieben werden können. Die Information wird im Allgemeinen DSFA Bericht und im Bericht zur Konsultation der Aufsichtsbehörde entsprechend angedruckt.

Beim Abschluss einer Verarbeitungstätigkeit (VT), deren höchste Vorgängerversion mit einer DSFA verknüpft ist, kann man per Knopfdruck auch diese neueste Version der VT mit der DSFA verknüpfen. Sie wird nicht zur Haupt-VT gemacht und hat damit nicht automatisch inhaltlichen Einfluss auf die DSFA.

Die Begründung für eine Löschfrist, die in der VT angegeben wird, kann nun zentral in der Löschfrist (im Menüpunkt Administration) selbst erfasst werden und wird dann in die VT übernommen.

Die Herkunft der Daten kann nun zentral bei den Datenkategorien (im Menüpunkt Administration) selbst erfasst werden und wird dann in die VT übernommen.

Zweck und Rechtsgrundlage der Übermittlung von Daten an Externe können nun zentral bei den Externen (unter Datenschutz > Externe) selbst erfasst werden und werden dann direkt in die VT übernommen.

Bei der Zuweisung von Löschfristen zu Datenkategorien wird nun außer Bezeichnung, Faktor und Zeiteinheit auch die Beschreibung angezeigt.

• NIS Fact Sheet 9/2022
• DIN EN IEC 62443-2-1 Entwurf
• DIN EN IEC 62443-3-3
• KRITIS-Maßnahmenkatalog
  • Dieser Katalog enthält die Konkretisierung der Anforderungen an die gemäß § 8a Absatz 1 BSIG umzusetzenden Maßnahmen.
• EN 50600-1:2019
• EN 50600-2-1:2021
• EN 50600-2-2:2019
• EN 50600-2-3:2019
• EN 50600-2-4:2015
• EN 50600-2-5:2021
• EN 50600-3-1:2016

Sie werden nicht automatisch mit dem Update eingespielt, sondern stehen unter Administration > Standards und Normen zum Import bereit.

Mehr zum Import von Standards & Normen finden Sie hier.

Aufgrund von Neuerungen in den offiziellen Dokumenten haben wir folgende Standards & Normen auch in HITGuard aktualisiert:

• EN ISO/IEC 27001:2022
  • Der Annex wurde von Englisch auf Deutsch übersetzt.
• IT-Grundschutz-Kompendium 2023
  • Die bestehenden Kapitel der Bausteine wurden um die Einzelanforderungen erweitert und diese in Basisanforderungen, Standard-Anforderungen und Anforderungen bei erhöhtem Schutzbedarf eingeteilt.

Diese Anpassungen werden auf Instanzen, die diese Standards & Normen bereits importiert haben, automatisch mit dem Update eingespielt und ergänzt.

Die Controls der EN ISO/IEC 27001:2022 referenzieren nun Anforderungen der nachfolgenden Standards & Normen.

• IT-Grundschutz-Kompendium 2023
• CSC_V8
• DIN EN IEC 62443-2-1 Entwurf
• NIS Fact Sheet 9/2022
• KRITIS-Maßnahmenkatalog

Bei bereits importierten Standards & Normen werden die Mappings mit dem Update automatisch aktualisiert. Die Mappings neu importierter Standards & Normen sind beim Import bereits vollständig gesetzt.

Gemeinsam mit den Neuerungen aus dem Kapitel Detailliertere Auflösung von Norm-Mappings in Berichten und KPIs ergeben sich damit weitere Möglichkeiten, die Compliance mit den verschiedenen Vorgaben normenübergreifend auszuwerten.

Beispiel: Beantworten Sie eine Frage der EN ISO/IEC 27001:2022 zum Control A.8.7 Schutz vor Schadsoftware, so erhalten Sie – Dank der umfangreichen Mappings – in einer Compliance Auswertung mit der Zielnorm CSC_V8 bei deren Kapitel 02.05 Allowlist Authorized Software ebenfalls einen Erfüllungsgrad (bspw. via Dashboard mit dem KPI „Compliance Erfüllung“ oder via Bericht mit dem „Konformitätsbericht nach Standards und Normen“).

Auch im IT-Grundschutz-Kompendium 2023 sind in diesem Beispiel dann bei einigen der Einzelanforderungen, z.B. bei OPS.1.1.4.A11 Einsatz mehrere Scan-Engines oder bei OPS.1.1.4.A9 Meldung von Infektionen mit Schadprogrammen, Ergebnisse sichtbar.

Hinweis: Beachten Sie immer, dass sehr oft nur Teile eines Bausteins oder Kapitels eines Standards oder einer Norm adressiert sind (Einzelanforderungen). Ebenso können die Bausteine/Kapitel der Zielnorm ggf. weitere Anforderungen an eine spezielle Thematik stellen, die über die ursprünglich bewertete Norm hinaus geht. Im Zweifelsfall ist eine Einzelüberprüfung ratsam.

Unter Administration > Standards & Normen gibt es eine neue Seite, in der man eine Übersicht aller Risiken (rot), Maßnahmen (grün), Kontrollen (violett) und Dokumente (blau) des aktuellen Managementsystems erhält, die ein Norm-Mapping auf Kapitel des gewählten Standards aufweisen.

Wählt man einen Standard aus, zeigt jede Kapitelebene die Anzahl ihrer Verknüpfungen sowie die aller darunterliegenden Ebenen an. Klappt man die Ebenen auf, sieht man die einzelnen verknüpften Elemente.

Die hier aufgelisteten Dokumente (blau) sind jene, die im Dokumentenmanagement hochgeladen und mit einem Mapping versehen wurden.

Um das Erstellen und Erweitern eigener Wissensdatenbanken weiter zu vereinfachen, haben wir die Importmöglichkeiten folgendermaßen ergänzt:

• Bei der Art der Frage werden zusätzlich zu Technik- und Prozessfragen auch Informationserhebungen unterstützt.
• Begründungsvorlagen können ebenfalls importiert werden.

Ist eine HITGuard Instanz mit Microsoft Entra ID (vormals Azure AD) verbunden, kann beim Datenimport von Organisationseinheiten, Ressourcen etc. für den Verantwortlichen auch ein Entra ID-Username angegeben werden. HITGuard überprüft dann, ob es diesen Usernamen im Entra ID gibt und, wenn ja, wird er als Practitioner Benutzer in HITGuard angelegt und als Verantwortlicher des Elements gesetzt.

Mehr dazu finden Sie hier.

Organisationseinheiten, Datenkategorien und Prozesse können nun per Knopfdruck in eine übersichtliche Exceldatei exportiert werden.

Ist eine HITGuard Instanz mit Microsoft Entra ID (vormals Azure AD) verbunden, kann in den Globalen Einstellungen konfiguriert werden, dass User automatisch angemeldet werden. Solange diese Checkbox aktiviert ist, müssen User weder ihre Zugangsdaten eingeben noch auf den Login Button klicken, sondern werden sofort auf die Startseite von HITGuard weitergeleitet.

Weiters können die lokalen Benutzerdaten, wenn HITGuard mit Microsoft Entra ID (vormals Azure AD) verknüpft ist, in einem nächtlichen Job automatisch synchronisiert werden. Wurde ein User in Entra ID deaktiviert, wird er damit auch in HITGuard deaktiviert.

Der Abgleich muss nicht pro User manuell durchgeführt werden.

HITGuard unterstützt für den Versand von E-Mals nun neben SMTP-Auth auch den Versand über Microsoft 365.

Die REST Schnittstelle wurde um weitere Wege ergänzt, wie Applikationen mit HITGuard interagieren können. Verschiedene Elemente können nun ausgelesen, erstellt, aktualisiert oder auch gelöscht werden:

• Managementsysteme
• Benutzer
• Maßnahmen
• Meldungen
• Risiken
• Organisationseinheiten, Datenkategorien, Prozesse, Ressourcen
• Kanten in der Strukturanalyse

Mehr zur REST Schnittstelle finden Sie hier.