HITGuard Release August 2025: Unterschied zwischen den Versionen

Ein großer Fokus lag in diesem Release auf der Überarbeitung und Erweiterung diverser Funktionen der Schutzbedarfsanalyse (SBA). Einerseits haben wir die Erstellung der Schutzbedarfsanalyse umgebaut, andererseits kann man nun manuell oder automatisiert Neubewertungen für Schutzbedarfsanalysen anlegen und aussenden.

Wann möchte ich eine neue SBA erstellen und wann eine Neubewertung? In der Praxis werden üblicherweise die ersten SBAs gemeinsam mit den Ansprechpartnern als Interview abgehalten. Damit wird das konsistente Vorgehen gemeinsam verinnerlicht und Fragen können persönlich geklärt werden. Auch bei Hinzukommen neuer Personen zum Teilnehmerkreis oder bei einer Veränderung in den verknüpften Ressourcen und/oder Datenkategorien, kann ein gemeinsamer Interviewtermin eine gute Idee sein. Ist diese erste Hürde einmal geschafft, können regelmäßige, z.B. jährliche, Neubewertungen derselben Ressourcen und/oder Datenkategorien einfach als Self Assessment verschickt werden. Das erspart allen Beteiligten Zeit und stellt die Aktualität Ihrer Analysen nachweislich sicher. Dabei unterstützen Sie zukünftig die neuen Workflowpläne.

Das Erstellen einer neuen Schutzbedarfsanalyse wurde dahingehend verändert, dass nun alle Zuweisungen von Datenkategorien und Ressourcen im Schritt 2 erfolgen. Damit harmonisiert die SBA mit der Abweichungsanalyse, bei der ebenfalls die Prüfobjekte in Schritt 2 hinzugefügt werden.

Mit dem ersten Button kann man steuern, ob man vorgeschlagene Ressourcen und Datenkategorien mit der aktuellen SBA bewerten möchte. Vorgeschlagen werden solche, die aktuell in keiner offenen SBA, sondern in mindestens einer geschlossenen SBA oder durch eine neue Verlinkung aus der Strukturanalyse heraus verknüpft sind. Hier können auch etwaige vorhandene historische Ergebnisse übernommen werden, falls solche aus alten SBAs existieren.

Wie bei Abweichungsanalysen und Prüfergebnissen gibt es jetzt auch bei Schutzbedarfsanalysen einen Button (mit einem Pfeil nach oben), mit dem man auf Knopfdruck eine Neubewertung anlegen kann.

Hierbei werden die Stammdaten, die Teilnehmer und die verknüpften Ressourcen und Datenkategorien jeweils aus der markierten geschlossenen SBA übernommen. Weiß man also, dass sich die Struktur der SBA nicht ändern und nur die weitere Gültigkeit der Ergebnisse überprüft werden soll, so bietet dieser Button die ideale Funktionalität dafür. Man wählt nur noch das Startdatum und das Enddatum wird automatisch vorbesetzt, auf Basis der Daten der ursprünglichen Überprüfung. Mit einer Checkbox kann man festlegen, ob vorherige Ergebnisse übernommen werden sollen oder nicht.

Unter Risikomanagement > Schutzbedarf gibt es die neue Möglichkeit, Workflowpläne anzulegen. Damit können Schutzbedarfsanalysen (SBAs) regelmäßig automatisiert als Self Assessment angelegt und dem Interviewpartner zugeschickt werden. Dafür gibt es einen eigenen neuen Button (lila, ganz rechts), der den User zur Übersicht der erstellten Workflows bringt.

Dort angekommen erstellt man mit Plus einen neuen Workflowplan, kopiert einen bestehenden mit dem Kopieren Button oder öffnet mit Doppelklick einen bestehenden. Es ergibt Sinn, SBAs auf mehrere Workflowpläne aufzuteilen, damit man sie auch über das Jahr verteilt neubewerten lassen kann, z.B. manche im Frühjahr und manche im Herbst. Im Beispiel oben finden die SBAs mit Marketing & Sales auch öfter statt als jene mit Research & Development. Sie können aber auch SBAs mit einzelnen Abteilungen mehreren Workflow Plänen zuteilen. Falls sie beispielsweise einen Workflowplan für den Frühling und einen für den Herbst erstellt haben, die jährlich wiederholt werden und eine besonders sensible Organisationseinheit zweimal jährlich (im Frühling und im Herbst) prüfen möchten, dann können Sie die SBA zu dieser Organisationseinheit beiden Workflowplänen zuteilen.

Wie bei einer Kontrolldefinition wird in den Stammdaten die nächste Durchführung und das Wiederholungsverhalten des Workflows festgelegt.

Im Tab Schutzbedarfsanalysen werden die gewünschten Ausgangs-SBAs hinzugefügt, auf Basis derer die Neubewertungen erstellt werden sollen. Falls es Konflikte gibt, so wird dies mit einem gelben oder roten Warndreieck angezeigt und das Problem beschrieben, damit man den Konflikt beheben oder den Workflow entsprechend anpassen kann.

Mehr zu Konflikten finden Sie hierhier.

Man hat an dieser Stelle auch die Möglichkeit, sofort manuell eine Neubewertung der SBA zu triggern, indem man den gleichen Button wie in der Übersicht unter Risikomanagement > Schutzbedarf (Pfeil Button ganz rechts) verwendet.

Eine Woche vor Ausführung des Workflows erhält der Verantwortlich noch ein Erinnerungsmail mit allen wichtigen Informationen, so auch über etwaige Probleme. Damit hat er noch ausreichend Zeit, um Konflikte zu lösen wie beispielsweise SBAs, die man vergessen hat abzuschließen zu schließen.

Beim Auslösen des Workflows erhält der Verantwortliche ebenfalls eine Information, was geschehen ist. D.h. er erhält Informationen über die erfolgreichen Aussendungen sowie die nicht möglichen Aussendungen aufgrund von nicht behobenen Konflikten. Diese Information findet sich dann auch im Tab Durchgeführte Workflows.

Workflows können für einzelne OrgEhs oder Prozesse auch pausiert werden. Das kann praktisch sein, wenn man beispielsweise kurz vor Auslösen des Workflowplans außertourlich eine Neubewertung durchgeführt hat und nicht sofort wieder eine Nachfrage aussenden möchte. In diesem Fall wird ein Auslösen übersprungen und die Schutzbedarfsanalyse wird erst beim nächsten Auslösen wieder in den Workflow aufgenommen.

Wenn der Workflow problemlos durchgeführt werden kann und auch nicht pausiert ist, so wird eine neue Schutzbedarfsanalyse, je nach Konfiguration mit oder ohne die Ergebnisse der Vorgängerversion, als Self Assessment erstellt und direkt an den Interviewpartner geschickt. Das Startdatum ist das aktuelle Datum der Aussendung und die Beantwortungsfrist orientiert sich an der Frist bzw. am Enddatum der SBA, die als Vorlage gedient hat. Im Falle des obigen Beispiels wurde nur eine SBA erstellt und verschickt, weil die andere pausiert war. Die angeforderte SBA kann nun wie jedes Self Assessment vom Interviewpartner beantwortet und retourniert werden.

Auch direkt in der Schutzbedarfsanalyse selbst erhält man Information über etwaige Workflowpläne, mit denen die Schutzbedarfsanalyse verknüpft ist. Hier wird auch dargestellt, ob sie dort aktiv oder pausiert ist. Wurde die Schutzbedarfsanalyse aus einem Workflowplan heraus angelegt, so wird das ebenfalls angezeigt.

Tipp: die Information, ob ein Workflow verknüpft ist und wann dieser das nächste Mal auslöst, kann man sich auch in der Übersicht der Schutzbedarfsanalysen in einer neuen Spalte einblenden.

Mehr zu Workflowplänen finden Siehier.

Ein weiteres neues Feature in diesem Kontext ist das Konfigurieren von Bezeichnungsvorlagen für die Schutzbedarfsanalysen unter Risikomanagement > Einstellungen. Aus den Elementen OrgEh/Prozess, Datum, Freitext und Trennzeichen kann eine Vorlage zusammengestellt werden, anhand derer alle neuen Schutzbedarfsanalysen ihren Namen erhalten.

Beispiel: Human Resources (HR) | SBA | 2025-08

Ankündigung: Für die kommenden Releases ist eine sukzessive Erweiterung des Workflowplan-Features auf weitere Entitäten geplant: Risiko, Abweichungsanalyse und Prüfergebnis und Verarbeitungstätigkeit.

Für das Risikomanagement haben wir die neue Kennzahl „Risiken/Chancen im zeitlichen Verlauf“ implementiert, mit der sich die bisherige Entwicklung eines Risikos/einer Chance auf Knopfdruck visualisieren lässt.

Jedes angezeigte Risiko/Chance wird mit seiner eigenen Entwicklungslinie dargestellt und der Zeitraum selbst kann mit dem Schieberegler unter der Grafik – genau wie beim Datenfilter der Kontroll-KPIs – angepasst werden. Wahlweise kann man sich den Hintergrund der Kennzahl mit den Farben der Risikomatrix einfärben, um die Kritikalität der diversen Risiken/Chancen noch schneller zu erkennen.

Bisher konnten im Zuge von Neubewertungen von Prüfobjekten die Antworten (Ja, Nein, Teilweise oder der gewählte Reifegrad) von der alten in die neue Überprüfung übernommen werden. Ab jetzt kann zusätzlich über eine neue Checkbox im Dialog auch die eingetragene Begründung mit übernommen werden. Der bekannte Platzhalter „Begründung der letzten Überprüfung gilt weiterhin“ ist nach wie vor ebenso verfügbar.

Die Option steht sowohl beim Erstellen von Neubewertungen mit dem Button in der Übersichtsliste zur Verfügung als auch im Schritt 2 der Abweichungsanalysen, beim Hinzufügen von Prüfobjekten.

Erstellt man eine Teil-automatische Neubewertung für mehrere Prüfobjekte aus verschiedenen Überprüfungen, so können diese mit verschiedenen Organisationseinheiten verknüpft sein. HITGuard erstellt ab jetzt eine Neubewertung für jeden Cluster an Prüfobjekten, die mit der gleichen Organisationseinheit verbunden sind. Die Neubewertung ist damit weiterhin der Organisationseinheit zugewiesen und somit können diese neubewerteten Ergebnisse in den Auswertungen nach Organisationseinheiten mitbedacht werden.

Beispiel: Es wurden Maßnahmen erledigt, deren Umsetzung sich positiv auf Abweichungen zu Prüfobjekten der TogetherExample AG, der HR Abteilung und der R&D Abteilung auswirkt. HITGuard erstellt ab nun nicht eine Teil-automatische Neubewertung, sondern drei: eine für jede Organisationseinheit, die die jeweiligen Prüfobjekte beinhaltet.

Bei der Erstellung von Abweichungs- sowie Schutzbedarfsanalysen und auch beim Erfassen von Prüfergebnissen werden nun Verantwortliche und Interviewpartner über die Organisationseinheiten bzw. Prozesse vorbesetzt. Dafür werden jene Benutzer verwendet, die in der Organisationseinheit bzw. im Prozess als Verantwortliche hinterlegt sind.

In den Risiko- und Chancenberichten gibt es nun die Möglichkeit, auch die mit dem Risiko oder der Chance verknüpften Bedrohungen mit in den Bericht aufzunehmen. Zusätzlich werden auch etwaige angegebene monetäre Auswirkungen im Bericht angedruckt – einmal summiert bei der Übersicht und dann auch individuell pro Risiko/Chance.

Die Bemessung der Soll- und Ist-RTO und RPO wurde in der Strukturanalyse bisher so gehandhabt, dass nur eingeblendete Elemente mit eingerechnet wurden. Dieses Verhalten wurde nun dahingehend geändert, dass die Elemente nicht mehr isoliert, sondern in ihrer Gesamtheit über alle Beziehungen hinweg betrachtet werden.

Beispiel: Ich befinde mich in der Organisationssicht als Hauptsicht und habe mir die Ressourcen als Nebensicht eingeblendet, wodurch mir die Anwendungsebene angezeigt wird. Die Brutto-Wiederherstellzeit ist das Ergebnis aller darunter verknüpften Ressourcen, auch derer, die ich nicht eingeblendet habe.

Auch bei den Strukturanalyseberichten wird der gesamte Pfad in der Berechnung berücksichtigt.

Zu Lieferanten können ab jetzt auch Kategorien erfasst werden. Dadurch lassen sie sich leichter filtern und sortieren. Die Kategorien können eigens erstellt oder auch direkt bei der Bearbeitung des Lieferanten hinzugefügt werden.

Die Stammdaten der Lieferanten wurden um die Lieferantenbewertung erweitert. Hier können der vergebene Score und die zugewiesene Schutzbedarfsklasse sowie eine eigene Metrik aus dritten Systemen festgehalten werden. Auch die Kategorien werden an dieser Stelle vergeben bzw. neu erstellt. Zuletzt ist es noch möglich, eine Begründung für die vergebenen Bewertungen zu erfassen.

HITGuard warnt Sie nun auch, wenn ein Konflikt zwischen der Beantwortungsfrist einer Lieferantenüberprüfung und dem Ablaufdatum des dazugehörigen Lieferanten besteht. Wenn man eine Beantwortung mit einer Frist anfordert, die nach dem Ablaufdatum liegt, oder ein Ablaufdatum setzt, das vor einer Frist liegt, so wird man vom System darauf hingewiesen und kann die Daten gegebenenfalls noch anpassen.

Lieferanten werden nun, sofern das Add-on aktiviert ist, auch in der Strukturanalyse mitberücksichtigt. Hier können sie als Haupt- oder Nebensicht eingeblendet und mit anderen Entitäten verknüpft werden.

Dies erlaubt die Visualisierung der Lieferantenrisiken und ihrer Schutzbedarfe mit all ihren Beziehungen und Abhängigkeiten. Das Verhalten ist damit identisch zum bereits bekannten Verhalten anderer Sichten.

Beispiel: So können im Unternehmen eingesetzte Systeme mit deren Lieferanten in ihrer Beziehung direkt visualisiert werden.

Mehr zur Strukturanalyse finden Sie hier.