HITGuard Release August 2025/de: Unterschied zwischen den Versionen

Ein großer Fokus lag in diesem Release auf der Überarbeitung und Erweiterung diverser Funktionen der Schutzbedarfsanalyse (SBA). Einerseits haben wir die Erstellung der Schutzbedarfsanalyse umgebaut, andererseits kann man nun manuell oder automatisiert Neubewertungen für Schutzbedarfsanalysen anlegen und aussenden.

Wann möchte ich eine neue SBA erstellen und wann eine Neubewertung? In der Praxis werden üblicherweise die ersten SBAs gemeinsam mit den Ansprechpartnern als Interview abgehalten. Damit wird das konsistente Vorgehen gemeinsam verinnerlicht und Fragen können persönlich geklärt werden. Auch bei Hinzukommen neuer Personen zum Teilnehmerkreis oder bei einer Veränderung in den verknüpften Ressourcen und/oder Datenkategorien, kann ein gemeinsamer Interviewtermin eine gute Idee sein. Ist diese erste Hürde einmal geschafft, können regelmäßige, z.B. jährliche, Neubewertungen derselben Ressourcen und/oder Datenkategorien einfach als Self Assessment verschickt werden. Das erspart allen Beteiligten Zeit und stellt die Aktualität Ihrer Analysen nachweislich sicher. Dabei unterstützen Sie zukünftig die neuen Workflowpläne.

Das Erstellen einer neuen Schutzbedarfsanalyse wurde dahingehend verändert, dass nun alle Zuweisungen von Datenkategorien und Ressourcen im Schritt 2 erfolgen. Damit harmonisiert die SBA mit der Abweichungsanalyse, bei der ebenfalls die Prüfobjekte in Schritt 2 hinzugefügt werden.

Mit dem ersten Button kann man steuern, ob man vorgeschlagene Ressourcen und Datenkategorien mit der aktuellen SBA bewerten möchte. Vorgeschlagen werden solche, die aktuell in keiner offenen SBA, sondern in mindestens einer geschlossenen SBA oder durch eine neue Verlinkung aus der Strukturanalyse heraus verknüpft sind. Hier können auch etwaige vorhandene historische Ergebnisse übernommen werden, falls solche aus alten SBAs existieren.

Wie bei Abweichungsanalysen und Prüfergebnissen gibt es jetzt auch bei Schutzbedarfsanalysen einen Button (mit einem Pfeil nach oben), mit dem man auf Knopfdruck eine Neubewertung anlegen kann.

Hierbei werden die Stammdaten, die Teilnehmer und die verknüpften Ressourcen und Datenkategorien jeweils aus der markierten geschlossenen SBA übernommen. Weiß man also, dass sich die Struktur der SBA nicht ändern und nur die weitere Gültigkeit der Ergebnisse überprüft werden soll, so bietet dieser Button die ideale Funktionalität dafür. Man wählt nur noch das Startdatum und das Enddatum wird automatisch vorbesetzt, auf Basis der Daten der ursprünglichen Überprüfung. Mit einer Checkbox kann man festlegen, ob vorherige Ergebnisse übernommen werden sollen oder nicht.

Unter Risikomanagement > Schutzbedarf gibt es die neue Möglichkeit, Workflowpläne anzulegen. Damit können Schutzbedarfsanalysen (SBAs) regelmäßig automatisiert als Self Assessment angelegt und dem Interviewpartner zugeschickt werden. Dafür gibt es einen eigenen neuen Button (lila, ganz rechts), der den User zur Übersicht der erstellten Workflows bringt.

Dort angekommen erstellt man mit Plus einen neuen Workflowplan, kopiert einen bestehenden mit dem Kopieren Button oder öffnet mit Doppelklick einen bestehenden. Es ergibt Sinn, SBAs auf mehrere Workflowpläne aufzuteilen, damit man sie auch über das Jahr verteilt neubewerten lassen kann, z.B. manche im Frühjahr und manche im Herbst. Im Beispiel oben finden die SBAs mit Marketing & Sales auch öfter statt als jene mit Research & Development. Sie können aber auch SBAs mit einzelnen Abteilungen mehreren Workflow Plänen zuteilen. Falls sie beispielsweise einen Workflowplan für den Frühling und einen für den Herbst erstellt haben, die jährlich wiederholt werden und eine besonders sensible Organisationseinheit zweimal jährlich (im Frühling und im Herbst) prüfen möchten, dann können Sie die SBA zu dieser Organisationseinheit beiden Workflowplänen zuteilen.

Wie bei einer Kontrolldefinition wird in den Stammdaten die nächste Durchführung und das Wiederholungsverhalten des Workflows festgelegt.

Im Tab Schutzbedarfsanalysen werden die gewünschten Ausgangs-SBAs hinzugefügt, auf Basis derer die Neubewertungen erstellt werden sollen. Falls es Konflikte gibt, so wird dies mit einem gelben oder roten Warndreieck angezeigt und das Problem beschrieben, damit man den Konflikt beheben oder den Workflow entsprechend anpassen kann.

Mehr zu Konflikten finden Sie hier.

Man hat an dieser Stelle auch die Möglichkeit, sofort manuell eine Neubewertung der SBA zu triggern, indem man den gleichen Button wie in der Übersicht unter Risikomanagement > Schutzbedarf (Pfeil Button ganz rechts) verwendet.

Eine Woche vor Ausführung des Workflows erhält der Verantwortlich noch ein Erinnerungsmail mit allen wichtigen Informationen, so auch über etwaige Probleme. Damit hat er noch ausreichend Zeit, um Konflikte zu lösen wie beispielsweise SBAs, die man vergessen hat abzuschließen zu schließen.

Beim Auslösen des Workflows erhält der Verantwortliche ebenfalls eine Information, was geschehen ist. D.h. er erhält Informationen über die erfolgreichen Aussendungen sowie die nicht möglichen Aussendungen aufgrund von nicht behobenen Konflikten. Diese Information findet sich dann auch im Tab Durchgeführte Workflows.

Workflows können für einzelne OrgEhs oder Prozesse auch pausiert werden. Das kann praktisch sein, wenn man beispielsweise kurz vor Auslösen des Workflowplans außertourlich eine Neubewertung durchgeführt hat und nicht sofort wieder eine Nachfrage aussenden möchte. In diesem Fall wird ein Auslösen übersprungen und die Schutzbedarfsanalyse wird erst beim nächsten Auslösen wieder in den Workflow aufgenommen.

Wenn der Workflow problemlos durchgeführt werden kann und auch nicht pausiert ist, so wird eine neue Schutzbedarfsanalyse, je nach Konfiguration mit oder ohne die Ergebnisse der Vorgängerversion, als Self Assessment erstellt und direkt an den Interviewpartner geschickt. Das Startdatum ist das aktuelle Datum der Aussendung und die Beantwortungsfrist orientiert sich an der Frist bzw. am Enddatum der SBA, die als Vorlage gedient hat. Im Falle des obigen Beispiels wurde nur eine SBA erstellt und verschickt, weil die andere pausiert war. Die angeforderte SBA kann nun wie jedes Self Assessment vom Interviewpartner beantwortet und retourniert werden.

Auch direkt in der Schutzbedarfsanalyse selbst erhält man Information über etwaige Workflowpläne, mit denen die Schutzbedarfsanalyse verknüpft ist. Hier wird auch dargestellt, ob sie dort aktiv oder pausiert ist. Wurde die Schutzbedarfsanalyse aus einem Workflowplan heraus angelegt, so wird das ebenfalls angezeigt.

Tipp: die Information, ob ein Workflow verknüpft ist und wann dieser das nächste Mal auslöst, kann man sich auch in der Übersicht der Schutzbedarfsanalysen in einer neuen Spalte einblenden.

Mehr zu Workflowplänen finden Sie hier.

Ein weiteres neues Feature in diesem Kontext ist das Konfigurieren von Bezeichnungsvorlagen für die Schutzbedarfsanalysen unter Risikomanagement > Einstellungen. Aus den Elementen OrgEh/Prozess, Datum, Freitext und Trennzeichen kann eine Vorlage zusammengestellt werden, anhand derer alle neuen Schutzbedarfsanalysen ihren Namen erhalten.

Beispiel: Human Resources (HR) | SBA | 2025-08

Ankündigung: Für die kommenden Releases ist eine sukzessive Erweiterung des Workflowplan-Features auf weitere Entitäten geplant: Risiko, Abweichungsanalyse und Prüfergebnis und Verarbeitungstätigkeit.

Für das Risikomanagement haben wir die neue Kennzahl „Risiken/Chancen im zeitlichen Verlauf“ implementiert, mit der sich die bisherige Entwicklung eines Risikos/einer Chance auf Knopfdruck visualisieren lässt.

Jedes angezeigte Risiko/Chance wird mit seiner eigenen Entwicklungslinie dargestellt und der Zeitraum selbst kann mit dem Schieberegler unter der Grafik – genau wie beim Datenfilter der Kontroll-KPIs – angepasst werden. Wahlweise kann man sich den Hintergrund der Kennzahl mit den Farben der Risikomatrix einfärben, um die Kritikalität der diversen Risiken/Chancen noch schneller zu erkennen.

Bisher konnten im Zuge von Neubewertungen von Prüfobjekten die Antworten (Ja, Nein, Teilweise oder der gewählte Reifegrad) von der alten in die neue Überprüfung übernommen werden. Ab jetzt kann zusätzlich über eine neue Checkbox im Dialog auch die eingetragene Begründung mit übernommen werden. Der bekannte Platzhalter „Begründung der letzten Überprüfung gilt weiterhin“ ist nach wie vor ebenso verfügbar.

Die Option steht sowohl beim Erstellen von Neubewertungen mit dem Button in der Übersichtsliste zur Verfügung als auch im Schritt 2 der Abweichungsanalysen, beim Hinzufügen von Prüfobjekten.

Erstellt man eine Teil-automatische Neubewertung für mehrere Prüfobjekte aus verschiedenen Überprüfungen, so können diese mit verschiedenen Organisationseinheiten verknüpft sein. HITGuard erstellt ab jetzt eine Neubewertung für jeden Cluster an Prüfobjekten, die mit der gleichen Organisationseinheit verbunden sind. Die Neubewertung ist damit weiterhin der Organisationseinheit zugewiesen und somit können diese neubewerteten Ergebnisse in den Auswertungen nach Organisationseinheiten mitbedacht werden.

Beispiel: Es wurden Maßnahmen erledigt, deren Umsetzung sich positiv auf Abweichungen zu Prüfobjekten der TogetherExample AG, der HR Abteilung und der R&D Abteilung auswirkt. HITGuard erstellt ab nun nicht eine Teil-automatische Neubewertung, sondern drei: eine für jede Organisationseinheit, die die jeweiligen Prüfobjekte beinhaltet.

Bei der Erstellung von Abweichungs- sowie Schutzbedarfsanalysen und auch beim Erfassen von Prüfergebnissen werden nun Verantwortliche und Interviewpartner über die Organisationseinheiten bzw. Prozesse vorbesetzt. Dafür werden jene Benutzer verwendet, die in der Organisationseinheit bzw. im Prozess als Verantwortliche hinterlegt sind.

In den Risiko- und Chancenberichten gibt es nun die Möglichkeit, auch die mit dem Risiko oder der Chance verknüpften Bedrohungen mit in den Bericht aufzunehmen. Zusätzlich werden auch etwaige angegebene monetäre Auswirkungen im Bericht angedruckt – einmal summiert bei der Übersicht und dann auch individuell pro Risiko/Chance.

Die Bemessung der Soll- und Ist-RTO und RPO wurde in der Strukturanalyse bisher so gehandhabt, dass nur eingeblendete Elemente mit eingerechnet wurden. Dieses Verhalten wurde nun dahingehend geändert, dass die Elemente nicht mehr isoliert, sondern in ihrer Gesamtheit über alle Beziehungen hinweg betrachtet werden.

Beispiel: Ich befinde mich in der Organisationssicht als Hauptsicht und habe mir die Ressourcen als Nebensicht eingeblendet, wodurch mir die Anwendungsebene angezeigt wird. Die Brutto-Wiederherstellzeit ist das Ergebnis aller darunter verknüpften Ressourcen, auch derer, die ich nicht eingeblendet habe.

Auch bei den Strukturanalyseberichten wird der gesamte Pfad in der Berechnung berücksichtigt.

Zu Lieferanten können ab jetzt auch Kategorien erfasst werden. Dadurch lassen sie sich leichter filtern und sortieren. Die Kategorien können eigens erstellt oder auch direkt bei der Bearbeitung des Lieferanten hinzugefügt werden.

Die Stammdaten der Lieferanten wurden um die Lieferantenbewertung erweitert. Hier können der vergebene Score und die zugewiesene Schutzbedarfsklasse sowie eine eigene Metrik aus dritten Systemen festgehalten werden. Auch die Kategorien werden an dieser Stelle vergeben bzw. neu erstellt. Zuletzt ist es noch möglich, eine Begründung für die vergebenen Bewertungen zu erfassen.

HITGuard warnt Sie nun auch, wenn ein Konflikt zwischen der Beantwortungsfrist einer Lieferantenüberprüfung und dem Ablaufdatum des dazugehörigen Lieferanten besteht. Wenn man eine Beantwortung mit einer Frist anfordert, die nach dem Ablaufdatum liegt, oder ein Ablaufdatum setzt, das vor einer Frist liegt, so wird man vom System darauf hingewiesen und kann die Daten gegebenenfalls noch anpassen.

Lieferanten werden nun, sofern das Add-on aktiviert ist, auch in der Strukturanalyse mitberücksichtigt. Hier können sie als Haupt- oder Nebensicht eingeblendet und mit anderen Entitäten verknüpft werden.

Dies erlaubt die Visualisierung der Lieferantenrisiken und ihrer Schutzbedarfe mit all ihren Beziehungen und Abhängigkeiten. Das Verhalten ist damit identisch zum bereits bekannten Verhalten anderer Sichten.

Beispiel: So können im Unternehmen eingesetzte Systeme mit deren Lieferanten in ihrer Beziehung direkt visualisiert werden.

Mehr zur Strukturanalyse finden Sie hier.

Mit diesem Release können für Lieferantenbewertungen nicht mehr nur Self Assessments, sondern auch Interviews angelegt werden. Damit haben Sie die Möglichkeit, die Ergebnisse einer Überprüfung selbst einzuarbeiten und dem Lieferantenbenutzer keine Anforderung zur Beantwortung schicken zu müssen, falls dies eher Ihrem Prozess entspricht.

Wenn sich ein Lieferantenbenutzer zu oft mit dem falschen Passwort anzumelden versucht, wird er ausgesperrt. Diese Sperre wird dem Lieferantenrisikomanager unter Administration > Lieferanten angezeigt. Sobald sich der Benutzer mit dem Link „Passwort vergessen?“ wieder freigeschalten hat, verschwindet auch das Badge in der Übersicht.

Unter Auditmanagement > Auditplanung > Audits gibt es eine wichtige Neuerung: im Audit wurden die Seiten „Überprüfungen“ und „Terminkalender“ zusammengefügt und es gibt jetzt stattdessen die neue Seite „Termine“, die die beiden Tabs kombiniert.

Auf dieser neuen Seite sieht man eine kombinierte Sicht des Kalenders des Audits (mit allen Terminen, inkl. Sonstige) und der zugewiesenen Überprüfungen als Liste. Markiert man in der Übersichtsliste eine Überprüfung, wird sie im Kalender mit einem leuchtenden Rand hervorgehoben.

Ab diesem Release können alle Termine, die zu einem Audit gehören, auf einmal heruntergeladen und als Termine oder als Besprechungen in einen Kalender importiert werden.

Diese Option besteht sowohl in den Auditkalendern wie auch auf der neuen Termine Seite im Audit.

Im Auditbericht wird ab sofort der Gesamtscore des Audits nicht nur grafisch als Scorelinie dargestellt, sondern auch als Teil der Tabelle der Kopfdaten des Audits. Zugleich ist der Score auch farblich hinterlegt, um schnell erkennen zu können, wie das Audit abgeschnitten hat.

Die Filtermöglichkeiten “OrgEh in den letzten X Jahren nicht auditiert.“ und „Vorschlag diese OrgEh in jedem Auditprogramm zu auditieren.“ wurden über die unterschiedlichen Aufrufstellen (Auditkalender etc.) hinweg harmonisiert. Als Datenbasis für die Filterung dienen immer alle Audits des aktuellen Managementsystems.

Durch den ersten Filter, „OrgEh in den letzten X Jahren nicht auditiert.“, werden alle OrgEhs, die in den letzten x Jahren auditiert wurden, ausgegraut dargestellt. Mit dem zweiten Filter, „Vorschlag diese OrgEh in jedem Auditprogramm zu auditieren, ist jede OrgEh selektierbar, die in den Auditinformationen das Häkchen gesetzt hat (unter Administration > OrgEhs) und im aktuell zugewiesenen Auditprogramm noch nicht verwendet wurde.

Eine ausführliche Erklärung mit Beispielen finden Sie hier.

Es gibt eine neue Ausprägung des Kontrolltyps parallel zu vorbeugend und korrigierend: detektiv. Dieser Typ ist gedacht für solche Kontrolldefinitionen, mit denen Probleme nicht vermieden oder behoben, sondern initial erkannt werden. Der neue Kontrolltyp ist in alle KPIs integriert und wird auch in den Berichten berücksichtigt.

Wenn im Kontext eines Risikos eine neue Maßnahme angelegt wird, so wird ihr Verantwortlicher mit dem Verantwortlichen des Risikos vorbesetzt, kann aber manuell angepasst werden.

Sind bei einem Externen im Datenschutz Dokumente hinterlegt, kann diese Information jetzt auch in der Übersicht der Externen eingesehen werden. Damit ist es möglich, schneller einen Überblick darüber zu gewinnen, wo Dokumente vorhanden sind und wo sie eventuell noch erstellt bzw. hochgeladen werden müssen. Die Spalte ist standardmäßig eingeblendet, kann aber über die Spaltenauswahl auch jederzeit wieder ausgeblendet werden.

Im Doku-Management abgelegte Dokumente können ab sofort mit Schlagwörtern versehen werden. Das vereinfacht das Suchen und Filtern der Dokumente und erlaubt noch mehr Struktur in der Ablage der Dateien und Links.

Schlagwörter können unter Doku-Management > Dokumente | Schlagwörter erstellt und verwaltet werden. Zusätzlich kann man Schlagwörter auch direkt beim Bearbeiten eines Dokumenteneintrags erstellen und zur Sammlung hinzufügen.

Wir haben die Downloadoptionen im Doku-Management dahingehend erweitert, dass das Herunterladen nicht mehr auf einzelne Dokumente beschränkt ist. Es ist jetzt möglich, einen gesamten Ordner sowie dessen Unterordner herunterzuladen oder auch mehrere Dokumente zum Download auszuwählen. Tut man dies, erhält man eine Zip-Datei mit allen selektierten Elementen. Links werden in einer .txt Datei aufgelistet, die heruntergeladen wird.

Das Doku-Management bietet nun die neue Möglichkeit einer erweiterten Suche. Damit können Dokumente nicht nur nach ihrem Dateinamen gesucht werden, sondern auch nach ihren Schlagwörtern und den verknüpften Kapiteln von Standards/Normen. Diese Suche durchsucht zusätzlich zum aktuellen Ordner auch all seine Unterordner.

Beim Erstellen eines Berichts mit Revisionsinformation im Berichtsarchiv kann ab sofort die Datenklassifikation nicht nur neu eingegeben, sondern auch aus einem Dropdown ausgewählt werden. Dabei stehen jene Datenklassen zur Verfügung, die in der Risikopolitik definiert wurden.

Erstellt man einen Bericht mit Revisionsinformation im Berichtsarchiv als PDF, so wird die Versionsnummer automatisiert hochgezählt. Der dritte erstellte PDF-Bericht zu einem bestimmten Audit hätte also bspw. automatisch die Revisionsnummer 3.

Die folgenden neuen Normen sind mit diesem Update in HITGuard verfügbar:

• NIS-2 IT-Act - Anhang der Durchführungsverordnung (EU) 2024/2690
• DORA - Digital Operations Resilience Act
• C5:2020 - Kriterienkatalog Cloud Computing

Sie können diese Normen unter Administration > Standards und Normen importieren.

Der BSI IT-Grundschutz wurde um das Kapitel CON.11.2 erweitert.

Die EN ISO/IEC 27001:2022 wurde um das Kapitel DE: 6.3 Planung von Änderungen erweitert.

Es wurden nachfolgende Normen in ihrer Kurzbezeichnung (keine inhaltlichen Änderungen) für normspezifische Berichtsauswertungen korrigiert: EN ISO/IEC 27017:2015

• EN ISO/IEC 27002:2022
• EN ISO/IEC 27002:2013
• EN ISO/IEC 27001:2013
• EN ISO 50001:2018
• EN ISO 9001:2015-11
• EN ISO 9000:2015-11
• EN ISO 45001:2023-12
• EN ISO 14001:2015
• EN IEC 62443-3-3:2019

In der EN ISO/IEC 27001:2022 wurde folgendes Mapping korrigiert: das Kapitel 8.1 27001 zeigt nun auf die Kapitel 45, 46, 47, 48 KRITIS Maßnahmenkatalog. Zuvor ging dieses Mapping vom Kapitel A.8.1. 27001 aus.

Die EN ISO/IEC 27001:2022 enthält nun ausgehende Mappings zu folgenden Normen: VDA ISA 6.0

• ISO 27002:2022
• DORA - Digital Operations Resilience Act
• NIS-2 IT-Act - Anhang der Durchführungsverordnung (EU) 2024/2690
• C5:2020 - Kriterienkatalog Cloud Computing

Mappings wurden entweder von Normenherstellern oder anderen offiziellen Mappings verwendet. Trotz sorgfältiger Implementierung und ausführlichen Tests können Fehler nicht ausgeschlossen werden. Außerdem bieten solche Mappings stets eine Orientierungshilfe. Im Einzelfall sollte die tatsächliche und vollständige Erfüllung separat überprüft werden.