Tool-gestützte Compliance-Dokumentation
ISW-Tools im audit-tauglichen Einsatz, Reporting-Workflow, Aufbewahrungsfristen
Bei einer BSI-Prüfung zählt nicht das, was die Systeme im Moment der Prüfung können. Es zählt das, was schriftlich nachgewiesen werden kann – und zwar über einen Beobachtungszeitraum von mindestens 12 Monaten. Compliance ist Dokumentation. Was nicht dokumentiert ist, existiert nicht. Dieser Artikel zeigt einen praxistauglichen Reporting-Workflow, der die zehn Maßnahmen aus § 30 BSIG mit auditierbaren Beweismitteln untermauert – ohne dass jemand täglich Excel-Listen pflegt.
Der Reporting-Workflow im Überblick
Compliance-Reporting hat eine immer gleiche Struktur. Wer den Workflow einmal sauber etabliert, hat das Thema dauerhaft im Griff:
| 1. Erheben | Automatisierter Scan / Audit mit Tool |
| 2. Berichten | PDF/HTML-Report mit Zeitstempel, Versionsnummer, Verantwortlichem |
| 3. Archivieren | Revisionssicher abgelegt, mit Aufbewahrungsfrist |
| 4. Tracken | Identifizierte Schwachstellen mit Maßnahmen versehen, Termin und Verantwortlicher |
| 5. Verifizieren | Re-Scan zur Bestätigung der Behebung |
Reporting-Rhythmen je Maßnahme
Nicht alles muss täglich gemessen werden. Für jede § 30-Maßnahme ergibt sich aus dem Risiko ein sinnvoller Mess-Rhythmus:
| Patch-Compliance | wöchentlich |
| CVE-Schwachstellen | wöchentlich (RCE) / monatlich (Gesamtscan) |
| GPO-Compliance | monatlich |
| AD-ACL-Audit | quartalsweise (vollständig), wo&chentlich auf Tier-0 |
| NTLM/Kerberos/SMB | monatlich |
| Eventlog-Auswertung | kontinuierlich (live), Wochen-Zusammenfassung |
| Passwort-Rotation Service-Accounts | automatisiert, Bericht monatlich |
| Backup-Verifikation | wöchentlich Test-Restore, monatlich Bericht |
| Awareness-Schulungen | halbjährlich |
ISW-Tools im Compliance-Einsatz
Die ISW-Tools sind genau für diese Reporting-Anforderungen entwickelt – sie produzieren PDF- und HTML-Reports mit Zeitstempel, Auditor-Information und konkreten Befunden, die direkt in die Compliance-Akte wandern können.
ISW GPO Analyzer Pro – Compliance-Score
Das Tool prüft alle GPOs einer Domäne gegen das BSI IT-Grundschutz-Kompendium und liefert pro Policy einen Compliance-Score mit BSI-Baustein-Referenz. Auditor sieht auf einen Blick: Welche Bausteine sind erfüllt (grün), teilweise erfüllt (gelb) oder nicht erfüllt (rot). Der monatliche Vergleich zeigt Fortschritt oder Rückschritt.
- Monatlicher Vollscan der Domäne
- PDF-Report mit BSI-Mapping in Compliance-Akte
- Schwachstellen werden ins Maßnahmen-Tracking übernommen
- Re-Scan nach jeder GPO-Änderung als Bestätigung
ISW CVE Vulnerability Scanner – Schwachstellen-Tracking
Mehrwert: Tagesaktueller CVE-Abgleich gegen die nationale Schwachstellendatenbank (NVD), Klassifizierung nach CVSS-Score, RCE-Priorisierung. Wichtig für BSI-Prüfung: Für jede gefundene Schwachstelle zeigt der Report Patch-Status, Mitigations und Zeit bis zur Behebung. Verbleibende Risiken werden im Risikoregister geführt.
ISW Windows Patch Compliance Analyzer – Patch-Stand
Wo&chentlicher Patch-Compliance-Bericht je Server, mit Trend über die Zeit. Für das BSI-Audit ist die historische Reihe entscheidend: Wenn der Patch-Stand über 12 Monate konsistent über 95 % lag, ist das ein starker Beleg für ein gelebtes Patch-Management. Ein Einzelbericht zum Zeitpunkt der Prüfung sagt nichts.
ISW AD ACL Auditor – Zugriffskontrolle
Vierteljaehrlicher AD-ACL-Audit-Report mit Fokus auf privilegierte Konten, AdminSDHolder, Überberechtigungen. Versionsbedingte False-Positive-Korrekturen im PrivilegedRightsScanner sorgen dafür, dass der Audit-Report nicht von Rauschen überdeckt wird. Findings werden mit Termin in das Maßnahmen-Tracking überführt.
ISW NTLM/Kerberos/SMB Analyzer – Authentifizierung
Drei Tools, ein Themenfeld: Authentifizierungshärtung. NTLM Event Analyzer extrahiert NTLM-Audit-Einträge und priorisiert Ausnahmen, Kerberos Audit Analyzer findet RC4-Reste und Kerberoasting-Risiken, SMB Security Analyzer prüft Signing-Status und SMBv1. Jeweils monatlicher Bericht.
ISW Windows Live-Ereignismonitor – Detektion
Kontinuierliche Überwachung kritischer Eventlog-IDs auf mehreren Servern, mit Korrelations-Engine, Alert-Mails und SQL-Backend für rückwirkende Auswertung. Für die NIS2-Meldepflicht zentral: Hier entstehen die Ereignisse, aus denen ein meldepflichtiger Vorfall wird.
ISW AD Password Rotator – privilegierte Konten
Automatisierte Rotation von Service-Accounts und privilegierten Konten mit 4-Augen-Prinzip, vollständigem Audit-Log, PDF-Report (landscape) und DSGVO-konformer Löschroutine. Der monatliche Rotations-Report dokumentiert: Welche Accounts wurden wann rotiert, von wem genehmigt, welche Restanforderungen bestehen.
Beispiel-Workflow: Quartalsaudit bei einem Mittelständler
- Woche 1: GPO Analyzer Pro Vollscan, AD ACL Auditor Vollscan, Kerberos/NTLM/SMB-Audit – alle Reports in die Compliance-Akte
- Woche 2: CVE Scanner Vollscan, Patch Compliance Analyzer mit Trend-Auswertung über 12 Wochen
- Woche 3: Risikoregister-Review, Maßnahmenstatus aktualisieren, neue Findings priorisieren
- Woche 4: Quartals-Briefing für die Geschäftsleitung mit den wichtigsten Findings, Tabletop-Übung mit IR-Team
- Abschluss: Audit-Akte abschließen, Aufbewahrungsfrist starten
Reporting-Anforderungen aus Auditor-Sicht
Ein Audit-Report wird für einen externen Prüfer geschrieben, nicht für das eigene Team. Folgende Strukturanforderungen sind zwingend:
- Titelseite: Unternehmen, Erstellungsdatum, Zeitraum, Verantwortlicher, Version
- Inhaltsverzeichnis mit Seitenzahlen
- Management Summary: 1–2 Seiten Zusammenfassung, Ampel-Status, kritische Findings
- Methodik: Wie wurde gemessen, mit welchem Tool, in welcher Version
- Detailbefunde: pro Finding: Beschreibung, Risiko, Empfehlung
- Trend-Auswertung: Vergleich zum Vor-Report, Änderungen
- Anhang: Rohdaten als CSV/Excel, Prüfungs-Konfiguration
Revisionssichere Archivierung
Audit-Berichte werden benötigt, wenn das BSI ein bis drei Jahre nach einem Vorfall prüft. Die Berichte müssen daher revisionssicher aufbewahrt werden. Das heißt:
- Unveränderlich – nachträgliche Manipulation muss erkennbar sein (Hash, Signatur, WORM-Speicher)
- Zugriffsgeschützt – nur autorisierte Personen, mit Audit-Log
- Vollständig auffindbar – Suchfunktion, Indexierung
- Aufbewahrungsfrist – mindestens 7 Jahre für Compliance-Dokumente, oft länger
- Migrationssicher – Dateiformate, die in 5 Jahren noch lesbar sind (PDF/A, keine proprieätären Container)
\\fileserver\Compliance\NIS2\2026\Q2\GPO-Audit. Wer später ein dediziertes GRC-Tool einsetzt, kann die Ordner einfach migrieren.Das Maßnahmen-Tracking
Findings ohne Behebung sind wertlos – und in einer Prüfung Bumerang. Jedes Audit-Finding muss in ein Tracking-System überführt werden. Für KMU reicht eine simple Tabelle mit folgenden Spalten:
| Finding-ID | F-2026-Q2-0017 |
| Quelle | GPO Analyzer Report 2026-04-15 |
| Beschreibung | LDAP Signing nicht erzwungen |
| Risiko | Hoch |
| Maßnahme | GPO Default Domain Controller Policy anpassen |
| Verantwortlich | Müller, AD-Admin |
| Termin | 2026-05-31 |
| Status | In Arbeit / erledigt / akzeptiertes Restrisiko |
Trend-Auswertung als Pflicht-Übung
Ein einzelner Bericht ist ein Schnappschuss. Was wirklich zählt: Die Entwicklung über Zeit. Ein BSI-Prüfer fragt nicht „wie ist Ihr Patch-Stand heute?“ – er fragt „wie war Ihr Patch-Stand in den letzten 12 Monaten und welche Trends sehen Sie?“.
- Patch-Compliance-Score über 12 Monate
- Anzahl offener kritischer CVEs über 12 Monate
- GPO-Compliance-Score gegen BSI IT-Grundschutz über 12 Monate
- Anzahl gemeldeter Sicherheitsvorfälle pro Monat
- Mean Time to Patch (MTTP) für RCE-CVEs
- Mean Time to Detect (MTTD) und Mean Time to Respond (MTTR) bei Vorfällen