Prüfung und Audit
Befund und Maßnahmenplan
Was ist ein Befund mit Maßnahmenplan?
Ein Befund ist der schriftliche Bericht einer IT-Prüfung. Er hält fest, was geprüft wurde, was gefunden wurde und wie hoch das Risiko jedes einzelnen Fundes ist. Der Maßnahmenplan ordnet diese Funde nach Dringlichkeit und benennt zu jedem Fund die konkrete Abhilfe.
Ein brauchbarer Befund nennt zuerst den Prüfumfang und den Prüfzeitpunkt, damit später nachvollziehbar bleibt, für welche Systeme und für welchen Stand der Bericht gilt. Danach folgt zu jedem Fund dieselbe Struktur: die Beobachtung, das betroffene System, das Risiko in verständlichen Worten und die empfohlene Maßnahme. Eine Zusammenfassung auf einer Seite richtet sich an die Geschäftsführung und kommt ohne Fachbegriffe aus.
Der Maßnahmenplan ordnet die Funde nach Dringlichkeit. Sofort zu behandeln ist alles, was einem Angreifer heute den Weg ins Netzwerk öffnet, etwa ein Fernzugang ohne zweiten Faktor oder das noch aktive Konto einer ausgeschiedenen Mitarbeiterin. Kurzfristig folgen fehlende Sicherheitsupdates und ungetestete Backups. Mittelfristig stehen die Punkte, die Zeit und Abstimmung brauchen, etwa ein Berechtigungskonzept, also eine schriftliche Regel, wer auf welche Daten zugreifen darf, die Trennung des Netzwerks in Bereiche oder Schulungen.
Aus einem Bericht wird Sicherheit, sobald jede Maßnahme eine verantwortliche Person, einen Termin und eine Wiedervorlage hat. Nehmen Sie den Maßnahmenplan in Ihre regelmäßigen Besprechungen auf und haken Sie die Punkte nachweislich ab. Bei Maßnahmen, die Ihr IT-Dienstleister umsetzt, dient der Befund als gemeinsame Grundlage: Er beschreibt den Zustand, die Begründung und das Ziel, und beide Seiten arbeiten mit demselben Text.
Der Befund hat auch nach außen einen Wert. Artikel 32 Absatz 1 lit. d DSGVO verlangt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit Ihrer Sicherheitsmaßnahmen, und ein datierter Prüfbericht mit nachverfolgten Maßnahmen dokumentiert eine solche Überprüfung. Versicherungen und größere Auftraggeber fragen vergleichbare Nachweise ab. Gleichzeitig enthält ein Befund eine genaue Beschreibung Ihrer Schwachstellen. Bewahren Sie ihn verschlüsselt auf, übermitteln Sie ihn verschlüsselt und begrenzen Sie den Kreis der Personen mit Zugriff.
Beim IT-Check erhalten Sie den dokumentierten Befund mit priorisiertem Maßnahmenplan innerhalb von 14 Werktagen nach der Erhebung vor Ort. Vor Beginn der Prüfung wird eine Geheimhaltungsvereinbarung unterzeichnet. Ein Erstgespräch von 20 Minuten verursacht keine Kosten und klärt vorab, welche Systeme in den Prüfumfang gehören.
Befund und Maßnahmenplan im IT-Check Erstgespräch vereinbaren
Alle Begriffe der Wissensdatenbank
Hinweis: Dieser Eintrag gibt den Stand nach bestem Wissen wieder und dient der allgemeinen Orientierung. Er ersetzt keine Rechtsberatung. Maßgeblich ist immer die geltende Fassung bei der zuständigen Stelle, etwa dsb.gv.at, nis.gv.at oder onlinesicherheit.gv.at.
Vom Begriff zur Praxis
Wie steht Ihr Betrieb wirklich da?
Der IT-Check prüft Ihre IT in 8 Prüfbereichen mit über 100 Prüfpunkten und liefert einen dokumentierten Befund mit priorisiertem Maßnahmenplan. Ab 1.299 € exkl. USt. Das Erstgespräch dauert 20 Minuten. Es entstehen keine Kosten.