Viele KMUs stolpern über dieselben IT‑Probleme: Entscheidungen aus dem Bauch, wenig Dokumentation, teure Audits. Die Lösung ist kein Mammutprojekt, sondern ein kompakter, belegbarer IT‑Kontrollsatz. Er ersetzt Meinungen durch Nachweise und beschleunigt Entscheidungen. Für jede Kontrolle existiert ein Beleg (Screenshot, Report oder Ticket). Was nicht belegbar ist, gilt als nicht vorhanden.

1. Strategie und Roadmap: Ein einseitiges Zielbild pro Quartal: Nutzen, Risiken, Kosten, Verantwortliche. Monatliche Steuerung: Bleibt der Nutzen aus, erfolgen Abbruch und Neupriorisierung.
    
2. Sicherheit zuerst: Multi‑Faktor‑Authentisierung (MFA) unternehmensweit, bedingter Zugriff nach Risiko, gehärtete Endgeräte via Geräteverwaltung (MDM), striktes Least‑Privilege‑­Prinzip. Notfallkonten sind getrennt und überwacht.
    
3. Verantwortung klären: Für jeden Service und jeden Datenbereich je eine fachliche und eine technische verantwortliche Person mit Stellvertretung. Eine kurze Incident‑Routine regelt Erkennen, Eindämmen, Wiederherstellen und Lernen; Nachbereitung mit Aufgaben.
    
4. Identität und Zugriff: Keine geteilten Konten. Single Sign‑­On (SSO) als Standard. Rollenbasierte Rechte und befristete Adminrechte; quartalsweise Reviews. Offboarding inklusive Entzug privilegierter Rechte innerhalb von 24 Stunden.
    
5. Assets, Patches, Schwachstellen: Alle Geräte, Server und Cloud‑Ressourcen sind inventarisiert; kritische Patches fristgerecht eingespielt. Regelmässige Scans, priorisierte Ab­arbeitung; Abweichungen werden per Ticket nachverfolgt.
    
6. Backup heisst Wiederherstellung: Hochverfügbarkeit ersetzt kein Backup. 3‑2‑1‑Regel plus unabhängige Sicherung von E‑Mail, Dateien und Kollaborationsräumen (idealerweise mit unveränderlicher Kopie). Vierteljährliche Restore‑Tests sind dokumentiert; Dateien werden in Minuten wiederhergestellt, Systeme gemäss geforderter Wiederanlaufzeit (RTO).
    
7. Telemetrie und Logs: Audit‑ und Anmelde‑Logs aktiv, Aufbewahrung mindestens 90 Tage (besser 180–365). Alarme bei neuen Admins, deaktivierter MFA und ungewöhnlichen Anmeldungen. Wöchentliche Prüfung der wichtigsten Meldungen; bei Bedarf zentrale Korrelation (z. B. SIEM).
    
8. Datenschutz und Compliance: Das revidierte Datenschutzgesetz (revDSG) verlangt Nachvollziehbarkeit. Daten sind klassifiziert; Verzeichnis der Bearbeitungstätigkeiten, klare Aufbewahrungs‑/Löschfristen und ein dokumentierter Datenstandort sind vorhanden. Bei Standorten ausserhalb der Schweiz bestehen angemessene Garantien. Tools wie Microsoft Purview/DLP unterstützen – die Verantwortung bleibt intern.
    
9. E‑Mail‑Hygiene: SPF, DKIM und DMARC korrekt umgesetzt, Policy p=quarantine oder p=reject. Schutz vor bösartigen Links/Anhängen aktiv; im Mail‑Client gibt es einen klaren Meldeweg (Phishing‑Button). Kurze, wiederkehrende Sensibilisierungen stärken die menschliche Firewall.
    
10. Dokumentation und Onboarding: Standard‑Builds, Runbooks und prüfbare, abhakbare Checklisten für Ein‑ und Austritte. Eine gut auffindbare Wissensbasis sorgt für produktiven Start und reproduzierbare Qualität. Änderungen werden versioniert; nur Dokumentiertes gilt als Standard.
     

Fazit

Security ist kein Tool, sondern das Ergebnis konsequenter Routinen. Ein kompakter, belegbarer Kontrollsatz schafft diese Routinen, täglich und nicht nur im Audit. So wächst aus Verbindlichkeit echte Resilienz.

« Ein Backup ohne Drill ist Wunschdenken »
 

Ein kompakter IT-Kontrollsatz macht Kontrollen messbar, senkt Risiken und vereinfacht Audits. Aaron Herceg von ­Dukers erklärt, wie IT-Organisationen damit ihre IT-Entscheidungen objektiver und sicherer treffen. Interview: Marc Landis
 

Woran lässt sich objektiv erkennen, dass Entscheidungen in der IT tatsächlich besser werden, wenn man sie auf Evidenz statt auf Bauchgefühl stützt?

Aaron Herceg: Wir messen nicht Meinungen, sondern Effekte: weniger Risiko, höhere Lieferfähigkeit. Ein konkretes Beispiel aus unserer Praxis als IT-Partner: Bei einem mittelgrossen Kunden führten wir einen kleinen, belegbaren IT-Kontrollsatz ein, unter anderem SSO und MFA, befristete Adminrechte, 3-2-1-Backups, wöchentliche Log-Reviews. Die Resultate konnten sich sehen lassen: Sicherheitskritische offene Lücken sanken vom ersten bis zum dritten Quartal um 42 Prozent; die Erkennungszeit von Vorfällen fiel von 7 Stunden auf 35 Minuten, die Verweildauer von 5 Tagen auf 18 Stunden. Back­ups wurden im Quartal zu 100 Prozent innerhalb der geforderten Wiederanlaufzeit erfolgreich getestet; Offboarding dauert median 2 Stunden; Ziel: ≤ 24 Stunden. Gleichzeitig konnte das interne IT-Team des Kunden 35 Prozent mehr Projekte und Changes termingerecht umsetzen – bei stabiler Fehlerquote. Alles ist durch Tickets und Reports belegt und wird regelmässig mit dem Kunden geteilt.

Wie lässt sich im Alltag nachweisen, dass die für die Wiederherstellung von Systemen aus dem Backup definierten RTO/RPO tatsächlich erreicht werden?

Ein Backup ohne Drill ist Wunschdenken. Wir fahren vierteljährliche Restore-Tests mit Zeitstempel und dokumentieren die Ergebnisse prüfbar. Dateien müssen in Minuten wieder da sein, Systeme gemäss definierter RTO – das messen wir und verankern es im Runbook. Wir nutzen die 3-2-1-Regel plus eine unveränderliche Kopie für Mail, Files und Kollaborationsräume. Fällt ein Drill durch, greift eine SLA-Alarmkette und wir priorisieren die Korrektur im Ticket-Backlog. So sehen Auditoren nicht nur Häkchen, sondern reale Wiederanlauffähigkeit.

Sie sprachen vorhin von Kontrollsatz. Das klingt schlank, aber wie sorgt man in der Praxis dafür, dass Belege – Screenshots, ­Tickets etc. – nicht zum Bürokratiemonster werden?

Belege werden nur dann zur Last, wenn sie vom Prozess entkoppelt sind. Wir verankern sie in der Arbeit selbst: ein Beleg je Kontrolle, eindeutig benannt, aus der Quelle exportiert – Report/API vor Screenshot. Erfassung «am Ort des Geschehens» via Ticketvorlagen und Auto-Uploads aus etwa MDM. 60-Sekunden-Regel: Alles, was länger dauert, wird automatisiert oder gestrichen. Quartalsweise Ablaufdatum für Belege, damit nur frische Nachweise bleiben. Stichproben-Audits statt 100 Prozent. So bleibt der Kontrollsatz schlank und prüfbar.

Wie lässt sich sicherstellen, dass ein IT-Kontrollsatz nicht als Misstrauenskultur wahrgenommen wird und stattdessen Vertrauen und Eigenverantwortung im Team stärkt?

Kontrollen scheitern, wenn Teams sie als Überwachung spüren. Wir drehen das um. Jede Kontrolle bekommt einen Owner, der ihren Nutzen erklärt. Fehler? Wir fragen «was lernen wir?», nicht «wer war's?». Transparenz schafft psychologische Sicherheit: Teams sehen live in Dashboards, wo wir stehen – grüne Ampeln feiern wir gemeinsam, bei gelben arbeiten wir zusammen an Lösungen. Wichtig ist auch: Die Kontrollen schützen die Teams selbst. Wenn etwas schiefgeht, können sie nachweisen, dass sie korrekt gehandelt haben. So wächst Vertrauen durch Transparenz und gemeinsame Verantwortung.

Wie kann ein klar dokumentierter IT-Kontrollsatz konkret ein Audit oder eine Sicherheitsprüfung vereinfachen?

Ein dokumentierter Kontrollsatz verwandelt jedes Audit von einer Überzeugungsarbeit in eine reine Überprüfung. Wenn jede Kontrolle einen Owner hat und sauber mit Zeitstempel belegt ist, müssen Prüfer nur noch verifizieren, was bereits vorliegt. Stichproben reichen dann völlig aus, und offene Punkte wandern direkt als Tickets in den Betrieb. Das spart nicht nur Zeit, sondern auch Kosten – und die ­Auditergebnisse sind sogar besser, weil nichts mehr übersehen wird.

Wie weit lässt sich der Evidenzgedanke künftig automatisieren – etwa durch KI-gestützte Systeme, die Kontrollen selbst prüfen oder Nachweise generieren?

Sehr weit – und wir tun es bereits heute. Natürlich nutzen wir KI – definitiv, und sie hilft uns spürbar: Wir definieren Kontrollen als Code und ziehen Evidenz direkt aus den Systemen; die KI normalisiert Logs, erklärt Abweichungen und baut prüfbare Audit-Pakete. Unser Identity-Provider prüft täglich die MFA-Quote und erstellt si­gnierte Reports, DMARC-Daten werden automatisch ausgewertet und bei Befunden Tickets eröffnet. Im SIEM korrelieren wir neue Admins und ungewöhnliche Logins, alarmieren und verlinken die Belege. Entscheidungen bleiben menschlich.