Zum Inhalt
ISMS.online

A.5.28 Beweissicherung – Forensische Bereitschaft der MSP & Ticketbeweise

Managed Service Provider (MSPs) sehen sich heute einer verstärkten Überprüfung durch Kunden, Versicherer und Wirtschaftsprüfer ausgesetzt. Forensisch einwandfreie Nachweise machen Ihre Service-Tickets und Protokolle zu einer verlässlichen Grundlage – sie belegen, was, wann und von wem im Rahmen des Vertrags erledigt wurde. ISO 27001 A.5.28 wandelt alltägliche Daten in rechtssichere Aufzeichnungen um und hilft Ihnen so, Streitigkeiten beizulegen, Vertrauen aufzubauen und Ihren Ruf zu schützen.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Von „einfach reparieren“ zu „beweisen“: Warum Managed Service Provider forensisch verwertbare Beweise benötigen.

Forensisch aufbereitete Beweise bedeuten, dass die alltäglichen Tickets, Protokolle und Kommunikationen Ihres Managed Service Providers (MSP) automatisch eine klare und nachvollziehbare Dokumentation bilden, sobald ein Vorfall hinterfragt wird. Anstatt zu sagen: „Vertrauen Sie uns, wir haben alles richtig gemacht“, können Sie nachweisen, wer was wann mit welchen Genehmigungen auf welchen Systemen und unter welchen vertraglichen Verpflichtungen getan hat.

Im Streitfall ist die Partei mit der eindeutigeren Aktenlage oft in der stärkeren Position.

Forensisch einwandfreie Beweise verwandeln die täglichen Betriebsdaten Ihres Managed Service Providers in eine Dokumentation, die der Prüfung durch Kunden, Versicherer und Aufsichtsbehörden standhält. Im Streitfall ist die Partei mit klareren und konsistenteren Aufzeichnungen in der Regel im Vorteil – und diese Position wird lange vor einem möglichen Schadensfall aufgebaut.

Die meisten Managed Service Provider verfügen bereits über einen enormen Bestand an Betriebsdaten. Service-Tickets, RMM-Warnungen, SIEM-Ereignisse, E-Mail-Protokolle und Chatverläufe werden für nahezu jedes Problem erstellt. Tritt jedoch ein schwerwiegender Vorfall ein, stellt die Führungsebene häufig fest, dass diese Daten kein schlüssiges Bild ergeben. Zeitabläufe sind unvollständig, Aktionen nicht dokumentiert und wichtige Genehmigungen existieren nur in E-Mail-Postfächern oder Chat-Tools.

Die Mehrheit der Organisationen in der ISMS.online-Umfrage 2025 gab an, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Anbietern betroffen gewesen zu sein. Für Managed Service Provider (MSPs) bedeutet dies, dass ihre Fähigkeit, den Umgang mit Lieferanten- und Plattformproblemen nachzuweisen, nun deutlich genauer geprüft wird als zuvor.

Diese Kluft wird in drei Momenten schmerzlich deutlich:

  • Ein wichtiger Kunde bestreitet Ihre Darstellung des Vorfalls.
  • Ein Cyberversicherer verlangt detaillierte Nachweise, bevor er einen Schadensfall reguliert.
  • Ein Prüfer oder eine Aufsichtsbehörde fragt, wie Sie wissen, dass Sie Ihren Verpflichtungen nachgekommen sind.

Wenn man diese Situationen aus einer übergeordneten Perspektive betrachtet, geht es nicht um Technologie, sondern um Fakten. Die Organisation, die eine klare und zeitnahe Dokumentation vorlegen kann, bestimmt in der Regel den Ausgang dieser Diskussion.

Wenn Ihr Team schon einmal tagelang ein Ereignis anhand verstreuter Tickets, Screenshots und Exporte rekonstruieren musste, kennen Sie die Folgen mangelhafter Beweisführung. Oftmals sind Preisnachlässe, angespannte Beziehungen und unangenehme Gespräche mit der Geschäftsleitung die Folge. Langfristig schmälern diese Vorfälle Ihre Gewinnmargen und schädigen Ihren Ruf als vertrauenswürdiger Anbieter.

Forensische Bereitschaft bedeutet nicht, Ihren Managed Service Provider (MSP) in ein vollwertiges digitales Forensiklabor zu verwandeln. Vielmehr geht es darum, Ihre gewohnten Arbeitsabläufe so zu gestalten, dass Beweise bei Bedarf bereits vorhanden sind: strukturiert, nachvollziehbar, vertrauenswürdig und verhältnismäßig. Die ISO 27001:2022, Kontrollpunkt A.5.28 „Erfassung von Beweismitteln“, formalisiert diese Erwartung. Zusammenfassungen von A.5.28 für Praktiker, wie beispielsweise unabhängige Kontrollerläuterungen, betonen die geplante und zuverlässige Identifizierung, Erfassung und Aufbewahrung von Beweismitteln innerhalb eines Informationssicherheitsmanagementsystems (ISMS). Sie fordern Sie auf, Beweismittel als etwas zu behandeln, das Sie planen, und nicht als etwas, nach dem Sie in letzter Minute suchen müssen.

Wenn Sie über Ihre eigene Organisation nachdenken, ist eine hilfreiche Ausgangsfrage ganz einfach: Wenn Sie morgen das Rechtsteam eines Kunden über einen kritischen Vorfall von vor sechs Monaten informieren müssten, könnten Sie sich dann allein auf Ihre bestehenden Tickets und Protokolle verlassen oder wären Sie auf das Gedächtnis der Mitarbeiter angewiesen?

Die versteckten Kosten mangelhafter Vorfallsaufzeichnungen

Unzureichende Vorfallsdokumentation schmälert stillschweigend Gewinn und Vertrauen, selbst wenn sie noch nicht als „Beweismittel“ anerkannt wird. Als Führungskraft eines Managed Service Providers (MSP) spüren Sie dies durch erhöhte Abschreibungen, längere Eskalationsprozesse und defensivere Gespräche mit Kunden und Versicherern nach Vorfällen.

Schwache Beweise tauchen selten in der Gewinn- und Verlustrechnung auf, untergraben aber stetig Rentabilität und Vertrauen. Zeit, die für die Rekonstruktion von Vorfällen aufgewendet wird, fehlt für die Wertschöpfung für Kunden, die Verbesserung von Dienstleistungen oder die Neukundengewinnung. Jede „kommerzielle Geste“, die unternommen wird, weil keine der Parteien ihre Position beweisen kann, schmälert die vermeintlich sicheren Margen.

Es entstehen auch Opportunitätskosten. Viele Managed Service Provider (MSPs) versprechen in ihren Angeboten „Rundum-Überwachung“ und „proaktive Sicherheit“, können diese Versprechen aber nicht mit einwandfreien, nachvollziehbaren Aufzeichnungen belegen. Das erschwert es, sicherheitssensible Kunden in regulierten Branchen zu gewinnen oder höhere Preise für umfassendere Sicherheitsdienstleistungen zu rechtfertigen. Potenzielle Kunden im Finanz-, Gesundheits- oder öffentlichen Sektor fragen zunehmend nach konkreten Beispielen statt nach bloßen Erklärungen.

Die ISMS.online-Umfrage 2025 zeigt, dass Kunden zunehmend erwarten, dass sich Anbieter an formale Rahmenwerke wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials oder SOC 2 halten, anstatt sich auf allgemeine „Best Practices“ zu verlassen. Diese Erwartung erhöht die Anforderungen an Managed Service Provider (MSPs), die in regulierten oder sicherheitsbewussten Märkten durch ihre effektive Bearbeitung von Sicherheitsvorfällen und ihre sachgerechte Beweissicherung erfolgreich sein wollen.

Eine lückenlose Dokumentation von Vorfällen verändert diese Dynamik. Wenn Sie einem Kunden einen präzisen, gut strukturierten Zeitplan und entsprechende Belege vorlegen können, werden schwierige Gespräche deutlich einfacher. Sie können die gebotene Sorgfalt nachweisen, auf spezifische vertragliche Grenzen hinweisen und darlegen, wie Entscheidungen getroffen und umgesetzt wurden. Versicherer und Wirtschaftsprüfer vertrauen einem Anbieter, der schnell konsistente Dokumentationen erstellen kann, ebenfalls eher.

Wenn Sie als Eigentümer oder Geschäftsführer regelmäßig nach Vorfällen Abschreibungen zustimmen, weil die Fakten unklar sind, ist das ein klares Zeichen dafür, dass Ihre Beweisführungspraxis Sie sowohl Gewinn als auch Verhandlungsmacht kostet.

Was forensisch bereit für einen Managed Service Provider (MSP) wirklich bedeutet

Für Managed Service Provider (MSPs) bedeutet forensische Bereitschaft die Fähigkeit, wichtige Vorfälle in allen Mandantenumgebungen schnell und überzeugend zu rekonstruieren – mithilfe von Beweismitteln aus dem alltäglichen Arbeitsalltag. Es geht weniger um spezielle Forensik-Kits, sondern vielmehr darum, den normalen Geschäftsbetrieb von vornherein beweissicher zu gestalten, insbesondere in einer Multi-Tenant-Umgebung mit vielen Kunden und Anbietern.

Rund 41 % der Befragten einer ISMS.online-Umfrage aus dem Jahr 2025 gaben an, dass das Management von Drittanbieterrisiken und die Überwachung der Lieferantenkonformität zu den größten Herausforderungen im Bereich Informationssicherheit zählen. Für Managed Service Provider (MSPs) ist es daher umso wichtiger, dass Tickets und Protokolle genau dokumentieren, wie Probleme über Cloud-Plattformen, Anbieter und nachgelagerte Tools hinweg behandelt wurden.

Zwei Ideen stehen im Mittelpunkt. Erstens legen Sie im Voraus fest, welche Arten von Beweismitteln für die häufigsten Vorfälle relevant sind: Sicherheitsverletzungen, Kompromittierung von Geschäfts-E-Mails, Ausfälle, Datenverluste, Zugriffsfehler usw. Das bedeutet, dass Sie sich genau überlegen, welche Tickets, Protokolle, E-Mails und Genehmigungen benötigt werden, um die schwierigen Fragen von Kunden, Versicherern oder Aufsichtsbehörden zu beantworten.

Zweitens gestalten Sie Ihre Tools und Prozesse so, dass diese Nachweise standardmäßig generiert, erfasst und gesichert werden. Analysten müssen sich in der Hektik eines Vorfalls keine komplexen Regeln merken; Service Desk, Monitoring-System und Dokumentationsplattform führen sie durch die Erfassung der benötigten Daten. Beispielsweise könnte eine Vorlage für einen vermuteten Sicherheitsverstoß auf konsistente Weise Protokollverweise, Genehmigungen und Kundenbenachrichtigungen anfordern.

So betrachtet ist A.5.28 keine abstrakte Compliance-Anforderung. Sie ist vielmehr ein Anstoß, vom bloßen Reparieren und Vergessen zum Reparieren, Dokumentieren und Nachweisen in allen Bereichen Ihres MSP-Betriebs überzugehen, einschließlich des Umgangs mit Cloud-Plattformen von Drittanbietern und der Abgrenzung gemeinsamer Verantwortlichkeiten.

Ein einfacher Vergleich verdeutlicht den Unterschied:

Aspekt Ad-hoc-Vorfallsbearbeitung forensisch vorbereitete Vorfallbearbeitung
Tickets Freitextnotizen, inkonsistente Felder Strukturierte Felder, einheitliche Zeitpläne, klare Verantwortliche
Logs Bei Bedarf zurückgezogen, verstreute Exporte Vorgeplante Aufbewahrung, bekannte Standorte, referenziert
Genehmigungen und Entscheidungen Untergegangen in E-Mails oder Chats Im Ticket zusammengefasst, mit den namentlich genannten Genehmigern verknüpft.
Drittanbieterplattformen Wird von Fall zu Fall behandelt. Klare Regeln, was von jedem Schlüsselsystem erfasst wird
Ergebnis bei Streitigkeiten Abhängig von Gedächtnis und Verhandlung Gestützt auf dokumentierte Handlungen und erhaltene Artefakte

Vergleicht man beides direkt, wird der entscheidende Unterschied deutlich: Ad-hoc-Verfahren lassen einen auf Erinnerungen angewiesen sein, während forensisch vorbereitete Verfahren eindeutige Beweise liefern. Forensisch vorbereitete Managed Service Provider (MSPs) verwandeln alltägliche Betriebsdaten in ein strategisches Asset statt in ein fragiles Flickwerk.

Wenn Sie nicht innerhalb eines Tages eine vollständige Chronologie des schwerwiegenden Vorfalls des letzten Quartals erstellen können, ist das ein klares Zeichen dafür, dass Ihre forensische Bereitschaft und die Verfahren gemäß A.5.28 überprüft werden müssen.

Kontakt


Was ISO 27001 A.5.28 „Sammlung von Nachweisen“ wirklich verlangt

A.5.28 erwartet von Ihrer Organisation, dass sie Informationen, die als Beweismittel dienen könnten, planvoll und zuverlässig identifiziert, sammelt und sichert, anstatt intuitiv vorzugehen. In der Praxis bedeutet dies, zu wissen, wann Vorfälle eine dokumentengerechte Behandlung erfordern, welche Daten Sie von Ihrer MSP-Plattform erfassen und wie diese Datensätze geschützt werden, damit ihre Integrität später gewährleistet ist.

ISO 27001:2022, Kontrollpunkt A.5.28, verlangt klare und dokumentierte Verfahren zur Identifizierung, Erfassung, Beschaffung und Aufbewahrung von Informationen, die im Falle von Sicherheitsereignissen oder -vorfällen als Beweismittel dienen können. Konkret bedeutet dies, dass Sie vorausschauend denken: Legen Sie fest, welche Informationen als Beweismittel benötigt werden könnten, planen Sie die Erfassung und schützen Sie die Informationen, um ihre Vertrauenswürdigkeit zu gewährleisten.

Da der offizielle Standardtext lizenzpflichtig ist, arbeiten Organisationen häufig mit professionellen Zusammenfassungen und Implementierungsleitfäden. Weit verbreitete Erläuterungen zu Anhang A und Zusammenfassungen der Kontrollmaßnahme A.5.28 helfen Anwendern, die Zielsetzung der Kontrollmaßnahme zu verstehen, ohne den vollständigen Standard wiedergeben zu müssen.

Diese, zusammen mit den Zusammenfassungen aus der Praxis, heben durchweg vier Erwartungen hervor, die mit A.5.28 verbunden sind:

  • Sie wissen wann Eine evidenzgerechte Handhabung ist erforderlich
  • Sie wissen was Welche Art von Information gilt in Ihrem Kontext als Beweismittel?
  • Sie wissen WER ist befugt, damit umzugehen und wie Sie sollten es tun.
  • Sie können später nachweisen, dass die Beweismittel ordnungsgemäß gesammelt und aufbewahrt wurden.

Für Managed Service Provider (MSPs) bedeutet dies, A.5.28 mit den Gegebenheiten von Multi-Tenant-Umgebungen zu verknüpfen. Nachweise können sich in Ihrem PSA-Tool (Professional Services Automation), RMM (Retail Maintenance Management), SIEM (Site Information Monitoring System), Ihrer Identitätsplattform, Ihren Backup-Systemen, E-Mail-Gateways und weiteren Systemen befinden. Die Richtlinie verlangt nicht, dass Sie alles unbegrenzt erfassen. Sie fordert Sie vielmehr auf, bewusst und konsequent festzulegen, was am wichtigsten ist und warum.

Wenn Sie nicht erklären können, was in Ihrem Umfeld als Beweis gilt und wer dafür verantwortlich ist, ist Ihre A.5.28-Implementierung nicht bereit für eine Überprüfung.

Diese Informationen sind allgemeiner Natur und stellen keine Rechtsberatung dar. Für Entscheidungen in konkreten Fällen, Verträgen oder regulatorischen Verpflichtungen sollten Sie entsprechend qualifizierte Rechts- und Compliance-Experten konsultieren.

Für einen Managed Service Provider (MSP) lassen sich die vier Verben aus A.5.28 – identifizieren, sammeln, erfassen und sichern – in konkrete Verhaltensweisen für Ihre Teams beim Umgang mit Vorfällen übersetzen. Je genauer Sie diese Verhaltensweisen beschreiben, desto einfacher wird es, sie zu schulen, zu testen und zu überprüfen.

Übersetzt man A.5.28 in die Alltagssprache, fallen vier Verben besonders auf: identifizieren, sammeln, erwerben, bewahrenZusammen beschreiben sie, wie man aus einem unübersichtlichen Vorfall einen stichhaltigen Bericht macht, anstatt verstreute Notizen und Erinnerungen zu hinterlassen.

  • Identifizieren: Dies bedeutet, zu erkennen, dass ein bestimmtes Ereignis, Ticket oder Artefakt potenziellen Beweiswert besitzt. Beispielsweise können eine verdächtige Mailbox-Regel, ein fehlgeschlagener privilegierter Login oder eine Kundenbeschwerde über unerwarteten Zugriff Beweismittel sein.
  • Sammeln: Dies umfasst das Sammeln relevanter Informationen während eines laufenden Vorfalls. Dazu gehören beispielsweise das Anhängen von Protokollauszügen an ein Ticket, das Speichern einer Kopie einer schädlichen E-Mail oder das Exportieren eines Konfigurations-Snapshots vor der Durchführung von Änderungen.
  • Erwerben: In der digitalen Forensik wird es häufig für formalere Datenerfassung eingesetzt, beispielsweise für die Erstellung eines forensischen Serverabbilds oder den kontrollierten Export großer Protokolldateien. Managed Service Provider (MSPs) greifen in kritischen Fällen gegebenenfalls auf spezialisierte Partner zurück.
  • Bewahren: Es geht darum, die Integrität der Beweismittel langfristig zu wahren. Sobald Beweise gesammelt sind, müssen diese sicher aufbewahrt werden, der Zugriff muss kontrolliert und Änderungen nachverfolgt werden, damit später nachgewiesen werden können, dass sie nicht unrechtmäßig verändert wurden.

In der Praxis achten Auditoren auf zwei Dinge. Erstens, ob Sie dokumentierte Verfahren haben, die die Anwendung dieser Verben in Ihrer Umgebung erläutern. Zweitens, ob Sie konkrete Beispiele vorlegen können: Tickets, Protokolldateien, Screenshots und Berichte, die belegen, dass diese Verfahren bei tatsächlichen Vorfällen befolgt wurden.

Wo A.5.28 in den Lebenszyklus eines Vorfalls passt

Die Beweissicherung ist Teil eines umfassenderen Vorfallslebenszyklus, der von der Planung und Erkennung bis hin zu Erkenntnissen und Verbesserungen reicht. Für Managed Service Provider (MSPs) muss dieser Lebenszyklus für viele Kunden funktionieren und dabei die jeweiligen Verträge und regulatorischen Rahmenbedingungen berücksichtigen.

Die Kontrollübersichten in Anhang A zeigen, dass in der ISO 27001-Ausgabe 2022 die A.5.28 neben Kontrollen steht, die die Planung, den Umgang, das Lernen und die Meldung von Vorfällen abdecken. Die Beweissicherung ist Teil dieses Lebenszyklus und sollte in jeder Phase sichtbar sein, nicht erst am Ende als nachträglicher Gedanke hinzugefügt werden.

Schritt 1 – Planen Sie, wie mit Vorfällen und Beweismitteln umgegangen wird.

Sie legen fest, wie Vorfälle klassifiziert werden, wer in welcher Phase zuständig ist und wer entscheidet, wann eine Beweissicherung erforderlich ist. Diese Planung schafft die Struktur, die dafür sorgt, dass die Beteiligten auch in stressigen Situationen Ruhe bewahren.

Schritt 2 – Ereignisse erkennen und anhand dieser Pläne bewerten

Sie erkennen und priorisieren Ereignisse, entscheiden, welche davon tatsächliche Vorfälle sind, und identifizieren diejenigen, die eine erweiterte Dokumentation und Beweissicherung erfordern. Klare Kriterien helfen Teams, den Moment zu erkennen, in dem ein Routineproblem zu einem potenziellen Beweisfall wird.

Schritt 3 – Reagieren und gleichzeitig wichtige Informationen erfassen

Sie ergreifen technische und betriebliche Maßnahmen, um den Vorfall einzudämmen und zu beheben, und stellen dabei sicher, dass Tickets, Protokolle und Genehmigungen fortlaufend erfasst werden. Die Beweissicherung muss parallel zur Reaktion erfolgen und darf nicht erst im Nachhinein überhastet hinzugefügt werden.

Schritt 4 – Beweise ordnungsgemäß sammeln und aufbewahren

Sie sammeln und lagern relevante Artefakte gemäß A.5.28 an vereinbarten Orten und unter Einhaltung der Zugriffskontrollen, um deren Integrität später gewährleisten zu können. In dieser Phase wandeln Sie operative Daten in Beweismittel um, die in einem Streitfall Bestand haben.

Schritt 5 – Vorfälle überprüfen und Kontrollmaßnahmen verbessern

Anhand der Beweisdokumentation analysieren Sie den Hergang, belegen Ihre Sorgfaltspflicht und optimieren Ihre Kontrollmechanismen, Prozesse und Verträge. Lessons-Learned-Sitzungen sind deutlich effektiver, wenn sie auf soliden Aufzeichnungen und nicht auf bruchstückhaften Erinnerungen basieren.

Für Managed Service Provider (MSPs) ist das Service-Desk-Ticket oft das zentrale Element, das diese Schritte miteinander verbindet. Die Anpassung dieses Tickets an A.5.28 ist daher eine der wertvollsten Änderungen, die Sie vornehmen können, da sie jedem Techniker einen vertrauten Ort bietet, um wichtige Informationen zu dokumentieren.

Wenn Sie nicht schnell aufzeigen können, wie ein kürzlich aufgetretener schwerwiegender Vorfall diese fünf Phasen durchlaufen hat, ist es unwahrscheinlich, dass Ihre Beweissammlung in einem Streitfall oder einer Prüfung Bestand haben wird.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Übersetzung von A.5.28 in die forensische Bereitschaft von MSP

Forensische Bereitschaft bedeutet für einen Managed Service Provider (MSP), wichtige Vorfälle über alle Mandanten hinweg schnell und überzeugend rekonstruieren zu können – mithilfe von Beweismitteln aus den alltäglichen Tools und Verträgen. A.5.28 bildet die Grundlage, die diese Fähigkeit mit Ihrem Informationssicherheitsmanagementsystem nach ISO 27001 und den Versprechen in Ihrem Servicekatalog verbindet.

Ein gutes Ziel für die forensische Bereitschaft ist spezifisch und messbar. Zum Beispiel: „Bei jedem Sicherheitsvorfall der Priorität 1 können wir innerhalb von 24 Stunden nach Anfrage eines Kunden, Versicherers oder einer Aufsichtsbehörde eine vollständige Zeitleiste mit entsprechenden Beweismitteln erstellen.“ Solche Aussagen bieten eine konkrete Grundlage für die Planung und Überprüfung und entsprechen den Erwartungen, die viele Unternehmenskunden heute an ihre Managed Service Provider (MSPs) stellen. Leitfäden zur digitalen forensischen Bereitschaft für große Organisationen, wie beispielsweise unabhängige Beratungsberichte, betonen die Bedeutung eines strukturierten und beweissicheren Umgangs mit Sicherheitsvorfällen durch die Dienstleister.

Um diesen Zustand zu erreichen, müssen Sie drei Ebenen aufeinander abstimmen:

  • Wir koordinieren den Versand ISMS-Dokumente (Richtlinien, Verfahren, Risikobewertungen)
  • Wir koordinieren den Versand Operative Arbeitsabläufe (Service Desk, Überwachung, Änderungsmanagement, Kommunikation)
  • Wir koordinieren den Versand Werkzeugkonfiguration (Ticketfelder, Protokollaufbewahrung, Zugriffsrechte, Automatisierung)

Wenn diese Ebenen miteinander verbunden sind, lässt sich A.5.28 deutlich einfacher demonstrieren. Ihre Richtlinie beschreibt Ihr Vorgehen, Ihre Arbeitsabläufe leiten die Mitarbeitenden bei der Umsetzung an, und Ihre Tools liefern die Nachweise für die Durchführung. Eine zentrale ISMS-Plattform wie ISMS.online unterstützt Sie bei der Synchronisierung dieser Ebenen, indem sie Ihre Richtlinien und Verfahren direkt den Kontrollen gemäß Anhang A zuordnet und mit realen Vorfällen verknüpft. Dieses Vorgehen, Richtlinien, Kontrollen und Vorfallsaufzeichnungen mithilfe einer zentralen ISMS- oder Incident-Response-Plattform zu verknüpfen, findet sich häufig in den Leitlinien für Sicherheitsvorfall-Response-Plattformen wieder.

Die forensische Vorbereitung macht aus A.5.28 von einer Compliance-Verpflichtung einen kommerziellen Vorteil, der sowohl Vertrauen als auch Verhandlungsstärke fördert.

Festlegung konkreter forensischer Bereitschaftsziele

Die Ziele für die forensische Einsatzbereitschaft sollten Ihnen ein klares Ziel für die Qualität und Geschwindigkeit Ihrer Beweissicherung vorgeben, abgestimmt auf Ihren Kundenstamm und Ihr Risikoprofil. Ohne diese Ziele lässt sich nur schwer beurteilen, ob Ihre aktuellen Vorgehensweisen ausreichend sind oder lediglich „solange es dauert, bis etwas Ernstes passiert“.

Als MSP-Führungskraft benötigen Sie Ziele für die forensische Vorsorge, die sowohl Ihr Risikoprofil als auch Ihre Kundenstruktur widerspiegeln. Die Ziele für ein Portfolio, das ausschließlich kleine Unternehmen umfasst, unterscheiden sich von denen für Kunden aus dem Finanz- oder Gesundheitswesen, die regulatorischen Prüfungen und Prozessrisiken ausgesetzt sind.

Man könnte beispielsweise mit folgender Frage beginnen:

  • Für welche Kunden oder Servicebereiche würde ein Beweismangel Ihnen am meisten schaden?
  • Welche Vorfallsarten bergen das höchste Risiko von Streitigkeiten oder behördlicher Überprüfung?
  • Wie schnell erwarten Kunden, Versicherer oder Aufsichtsbehörden in der Praxis Antworten?

Von dort aus können Sie eine kleine Anzahl von Zielen definieren, wie zum Beispiel:

  • „Alle kritischen Sicherheitsvorfälle verfügen über ein vollständiges, mit einem Zeitstempel versehenes Aktionsprotokoll im Ticket.“
  • „Für bestimmte Vorfallsarten bewahren wir wichtige Protokolle mindestens zwölf Monate lang auf.“
  • „Zu den Hochrisikofällen gehört auch das Fehlen einer einfachen Dokumentation der Herkunft exportierter Artefakte.“

Diese Ziele fließen dann in die Gestaltung der Kontrollmechanismen ein. Sie beeinflussen, welche Felder in Tickets Pflichtfelder sind, welche Protokolle zentralisiert werden, wie lange Daten aufbewahrt werden und welche Fälle eine zusätzliche Bearbeitung erfordern. Sie dienen Ihnen auch als Vergleichsmaßstab, wenn Kunden fragen: „Wie können Sie den Vorfall nachweisen?“ oder „Wie schnell können Sie uns die Details zeigen?“

Einbettung von A.5.28 in Ihr ISMS

Die Integration von A.5.28 in Ihr ISMS bedeutet, die Erwartungen an den Nachweis von Sicherheitsvorfällen in Richtlinien, Risikobewertungen, Verfahren und Überprüfungen einzubinden, anstatt sie als separate Checkliste zu behandeln. Bei korrekter Umsetzung erhalten Auditoren und Kunden so einen klaren Überblick über die schriftlich festgelegten Absichten und die tatsächlichen Vorfallsdokumente.

Sobald Sie wissen, was Sie mit der forensischen Bereitschaft erreichen wollen, können Sie A.5.28 strukturiert in Ihr ISMS einbinden, anstatt es als eigenständige Kontrollmaßnahme zu behandeln.

Typische Schritte sind:

  • Aktualisieren Sie Ihr Verfahren zum Vorfallmanagement, sodass es die Identifizierung, Sammlung und Aufbewahrung von Beweismitteln explizit erwähnt.
  • Erstellung eines speziellen Verfahrens zur Beweissicherung, das Rollen, Auslöser und Schritte für verschiedene Vorfallstypen und Kundenprofile erläutert.
  • Stellen Sie sicher, dass Ihre Risikobewertung auch nachweisbare Risiken berücksichtigt, wie z. B. unvollständige Protokollierung oder unklare Verantwortlichkeiten gegenüber Cloud-Anbietern.
  • Hinzufügen von evidenzbezogenen Kontroll- und Überwachungsaktivitäten zu Ihren internen Prüfungs- und Managementbewertungsplänen

Eine Plattform wie ISMS.online kann Ihnen dabei helfen, indem sie Ihnen einen zentralen Ort bietet, um diese Richtlinien zu verwalten, sie den Kontrollen gemäß Anhang A zuzuordnen, Verantwortlichkeiten zuzuweisen und Verbesserungen zu verfolgen. Viele ISO 27001-konforme Cloud- und Compliance-Plattformen sind darauf ausgelegt, Richtlinien, Kontrollzuordnungen und Nachweise auf diese Weise zu zentralisieren (beispielsweise beschreiben die ISO 27001-Übersichten von Cloud-Anbietern ähnliche Vorgehensweisen).

Mit der Zeit sollten Sie in der Lage sein, jeden relevanten Vorfall des vergangenen Jahres auszuwählen und darzulegen, wie die Anforderungen von A.5.28 erfüllt wurden: Wer erkannte den Beweisbedarf, welche Daten wurden erhoben, wo werden sie gespeichert und wie wird ihre Integrität geschützt? Sie können diesen Ansatz auch auf neue Rahmenwerke wie ISO 27701 für Datenschutz oder neue Leitlinien für KI-Governance übertragen, ohne Ihre Beweislogik jedes Mal neu entwickeln zu müssen.



Entwicklung eines forensisch aufwändigen Service-Desk- und Ticketmodells

Ein forensisch aufbereiteter Service Desk ermöglicht Ihren Technikern die schnelle Bearbeitung von Störungen und erstellt gleichzeitig Datensätze, die A.5.28 und Ihre Verträge unterstützen. Ziel ist es, den Aufwand von manueller Dokumentation und Gedächtnisarbeit hin zu Vorlagen, Automatisierung und Leitplanken in Ihrer PSA- oder IT-Servicemanagement-Plattform zu verlagern.

Im Wesentlichen sollte Ihre Ticketing-Plattform für evidenzbasierte Arbeit drei Dinge unterstützen:

  • Auslösend: Erweiterte Dokumentation bei beweissensitiven Fällen
  • Aufnahme: die richtigen Informationen stets, mit hilfreichen Standardeinstellungen
  • Schutz: die Bilanz gegen unkontrollierte Veränderungen, wenn es darauf ankommt

Sie müssen Ihr PSA- oder IT-Servicemanagement-Tool nicht von Grund auf neu entwickeln. Eine durchdachte Konfiguration und einige gezielte Workflow-Änderungen können einen erheblichen Unterschied machen, insbesondere wenn Sie diese anhand realer Vorfälle testen, die Sie im vergangenen Jahr bearbeitet haben.

Wenn Vorfallsaufzeichnungen eher vom System als von individuellen Gewohnheiten geprägt sind, nähert man sich wiederholbaren, revisionssicheren Nachweisen deutlich an.

Auslösung einer evidenzsensitiven Bearbeitung

Die Auslösung einer beweisbasierten Bearbeitung bedeutet, den Technikern im Kundendienst einfache Regeln und klare visuelle Hinweise zu geben, damit sie erkennen, wann ein Routinefall zu einem Fall wird, der möglicherweise Monate später genauer untersucht wird. Ohne diese Auslöser werden wichtige Vorfälle wie triviale dokumentiert.

Nicht jeder Strafzettel erfordert forensische Aufmerksamkeit. Forensische Vorbereitung bedeutet, selektiv und konsequent vorzugehen. Sie können damit beginnen, festzulegen, welche Arten von Strafzetteln automatisch als beweisrelevant behandelt werden sollten. Dazu gehören beispielsweise:

  • bestätigte oder vermutete Sicherheitsvorfälle
  • Datenverlust- oder Datenoffenlegungsereignisse
  • größere Ausfälle, die viele Nutzer oder kritische Dienste betreffen
  • Beschwerden, die zu formellen Streitigkeiten oder Meldungen an die Aufsichtsbehörden führen können.

Wenn ein solches Ticket erstellt oder neu kategorisiert wird, kann Ihr System Folgendes tun:

  • eine bestimmte Vorlage mit zusätzlichen Pflichtfeldern anwenden
  • Leiten Sie es in eine separate Warteschlange mit höherer Aufsicht weiter.
  • strengere Regeln darüber durchsetzen, wer Kernfelder bearbeiten darf
  • Den Handler auffordern, bestimmte Artefakte anzuhängen oder zu verknüpfen, z. B. Protokollsuchvorgänge oder E-Mail-Header.

Indem die Sensibilität von Beweismitteln als systemrelevante Eigenschaft definiert wird, wird das Risiko verringert, dass wichtige Fälle wie gewöhnliche Passwortzurücksetzungen dokumentiert werden. Gleichzeitig wird ein klares Signal für Manager und Sicherheitsverantwortliche geschaffen, um diese Fälle während ihres Verlaufs zu überwachen und zu unterstützen.

Wenn Ihr Sicherheitsbeauftragter heute nicht auf Anhieb auflisten kann, welche offenen Tickets beweissensibel sind, sind Ihre Auslöser und Klassifizierungen wahrscheinlich zu vage.

Arbeitsabläufe gestalten, die Untersuchungen unterstützen, nicht nur SLAs.

Workflows, die Untersuchungen unterstützen, sorgen für eine übersichtliche und faktenbasierte Dokumentation von Aktionen und Entscheidungen und ermöglichen es Ingenieuren gleichzeitig, Probleme schnell zu beheben. Sie machen es einfach nachzuvollziehen, was wann und warum passiert ist, ohne seitenweise unstrukturierte Notizen lesen zu müssen.

Herkömmliche Service-Desk-Workflows konzentrieren sich auf die schnellstmögliche Wiederherstellung des Betriebs. Das ist nach wie vor wichtig. Wenn es Ihnen jedoch auch um Beweissicherung geht, benötigen Sie einen Workflow, der spätere Untersuchungen unterstützt und belegt, dass Sie Ihren Verpflichtungen gegenüber Kunden und Aufsichtsbehörden nachgekommen sind.

Nützliche Muster sind beispielsweise:

  • Sicherstellen, dass jede Statusänderung und Zuweisung mit Zeitstempeln und Benutzeridentitäten protokolliert wird
  • erforderlich ist eine kurze Zusammenfassung der wichtigsten Maßnahmen, wenn bestimmte Status erreicht sind, wie z. B. „eingedämmt“, „gelöst“ oder „an die Rechtsabteilung übergeben“.
  • Sperren oder Einschränken von Bearbeitungen kritischer Felder, sobald ein Fall einen definierten Punkt überschritten hat, wobei zusätzliche Notizen und Anhänge weiterhin möglich sind.
  • Bereitstellung von Makros oder Vorlagen für häufige Untersuchungen (z. B. „Verdacht auf Phishing“ oder „unbefugter Zugriff“), die Analysten durch die richtigen Schritte und Fragen führen.

Auch die Kommunikation spielt eine wichtige Rolle. Werden wichtige Entscheidungen und Genehmigungen über Chat-Tools, Telefonate oder alternative Kanäle getroffen, sollte der Workflow eine einfache Möglichkeit bieten, diese Informationen zusammenzufassen oder direkt im Ticket festzuhalten, solange sie noch frisch sind. Andernfalls fehlen wertvolle Kontextinformationen genau dann, wenn Sie sie am dringendsten benötigen oder die Rechtsabteilung des Kunden eine vollständige Abrechnung anfordert.

Sobald Arbeitsabläufe die Untersuchungen erleichtern, anstatt sie zu erschweren, ist es viel wahrscheinlicher, dass Ingenieure die benötigten Aufzeichnungen erstellen, ohne dies als Belastung zu empfinden.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Was erfasst werden sollte: Ticketfelder, Protokolle und Anhänge als Nachweise.

Beweissichere Vorfallsberichte basieren auf konsistenten, strukturierten Informationen, die auch für Personen verständlich sind, die zum Zeitpunkt des Vorfalls nicht vor Ort waren. Als Betriebs- oder Sicherheitsverantwortlicher eines Managed Service Providers (MSP) benötigen Sie Tickets, die auch Monate später noch von anderen Personen gelesen werden können und deren Ablauf klar nachvollziehbar ist – unterstützt durch referenzierte Dokumente statt verstreuter Dateien.

Ziel ist es nicht, für jedes Ticket ein langes, umständliches Formular zu erstellen. Vielmehr geht es darum, festzulegen, welche Angaben in bestimmten Szenarien unverzichtbar sind, und deren Erfassung für Ihre Teams durch Vorlagen, Standardwerte und Eingabeaufforderungen so einfach wie möglich zu gestalten.

Strukturierung von Tickets für hochwertige Vorfälle

Wichtige Vorfallberichte sollten die wesentlichen Fragen zu den Beteiligten, dem Hergang und Ihrer Reaktion beantworten, ohne sich auf Erinnerungen oder Vermutungen zu verlassen. Wenn ein neuer Techniker oder ein externer Prüfer den Ablauf nicht nachvollziehen kann, muss Ihre Berichtsstruktur überarbeitet werden.

Bei beweisrelevanten Vorfällen müssen bestimmte Fragen stets allein anhand des Tickets beantwortet werden können. Dies umfasst in der Regel mindestens Folgendes:

  • wer das Problem gemeldet hat und wann
  • wann das Problem zum ersten Mal beobachtet wurde und von wem
  • Welcher Kunde und welche Systeme oder Dienste waren betroffen?
  • welche Auswirkungen dies zum Zeitpunkt der Entdeckung hatte.
  • Wer hat welche Maßnahmen in welcher Reihenfolge und mit welchen Werkzeugen ergriffen?
  • die wichtige Entscheidungen genehmigten, wie z. B. die Deaktivierung von Kontrollfunktionen oder die Benachrichtigung von Kunden
  • wann der Vorfall eingedämmt und abgeschlossen war und warum Sie der Meinung waren, dass dies gefahrlos möglich war

Viele dieser Informationen lassen sich in strukturierten Feldern erfassen: Melder, betroffener Kunde, betroffene Systeme (verknüpft mit Konfigurationselementen), Vorfalltyp, Schweregrad, Zeitstempel usw. Andere können in kurzen, prägnanten Textfeldern wie „Zusammenfassung der Ermittlungsmaßnahmen“ oder „Zusammenfassung der Kundenkommunikation“ erfasst werden.

Die Standardisierung dieser Elemente bietet klare Vorteile. Sie reduziert den Aufwand für Einzelpersonen, sich zu merken, was zu dokumentieren ist, bietet Prüfern ein einheitliches Layout und erleichtert die Datenextraktion für Audits, Kennzahlen und Verbesserungen. Auch Schulungen werden dadurch vereinfacht: Neue Mitarbeiter können anhand gut strukturierter Beispieltickets lernen, wie eine „gute“ Dokumentation aussieht.

Verknüpfung von Tickets mit technischen Artefakten

Durch die Verknüpfung von Tickets mit technischen Artefakten wissen Sie jederzeit, wo Sie die zugrundeliegenden Protokolle, Screenshots und Konfigurations-Snapshots finden, die Ihre Schilderung untermauern. Tickets erzählen die Geschichte; Artefakte liefern die Beweise, die hinter den Worten stehen.

Tickets bilden das narrative Rückgrat Ihrer Vorfallsdokumentation, sind aber nicht die einzigen Beweismittel. Protokolle, Screenshots, Konfigurations-Snapshots, Nachrichtenverläufe und andere Artefakte liefern die technischen Details, die den Vorfall untermauern und unter Umständen erforderlich sind, um Versicherer oder Aufsichtsbehörden zufriedenzustellen.

Ein praktischer Ansatz besteht darin, für jeden Vorfalltyp einen Mindestsatz an Artefakten zu definieren, die referenziert oder beigefügt werden sollten. Beispielsweise könnte ein Verdacht auf Kontokompromittierung immer Folgendes umfassen:

  • Authentifizierungsprotokolle für das betroffene Konto über einen definierten Zeitraum
  • Protokolle administrativer Aktionen, die Passwortzurücksetzungen oder Zugriffsänderungen anzeigen
  • E-Mail-Gateway- oder Postfachprotokolle auf verdächtige Nachrichten überprüfen
  • Endpunkt- oder Erkennungs- und Reaktionsalarme in Bezug auf das verwendete Gerät

Anstatt die Rohdaten in das Ticket einzufügen, können Sie kanonische Versionen in Ihren Protokollierungs- oder Dokumentensystemen speichern und im Vorfallbericht eindeutig darauf verweisen. Dies kann über Kennungen, Ordnerpfade oder eine kurze Beschreibung des Speicherorts und des Namens erfolgen.

Bei Dateien, die direkt an Tickets angehängt sind, tragen einfache Maßnahmen wie das Notieren der Originaldateinamen, das Speichern von Versionen und die Beschränkung der Berechtigungen zum Löschen oder Ersetzen von Anhängen dazu bei, später sicherzustellen, dass die Beweise nicht unbemerkt verändert wurden. In besonders risikoreichen Fällen ist das Generieren und Speichern von Hashes oder Prüfsummen für wichtige Dateien eine angemessene Methode, die Beweisführung zu stärken, ohne jedes Ticket übermäßig zu bearbeiten.

Wenn Ihr Sicherheitsverantwortlicher nicht schnell auf die Protokolldateien und Artefakte verweisen kann, die ein Ticket für einen schwerwiegenden Vorfall untermauern, muss Ihre Verknüpfung zwischen Beschreibung und technischen Beweisen überprüft werden.



Protokollaufbewahrung, -sicherung und Nachweiskette für MSPs

Für Managed Service Provider (MSPs) müssen Protokollaufbewahrung und Beweissicherung ein Gleichgewicht finden zwischen Ermittlungsnutzen, Datenschutzbestimmungen und Speicherkosten – und das über viele Kunden und Rechtsordnungen hinweg. Man kann nicht alles ewig aufbewahren, aber man kann auch Monate später einen Vorfall nicht mehr erklären, wenn wichtige Datensätze nach wenigen Tagen überschrieben wurden.

Protokolle und andere maschinell erstellte Aufzeichnungen bilden oft das Rückgrat digitaler Beweismittel. Für Managed Service Provider (MSPs) können diese Aufzeichnungen aus vielen verschiedenen Systemen und Rechtsordnungen stammen. Gemäß A.5.28 sind Sie verpflichtet, diese Aufzeichnungen so zu verarbeiten, dass sie Ermittlungen unterstützen und gleichzeitig rechtliche und vertragliche Vorgaben einhalten.

Ein hilfreicher Ansatzpunkt hierfür ist, vier Fragen zu stellen:

  • Welche Protokolle und Artefakte benötigen Sie tatsächlich für Ihre Ermittlungen?
  • Wie lange müssen Sie sie aufbewahren und warum?
  • Wie werden Sie sie vor unbefugter Änderung oder Verlust schützen?
  • Wie werden Sie dokumentieren, wer wann mit risikoreichen Beweismitteln umgegangen ist?

Klare Antworten auf diese Fragen verwandeln ein vages „Wir führen Protokolle“ in eine nachvollziehbare Strategie zur Protokollaufbewahrung und Beweissicherung, die gegenüber Kunden, Wirtschaftsprüfern und Aufsichtsbehörden erläutert werden kann. Fehlende oder nicht nachweisbare Protokolldaten nützen nichts, sondern schaden Ihnen.

Gestaltung der Protokollspeicherung, die Ermittlungen tatsächlich unterstützt

Wirksame Richtlinien zur Protokollaufbewahrung basieren auf realen Vorfallszenarien und regulatorischen Vorgaben, nicht auf Standardeinstellungen von Tools oder vagen Komfortzonen. Wenn die Protokolle, die Sie nächste Woche löschen, in drei Monaten noch benötigt werden könnten, ist Ihr Aufbewahrungskonzept nicht risikogerecht.

Die standardmäßigen Aufbewahrungsfristen von Tools sind möglicherweise nicht auf Ihr spezifisches Risikoprofil ausgelegt. Leitlinien für Protokollierung und Sicherheitsanalysen empfehlen in der Regel, die Aufbewahrung an Ihre Ermittlungs- und regulatorischen Anforderungen anzupassen, anstatt sich ausschließlich auf die Standardeinstellungen der Anbieter zu verlassen; Übersichten zu Best Practices für die Protokollierung unterstreichen diesen Punkt.

Ein überlegterer Ansatz beginnt mit Vorfallszenarien und den damit verbundenen Pflichten. Zum Beispiel:

  • Wenn Sie mutmaßliche böswillige Aktivitäten erst Wochen nach ihrem Auftreten untersuchen müssen, benötigen Sie eine längere Aufbewahrungsdauer für Identitäts- und Zugriffsprotokolle.
  • Wenn Verträge oder Vorschriften Sie verpflichten, Behörden oder Kunden über Vorfälle zu informieren, benötigen Sie möglicherweise Protokolle, um Ereignisse Monate später zu rekonstruieren.
  • Wenn Datenschutzgesetze die Speicherdauer bestimmter personenbezogener Daten einschränken, müssen Sie möglicherweise einige Informationen früher aggregieren oder anonymisieren.

Auf Grundlage dieser Faktoren können Sie für jede Protokollkategorie Aufbewahrungsfristen festlegen und gegebenenfalls begründete Ausnahmen zulassen. Diese Fristen sollten in Ihrer ISMS-Dokumentation, Ihren Tool-Konfigurationen und Ihrer Kundenkommunikation berücksichtigt werden. Da sie sich je nach Kunde und Land unterscheiden können, benötigen Sie eine klare Dokumentation, welche Aufbewahrungsregeln wo gelten.

Die Zentralisierung von Protokollen, oder zumindest die zentrale Kenntnis darüber, wo die maßgeblichen Protokolle gespeichert sind, ist ebenfalls wichtig. Sind die Daten ohne Struktur über Firewalls, Server, Cloud-Dienste und Endpunkte verteilt, wird es deutlich schwieriger, selbst grundlegende Fragen zu beantworten, wer wann auf welche Daten zugegriffen hat. Leitlinien für den Sicherheitsbetrieb von SIEM- und Analyseplattformen empfehlen die Verwendung zentraler Protokollplattformen oder klar dokumentierter Protokollabbildungen, um die Untersuchungszeit zu verkürzen und das Risiko zu minimieren, wichtige Daten zu übersehen, wie in den Übersichten zu SIEM- und Sicherheitsanalyseplattformen dargestellt.

Die Nachweiskette so einfach gestalten, dass sie nachvollziehbar ist

Die Beweiskette dokumentiert, wie Beweismittel im Laufe der Zeit gesammelt, gespeichert, abgerufen und übertragen wurden. In der formalen digitalen Forensik kann diese Dokumentation sehr detailliert sein. Für Managed Service Provider (MSPs) ist in der Regel eine einfachere Version erforderlich, die dennoch einer angemessenen Überprüfung im Streitfall oder bei einer Prüfung standhält.

Entscheidend ist, sich auf besonders wichtige Artefakte zu konzentrieren: solche, die voraussichtlich in Streitigkeiten, behördlichen Untersuchungen oder Gerichtsverfahren verwendet werden. Für diese sollten Sie Folgendes nachweisen können:

  • wer hat entschieden, dass Beweise gesammelt werden sollen?
  • Wer hat es tatsächlich gesammelt oder exportiert, und wann?
  • wo es ursprünglich gelagert wurde und wo es sich jetzt befindet
  • die unterwegs Zugang hatten

Sie benötigen kein separates System, um dies zu erreichen. Üblicherweise werden die Verwahrungsinformationen bei größeren Exporten direkt im Incident-Ticket erfasst, und Ihre Speichersysteme protokollieren grundlegende Zugriffs- und Änderungsvorgänge.

Die wichtigste Eigenschaft einer Nachweiskette ist ihre konsequente Führung, wenn es darauf ankommt. Ist der Prozess zu komplex, werden Techniker ihn unter Druck vernachlässigen. Um die Einhaltung sicherzustellen, sollte der Prozess so einfach wie möglich gestaltet und durch klare Anwendungsrichtlinien ergänzt werden. Regelmäßige Überprüfungen einer kleinen Stichprobe von risikoreichen Vorfällen zeigen schnell, ob der Ansatz funktioniert.

Wenn Ihre Sicherheitsexperten nicht erklären können, wer wichtige Beweismittel für einen kürzlich vorgefallenen, aufsehenerregenden Vorfall exportiert hat und wo diese sich jetzt befinden, ist Ihr derzeitiger Ansatz zur Beweiskettensicherung wahrscheinlich zu informell.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Steuerung von Evidenz: Richtlinien, Rollen, Schulungen und rechtliche Ausrichtung

Forensische Bereitschaft ist nicht nur eine Frage der Tools, sondern auch der Governance. Als Führungsteam eines Managed Service Providers (MSP) geben Sie die Richtung für den Umgang mit Beweismitteln vor, indem Sie Richtlinien, Rollen und Kontrollmechanismen definieren, die bewährte Verfahren zum Standard machen und nicht zu einer heroischen Anstrengung in Krisensituationen.

A.5.28 ist aus gutem Grund Teil der organisatorischen Kontrollmechanismen. Es erwartet von der Führungsebene, dass sie die Verantwortung für den Umgang mit Beweismitteln übernimmt. Das bedeutet, Sicherheit, Recht, Datenschutz und Betriebsabläufe aufeinander abzustimmen und die Entscheidung über Beweismittel nicht allein einzelnen Ingenieuren zu überlassen.

Aufbau eines evidenzbasierten Politikkonzepts

Ein evidenzbasierter MSP verfügt über wenige, aufeinander abgestimmte Richtlinien und Verfahren. Diese Dokumente sind kurz genug für eine einfache Anwendung, klar genug, um Widersprüche zu vermeiden, und präzise genug, um die Mitarbeiter an vorderster Front zu leiten.

Zwei Drittel der Unternehmen in der ISMS.online-Umfrage 2025 gaben an, dass die Geschwindigkeit und der Umfang regulatorischer Änderungen die Einhaltung der Vorschriften erschweren. Daher ist es umso wichtiger, dass Ihre Richtlinien für Vorfallmanagement, Beweissicherung und Datenschutz aufeinander abgestimmt sind, damit Ihre Teams in Krisensituationen nicht vor der Frage stehen, wie sie widersprüchliche Verpflichtungen in Einklang bringen sollen.

Im Normalfall benötigen Sie mindestens:

  • Eine Richtlinie und ein Verfahren zum Vorfallmanagement, die festlegen, wie Vorfälle identifiziert, priorisiert, bearbeitet und überprüft werden.
  • ein Verfahren zur Beweiserhebung und -sicherung, das erläutert, wie A.5.28 in verschiedenen Szenarien angewendet wird
  • Datenschutz- und Datenaufbewahrungsrichtlinien, die festlegen, welche Daten erhoben werden dürfen, wie diese geschützt werden und wann sie gelöscht oder anonymisiert werden müssen.

Diese Dokumente sollten sich gegenseitig verlinken. Beispielsweise könnte die Verfahrensanweisung für Vorfälle festlegen, dass bestimmte Vorfallsarten automatisch das Beweissicherungsverfahren auslösen. Die Verfahrensanweisung könnte explizit auf Datenschutzbestimmungen, Kundenverträge und Eskalationskriterien an Rechts- oder Datenschutzbeauftragte verweisen, um zu verhindern, dass mehr personenbezogene Daten als nötig erhoben oder gespeichert werden.

Wenn Richtlinien auf diese Weise aufeinander abgestimmt sind, verfügen die Mitarbeitenden über klare und widerspruchsfreie Anweisungen. Andernfalls sind Teams in Stresssituationen gezwungen zu improvisieren, wodurch Fehler und Versäumnisse am wahrscheinlichsten werden. Eine ISMS-Plattform wie ISMS.online kann Ihnen helfen, diese Abstimmung aufrechtzuerhalten, indem sie Richtlinien mit Kontrollen, Vorfällen und Verbesserungsmaßnahmen zentral verknüpft. Viele ISO 27001-konforme Cloud- und Compliance-Plattformen unterstützen ähnliche Zentralisierungs- und Mapping-Muster, wie sie in den ISO 27001-Compliance-Übersichten der Anbieter beschrieben sind.

Kompetenzentwicklung und Aufsicht

Die Verbesserung der Beweisführung und der Aufsicht bedeutet, Ingenieuren einfache, praktische Anleitungen zu geben, was „gut“ bedeutet, und dann reale Vorfälle anhand dieses Standards zu überprüfen. Die Beweissicherung soll sich wie ein Teil guter Ingenieursarbeit anfühlen und nicht wie eine separate Compliance-Aufgabe.

Selbst die besten Verfahren scheitern, wenn sie nicht verstanden oder angewendet werden. Schulungen und Überwachung schließen diese Lücke. Ingenieure und Führungskräfte sollten den Umgang mit Beweismitteln als selbstverständlichen Bestandteil guter Dienstleistung betrachten, nicht als optionale Zusatzleistung.

Mitarbeiter im Kundenservice und im Service Desk müssen keine IT-Forensik-Experten werden. Sie müssen jedoch erkennen, wann ein Routinefall beweisrelevant wird und einige klare Verhaltensregeln kennen. Zum Beispiel:

  • Die Tickets sollten sachlich und auf Handlungen und Beobachtungen fokussiert sein.
  • Wichtige Genehmigungen und Entscheidungen sollten im Protokoll festgehalten werden.
  • Vermeiden Sie Spekulationen und Schuldzuweisungen im Beweisverfahren
  • Beweismittel dürfen, sobald sie als solche gekennzeichnet wurden, nicht ohne Einhaltung der festgelegten Schritte verändert oder gelöscht werden.

Kurze, szenariobasierte Schulungen, die in die Einarbeitung integriert und regelmäßig aufgefrischt werden, sind in der Regel effektiver als lange, theorielastige Schulungen. Sie können reale Vorfälle (gegebenenfalls anonymisiert) verwenden, um zu veranschaulichen, wie „gute“ und „schlechte“ Beweise aussehen.

Im Bereich der Aufsicht lässt sich die Qualität der Nachweise in bestehende Strukturen integrieren, anstatt völlig neue zu schaffen. Risiko- oder Sicherheitsausschüsse können regelmäßig eine kleine Stichprobe wichtiger Vorfälle auf Vollständigkeit und Klarheit der Nachweise überprüfen. Interne Audits können Tests gemäß A.5.28 umfassen, wobei reale Tickets und Protokolle als Stichproben verwendet und die Ergebnisse bis zum Abschluss verfolgt werden.

Eine zentrale ISMS-Plattform wie ISMS.online kann helfen, indem sie Richtlinien bündelt, Schulungen von Schlüsselmitarbeitern dokumentiert und Maßnahmen aus Überprüfungen nachverfolgt. Dies entspricht den Funktionen anderer Sicherheits- und Incident-Management-Plattformen, die Richtlinien, Schulungsnachweise und Korrekturmaßnahmen zentral verwalten (z. B. Plattformen zur Reaktion auf Sicherheitsvorfälle). So wird die Nachweisverwaltung zu einem festen Bestandteil Ihres Managementprozesses und nicht zu einer sporadischen, isolierten Maßnahme. Außerdem erleichtert es Ihnen, Kunden, Auditoren und Versicherern zu zeigen, dass Sie Nachweise systematisch und nicht informell verwalten.

Falls Ihr Führungsteam noch nie einen wirklich risikoreichen Fall unter dem Gesichtspunkt der „Evidenzqualität“ geprüft hat, ist die Integration dieser Überprüfung in Ihren Governance-Rhythmus ein einfacher, aber wirkungsvoller nächster Schritt.



A.5.28 in eine wiederholbare Stärke umwandeln mit ISMS.online

ISMS.online wurde entwickelt, um Ihrem Managed Service Provider (MSP) dabei zu helfen, die ISO 27001-Kontrolle A.5.28 nachhaltig zu nutzen, indem Ihre Richtlinien, Tickets und Protokolle in einer einheitlichen Dokumentation zusammengeführt werden. Wenn Sie nachweisen können, wie Vorfälle bearbeitet, Beweise gesammelt und Verbesserungen verfolgt werden, stärken Sie sowohl Ihre Compliance-Position als auch Ihre Geschäftsbeziehungen. Dieser Ansatz entspricht dem allgemeinen Muster ISO 27001-konformer Plattformen, die Richtlinien, Kontrollen und Vorfallsartefakte in einem zentralen System verknüpfen, wie es auch in den Leitlinien für Tools zur Bearbeitung von Sicherheitsvorfällen und zur Einhaltung von Vorschriften beschrieben wird.

Fast alle Organisationen, die an der ISMS.online-Umfrage 2025 teilnahmen, nannten den Erwerb oder die Aufrechterhaltung von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 als eine ihrer obersten Prioritäten. Wenn Sie A.5.28 direkt mit Ihrer Vorgehensweise bei der Dokumentation von Vorfällen verknüpfen können, sind Sie deutlich besser gerüstet, diese Zertifizierungen auch unter realen Anforderungen zu erhalten.

Um Ihren aktuellen Status zu ermitteln, empfiehlt es sich, zunächst einen wichtigen, kürzlich aufgetretenen Vorfall zu analysieren und dessen Tickets, Protokolle und Kommunikationsdaten mit einer einfachen Checkliste gemäß A.5.28 abzugleichen. So erkennen Sie schnell, welche Details leicht zu finden waren, welche Nachforschungen erforderten und welche gänzlich fehlten. Diese Übung verdeutlicht die Vorteile eines strukturierteren Vorgehens unmittelbar für Führungskräfte und Entwickler.

Beurteilung der Reife Ihrer aktuellen Nachweise

Die Beurteilung Ihrer aktuellen Beweislage beginnt mit einer ehrlichen Betrachtung eines realen, risikoreichen Vorfalls. Anstatt zu raten, wie gut Ihre Aufzeichnungen sind, lassen Sie sich anhand eines einzelnen Falls die Wahrheit zeigen.

Sie können einen schwerwiegenden Vorfall aus dem letzten Jahr auswählen und vier einfache Fragen stellen. Konnten Sie den gesamten Zeitablauf von der Entdeckung bis zum Abschluss nachvollziehen? Konnten Sie die wichtigsten Genehmigungen und Entscheidungen finden? Waren die Protokolle und Dokumente leicht auffindbar und verständlich? Wären Sie bereit, diese Dokumentation mit der Rechtsabteilung eines Kunden oder einem Versicherer zu teilen?

Lautet die Antwort auf eine dieser Fragen „nicht wirklich“, ist die Lücke bereits deutlich. Das bedeutet nicht, dass Ihr Team schlecht gearbeitet hat; es bedeutet, dass Ihr System es in diesem Moment nicht mit den notwendigen Beweissicherungsmechanismen unterstützt hat.

Mit ISMS.online können Sie diese Erkenntnisse dokumentieren und direkt mit der Kontrolle A.5.28 verknüpfen, sodass aus Schwächen nachvollziehbare Verbesserungsmaßnahmen werden und nicht nur vage Bedenken bleiben, die man schnell wieder vergisst.

Planen Sie Ihre ersten A.5.28-Verbesserungen mit ISMS.online

Die Planung Ihrer ersten Verbesserungen gemäß A.5.28 wird einfacher, wenn Sie Richtlinien, Kontrollen und reale Vorfälle an einem Ort einsehen können. ISMS.online bietet Ihnen diese Übersicht und wandelt sie in einen praktischen Verbesserungsplan um, anstatt nur eine theoretische Wunschliste zu erstellen.

Auf ISMS.online können Sie:

  • Halten Sie Ihre Verfahren zur Erfassung von Vorfällen und Beweismitteln auf kontrollierte und nachvollziehbare Weise aufrecht.
  • Verknüpfen Sie diese Verfahren direkt mit den Kontrollen gemäß Anhang A, einschließlich A.5.28 und den damit verbundenen Kontrollen des Vorfallmanagements.
  • Erfassen Sie reale Vorfälle, Verbesserungen und Ergebnisse interner Prüfungen im Zusammenhang mit diesen Kontrollen.
  • Aufgaben zuweisen und Fortschritte bei der Schließung von Beweislücken team- und kundenübergreifend verfolgen

Da ISMS.online Ihre PSA-, RMM- und Sicherheitstools ergänzen und nicht ersetzen soll, fungiert es als Bindeglied, das operative Aufzeichnungen in ein kohärentes Nachweissystem verwandelt. Ihre Tickets, Protokolle und Artefakte bleiben an ihrem Platz; die Plattform hilft Ihnen, deren Zusammenhänge und Verwaltung darzustellen – genau das, was Prüfer, Kunden und Versicherer sehen wollen.

In vielen Fällen genügt eine gezielte Implementierung über einige Monate, um eine grundlegende forensische Bereitschaft für Ihre wichtigsten Kunden und Vorfallstypen zu schaffen. Forensische Bereitschaftsprogramme, die in unabhängigen Beratungsleitfäden beschrieben werden, sind häufig als zeitlich begrenzte Projekte und nicht als ergebnisoffene Initiativen strukturiert – ein empfehlenswertes Modell.

Diese Basis umfasst typischerweise die Angleichung Ihrer Richtlinien, die Vereinbarung von Vorlagen, die Implementierung grundlegender Nachweisverfahren und die Durchführung von Überprüfungen. Sobald diese Grundlagen geschaffen sind, lässt sich der Ansatz deutlich einfacher und reibungsloser auf Ihren gesamten Kundenstamm ausweiten.

Wenn Sie nicht länger nur hoffen möchten, dass Ihre Aufzeichnungen ausreichen, sondern sicher sein wollen, dass Sie Vorfälle belegen können, ist ISMS.online als Ihr Partner für die ISO 27001 ein sinnvoller nächster Schritt. Sie stärken Ihre Fähigkeit, Ihr Unternehmen, Ihre Kunden und Ihre Teams zu schützen, insbesondere wenn Vorfälle genauestens geprüft werden, und machen aus Abschnitt A.5.28 eine verlässliche Quelle der Sicherheit statt einer Quelle der Angst.

Kontakt


Häufig gestellte Fragen (FAQ)

Was ändert ISO 27001:2022 A.5.28 „Sammlung von Nachweisen“ konkret für einen Managed Service Provider (MSP)?

A.5.28 bedeutet, dass Ihr MSP in der Lage sein muss, Bei schweren Vorfällen muss der Sachverhalt bewiesen werden, nicht nur später daran erinnert werden..

In der Praxis verändert das Ihren Alltag in vier Bereichen:

Wann wird die normale Vorfallbearbeitung „beweissensitiv“?

Sie benötigen eine klare, vereinbarte Grenze zwischen routinemäßigen Supportanfragen und Fällen, die eine fundierte Antwort erfordern. Typische Auslöser sind:

  • Verdacht auf Datenleck oder Datenexfiltration bei einem verwalteten Kunden.
  • Kompromittierung von Geschäfts-E-Mails oder Kontoübernahme.
  • Schwerwiegender Ausfall mit vertraglichen oder finanziellen Folgen.
  • Betrugsversuche, Missbrauch von privilegierten Zugangsrechten oder Insidermissbrauch.
  • Jeder Vorfall, der für Aufsichtsbehörden, Versicherer oder Anwälte von Interesse sein könnte.

Sobald ein Auslöser erreicht ist, wird der Vorfall anders behandelt: strengere Protokollierung, stärkere Zugriffskontrolle und sorgfältigerer Umgang mit Artefakten.

Wer ist in Ihrem MSP für die Entscheidungen bezüglich der Beweislage verantwortlich?

A.5.28 setzt voraus, dass Sie Folgendes wissen: Wer kann einen Vorfall als beweisrelevant einstufen und wer darf die Spuren anschließend berühren?Das bedeutet in der Regel:

  • Eine benannte Dienstrolle (z. B. Dienstleiter, diensthabender Sicherheitsbeauftragter), die befugt ist, einen Vorfall in den beweisrelevanten Modus zu versetzen.
  • Klare Verantwortlichkeiten für:
  • Die Entscheidung, welche Artefakte gesammelt werden müssen.
  • Genehmigung von destruktiven Maßnahmen (Neuaufbau, Datenlöschung, Mieter-Resets).
  • Abmeldung, sobald die Beweissicherung für den betreffenden Vorfall abgeschlossen ist.

Diese Rollen sollten in Ihrem ISMS, in Stellenbeschreibungen und in Vorfallverfahren sichtbar sein – und nicht nur vom Team „verstanden“ werden.

Was bedeutet „gut genug für Beweise“ in der Realität von MSP?

Sie errichten kein Polizeilabor. Sie streben vielmehr die Erstellung von Vorfallsberichten an, denen eine externe Partei vertrauen kann, denn:

  • Die Geschichte ist schlüssig: Was geschah, wann, wem und auf welchen Systemen, ist klar.
  • Wichtige Entscheidungen und Genehmigungen werden im Protokoll festgehalten und nicht im Chat versteckt.
  • Artefakte (Protokolle, Exporte, Screenshots) können lokalisiert und dem Vorfall zugeordnet werden.
  • Sie können nachweisen, dass sensible Exporte nicht stillschweigend bearbeitet wurden.

Das sieht typischerweise so aus:

  • Evidenzsensitive Kennzeichnungen in Ihrem PSA/ITSM.
  • Mindestens Erforderliche Beweismittel pro Szenario (z. B. BEC, Ausfall, verdächtige Administratoraktivitäten).
  • Kontrollierte Exportstandorte mit beschränktem Zugang und grundlegenden Integritätsmaßnahmen.

Wie verändert eine ISMS-Plattform Ihre A.5.28-Story?

Wenn Sie versuchen, A.5.28 nur in Ihrem PSA und im Bewusstsein Ihrer Mitarbeiter zu verwalten, scheitert das schnell bei genauerer Betrachtung. Eine ISMS-Plattform wie ISMS.online ermöglicht Ihnen Folgendes:

  • Dokumentieren Sie Ihre A.5.28-Richtlinie und -Verfahren einmalig in einfacher Sprache.
  • Verknüpfen Sie es direkt mit dem Vorfallmanagement, der Protokollierung und den Kontinuitätskontrollen.
  • Fügen Sie reale Vorfälle als Beleg für die Betriebsabläufe im Laufe der Zeit bei.
  • Verbesserungen werden erfasst, sobald in Überprüfungen Lücken festgestellt werden.

Damit wird aus A.5.28 die Aussage „Wir glauben, dass wir mit Beweismitteln vernünftig umgehen“ und stattdessen „Wir können Ihnen zeigen, wie wir entscheiden, sammeln, schützen und verbessern“ formuliert – ein ganz anderes Gespräch mit Wirtschaftsprüfern, Kunden und Versicherern.

Wie kann ein Managed Service Provider (MSP) seinen Service Desk „forensisch aufwändig“ gestalten, ohne die Arbeit der Techniker zu verlangsamen?

Ihr Service Desk ist für forensische Untersuchungen bereit, wenn Hochrisiko-Tickets werden automatisch zu strukturierten Vorfallsberichten., während sich der Arbeitsalltag für Ingenieure nach wie vor leicht und schnell anfühlt.

Ziel ist nicht mehr Verwaltungsaufwand für jedes Ticket. Klügeres Vorgehen ist es nur dann, wenn viel auf dem Spiel steht.

Wie sollten Tickets behandelt werden, wenn ein Fall beweissensibel ist?

Drei Designanpassungen erledigen den größten Teil der Arbeit: Klassifizierung, Struktur und Schutz.

  1. Klassifizierung – Flip-Modus mit einem klaren Signal

Erstellen Sie eine kleine Anzahl von Kategorien oder Kennzeichnungen, die ein Ticket automatisch als beweissensitiv einstufen, wie zum Beispiel:

  • Sicherheitsvorfall oder vermuteter Verstoß.
  • Offenlegung von Daten oder datenschutzrelevantes Ereignis.
  • Schwerwiegender Ausfall, der SLAs oder mehrere Kunden betrifft.
  • Beschwerden, die zu rechtlichen oder behördlichen Maßnahmen führen könnten.

Sind diese ausgewählt, kann das System Folgendes tun:

  • Zusätzliche Felder und Anhänge erzwingen.
  • Bearbeitungen auf Kernfelder beschränken.
  • Benachrichtigungen an Dienstrollen auslösen.
  1. Struktur – Notizen in einen brauchbaren Vorfallsbericht umwandeln

Für markierte Tickets ist Folgendes erforderlich:

  • Obligatorische Kernfelder (Kunde, betroffene Systeme, Schweregrad, Erkennungszeitpunkt, Verantwortlicher, Vorfallstyp).
  • Ein dedizierter Timeline Abschnitt:
  • Zeit (mit Zeitzone).
  • Maßnahmen wurden ergriffen.
  • Verwendetes Werkzeug oder System.
  • Referenz-IDs (Alarm-, Änderungs-, Export- oder Fallnummern).
  • Anhänge oder Links zu den erforderlichen Artefakten pro Szenario vor Abschluss (z. B. Anmeldeprotokolle für BEC; Änderungsaufzeichnungen und Überwachungsdiagramme für Ausfälle).

Dadurch wird das Ticket zur „Titelseite“ der Vorfallsgeschichte, mit Links zu umfangreichen Daten, anstatt alles in einem einzigen Datensatz unterzubringen.

  1. Schutz – verhindern, dass die Geschichte stillschweigend umgeschrieben wird.

Sie möchten nicht, dass sich wichtige Zeitstempel und Genehmigungen erst Tage später ändern. Ein ausgewogener Ansatz ist:

  • Sperren oder Versionieren kritischer Felder nach Ablauf eines definierten Zeitraums oder sobald eine Genehmigung erfolgt ist.
  • Neue Kommentare und Dateien können frei hinzugefügt werden.
  • Protokollierung, wer Korrekturen an den Kerndaten genehmigt hat.

Der Usability-Test ist einfach: Könnte eine unbeteiligte Person das Ticket sechs Monate später wieder öffnen und innerhalb von zehn Minuten verstehen, was passiert ist und wer welche Entscheidungen getroffen hat?

Wie hängt das mit A.5.28 und Ihrem ISMS zusammen?

A.5.28 handelt nicht wirklich von Ihrem Werkzeug, sondern von Ihrem absichtliches Design:

  • Ihr ISMS enthält die Richtlinien dafür, wann Tickets den Modus wechseln, welche Änderungen sich in diesem Modus ergeben und welche Rollen daran beteiligt sind.
  • Ihr Service Desk setzt diese Regeln unauffällig im Hintergrund um.
  • Überprüfen Sie in Ihren ISMS-Beispieltickets echte Tickets, dokumentieren Sie die Ergebnisse und treiben Sie Vorlagenänderungen oder zusätzliche Schulungen voran.

ISMS.online ist genau für diesen Kreislauf konzipiert: Design → Betrieb → Überprüfung → Verbesserung. Wenn Sie versuchen, A.5.28 nur mit Screenshots und der Aussage „Wir machen normalerweise X“ zu beantworten, werden Sie sich ständig im Nachteil fühlen. Nach ein paar Tagen Konfiguration Ihres PSA und der Erfassung der Governance in ISMS.online können Sie den Auditoren nachweisen, dass dieses Vorgehen bewusst, wiederholbar und überwacht ist.

Welche Details und Artefakte des Vorfalls machen die Beweisführung der MSP tatsächlich verlässlich?

Beweise sind zuverlässig, wenn sie beantwortet offensichtliche Fragen, ohne dass Sie im Raum sein müssen.:

  • Was ist passiert und wie wurde es entdeckt?
  • Welche Kunden und Systeme waren beteiligt?
  • Wer hat was mit welchen Mitteln getan und wer hat es autorisiert?
  • Was änderte sich dadurch und wann?

Das bloße Speichern von Rohdaten führt selten zum Ziel. Eine einfache Strukturierung und ein einheitliches Mindestpaket pro Szenario reichen in der Regel aus.

Was sollte jeder Bericht über einen schwerwiegenden Vorfall mindestens enthalten?

Bei Vorfällen, die Geld, Verträge oder Datenschutz betreffen, sollte Ihr Standardmuster drei Ebenen umfassen.

1. Strukturierte Ticketfelder

Diese Angaben sollten als obligatorisch festgelegt werden, sobald ein Ticket als risikoreicher eingestuft wird:

  • Melde- und Erkennungszeit.
  • Kunde, Hauptansprechpartner und alle vertraglichen Kennungen (z. B. Vertrags-ID, SLA-Stufe).
  • Betroffene Systeme oder Dienste (idealerweise ausgewählt aus Ihrer CMDB oder Ihrem Servicekatalog).
  • Schweregrad und eine einzeilige Zusammenfassung der Auswirkungen.
  • Vorfallart (z. B. BEC, Ransomware, P1-Mehrmandantenausfall).
  • Zugewiesener Verantwortlicher und Eskalationskontakt.

Dadurch wird sichergestellt, dass jeder schwerwiegende Fall dem gleichen Denkmodell entspricht.

2. Aktionszeitplan

Weg von einem einzelnen scrollbaren Notizfeld hin zu einem einfachen, strukturierten Protokoll:

  • Uhrzeit und Zeitzone.
  • Maßnahmen wurden ergriffen.
  • Verwendetes Werkzeug oder System.
  • Referenz-ID (Alarm-ID, Änderungsticket, Exportreferenz).

Dieser Zeitplan bildet oft die Grundlage für spätere Kundenbriefings, Schadensmeldungen von Versicherern oder Berichte von Aufsichtsbehörden.

3. Artefaktzeiger

Anstatt die Ticketanzahl unnötig aufzublähen, sollte man darauf hinweisen, wo sich die größten Datenmengen befinden:

  • Identitäts- und Zugriffsprotokolle aus Ihrem Verzeichnis, SSO oder VPN.
  • Endpunkt- und Serverwarnungen (EDR/AV/HIDS).
  • E-Mail-Gateway- oder SaaS-Mail-Protokolle für Phishing- und BEC-Fälle.
  • Firewall- und Netzwerküberwachung zur Erkennung von Ausfällen oder seitlichen Angriffen.
  • Konfigurations-Snapshots und Änderungsprotokolle vor/nach wichtigen Eingriffen.
  • Bereinigten Kopien von Schadsoftware oder verdächtigen E-Mails.
  • Screenshots, bei denen Exporte nicht verfügbar sind.

Ein kurzes Muster wie „EDR-Protokolle für Host X, 09:00–12:00 2024‑07‑03, gespeichert in Vault V‑0123; Prüfsumme XYZ“ macht aus einer vagen Notiz etwas, dem ein Dritter vertrauen kann.

Für einige wenige Hochrisikoszenarien sollte man sich auf Folgendes einigen: Mindestbeweismaterial (in der Regel nicht mehr als 8–12 Elemente) und integrieren Sie dies in Ihre PSA-Workflows. Dadurch wird verhindert, dass wichtige Tickets zu unübersichtlichen Chatprotokollen verkommen, und es wird deutlich einfacher, Monate später noch für Ihre Arbeit einzustehen.

Wie können Sie dies gegenüber Wirtschaftsprüfern und Kunden nachweisen?

Das Aufschreiben des Musters ist nur die halbe Miete. A.5.28 verlangt, dass Sie die praktische Anwendung demonstrieren. Mit ISMS.online können Sie:

  • Verknüpfen Sie die Mindestnachweispakete mit A.5.28 und den zugehörigen Kontrollen in Anhang A.
  • Fügen Sie Beispielvorfälle bei, die diesem Muster entsprechen (und solche, die es nicht erfüllen).
  • Verfolgen Sie Verbesserungsmaßnahmen, sobald Sie wiederkehrende Lücken feststellen.

Anstatt also zu sagen: „Wir beabsichtigen, Protokolle zu erfassen“, können Sie Ihr ISMS öffnen, das Vorgehen erläutern und konkrete Beispiele aufzeigen. Das ist der Unterschied zwischen einer Richtlinie und einer glaubwürdigen Aussage – und Kunden bemerken dies bei der Wahl des Managed Service Providers (MSP), dem sie ihre sensibelsten Systeme anvertrauen.

Wie sollten Managed Service Provider (MSPs) die Protokollaufbewahrung und die Nachweiskette handhaben, damit die Beweisführung auch später noch Bestand hat?

Aufbewahrung von Protokollen und Nachweiskette sind ungefähr Die Fähigkeit, weit genug zurückzublicken und nachweisen zu können, dass man die Aufzeichnungen nicht heimlich verändert hat..

Wenn Sie Protokolle als Wegwerfartikel oder Exporte als beiläufige Dateien behandeln, wird es schwierig sein, A.5.28 nachzuweisen und ihm zu vertrauen.

Wie entscheidet man, was man behält und wie man es schützt?

Ein praktischer Ansatz für MSPs besteht darin, in drei Schritten vorzugehen.

1. Gruppieren Sie Protokolle nach ihrer Verwendung.

Beispielsweise:

  • Identität und Zugriff: Verzeichnisdienste, SSO, VPN, Privileged Access Gateways.
  • Endpunkt- und Serversicherheit: EDR, AV, HIDS.
  • E-Mail und Zusammenarbeit: sichere E-Mail-Gateways, SaaS-Mail-Plattformen, Chat-Tools.
  • Netzwerk und Perimeter: Firewalls, Proxys, VPN-Konzentratoren.
  • Administrative und Änderungsaktivitäten: Cloud-Admin-Protokolle, CI/CD-Pipelines, Infrastructure-as-Code-Tools.

Jede Gruppe unterstützt bei Untersuchungen und Prüfungen leicht unterschiedliche Fragestellungen.

2. Festlegung von Retentions-Baselines pro Gruppe

drei Einschränkungen im Gleichgewicht halten:

  • Betrieblicher Bedarf: wie weit zurück Sie normalerweise ermitteln (z. B. Verweildauern, Betrugsmuster).
  • Kundenverpflichtungen: Was Ihre Verträge und Service-Level-Agreements (SLAs) zur Unterstützung bei Ermittlungen aussagen.
  • Regulatorische Datenschutzbestimmungen: wo Sie die Aufbewahrung personenbezogener Daten minimieren müssen (z. B. DSGVO, CCPA).

Für viele sicherheitssensible MSP-Umgebungen 6 – 12 Monate Für Identitäts-, E-Mail-, Endpunkt- und Administratorprotokolle ist dies ein sinnvoller Ausgangspunkt, wobei einige Ausreißer mehr Zeit benötigen. Unabhängig von Ihrer Wahl sollten Sie die Daten in einer Richtlinie erfassen und Ihr SIEM-System, Ihren Protokollspeicher und Ihre Backups entsprechend konfigurieren, anstatt sich auf den Arbeitsspeicher zu verlassen.

3. Fügen Sie einfache Integritäts- und Zugriffskontrollen hinzu.

Sie benötigen nicht von Anfang an für alles einen WORM-Computing-Dienst der Enterprise-Klasse, sollten ihn aber einsetzen:

  • Beschränken Sie den Zugriff auf sensible Protokolle und deren Export.
  • Für Langzeitarchive ist die Speicherung mit „Nur anhängen“ oder „Einmal schreiben“ vorzuziehen.
  • Verwenden Sie Prüfsummen oder Signaturen für Massenexporte und Archive.
  • Es wird festgehalten, wer wann, von wo und wo diese Datenpakete exportiert hat.

Eine kurze Anmerkung wie „M. Patel exportierte Identitätsprotokolle für Mandant ACME vom 15.06.2024 00:00–23:59, gespeichert im S3-Bucket 'evidence-2024-06-ACME'; Zugriff: Nur SOC-Leads“ kann ausreichen, um einem Prüfer zu zeigen, dass Sie die Nachweiskette ernst nehmen.

Welche Rolle spielt ein ISMS dabei?

Ungeordnete Notizen und undokumentierte Aufbewahrungsentscheidungen sind schwer zu rechtfertigen. Eine ISMS-Plattform wie ISMS.online ermöglicht Ihnen Folgendes:

  • Dokumentieren Sie Ihre Protokollfamilien, Aufbewahrungsbaselines und Ausnahmen einmalig.
  • Verknüpfen Sie sie mit ISO 27001:2022 A.5.28, den zugehörigen Protokollierungskontrollen in Anhang A und allen von Ihnen verwendeten Frameworks aus Anhang L (z. B. ISO 22301 für Kontinuität).
  • Fügen Sie als Nachweis echte Exportbeispiele und Anmerkungen zur Überprüfung bei.
  • Verfolgen Sie Änderungen von Aufbewahrungsregeln oder Tools, um die Historie erklären zu können.

Auf diese Weise können Sie, wenn ein Kunde, Prüfer oder eine Aufsichtsbehörde fragt, warum Sie bestimmte Protokolle noch führen (oder nicht mehr führen), mit einer klaren, durch Richtlinien untermauerten Antwort reagieren, anstatt nur mit den Achseln zu zucken.

Wie können MSP-Teams Gewohnheiten entwickeln, die eine „beweisbereite“ Arbeitsweise fördern, ohne jeden Einzelnen zu einem forensischen Spezialisten zu machen?

Nicht jeder Ingenieur muss die Rechtsprechung verstehen. Aber sie müssen… Sie hinterlassen Tickets und Protokollvermerke, die sie unter Druck gerne verteidigen würden..

Wenn man das Ganze auf Schuldzuweisungen oder Compliance-Floskeln reduziert, wird die Beteiligung gering sein. Wenn man es hingegen darauf ausrichtet, zukünftige Probleme für die Beteiligten und ihre Kunden zu vermeiden, wird es deutlich einfacher.

Wie sieht eine praxisnahe, ingenieurgerechte Schulung zum Thema Beweisführung aus?

Am besten funktionieren kurze, spezifische Sitzungen, die auf Ihre eigenen Vorfälle zugeschnitten sind:

  • Zeig den Schmerz. Schildern Sie einen anonymisierten Vorfall, bei dem mangelhafte Dokumentation negative Folgen hatte – unklare Auswirkungen, unklare Zeitabläufe, fehlende Genehmigungen. Fragen Sie das Team, was die Bewältigung oder Erklärung erschwert hat.
  • Zeigen Sie den Kontrast auf. Vergleichen Sie dies mit einem besser dokumentierten Vorfall. Welchen würden sie eher einem skeptischen Kunden, Versicherer oder einer Aufsichtsbehörde präsentieren?
  • Vereinbaren Sie eine kleine Anzahl von Gewohnheiten. Beispielsweise:
  • Notieren Sie stets, was Sie wann und mit welchem ​​Werkzeug getan haben, und verwenden Sie dabei deutliche Zeitangaben.
  • Wichtige Kundenentscheidungen und interne Genehmigungen sollten im Ticket erfasst werden, nicht nur im Chat.
  • Kommentare sollten sachlich bleiben; Schuldzuweisungen oder Spekulationen in den Akten sollten vermieden werden.
  • Verwenden Sie das evidenzsensitive Kennzeichen oder die Kategorie, wenn definierte Auslöser aktiviert werden.

Sie können dies verstärken, indem Sie Mikro-Hinweise in Ihre PSA-Formulare einbauen:

  • Neben dem Feld „Zeitleiste“: „Schreiben Sie dies so, dass ein Kollege es in sechs Monaten verstehen kann.“
  • Neben dem Hinweis zu den Anhängen: „Link zu den Protokollspeicherorten; vermeiden Sie das Einfügen großer Auszüge.“

Untermauern Sie dies mit leichtes, regelmäßiges Feedback:

  • Jeden Monat eine kleine Anzahl von Tickets mit höherem Risiko stichprobenartig prüfen.
  • Bewerten Sie sie anhand Ihrer vereinbarten Gewohnheiten und der Mindestnachweise.
  • Geben Sie in Teamsitzungen gezieltes Feedback und heben Sie gute Beispiele hervor.

Wie lässt sich beweisen, dass diese Gewohnheiten real sind und nicht nur vorgetäuscht?

A.5.28 ist mit der Aussage „Wir führen jährliche Schulungen durch“ nicht ausreichend erfüllt. Sie werden gefragt, wie Sie wissen, dass die Schulungen erfolgreich sind. ISMS.online hilft Ihnen bei der Beantwortung dieser Frage:

  • Speicherung des Verfahrens A.5.28, der Schulungsunterlagen und der Anwesenheitslisten.
  • Verknüpfung wiederkehrender Erkenntnisse aus der Ticketstichprobe mit Ihren Kontrollmechanismen für Vorfalls- und Protokollierungsverfahren.
  • Zugewiesene Aktionen (Änderungen an Vorlagen, Verfeinerungen an Auslösern oder Protokollaufbewahrung, zusätzliche Schulungen) bis zum Abschluss verfolgen.

So erhalten Sie eine Echtzeitdokumentation der Beweismittelbereitstellung, die sich in Reaktion auf reale Vorfälle und Überprüfungen weiterentwickelt. Wenn Sie gefragt werden: „Wie stellen Sie sicher, dass Ihre Mitarbeiter Beweismittel ordnungsgemäß behandeln?“, können Sie auf bewährte Verfahren verweisen, anstatt nur Versprechungen zu machen – und genau das erwarten anspruchsvolle Kunden und Prüfer.

Was kann ein Managed Service Provider (MSP) in den nächsten 90 Tagen im Hinblick auf A.5.28 und die forensische Bereitschaft realistischerweise verbessern?

In 90 Tagen können Sie umziehen von „Wir hoffen, unsere Aufzeichnungen sind gut genug.“ zu „Wir haben ein klares Muster, das in unserem ISMS dokumentiert ist, und aktuelle Vorfälle belegen dies.“.

Eine perfekte Abdeckung ist nicht erforderlich; Sie benötigen eine kleine Anzahl sichtbarer, wiederholbarer Verbesserungen, die durch reale Beispiele untermauert werden.

Wie sieht ein fokussierter 90-Tage-Verbesserungszyklus gemäß A.5.28 aus?

Ein realistischer Fahrplan könnte folgendermaßen aussehen:

Woche 1–2: Aus einem schwerwiegenden Vorfall der Vergangenheit lernen

  • Wählen Sie einen relevanten Fall aus – einen Sicherheitsvorfall oder eine Störung, die hochrangige Entscheidungsträger betraf.
  • Prüfen Sie das Ticket, die Protokolle und den E-Mail-Verlauf so, als wären Sie ein externer Prüfer.
  • Hinweis:
  • Wie lange es dauert, um zu verstehen, was passiert ist.
  • Wenn die Geschichte unklar oder unvollständig ist.
  • Welche Artefakte fehlten oder waren schwer zu finden?
  • Halten Sie dies in einer kurzen Notiz nach dem Vorfall fest und protokollieren Sie es unter A.5.28 in Ihrem ISMS.
  • Wählen Sie 2–3 Szenarien aus, die Ihre Kunden regelmäßig beunruhigen:
  • Kompromittierung von Geschäfts-E-Mails oder Kontoübernahme.
  • Verdächtige privilegierte Aktivitäten auf Cloud-Plattformen.
  • Schwerwiegender Ausfall in einem Gebäude mit mehreren Mietern.
  • Definiere für jeden Punkt:
  • Pflichtfelder im Ticket.
  • Erforderliche Artefakte (Protokolle, Exporte, Snapshots) und wo diese gespeichert werden.
  • Aktualisieren Sie PSA-Vorlagen und -Workflows, sodass die richtigen Felder und Anhänge obligatorisch werden, wenn relevante Kategorien oder Kennzeichnungen ausgewählt werden.

Wochen 4–6: Dokumentieren Sie eine kurze Vorgehensweise für A.5.28

  • Erstellen Sie eine schlanke Verfahrensanweisung, die Folgendes erklärt:
  • Wenn ein Vorfall beweisrelevant wird.
  • Welche Rollen legen das fest und wer ist dafür verantwortlich?
  • Was muss gesammelt werden, wo wird es gelagert, wie lange wird es aufbewahrt?
  • Wie bedeutende Exporte im Hinblick auf die Lieferkette nachverfolgt werden.
  • Ordnen Sie dies direkt der ISO 27001:2022 A.5.28 zu, zusammen mit den zugehörigen Kontrollen aus Anhang A für die Reaktion auf Vorfälle, die Protokollierung und, falls relevant, die Geschäftskontinuität.

Wochen 6–8: Schulung derjenigen, die es tatsächlich nutzen werden.

  • Führen Sie eine kurze Schulung für Ingenieure, Schichtleiter und Service-Desk-Leiter durch, in der Folgendes behandelt wird:
  • Der überprüfte Vorfall (um die Problematik mangelhafter Aufzeichnungen zu verdeutlichen).
  • Aktualisierte Ticketvorlagen (um die Änderungen aufzuzeigen).
  • Minimale Nachweispakete (zur Verdeutlichung der Erwartungen).
  • Konzentrieren Sie sich darauf, was sich für sie in der Praxis ändert und wie sie dadurch in zukünftigen Gesprächen mit Kunden oder Versicherern geschützt sind.

Wochen 8–12: Neue Vorfälle spezifizieren und Fortschritte aufzeigen

  • Einige Wochen nach der Einführung sollten einige wenige Vorfälle stichprobenartig erfasst werden, die die neuen Muster hätten auslösen sollen.
  • Prüfen:
  • Ob die richtigen Auslöser und Flags verwendet wurden.
  • Ob die Mindestbeweismittel sichergestellt wurden.
  • Wie schnell eine unbeteiligte Person jeden einzelnen Fall verstehen kann.
  • Die Ergebnisse festhalten und sie nutzen, um:
  • Vorlagen und Hinweise anpassen.
  • Jedes Folgetraining sollte gezielt ausgerichtet werden.
  • Aktualisieren Sie gegebenenfalls Ihre A.5.28-Prozedur.

ISMS.online kann jeden Schritt dieses Zyklus verankern:

  • Das Verfahren A.5.28, die erste Vorfallsanalyse, die definierten Beweismittelpakete, das Schulungsmaterial und die Probenahmeergebnisse befinden sich alle in einer Umgebung.
  • Verbesserungsmaßnahmen erhalten Verantwortliche, Fälligkeitstermine und einen Abschlussnachweis.
  • Links zu den Kontrollmechanismen des Anhangs A und anderen Normen (wie z. B. A.5.24–A.5.27 für das Vorfallmanagement, A.8.x Protokollierungskontrollen, ISO 22301 für die Kontinuität in einem IMS im Stil des Anhangs L) zeigen, wie sich die Beweismittelhandhabung in Ihr Gesamtsystem einfügt.

Wenn also ein potenzieller Kunde, Auditor oder Versicherer fragt: „Wie sammeln und schützen Sie Beweise?“, können Sie ihm anhand eines klaren 90-Tage-Berichts erläutern, wie Richtlinien, Tools und reale Vorfälle zusammenhängen. Eine solche fundierte Antwort stärkt Ihre Position nach ISO 27001, gibt wichtigen Kunden Sicherheit und hebt Ihren Managed Service Provider (MSP) dezent von Wettbewerbern ab, die sich noch auf improvisierte Vorfallsberichte und gute Absichten verlassen.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.