Zum Inhalt
ISMS.online

A.5.36 Einhaltung von Richtlinien, Regeln und Standards für Informationssicherheit – MSP-Zusicherung

A.5.36 setzt höhere Maßstäbe für Managed Service Provider (MSPs) und verlangt den Nachweis, dass Informationssicherheitsrichtlinien tatsächlich eingehalten werden – nicht nur dokumentiert. Kunden und Aufsichtsräte erwarten die Gewissheit, dass Ihre Kontrollmechanismen im laufenden Betrieb, mit allen Tools und in allen Teams, funktionieren. Durch die Abstimmung von Richtlinien, Mitarbeitermaßnahmen und Nachweisen schaffen Sie Vertrauen, reduzieren Risiken durch Dritte und heben sich in einem regulierten Markt hervor.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum A.5.36 für MSPs, die Managed Security Services anbieten, wichtig ist

A.5.36 ist für Managed Service Provider relevant, da es prüft, ob Ihre Sicherheitsregeln im laufenden Betrieb tatsächlich eingehalten werden und nicht nur schriftlich festgehalten sind. Es verlangt den Nachweis, dass Ihre Mitarbeiter und Systeme diese Regeln im Arbeitsalltag befolgen. Sie können sich nicht länger hinter einer Richtlinienbibliothek verstecken; Sie müssen nachweisen, dass Richtlinien, Standards und Regeln verstanden, angewendet und gegebenenfalls korrigiert werden – sowohl in Ihrer internen Umgebung als auch bei den Diensten, die Sie für Ihre Kunden bereitstellen, und zwar über verschiedene Tools, Teams und Zeitzonen hinweg.

Die hier bereitgestellten Informationen sind allgemeiner Natur und stellen keine Rechts-, Regulierungs- oder Zertifizierungsberatung dar. Für Entscheidungen, die Ihr Unternehmen betreffen, sollten Sie entsprechend qualifizierte Fachleute und die von Ihnen gewählte Zertifizierungsstelle konsultieren.

Im Wesentlichen verlangt die ISO/IEC 27001:2022-Kontrolle A.5.36 drei Dinge:

  • Definieren Sie die Informationssicherheitsrichtlinien, -regeln und -standards, die in Ihrer Organisation gelten.
  • Überprüfen Sie regelmäßig, ob die Mitarbeiter und Betriebsabläufe diese Richtlinien einhalten.
  • Handle, wenn sie es nicht tun, und sammle Beweise dafür, dass all dies geschieht.

Für die meisten Organisationen ist das eine Herausforderung. Für einen Managed Service Provider (MSP), der Managed Security Services anbietet, ist es deutlich schwieriger. Sie sind nicht nur für Ihre eigenen Mitarbeiter und Systeme verantwortlich, sondern agieren auch in Kundenumgebungen, mit Kundendaten und gemäß den Richtlinien des Kunden und den branchenspezifischen Vorschriften. Ihre „Regeln und Standards“ umfassen daher schnell Folgendes:

  • Ihre eigene Informationssicherheitsrichtlinie und themenspezifische Standards.
  • Kundensicherheitspläne, Nutzungsrichtlinien und Anforderungen an den Umgang mit Daten.
  • Externe Standards, zu denen Sie sich verpflichten, wie z. B. Konfigurationsvorgaben oder Branchenrichtlinien.

Die Mehrheit der Befragten der ISMS.online-Umfrage „State of Information Security 2025“ gab an, im vergangenen Jahr von mindestens einem Sicherheitsvorfall eines Drittanbieters oder Lieferanten betroffen gewesen zu sein.

Wenn Sie Dienstleistungen wie ein Security Operations Center (SOC), Managed Detection and Response, Vulnerability Management oder Endpoint Management anbieten, sehen Kunden A.5.36 zunehmend als Aufhänger, um zu fragen: „Woher wissen wir, dass Sie Ihre eigenen Regeln und unsere einhalten – und was passiert, wenn Sie dies nicht tun?“

Das ist einer der Gründe, warum Vorstände und Investoren heute kritischere Fragen zur Governance von Managed Service Providern (MSPs) stellen. Branchenstudien zu ISO 27001 und dem allgemeinen Cyberrisikomanagement bestätigen ebenfalls eine verstärkte Überprüfung von Sicherheit und Governance durch die Vorstände, insbesondere im Hinblick auf Drittanbieter und Outsourcing-Partner. Dies spiegelt einen allgemeinen Wandel der Erwartungen an das Risikomanagement wider. Eine einzige fehlerhafte Regel in Ihrem Security Operations Center (SOC) oder Ihrer Remote-Monitoring- und Management-Plattform (RMM) kann mehreren Kunden gleichzeitig schaden. Daher erwarten diese die Gewissheit, dass Ihre dokumentierten Kontrollen der operativen Realität entsprechen. Unabhängige Analysen zur Cyberresilienz und zum menschlichen Faktor verdeutlichen ebenfalls, wie Schwächen in gemeinsam genutzten Plattformen oder Prozessen die Auswirkungen individueller Fehler in vielen Organisationen verstärken können, insbesondere dort, wo menschliches Verhalten und Prozessdisziplin entscheidend sind.

Eine Plattform wie ISMS.online kann Ihnen helfen, indem sie Ihnen eine zentrale Anlaufstelle bietet, um Ihre Richtlinien und Standards zu definieren, sie Diensten zuzuordnen, Verantwortlichkeiten zuzuweisen und sie mit konkreten Nachweisen aus Audits, Überprüfungen und operativen Tools zu verknüpfen. Das ersetzt zwar nicht die eigentliche Arbeit, macht aber die Beziehung zwischen dem, was wir sagen, und dem, was wir beweisen können, sichtbar und kontrollierbar.

Compliance schafft Vertrauen, wenn Ihre Beweise zeigen, was wirklich passiert, und nicht, was Sie sich erhoffen.

Was A.5.36 tatsächlich verlangt, in einfacher Sprache

A.5.36 verpflichtet Sie, Sicherheitsregeln klar zu formulieren, deren Einhaltung zu überprüfen und Verstöße zu beheben. Sie müssen Prüfern und Kunden anhand konkreter Nachweise – nicht nur Absichtserklärungen – die Wirksamkeit dieses Regelkreises in der Praxis belegen können. Konkret bedeutet dies, dass die Einhaltung Ihrer Informationssicherheitsrichtlinie sowie themenspezifischer Richtlinien, Regeln und Standards regelmäßig überprüft wird und Verstöße im Rahmen eines dynamischen Kontrollsystems, das Regeln, Verhalten, Kontrollen und Verbesserungen miteinander verknüpft, angemessen behandelt werden.

Für einen MSP sieht diese Schleife typischerweise so aus:

  • Definieren: Sie pflegen ein klares und aktuelles Regelwerk, das für Mitarbeiter, Auftragnehmer und gegebenenfalls Kundenumgebungen gilt.
  • Kommunizieren: Die Menschen kennen die Regeln und respektieren sie durch Schulungen, Einweisungen und die Einarbeitung.
  • Monitor: Mithilfe von technischer Überwachung, Prozessprüfungen und internen Audits wird überprüft, ob diese Regeln eingehalten werden.
  • Reagieren: Wenn Sie einen Verstoß feststellen, protokollieren Sie diesen, bewerten Sie die Auswirkungen und ergreifen Sie gegebenenfalls Korrektur- oder Disziplinarmaßnahmen.
  • Verbessern: Sie überprüfen Muster von Verstößen und passen Richtlinien, Schulungen oder Kontrollen an.

Auditoren erwarten keine Perfektion. Sie erwarten einen kontrollierten, nachweisbaren Prozess. Unternehmenskunden erwarten dasselbe, insbesondere wenn Ihr Service Teil ihrer kritischen Infrastruktur oder ihres regulatorischen Geltungsbereichs ist. A.5.36 knüpft direkt an den PDCA-Zyklus (Planen, Durchführen, Überprüfen, Handeln) der ISO 27001 an: Sie planen die Regeln, setzen Kontrollen um, überprüfen die Einhaltung und handeln entsprechend den gewonnenen Erkenntnissen.

Warum die Kontrollen für Managed Service Provider (MSPs) härter greifen

A.5.36 trifft Managed Service Provider (MSPs) besonders hart, da kleine Schwächen bei der Durchsetzung von Regeln sich auf viele Dienste und Kunden auswirken können. Bei einer laxen internen Governance kann ein einzelner schwacher Standard oder eine Ausnahme mehrere Managed-Security-Angebote gleichzeitig unbemerkt gefährden.

Für viele Anbieter deckt A.5.36 eine versteckte Diskrepanz auf: Vertrieb und Verträge versprechen ein bestimmtes Maß an Kontrolle, Richtlinien beschreiben ein anderes und der Betrieb liefert etwas völlig anderes. Da Ihre Dienste mandantenfähig und toolbasiert sind, können sich Schwachstellen schnell ausbreiten.

  • Eine lasche Administratoren-Account-Regel in Ihrer eigenen Umgebung kann jeden von Ihnen angebotenen Managed Security Service schwächen.
  • Ein Patching-Standard, der bei verschiedenen Kunden uneinheitlich angewendet wird, kann zu wiederholten Beanstandungen bei Kundenaudits führen.
  • Ein gemeinsam genutztes Handbuch, das bei Richtlinienänderungen nicht aktualisiert wird, kann unbemerkt die Konformität verlieren.

Rund 41 % der Organisationen in der ISMS.online-Umfrage 2025 nannten das Management von Drittparteirisiken und die Überwachung der Lieferantenkonformität als eine ihrer größten Herausforderungen im Bereich der Informationssicherheit.

Kunden und Aufsichtsbehörden sind sich dessen zunehmend bewusst. Sie verwenden Fragen, die sich an A.5.36 orientieren, um zu prüfen, wie Sie Ihre Mitarbeiter und Subunternehmer führen, wie Sie die Einhaltung der Regeln in Multi-Tenant-Systemen überwachen und wie Sie mit Ausnahmen umgehen. Eine oberflächliche Antwort – „Wir haben eine Richtlinie und schulen unsere Mitarbeiter“ – genügt ihnen nicht mehr.

Wenn man A.5.36 als zentrale Kontrollmaßnahme für Managed Service Provider (MSPs) und nicht nur als eng gefasste Dokumentationspflicht betrachtet, bietet sich die Möglichkeit, Zusagen, Richtlinien und Vorgehensweisen aufeinander abzustimmen. Lässt sich diese Abstimmung zuverlässig nachweisen, verschafft sie sich einen Wettbewerbsvorteil, insbesondere für Kunden, die ihre MSPs als Teil ihres eigenen regulatorischen Umfelds sehen.

Kontakt


Das Problem: Stichtagsbasierte, papierbasierte Compliance für Managed Service Provider (MSPs)

Punktuelle, papierintensive Compliance-Prüfungen ermöglichen zwar das Bestehen von Audits, erhöhen aber schleichend das tatsächliche Risiko, die Kosten und den Stress zwischen den Prüfterminen. Leitlinien europäischer Cybersicherheitsorganisationen zu ISO 27001 warnen davor, dass Checklisten-basierte oder rein auditorientierte Ansätze tendenziell ein Restrisiko und eine Belastung für den Betrieb hinterlassen, da sie das Verhalten von Systemen und Diensten zwischen formalen Prüfungen nicht abbilden. Sie konzentrieren den Aufwand auf kurze, intensive Maßnahmen, anstatt regelmäßige Kontrollen zu etablieren, die die Compliance das ganze Jahr über überwachen.

Wenn Sie ehrlich darüber sind, wie Sie derzeit mit A.5.36 umgehen, ist die Wahrscheinlichkeit groß, dass der größte Teil des Aufwands in kurzen, intensiven Phasen im Zusammenhang mit externen Audits, Kundenbewertungen oder großen Ausschreibungen anfällt, anstatt als Teil des täglichen Geschäftsbetriebs.

Ein typisches Muster sieht folgendermaßen aus: Mehrmals im Jahr lassen Ihre Sicherheits- und Betriebsverantwortlichen alles stehen und liegen, um Beweismaterial zusammenzustellen. Sie suchen nach exportierbaren Berichten aus Ticketsystemen, RMM- und SIEM-Tools, rufen Schulungsprotokolle aus HR-Systemen ab und erstellen maßgeschneiderte Präsentationen für bestimmte Kunden. Außerhalb dieser Spitzenzeiten finden kaum systematische Überprüfungen statt, abgesehen von dem, woran sich einzelne Techniker und Manager erinnern.

Dieser Ansatz birgt mehrere Nachteile. Er kostet Zeit, die für die Verbesserung der Kontrollmechanismen genutzt werden könnte. Er ist stark von wenigen Schlüsselpersonen abhängig. Er verschleiert tatsächliche Schwächen hinter Momentaufnahmen, die am jeweiligen Tag akzeptabel erscheinen. Zudem macht er Sie angreifbar, wenn ein Kunde oder eine Aufsichtsbehörde kurzfristig Zusicherungen verlangt.

Eine Compliance-Abteilung, die erst bei einer Prüfung aktiv wird, verkennt in der Regel, wie Ihre Dienstleistungen tatsächlich funktionieren.

Wo die Einhaltung der Vorschriften zu einem bestimmten Zeitpunkt versagt

Stichtagsbasierte Nachweise bleiben zwar Bestandteil externer Audits und Due-Diligence-Prüfungen, doch ihre alleinige Verwendung als primäres Sicherungsmodell birgt vorhersehbare Lücken. Für Managed Service Provider (MSPs) treten dabei immer wieder drei Schwächen zutage. Am offensichtlichsten ist, dass stichtagsbasierte Compliance-Analysen dazu führen, dass Regelverstöße über lange Zeiträume unentdeckt bleiben: Vorfälle und Abweichungen betreffen häufig bekannte Regeln, die nicht eingehalten wurden, da trotz ihrer Existenz keine regelmäßigen, risikobasierten Kontrollen stattfanden.

Die Abhängigkeit von spontanen Aktionen und lückenhaften Beweisen ist eine weitere Schwäche. Die Einhaltung der Vorschriften hängt davon ab, dass einige wenige Ingenieure und Manager zusätzlich zu ihrer regulären Arbeitsbelastung das Richtige tun – ohne strukturierte Vorgaben oder Kontrollen. Sie sammeln Daten aus verstreuten Tools und stellen hastig zusammengestellte Pakete zusammen. Wenn diese Personen ausscheiden, erkranken oder überlastet sind, verschlechtert sich die Kontrolle unbemerkt, und die den Kunden präsentierte Geschichte lässt sich immer schwerer rekonstruieren.

Wenn Sie in stark regulierten Branchen tätig sind oder Kunden in solchen Branchen bedienen, können diese Schwächen zu verlorenen Aufträgen, schwerwiegenderen Prüfungsfeststellungen oder langwierigen Sanierungsmaßnahmen führen, insbesondere wenn sie mit anderen Mängeln im Kontrollkonzept oder in der Aufsicht einhergehen. Selbst in weniger regulierten Märkten erhöhen sie die Wahrscheinlichkeit, dass ein Kunde Ihre Professionalität infrage stellt, wenn Sie Schwierigkeiten haben, die Einhaltung Ihrer eigenen Regeln nachzuweisen.

Diese Schwierigkeiten anzuerkennen ist unangenehm, aber es schafft die Voraussetzungen für eine andere Denkweise in Bezug auf A.5.36: nicht als gelegentliches Hindernis, sondern als eine fortlaufende Disziplin, die Kunden und den eigenen Ruf schützt.

Versteckte Kosten in Bezug auf Personal, Werkzeuge und Kundenvertrauen

Die versteckten Kosten der punktuellen Einhaltung von Vorschriften zeigen sich in Bezug auf Mitarbeiter, Tools und Beziehungen. Teams erleben die Einhaltung von Vorschriften als unvorhersehbaren Druck in letzter Minute, was die Motivation untergräbt und die Wahrnehmung verstärkt, dass Regeln eine zusätzliche Belastung und nicht Teil guter Ingenieurs- und Servicepraxis sind. Langfristig trägt diese Wahrnehmung zu Burnout und Personalfluktuation in Schlüsselpositionen bei.

Viele mittelständische Managed Service Provider (MSPs) berichten beispielsweise, dass sie vor wichtigen Ausschreibungen oder Kundenaudits viel Zeit – oft wochenlang – damit verbringen, Protokolle, Screenshots und Schulungsunterlagen manuell zusammenzutragen. Diese Arbeit ist stressig, die Ergebnisse sind schwer wiederzuverwenden, und das Team hat am Ende kaum das Gefühl, dass sich die tatsächliche Leistung der Services verbessert hat.

Hinzu kommen die Kosten für die Tools. Managed Service Provider (MSPs) investieren erheblich in Professional Services Automation (PSA), RMM, SIEM sowie Identitäts- und Protokollierungsplattformen. Wenn die Nachweise für A.5.36 hauptsächlich aus Tabellenkalkulationen und Screenshots bestehen, schöpfen Sie das Potenzial dieser Tools nicht voll aus. Sie zahlen unter Umständen sogar doppelt: einmal für die Tools und ein weiteres Mal für den manuellen Aufwand, relevante Informationen zu extrahieren und zusammenzuführen.

Die ISMS.online-Umfrage 2025 zeigt, dass Kunden zunehmend erwarten, dass ihre Lieferanten sich an formale Rahmenwerke wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials, SOC 2 und neue KI-Standards anpassen.

Schließlich bemerken es auch die Kunden. Sicherheitsfragebögen fragen heute üblicherweise nicht mehr nur: „Haben Sie eine Richtlinie?“, sondern auch: „Wie überwachen Sie die Einhaltung?“ und „Welche Kennzahlen erfassen Sie?“. Auch Fachpublikationen zu Sicherheit und Governance zeigen diesen Trend: Immer mehr Einkaufs- und Risikoteams fragen nach der Durchsetzung und Messung von Kontrollen, anstatt sich mit einfachen Ja/Nein-Fragen zu Richtlinien zufriedenzugeben. Sind Ihre Antworten vage oder können Sie ohne wochenlange Vorbereitung keine Beispiele liefern, werden Risiko- und Einkaufsteams ihre eigenen Schlüsse über Ihre Sicherheitsreife ziehen.

Sich von einer punktuellen Betrachtungsweise zu lösen bedeutet, zu akzeptieren, dass manche Regeln nicht perfekt eingehalten werden, aber darauf zu bestehen, dass Abweichungen sichtbar und erklärbar sind und zur Verbesserung genutzt werden, anstatt bis zum nächsten Audit verschwiegen zu werden. Genau diesen Wandel soll die kontinuierliche Qualitätssicherung unterstützen.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Neuausrichtung: Von statischer Konformität zu kontinuierlicher Qualitätssicherung

Indem man A.5.36 als Designproblem neu definiert, wird es von einer jährlichen Pflichtaufgabe zu einem überschaubaren Bestandteil des MSP-Betriebs. Anstatt sich zu fragen, wie man das nächste Audit übersteht, fragt man sich, wie man ein angemessenes Maß an kontinuierlicher Sicherheit in die tägliche Arbeit integriert.

Kontinuierliche Qualitätssicherung bedeutet nicht, jede Regel in Echtzeit in jedem System zu überwachen. Vielmehr geht es darum, sinnvolle Prüfintervalle und -mechanismen zu wählen, sodass wichtige Regeln häufig genug überprüft werden, die Prüfungen in die normalen Arbeitsabläufe und Tools integriert sind und die Nachweise als Nebenprodukt der Arbeit und nicht als separate Berichtspflicht erfasst werden.

Eine deutliche Mehrheit der Organisationen in der ISMS.online-Umfrage „State of Information Security 2025“ gab an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Aufrechterhaltung der Compliance erschweren.

Diese Denkweise deckt sich gut mit der Struktur der ISO 27001. Die Norm fordert bereits die Planung, den Betrieb, die Überwachung und die Verbesserung des Managementsystems. Abschnitt A.5.36 fokussiert diesen Zyklus darauf, ob die eigenen Regeln und Standards eingehalten werden und ob bei Abweichungen reagiert wird.

Ein kurzer Vergleich verdeutlicht den Unterschied. Punktuelle Compliance-Prüfungen konzentrieren die Anstrengungen auf wenige stressige Spitzen und lassen lange Zeiträume mit geringer Transparenz bestehen. Kontinuierliche Qualitätssicherung verteilt die Anstrengungen, reduziert Überraschungen und erleichtert das frühzeitige Erkennen von Problemen. Die folgende Tabelle fasst die wichtigsten Unterschiede zusammen.

Abmessungen Einhaltung zu einem bestimmten Zeitpunkt Kontinuierliche Sicherstellung
Kadenz Höhepunkte vor Audits und großen Fragebögen Regelmäßige, risikobasierte Überprüfungen während des gesamten Jahres
Aufwandsprofil Manuelle, stressige Ausbrüche Kleinere, vorhersehbare Aktivitäten im normalen Ablauf
Risikoexposition Lücken zwischen Prüfungen bleiben leicht unbemerkt. Abweichungen traten schneller zutage und wurden schneller behoben.
Beweisqualität Rekonstruiert aus verstreuten Quellen Erstellt im Rahmen der routinemäßigen Arbeit und Überwachung.

Ziel ist nicht Perfektion, sondern ein einfacher, in den meisten Fällen funktionierender Prozess, der sich Prüfern, Kunden und internen Stakeholdern erklären lässt. Durch eine sorgfältige Gestaltung dieses Prozesses reduzieren Sie Stress und sorgen dafür, dass die Einhaltung von Richtlinien als selbstverständlicher Bestandteil guter Serviceleistungen wahrgenommen wird – und nicht als zusätzliches Projekt.

Wie kontinuierliche Qualitätssicherung in der Praxis aussieht

Die kontinuierliche Qualitätssicherung verknüpft Ihre Regeln, Kontrollen, Nachweise und Entscheidungen so, dass sie sich gegenseitig verstärken. Jeder Teil dieses Kreislaufs kann an die Weiterentwicklung Ihrer Dienstleistungen angepasst werden.

Ein einfaches Muster verwendet vier Bausteine:

  • Eingänge: Richtlinien, Standards und Kundenanforderungen, die festlegen, wie die Dinge erledigt werden sollen.
  • Kontrollaktivitäten: Technische Kontrollen und Verfahrensschritte, die diese Regeln in die tägliche Arbeit einbetten.
  • Beweisartefakte: Protokolle, Tickets, Berichte und Bestätigungen, die zeigen, was tatsächlich passiert ist.
  • Rückkopplungsschleifen: Governance-Foren, Risikoregister und Managementbewertungen, die die gewonnenen Erkenntnisse nutzen, um Veränderungen vorzunehmen.

Beispielsweise könnte die Regel, dass „alle Änderungen mit hohem Risiko sowohl von einem technischen Verantwortlichen als auch von einem Kundenvertreter genehmigt werden müssen“, in Ihrem Änderungsmanagement-Workflow verankert, durch Ihr Ticketsystem durchgesetzt, durch Genehmigungsprotokolle belegt und regelmäßig im Rahmen einer internen Prüfung oder einer Managementbewertung überprüft werden.

Es ist nicht nötig, jede Regel täglich zu überwachen. Ein risikobasierter Ansatz ist gut geeignet:

  • Regeln mit hoher Auswirkung (privilegierter Zugriff, Produktionsänderungen, Vorfallbearbeitung) können kontinuierlich oder wöchentlich überprüft werden.
  • Regeln mit mittlerer Auswirkung (Patch-Zeitpläne, Backup-Tests, Abschluss von Schulungen) könnten monatlich oder vierteljährlich überprüft werden.
  • Regeln mit geringen Auswirkungen können durch gelegentliche Audits und im Rahmen von Managementbewertungen überwacht werden.

Entscheidend ist, dass Sie Ihre Beweggründe erläutern und nachweisen können, dass die gewählten Mechanismen in der Praxis tatsächlich funktionieren. Wenn Kunden oder Prüfer fragen, warum eine Regel monatlich statt wöchentlich überprüft wird, benötigen Sie eine klare, risikobasierte Antwort.

Priorisierung und Ausrichtung an der Unternehmensführung

Die meisten Managed Service Provider (MSPs) können nicht alles gleichzeitig auf ein Continuous-Assurance-Modell umstellen, daher ist Priorisierung entscheidend. Sie erzielen schnellere Fortschritte, indem Sie sich auf die Regeln konzentrieren, deren Missachtung den größten Schaden anrichten würde, und dort zunächst Vertrauen aufbauen.

Ein pragmatischer Ansatz ist:

  • Identifizieren Sie die fünf bis zehn Regeln, deren Verletzung den Kunden oder Ihrem eigenen Unternehmen am meisten schaden würde.
  • Konzentrieren Sie die ersten Design- und Automatisierungsbemühungen auf diese Regeln.
  • Wählen Sie Überwachungs-, Berichts- und Eskalationsprozesse, die direkt in die bestehende Governance eingebunden sind.

Zum Beispiel könnten Sie folgendermaßen beginnen:

  • Verknüpfung der Regeln für privilegierte Zugriffe mit Ihren Identitäts- und Ticketsystemen, sodass jede Zugriffserweiterung genehmigt, protokolliert und überprüft wird.
  • Die Anbindung von Patching-Standards an Ihr RMM-Tool erfolgt über Dashboards, die die Compliance kundenübergreifend anzeigen und Ausnahmen kennzeichnen.
  • Wichtige Kennzahlen – wie die Anzahl der Richtlinienverstöße und die Dauer offener Ausnahmen – sollten dem ISMS-Ausschuss und den Management-Reviews gemeldet werden.

Dadurch wird A.5.36 Teil Ihrer regulären Planung und Überwachung, anstatt eine separate Sprache zu sein, die nur das ISO-Team spricht. Mitarbeiter und Kunden erleben so ein einheitliches Bild: Regeln, Kontrollen, Nachweise und Verbesserungen sind alle so miteinander verbunden, dass sie dem PDCA-Zyklus (Planen-Durchführen-Überprüfen-Anpassen) entsprechen.



Ein praktischer A.5.36-Rahmen für MSPs

Ein praxisorientiertes A.5.36-Framework bietet Ihnen eine Struktur, um Regeln, Verantwortlichkeiten, Prüfungen und Reaktionen in Ihrem Managed Service Provider (MSP) zu verknüpfen. Es wandelt verstreute Richtlinien und Vorgehensweisen in eine klare Übersicht um, wer wofür zuständig ist, wie die Einhaltung der Vorschriften überprüft wird und wie Sie reagieren, wenn etwas schiefgeht.

Dieses Rahmenwerk bildet die Brücke zwischen übergeordneten Richtlinien und den operativen Schritten, die Ingenieure und Serviceleiter befolgen. Es bietet Ihnen außerdem eine wiederholbare Methode, um Fragen von Kunden und Prüfern zu beantworten, ohne jedes Mal neue Erklärungen erfinden zu müssen.

Aufbau eines MSP-spezifischen A.5.36-Steuerungsframeworks

Ein MSP-spezifisches A.5.36-Framework beginnt üblicherweise mit einem einfachen Register, das aufzeigt, wie wichtige Regeln in der Praxis angewendet, geprüft und dokumentiert werden. Jeder Eintrag verknüpft eine Regel mit Diensten, Verantwortlichen, Überwachung und Nachweisen.

Ein sinnvoller Ausgangspunkt ist ein Register, das für jede wichtige Regel Folgendes erfasst:

  • Die Richtlinie oder Norm, aus der es stammt.
  • Die Dienste und Kundenumgebungen, für die es gilt.
  • Der für die Durchsetzung zuständige Kontrollinhaber.
  • Der Prozessverantwortliche, zuständig für Gestaltung und Effektivität.
  • Der Überwachungsmechanismus und die Frequenz.
  • Die Beweismittel, wie beispielsweise Berichte oder Ticketarten.
  • Das Ausnahmeverfahren, einschließlich Genehmigungs- und Überprüfungsterminen.

Für Managed Service Provider (MSPs) sollte dieses Register explizit kundenspezifische Anforderungen enthalten, nicht nur die allgemeinen Unternehmensrichtlinien. Wenn ein wichtiger Kunde die Einhaltung bestimmter Protokollierungsstandards oder Änderungskontrollregeln verlangt, sollten diese Verpflichtungen als Regeln in Ihrem Framework aufgeführt werden, inklusive Verantwortlicher, Kontrollmechanismen und Nachweisquellen.

Eine Regel für „privilegierten Zugriff“ könnte beispielsweise aus Ihrer Zugriffskontrollrichtlinie und dem Terminkalender eines wichtigen Kunden stammen. Sie könnte für SOC- und Infrastrukturdienste gelten, dem Sicherheitschef unterstehen, wöchentlich anhand von Identitäts- und Ticketberichten überwacht, durch Zugriffsprüfungen und Änderungsfreigaben belegt und zeitlich begrenzte, vom CISO genehmigte Ausnahmen beinhalten.

Sie benötigen keine Hunderte von Einträgen. Beginnen Sie mit den Regeln, die für Sicherheit und Gewährleistung am wichtigsten sind, insbesondere dort, wo Ihre Verträge und Marketingaussagen am stärksten sind. Im Laufe der Zeit können Sie das Register je nach Risiko und Kundenerwartungen erweitern.

Eine ISMS-Plattform wie ISMS.online kann dies zusätzlich stärken, indem sie das Register verwaltet, Regeln mit Risiken und Kontrollen verknüpft und Überprüfungstermine sowie Änderungen nachverfolgt. Diese gemeinsame Sicht reduziert Verwirrung und erleichtert die Aufrechterhaltung der Übereinstimmung mit der Weiterentwicklung Ihrer Services.

Definition von Geltungsbereich, Zuständigkeit und Kriterien für Verstöße

Zwei Aspekte des Rahmens verdienen besondere Beachtung: die Zuständigkeit und die Frage, was als Regelverstoß gilt. Beide entscheiden darüber, ob Ihre Regeln theoretisch bleiben oder tatsächlich das Verhalten prägen.

Starke Eigentümerstruktur bedeutet, dass jede wichtige Regel Folgendes enthält:

  • A Kontrollinhaber, verantwortlich dafür, dass die Regel in allen relevanten Diensten eingehalten wird.
  • A Prozessverantwortlicherverantwortlich dafür, dass die Regelungstechnik und der Überwachungsansatz den sich ändernden Anforderungen an Technologie, Kunden und Vorschriften stets gerecht werden.

Ebenso wichtig sind klare VerstoßkriterienSie benötigen eine vereinbarte Methode, um zwischen Folgendem zu unterscheiden:

  • Geringfügige Abweichungen, die lokal behandelt und als Teil der normalen Arbeitsabläufe protokolliert werden können.
  • Schwerwiegende Verstöße, die als Nichtkonformitäten protokolliert, eskaliert und gegebenenfalls als Vorfälle behandelt werden sollten.

Sie können nicht durchsetzen, was Sie nicht als Verstoß definiert haben. Die vorherige Festlegung von Schwellenwerten erleichtert die Konfiguration von Tools, beispielsweise für die Klassifizierung und Weiterleitung von Warnmeldungen, und gewährleistet die einheitliche und faire Anwendung disziplinarischer und vertraglicher Maßnahmen. Zudem vereinfacht sie die Integration von A.5.36 in Ihre Prozesse für Vorfallmanagement und Abweichungsbehandlung, sodass schwerwiegende Verstöße denselben strukturierten Ablauf wie andere Sicherheitsereignisse durchlaufen.

Ein solches Rahmenwerk reduziert den Nachbearbeitungsaufwand bei Audits erheblich. Wenn Prüfer oder Kunden fragen: „Wie stellen Sie sicher, dass diese Regel eingehalten wird?“, können Sie auf eine klare Beschreibung verweisen, die die Regel, die Kontrollen, die Überwachung und die Nachweise aufzeigt, und anschließend einige Stichproben ziehen, um zu demonstrieren, dass der Zyklus funktioniert.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Einbettung von A.5.36 in das ISMS, die Governance und die Standardarbeitsanweisungen

Die Integration von A.5.36 in Ihr ISMS, Ihre Governance-Strukturen und Ihre Standardarbeitsanweisungen ist der Weg, wie Sie Rahmenwerke in die Praxis umsetzen. Ziel ist es, die Einhaltung von Richtlinien zu einem Bestandteil der routinemäßigen Entscheidungsfindung und Leistungserbringung zu machen und nicht zu einer isolierten Compliance-Aktivität, die nur vor Audits relevant wird.

Viele der notwendigen Mechanismen sind in einem typischen, nach ISO 27001 ausgerichteten Managed Service Provider (MSP) bereits vorhanden: Risikoregister, Änderungsmanagementprozesse, Vorfallmanagement, Disziplinarverfahren, interne Audits und Managementbewertungen. Die Aufgabe besteht darin, A.5.36 explizit in diese Mechanismen zu integrieren, sodass Regelverstöße als primäres Risiko und nicht als nachträgliche Überlegung behandelt werden.

Verknüpfung von A.5.36 mit Risiko- und Managementprozessen

Die Verknüpfung von A.5.36 mit bestehenden Risiko- und Managementprozessen erleichtert die einheitliche Steuerung von Verstößen. Anstatt einen separaten Prozess zu schaffen, werden Richtlinienverstöße zusammen mit anderen Risiken und Kontrollproblemen sichtbar gemacht.

Schritt 1 – Regelverstöße in das Risikomanagement integrieren

Ergänzen Sie Ihr Risikoregister um typische Szenarien für „Richtlinienverstöße“, wie beispielsweise die Nichteinhaltung von Zugriffskontrollregeln oder Änderungskontrollprozessen. Verknüpfen Sie diese mit bestehenden Risiken – beispielsweise Datenschutzverletzungen oder Serviceausfällen –, um Überwachungs- und Minderungsmaßnahmen zu begründen und die Verantwortlichkeiten klar zuzuordnen.

Schritt 2 – Machen Sie A.5.36 zu einem wiederkehrenden Prüfungsthema

Stellen Sie sicher, dass interne Audits und Compliance-Prüfungen regelmäßig überprüfen, ob die ausgewählten Regeln eingehalten werden. Prüfen Sie jährlich stichprobenartig eine kleine Anzahl von Regeln und vergewissern Sie sich, dass die dokumentierten Kontrollen, Überwachungsmechanismen und Nachweise wie beschrieben funktionieren. Nutzen Sie die Ergebnisse, um Korrekturmaßnahmen und Verbesserungen einzuleiten, und nicht nur, um vergangenes Fehlverhalten zu kritisieren.

Schritt 3 – Kennzahlen in Managementbewertungen einfließen lassen

Beziehen Sie Kennzahlen gemäß A.5.36 – Anzahl der Richtlinienverstöße, Trends bei Ausnahmen, Abschluss geplanter Prüfungen – standardmäßig in die Managementbewertungen ein. Erörtern Sie deren Aussagekraft hinsichtlich Unternehmenskultur, Kontrollen und Arbeitsbelastung und legen Sie fest, wo Verbesserungsmaßnahmen angesetzt werden sollen. Durch diese konsequente Vorgehensweise wird Prüfern und Kunden verdeutlicht, dass die Einhaltung von Vorschriften aktiv kontrolliert wird.

Es ist außerdem wichtig sicherzustellen, dass Ihre ISMS-Geltungsbereichsbeschreibung und Kontextanalyse explizit die an Kunden erbrachten Dienstleistungen und die zu deren Erbringung verwendeten Tools umfassen. Dadurch wird jegliche Unklarheit darüber beseitigt, ob A.5.36 für Multi-Tenant-Plattformen, Kundenumgebungen und Subunternehmerleistungen gilt.

Integration von A.5.36 in den alltäglichen Arbeitsablauf

Die Integration von A.5.36 in den Arbeitsalltag bedeutet letztendlich, Betriebshandbücher und Verhaltensweisen an das Framework anzupassen, sodass die Einhaltung der Vorgaben Teil unserer Arbeitsweise wird.

Zu den nützlichen Techniken gehören:

  • Runbooks kommentieren: Kennzeichnen Sie Schritte in Onboarding-, Änderungs-, Vorfall- und Wartungshandbüchern, die bestimmte Regeln erfüllen. Einfache Kennungen wie Regel-IDs oder Richtlinienverweise erleichtern die Einhaltung der Vorgaben bei Änderungen von Richtlinien und Standards.
  • Aktualisierung von Formularen und Arbeitsabläufen: Stellen Sie sicher, dass die Schlüsselprozesse die Informationen erfassen, die Sie für den Nachweis gemäß A.5.36 benötigen – wie zum Beispiel, auf welche Richtlinie sich eine Abweichung bezieht, welche Korrekturmaßnahmen ergriffen wurden und ob eine Ausnahme gewährt wurde.
  • Rollenbasierte Schulung: Gehen Sie über allgemeine Schulungen zur Sensibilisierung für IT-Sicherheit hinaus. Bieten Sie kurze, rollenspezifische Anleitungen, was A.5.36 für Ingenieure, Serviceleiter, Account Manager und Vertriebsmitarbeiter bedeutet. Zeigen Sie ihnen, wie ihre Handlungen Beweise generieren oder verbrauchen und wie dies die Kunden unterstützt.

Mit der Zeit fühlt sich die Einhaltung von Vorschriften dadurch weniger wie eine zusätzliche Aufgabe an, sondern vielmehr wie ein integraler Bestandteil der Erbringung qualitativ hochwertiger Dienstleistungen. Auch die Automatisierung von Prüfungen und Berichten wird erleichtert, da die notwendigen Daten bereits strukturiert durch Ihre Tools fließen.

Eine ISMS-Plattform kann helfen, indem sie das Framework bereitstellt, Regeln mit Risiken, Kontrollen, Betriebshandbüchern und Nachweisen verknüpft und einen zentralen Ort für Abweichungen, Korrekturmaßnahmen und Managementbewertungsberichte bietet. Dieser gemeinsame Kontext verringert das Risiko, dass verschiedene Teams mit unterschiedlichen Versionen der Wahrheit arbeiten, und macht A.5.36 sowohl für technische als auch für nicht-technische Stakeholder sichtbar.



Tools: Richtlinien in maschinenprüfbare Regeln umwandeln (SIEM, RMM, ITSM)

Die Umwandlung von Richtlinien in maschinenprüfbare Regeln bedeutet, wichtige Teile Ihrer Richtlinien als Bedingungen auszudrücken, die Ihre Tools überwachen und durchsetzen können. Dadurch reduzieren Sie manuelle Prüfungen und erhalten eine höhere Sicherheit hinsichtlich der Regelkonformität. Sobald Sie klare Regeln, Verantwortlichkeiten und Prozesse definiert haben, können Sie einige dieser Regeln als technische Bedingungen formulieren, die Ihre Tools überprüfen können. So ergänzen sich A.5.36 und Ihre Sicherheitsinfrastruktur gegenseitig und wandeln Richtlinien in maschinenprüfbare Signale um.

Ziel ist es nicht, ein separates „Compliance-System“ aufzubauen, sondern die bereits genutzten Systeme – SIEM, RMM, Identitätsplattformen, Endpunktmanagement und Ticketing – so zu konfigurieren, dass sie Nachweise und Warnmeldungen generieren, die Ihren Regeln und Standards entsprechen. Bei erfolgreicher Umsetzung reduziert dies den manuellen Aufwand und erhöht das Vertrauen in die tatsächliche Einhaltung der Regeln.

Formulierung von Richtlinien als technische Bedingungen

Sie drücken eine Richtlinie als technische Bedingung aus, indem Sie von einer allgemeinverständlichen Regel zu spezifischen Signalen und Prüfungen in Ihren Tools übergehen. Das Muster ist einfach, aber seine konsequente Anwendung erfordert Disziplin.

Um Richtlinientexte so zu übersetzen, dass sie von Tools verarbeitet werden können, ist es hilfreich, ein Muster zu verwenden, das Sprache und Konfiguration miteinander verbindet:

  1. Beginnen Sie mit einer RegelZum Beispiel: „Auf allen verwalteten Endpunkten muss ein zugelassener Endpunktschutz ausgeführt werden“ oder „Gemeinsame Administratorkonten sind nicht zulässig“.
  2. Signale identifizieren: entscheiden, welche Protokolle, Konfigurationsdaten oder Ereignisse Aufschluss darüber geben, ob die Regel eingehalten oder verletzt wird.
  3. Bedingungen definieren: Formulieren Sie klare Bedingungen, die getestet werden können, wie z. B. „Agent anwesend und gesund“ oder „mehrere Personen verwenden dasselbe privilegierte Konto“.
  4. Prüfungen konfigurieren: Implementieren Sie diese Bedingungen in Ihren Überwachungs- und Management-Tools mit Dashboards oder Berichten, die die Einhaltung zusammenfassen und Ausnahmen hervorheben.
  5. Mit Arbeitsabläufen verbinden: Weiterleitung von Verstößen an Ticketing-Warteschlangen mit entsprechenden Kategorien, Prioritäten und SLAs, damit sie wie jedes andere operative Problem behandelt werden.

Nehmen wir beispielsweise die Regel „Alle verwalteten Endpunkte müssen einen zugelassenen Endpunktschutz ausführen“. Als Signale dienen beispielsweise Agentenstatusdaten aus Ihrer RMM- und Antivirenkonsole. Die Bedingung lautet: „Agent installiert und meldet innerhalb der letzten 24 Stunden Daten.“ Sie konfigurieren Prüfungen und Dashboards, um fehlende oder veraltete Agenten zu kennzeichnen und automatisch Tickets zu erstellen. So werden nicht konforme Geräte sichtbar, nachverfolgt und behoben.

Die gleiche Logik gilt für prozessbasierte Regeln. Beispielsweise kann die Regel, dass „alle Änderungen mit hohem Risiko einen formalen Genehmigungsprozess durchlaufen müssen“, überprüft werden, indem Änderungstickets mit Bereitstellungsprotokollen korreliert und Abweichungen gekennzeichnet werden.

Beginnen Sie mit wenigen, aber wirkungsvollen Regeln und passen Sie die Schwellenwerte sorgfältig an. Überempfindliche Prüfungen, die ständig Warnmeldungen auslösen, verlieren schnell an Glaubwürdigkeit und können die Qualitätssicherung eher verschlechtern als verbessern.

Ihre Tools zur Erkennung und Durchsetzung von Regeln verwenden

Viele Managed Service Provider (MSPs) verfügen bereits über die notwendigen Tools zur Unterstützung von A.5.36; was üblicherweise fehlt, ist die explizite Zuordnung von Regeln zu Tool-Konfigurationen und Berichten sowie die Disziplin, diese Zuordnung auf dem neuesten Stand zu halten.

Nützliche Möglichkeiten sind beispielsweise:

  • Fernüberwachung und Endgeräteverwaltung: Nutzen Sie diese Tools, um Patching-Standards, Verschlüsselung, die Bereitstellung von Endpunktschutz und lokale Administratorrechte kundenübergreifend durchzusetzen und darüber zu berichten. Ausnahmen werden sichtbar und liefern quantifizierbare Eingangsdaten für Risiko- und Governance-Prozesse.
  • Sicherheitsanalyse und Protokollierung: Konfigurieren Sie Korrelationsregeln, die wahrscheinliche Richtlinienverstöße – wie privilegierte Zugriffe außerhalb der Geschäftszeiten oder Konfigurationsänderungen ohne zugehörige Tickets – in übersichtlichen Dashboards zusammenfassen. Diese können im Rahmen täglicher oder wöchentlicher Routinen überprüft werden.
  • Identitäts- und Zugriffsverwaltung: Nutzen Sie Gruppenmitgliedschaften, Richtlinien für bedingten Zugriff und rollenbasierte Zugriffskontrollen, um Regeln dafür durchzusetzen, wer was, wo und wann tun darf. Protokolle und Berichte bilden dann einen Teil der Nachweisdokumentation für die Zugriffskontrollregeln.
  • Ticketing und IT-Servicemanagement (ITSM): Stellen Sie sicher, dass Tickets, die einen Verstoß darstellen, mit der entsprechenden Regel gekennzeichnet, bis zum Abschluss verfolgt und zur Analyse aufbewahrt werden. Dadurch entsteht mit der Zeit eine strukturierte Historie der Regelanwendung und -durchsetzung.

Automatisierte Maßnahmen – wie das Blockieren von Aktionen, die gegen wichtige Regeln verstoßen, oder das Quarantänen nicht konformer Geräte – können in Hochrisikobereichen sehr wirksam sein. Wenn Sie solche Kontrollen implementieren, liefert die Dokumentation ihres Designs, ihres Anwendungsbereichs und ihrer Überwachung wichtige Unterlagen für Prüfer und Kunden gemäß A.5.36.

ISMS.online ersetzt diese operativen Tools nicht, sondern ergänzt sie, indem es die Regeln speichert, sie Diensten und Kontrollen zuordnet und mit Berichten, Dashboards und Tickets verknüpft, die ihre Funktionsweise veranschaulichen. Dadurch entfällt die Notwendigkeit, das Monitoring erneut zu implementieren, und Sie erhalten gleichzeitig eine konsistente Compliance-Dokumentation, die Technologie und Governance miteinander verbindet.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Leistungsindikatoren, Aufzeichnungen und Nachweise für Wirtschaftsprüfer und Unternehmenskunden

Ein kleines, sorgfältig zusammengestelltes Set an Kennzahlen und Aufzeichnungen ist für die Qualitätssicherung gemäß A.5.36 aussagekräftiger als Dutzende lose zusammenhängender Diagramme und Screenshots. Denn die richtigen Maßnahmen belegen, dass Regeln relevant sind, überprüft werden und bei Verstößen Konsequenzen nach sich ziehen. Auch die Leitlinien zu ISO 27001 und dem allgemeinen Cyber-Risikomanagement empfehlen aus genau diesem Grund fokussierte, entscheidungsrelevante Kennzahlen gegenüber großen Mengen unstrukturierter Daten, da diese Kombination für Vorstände, Auditoren und Kunden leichter verständlich ist.

Mit festgelegten Regeln und entsprechenden Kontrollmechanismen lassen sich die resultierenden Daten in Kennzahlen und Nachweise umwandeln, die zwei anspruchsvolle Zielgruppen zufriedenstellen: Zertifizierungsprüfer und Unternehmenskunden.

Fast alle Befragten der ISMS.online-Umfrage 2025 nannten das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 als eine ihrer obersten Prioritäten.

Ziel ist ein schlankes Set an Kennzahlen und Artefakten, die drei Dinge aufzeigen:

  • Du weißt, welche Regeln wichtig sind.
  • Sie überprüfen die Einhaltung dieser Vorgaben.
  • Man handelt aufgrund dessen, was man findet, und man lernt.

Die überzeugendsten Erfolgsgeschichten sind die, die man immer wieder erzählen kann, nicht die, die man für jeden Kunden neu erfinden muss.

Entwicklung eines schlanken A.5.36-Metriksets

Ein schlankes A.5.36-Kennzahlenset konzentriert sich auf wenige Indikatoren, die klar Aufschluss über Risiko, Verhalten und Verbesserung geben. Zu viele Kennzahlen lenken ab und sind schwer zu pflegen.

Sie benötigen keine lange Liste von KPIs. Ein kleines, sorgfältig ausgewähltes Set kann aussagekräftiger und einfacher zu pflegen sein, insbesondere wenn Sie es Wirtschaftsprüfern, Aufsichtsräten und Kunden immer wieder erläutern müssen.

Beispiele, die für Managed Service Provider (MSPs) gut funktionieren, sind:

  • Richtlinien- und Schulungsabdeckung: Prozentsatz der Mitarbeiter und Schlüsselpositionen, die eine Schulung zu den relevanten Richtlinien und Standards zur Kenntnis genommen und abgeschlossen haben.
  • Verstoßquoten: Anzahl und Schwere der festgestellten Verstöße gegen wichtige Regeln innerhalb eines bestimmten Zeitraums, aufgeschlüsselt nach Dienst oder Funktion.
  • Zeit für Abhilfe: Durchschnittliche Zeitspanne von der Feststellung eines Verstoßes oder einer Nichteinhaltung bis zu dessen Behebung.
  • Ausnahmelandschaft: Anzahl der genehmigten Ausnahmen von den Regeln, deren Alter und wann sie zur Überprüfung anstehen.
  • Überwachungsabdeckung: Anteil der im Geltungsbereich liegenden Systeme oder Kunden, die von den definierten Prüfungen abgedeckt werden.

Diese Kennzahlen lassen sich für verschiedene Zielgruppen unterschiedlich aufbereiten. Vorstände und Führungskräfte interessieren sich für Trends und deren Auswirkungen auf das Geschäft. Technische Teams wollen wissen, worauf sie ihre Anstrengungen konzentrieren sollen. Kunden legen Wert auf die Gewissheit, dass Regeln eingehalten und kontinuierlich verbessert werden. Die Verknüpfung von Kennzahlen wie der Dauer von Ausnahmen oder der Überwachungsabdeckung mit wirtschaftlichen Ergebnissen – beispielsweise deren Auswirkungen auf Due-Diligence-Prüfungen oder Vertragsverlängerungen – verdeutlicht deren Relevanz.

Regelmäßige interne Überprüfungen dieser Maßnahmen helfen, systemische Probleme zu erkennen, wie beispielsweise wiederholte Verstöße gegen dieselbe Regel oder bestimmte Dienstleistungen, die Schwierigkeiten haben, die Standards einzuhalten. Diese Erkenntnisse sollten in gezielte Verbesserungen von Schulungen, Prozessen oder Tools einfließen.

Erstellung wiederverwendbarer Beweismittelpakete

Wiederverwendbare Nachweispakete ermöglichen Ihnen eine schnelle und einheitliche Beantwortung von Prüfungsanfragen. Anstatt unter Zeitdruck Ad-hoc-Pakete zusammenzustellen, verfügen Sie über eine zentrale A.5.36-Dokumentation, die individuell auf jeden Prüfer oder Kunden zugeschnitten werden kann.

Sowohl Prüfer als auch Kunden schätzen strukturierte, wiederverwendbare Nachweise. Anstatt für jede Bewertung von Grund auf neu zu beginnen, können Sie ein A.5.36-„Nachweispaket“ erstellen, das Sie regelmäßig aktualisieren und an die jeweilige Zielgruppe anpassen.

Ein typisches Paket könnte Folgendes enthalten:

  • Eine prägnante Erklärung, wie A.5.36 in Ihrem MSP implementiert wird, mit Diagrammen, die das Framework und die wichtigsten Prozesse veranschaulichen.
  • Auszüge aus Ihrem Richtlinien- und Normenregister, in denen die für die betreffenden Dienstleistungen geltenden Regeln hervorgehoben werden.
  • Beispiele für Schulungs- und Bestätigungsnachweise für die zuständigen Mitarbeiter.
  • Ausgewählte Überwachungsberichte, die die Überprüfung anhand wichtiger Regeln dokumentieren.
  • Eine kleine Auswahl geschwärzter Tickets zeigt, wie Verstöße protokolliert und behoben werden.
  • Zusammenfassungen interner Audits oder Compliance-Prüfungen, bei denen die Kontrollen im Zusammenhang mit A.5.36 getestet wurden.
  • Nachweise dafür, dass das Management die Kennzahlen zur Einhaltung der Richtlinien überprüft und Entscheidungen über Verbesserungen getroffen hat.

Für Kunden können Sie dieses Material weiter anonymisieren und anpassen, indem Sie den Fokus auf die für sie relevanten Regeln und Services legen und darauf, wie Ihre unternehmensweite Governance ihre spezifischen Anforderungen unterstützt. Ein anonymisiertes Beispiel eines vergleichbaren Kunden – beispielsweise eines mittelständischen MSP mit SOC und Managed Detection and Response Services – kann veranschaulichen, wie Ihr Framework in der Praxis funktioniert, ohne vertrauliche Details preiszugeben.

ISMS.online unterstützt Sie, indem Sie Kontrollbeschreibungen speichern, diese mit Nachweisdatensätzen verknüpfen, Prüftermine verfolgen und bei Bedarf konsistente Ansichten exportieren können. Es unterstützt auch Ihre interne Qualitätssicherung, da Sie auf einen Blick erkennen können, welche Regeln über aktuelle Nachweise verfügen und welche vor dem nächsten Audit oder der nächsten Kundenprüfung überarbeitet werden müssen.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online bietet Ihrem Managed Service Provider (MSP) eine praktische Möglichkeit, die Anforderungen der A.5.36-Richtlinie von einer rein theoretischen Übung in eine sichtbare und steuerbare Kontrolle Ihrer Services umzusetzen. Es unterstützt Sie dabei, von einer punktuellen und personenabhängigen Compliance zu einer kontinuierlichen Sicherheitsüberwachung überzugehen, die Ihren bestehenden Sicherheitsabläufen entspricht.

In der Praxis bedeutet das, dass Sie Folgendes können:

  • Halten Sie Ihre Richtlinien und Standards an einem Ort fest, geordnet nach Dienstleistungen, Risiken und ISO 27001-Kontrollen.
  • Weisen Sie Regeln und Kontrollen klare Verantwortlichkeiten zu, mit Aufgaben und Arbeitsabläufen, die Überprüfungen und Verbesserungen nachverfolgen.
  • Regeln werden mit realen Belegen wie Audits, Überwachungsberichten und Tickets verknüpft, ohne operative Daten zu duplizieren.
  • Erstellen und pflegen Sie wiederverwendbare Nachweispakete für Prüfer und Kunden, um den Vorbereitungsaufwand zu reduzieren und Stress abzubauen.
  • Unterstützen Sie Managementbewertungen und die Berichterstattung an den Vorstand mit aktuellen Ansichten zu Kennzahlen zur Einhaltung von Richtlinien und zu Abweichungen.

Dies im Kontext Ihrer eigenen Services zu sehen, ist weitaus wirkungsvoller als darüber abstrakt zu lesen. Eine Demo gibt Ihnen die Möglichkeit, Ihre Herausforderungen gemäß A.5.36 durchzugehen, zu sehen, wie sie sich in die Plattform integrieren lassen, und zu erkunden, wie ein kontinuierlicheres, toolgestütztes Qualitätssicherungsmodell für Ihr Unternehmen aussehen könnte.

Wenn Sie in einem Managed Service Provider (MSP) für Sicherheit, Betrieb oder Compliance verantwortlich sind und Ihre Darstellung von A.5.36 gegenüber Auditoren und Unternehmenskunden verbessern möchten, ist die Buchung einer Demo der nächste sinnvolle Schritt. So können Sie testen, ob ISMS.online Ihnen dabei helfen kann, die Einhaltung Ihrer Richtlinien, Regeln und Standards für Informationssicherheit bei allen von Ihnen angebotenen Managed Services nicht nur zu behaupten, sondern auch nachzuweisen.


Häufig gestellte Fragen (FAQ)

Was genau verlangt ISO 27001:2022 A.5.36 von einem Managed Service Provider (MSP) im täglichen Betrieb?

Gemäß A.5.36 muss Ihr Managed Service Provider (MSP) nachweisen, dass die Mitarbeiter Ihre Sicherheitsregeln im Arbeitsalltag tatsächlich einhalten und dass Sie regelmäßig Verstöße gegen diese Regeln in Ihrem eigenen System, Ihrer Toolchain und den Umgebungen Ihrer Kunden erkennen, bewerten und beheben.

Wo kommt A.5.36 in einem realen MSP zum Einsatz?

Für einen Managed Service Provider hat diese Kontrolle gleich drei negative Auswirkungen:

Ihr internes Umfeld

Dies ist alles, was Ihr Team zum Betrieb und zur Unterstützung der Dienste verwendet:

  • Zugriff auf PSA-, RMM-, SIEM-, Backup-, Identitäts- und Ticketing-Plattformen.
  • Laptops, Server, VPNs und SaaS-Lösungen, die von Ingenieuren und Mitarbeitern im Backoffice genutzt werden.
  • Wie Menschen mit Kundendaten in E-Mails, Chats, Dokumentationen und Bildschirmfreigaben umgehen.

Hier wird unter A.5.36 gefragt: Gibt es klare Regeln für den Zugang und den Schutz dieses Geländes durch die Mitarbeiter? Verstehen die Mitarbeiter diese Regeln? Können Sie nachweisen, wie Sie diese Regeln im Laufe der Zeit überprüfen und verbessern?

Der von Ihnen betriebene Multi-Tenant-Service-Stack

Dies ist die gemeinsam genutzte Tooling-Ebene, die Sie im Auftrag vieler Kunden betreiben:

  • RMM, EDR, SIEM, Identitätsmanagement, Cloud-Administrationskonsolen, Backup-Plattformen und Ticketing.
  • Regeln für die Multi-Faktor-Authentifizierung auf Konsolen, Gestaltung der Administratorrolle, Verwendung von Notfallkonten, Lieferantenzugriff und Genehmigung von Änderungen.
  • Abstimmung zwischen Ihrem Servicekatalog, Ihren Runbooks und dem, was tatsächlich bei Tickets und Änderungen außerhalb der Geschäftszeiten passiert.

Hierbei sind die Erwartungen einfach: dokumentierte Regeln, eindeutige Verantwortliche, festgelegte Überprüfungsintervalle und der Nachweis, dass Ausnahmen erfasst, bewertet und entweder abgeschlossen oder als Risiken akzeptiert werden.

Kundenumgebungen im Geltungsbereich

Dies ist die Infrastruktur und die Cloud-Workloads, die Sie im Rahmen Ihres Vertrags verwalten:

  • Geräte, Netzwerke, Mieter, Abonnements und Sicherheitskontrollen, für die Sie verantwortlich sind.
  • SLAs und Betriebshandbücher, die definieren, was „sicher genug“ für jeden Dienst bedeutet.
  • Nachweise dafür, dass Patching, Monitoring, Backup-Prüfungen, Zugriffsüberprüfungen und Vorfallbearbeitung Ihren Zusagen entsprechen.

Auf diesen drei Ebenen suchen Wirtschaftsprüfer, Cyberversicherer und Unternehmenskäufer im Wesentlichen nach drei Dingen:

  • MSP-spezifische Regeln: die über Fernzugriff, mandantenfähige Tools, Kundendatenverarbeitung und den Einsatz von Subunternehmern sprechen.
  • Beweise dafür, dass die Menschen diese Regeln befolgen: – Schulungen, Richtlinienbestätigungen, ausgearbeitete Ticket- und Runbook-Beispiele, Zugriffsprüfungsprotokolle.
  • Eine nachvollziehbare Schleife: Das zeigt, dass bei Regelverstößen protokolliert, das Risiko eingeschätzt, Maßnahmen ergriffen und Kontrollen oder Schulungen angepasst werden.

Wenn Sie diesen Ablauf in einfachen Worten erklären und ihn mit einer kleinen, gut gewählten Auswahl an Beispielen untermauern können, wird A.5.36 zu einer Möglichkeit, den Kunden zu zeigen, dass Sie Ihren MSP diszipliniert führen, und nicht nur zu einem weiteren Kontrollkästchen auf der Liste in Anhang A.

Wie kann ein Managed Service Provider (MSP) von jährlichen „Papier-Compliance“-Prüfungen zu kontinuierlicher Qualitätssicherung übergehen, ohne die Mitarbeiter zu überlasten?

Sie erreichen kontinuierliche Qualitätssicherung, indem Sie von einer einmal jährlich stattfindenden hektischen Prüfung abrücken und stattdessen kleinere, risikobasierte Prüfungen in die Werkzeuge und Arbeitsabläufe integrieren, die Ihre Teams bereits verwenden, sodass nützliche Nachweise automatisch während der Arbeit der Teams entstehen.

Wie sieht kontinuierliche Qualitätssicherung in einem Managed Service Provider (MSP) aus?

Ein praktisches Modell basiert üblicherweise auf drei Schritten.

Verwenden Sie risikobasierte Vorgehensweisen anstelle von statischen Checklisten.

Nicht jede Regel verdient wöchentliche Aufmerksamkeit:

  • Wirkungsvolle Bereiche: – Privilegierter Zugriff, Änderungen mit hohem Risiko, Backups für wichtige Mandanten, Überwachungsabdeckung – begründen kontinuierlich, täglich oder wöchentlich Schecks.
  • Bereiche mit mittlerer Auswirkung: – Patch-Compliance, Konfigurationsbaselines, Abschluss von Sicherheitsschulungen – Eignung monatlich oder vierteljährlich Fahrräder.
  • Gebiete mit geringerer Belastung: – einige physische Bedienelemente oder Spezialwerkzeuge – können beprobt werden in interne Audits und Stichproben.

Dies zeigt, dass Sie A.5.36 dort einsetzen, wo es das Kundenrisiko und das Vertrauen erfordern, und nicht nur dort, wo eine Vorlage „monatlich“ vorsah.

Integrieren Sie Prüfmechanismen in die Tools, mit denen Ihre Teams bereits arbeiten.

Kontinuierliche Qualitätssicherung ist nur dann gegeben, wenn Kontrollen Teil der normalen Arbeitsabläufe sind:

  • Änderungsgenehmigungen, die Nutzung durch Administratoren außerhalb der Geschäftszeiten und Ausnahmen werden durchgesetzt über Ticket-Workflows mit Pflichtfeldern und Genehmigungen.
  • Baselines und Patch-Regeln werden durchgesetzt und gemeldet in RMM- und Endpoint-Sicherheitstoolsnicht in Tabellenkalkulationen kopiert.
  • Administrator- und Identitätsereignisse – neue privilegierte Rollen, Änderungen der Multi-Faktor-Authentifizierung, riskante Anmeldungen – werden verfolgt über Audit-Protokolle und SIEM-Regeln abgestimmt auf eine kleine Anzahl aussagekräftiger Muster.

Ziel ist es, dass Ihr ISMS und jedes gemäß Annex L ausgerichtete IMS diese bestehenden Signale nutzen, anstatt ein paralleles Universum manueller Protokolle zu erstellen, denen niemand vertraut.

Beweise sollen ein Nebenprodukt guter Geschäftstätigkeit sein.

Wenn Schecks in Ihre Plattformen integriert sind:

  • Tickets, Dashboards, Berichte, Änderungsaufzeichnungen und Prüfnotizen werden standardmäßig zu A.5.36-Beweismitteln.
  • Ihr ISO oder Sicherheitsbeauftragter hört auf, ein „Beweisjäger“ zu sein, und wird zu einem Regler, wobei dieser Datenstrom genutzt wird, um Schwellenwerte, Kadenzen und das Training anzupassen.

Wenn Ihr Team die Wochen vor Überwachungsaudits oder großen Kundenbesprechungen schon jetzt fürchtet, können Sie kontinuierliche Qualitätssicherung als Mittel zur Entlastung und Professionalisierung positionieren – und nicht als zusätzliche administrative Hürde. ISMS.online ergänzt dieses Modell, indem es Risiken, Richtlinien, interne Audits und Korrekturmaßnahmen zentral verknüpft. So fließen kontinuierliche Überprüfungen Ihrer Tools nahtlos in Ihr Informationssicherheitsmanagementsystem ein.

Auf welche konkreten Prüfungen und Aufzeichnungen sollte sich ein MSP im Rahmen von A.5.36 zuerst konzentrieren?

Sie brauchen keinen ganzen Ordnerstapel. Sie brauchen lediglich ein kleines, diszipliniertes System von Kontrollen und Aufzeichnungen, das belegt, dass Regeln für Hochrisikobereiche existieren, in der Praxis angewendet werden und korrigiert werden, wenn dies nicht der Fall ist.

Welche Bereiche sind bei Audits und Due-Diligence-Prüfungen üblicherweise am wichtigsten?

Fünf Bereiche haben typischerweise das größte Gewicht für einen MSP.

1. Privilegierter und Fernzugriff

Dies ist üblicherweise der erste Ort, an dem Prüfer und Kunden nachsehen.

  • Definieren: Wer Administratorkonten besitzen kann, welche MFA- und Gerätestandards gelten, wie die gemeinsame Nutzung von Anmeldeinformationen vermieden wird und wie Notfallzugriffe beantragt und widerrufen werden.
  • Behalten: Exporte der Administratorgruppenmitgliedschaften, kurze Zugriffsüberprüfungsprotokolle und einige geschwärzte Tickets, die das Öffnen und Schließen des Notfallzugriffs dokumentieren.

2. Patching und Konfiguration

Dies zeigt, ob Sie grundlegende Hygienemaßnahmen in großem Umfang umsetzen können.

  • Definieren: Minimale Patchzyklen nach Systemtyp, Basiskonfigurationen für Endpunkte, Server und Cloud sowie die Behandlung von Ausnahmen.
  • Behalten: Patch- und Schwachstellenberichte mit klarem Umfang und Datum sowie Tickets, bei denen Abweichungen vom Ausgangszustand festgestellt, einer Risikobewertung unterzogen und behoben wurden.

3. Management von risikoreichen Veränderungsprozessen

Hier nehmen viele schwerwiegende Vorfälle ihren Anfang.

  • Definieren: Welche Änderungen erfordern eine formelle Genehmigung (z. B. Firewall-Regeln, Identitätsänderungen, Backup-Richtlinien), wer genehmigt diese und was muss protokolliert werden?
  • Behalten: ein kleiner Satz vollständig ausgefüllter Änderungstickets, die den Weg von der Anfrage bis zur Genehmigung und, falls erforderlich, die Überprüfung nach der Implementierung aufzeigen.

4. Protokollierung und Überwachung der Abdeckung

Das beweist, dass du bemerkst und handelst, wenn etwas schiefgeht.

  • Definieren: Welche Ereignisse müssen für Ihre eigene Infrastruktur und für verwaltete Dienste protokolliert werden, wo werden die Protokolle gespeichert, wie lange werden sie aufbewahrt und welche Warnmeldungen sind relevant?
  • Behalten: einfache Abdeckungsdiagramme oder Zusammenfassungen, Beispielwarnungen und Folgetickets, die zeigen, wie das Problem untersucht und behoben wurde.

5. Ausnahmen und Nichteinhaltung

Hier zeigt sich bei A.5.36 wirklich, ob man Regeln ernst nimmt.

  • Definieren: wie Ausnahmen gemeldet, genehmigt, zeitlich begrenzt und überprüft werden und wie wiederholte Nichteinhaltung eskaliert wird.
  • Behalten: ein lebendiges Ausnahmeprotokoll, das mit Ihrem Risikoregister verknüpft ist, und einige Fälle, in denen Sie nicht nur das unmittelbare Problem behoben, sondern auch eine Vorlage geändert, ein Handbuch aktualisiert oder Schulungen angepasst haben.

Wenn Sie diese Informationen in einem kompakten A.5.36-„Nachweispaket“ zusammenfassen und dieses stets aktuell halten, können Sie Prüfern, Cyberversicherern und Einkaufsabteilungen Ihres Unternehmens schnell Auskunft geben, ohne jedes Mal neue Nachweise erstellen zu müssen. In ISMS.online kann dieses Paket neben Ihren relevanten Richtlinien, Risiken, internen Audits und Managementbewertungen abgelegt werden, sodass Ihr Team immer weiß, wo es die benötigten Informationen findet, wenn jemand fragt: „Wie stellen Sie sicher, dass Ihre Richtlinien eingehalten werden?“

Wie sollte ein Managed Service Provider (MSP) A.5.36 in sein ISMS und IMS integrieren, damit es auch bei Personalwechseln erhalten bleibt?

A.5.36 ist auch über die Amtszeit eines einzelnen ISO-Verantwortlichen hinaus relevant, wenn es als fester Bestandteil Ihrer Governance-Prozesse und nicht als Nebenprojekt behandelt wird. Das bedeutet, die Einhaltung der Richtlinien in Risikomanagement, interne Revision, Vorfall- und Änderungsmanagement sowie Managementbewertung zu integrieren, sodass sie regelmäßig besprochen und umgesetzt wird.

Wie sieht das in einem an Annex L ausgerichteten MSP aus?

Drei Designentscheidungen machen einen deutlichen Unterschied.

1. Behandeln Sie Verletzungsmuster als Risiken und nicht als Rauschen.

Anstatt wiederholte Richtlinienverstöße als „ärgerliche Einzelfälle“ zu behandeln:

  • Erfassen Sie wiederkehrende Probleme – nicht verwaltete Administratorkonten, nicht genehmigte Änderungen, wiederholte Verzögerungen bei Patches, Backup-Fehler – in Ihrem Gefahrenregister mit konkreten Auswirkungen auf Kunden und Unternehmen.
  • Beurteilen Sie sie wie jedes andere Risiko gemäß ISO 27001: Eintrittswahrscheinlichkeit, Auswirkung und Wirksamkeit der Kontrollmaßnahmen. Daher ist „Wir sind ungeschoren davongekommen“ nicht der richtige Maßstab.
  • In einem an Annex L ausgerichteten IMS sollten diese Risiken mit entsprechenden Klauseln in Qualitäts-, Service-Management- oder Business-Continuity-Standards verknüpft werden, damit nicht dieselbe Schwäche stillschweigend mehrere Zertifikate untergräbt.

2. Setzen Sie Punkt A.5.36 auf die Tagesordnung der Managementprüfung und der internen Revision.

Die Einhaltung von Richtlinien sollte ein ständiges Thema sein, nicht nur ein Anhang.

  • Bei Managementbewertungen sollten einfache, trendbasierte Indikatoren berücksichtigt werden: Anzahl und Schwere der Richtlinienverstöße, Alterung der Ausnahmen, überfällige Kontrollprüfungen und Feststellungen der internen Revision im Zusammenhang mit nicht eingehaltenen Regeln.
  • Nutzen Sie interne Audits, um Beispiele für reale Dienstleistungen, Tools und Kunden und prüfen Sie, ob die Regeln dort tatsächlich angewendet werden, und zwar nicht nur bei Ihren ältesten Accounts.
  • Die Ergebnisse von Überprüfungen werden in nachverfolgbare Aktionen umgewandelt: Wer ist für die Behebung eines Fehlers verantwortlich, wann ist er fällig, wie wird der Fortschritt überprüft und wie wird der Erfolg gemessen?

ISMS.online unterstützt dieses Vorgehen, indem es Ihnen Management-Review-Vorlagen, verknüpfte Risiken, interne Audits und Korrekturmaßnahmen an einem Ort bietet, sodass Sie den Kreislauf vom Problem zur Verbesserung aufzeigen können.

3. Standardarbeitsanweisungen und Betriebshandbücher direkt mit Kontrollen und Verträgen verknüpfen.

Ingenieure müssen erkennen, wie ihre Arbeitsschritte den Verpflichtungen entsprechen.

  • Kennzeichnen Sie die Schritte bei der Einarbeitung, Änderung, Störungsmeldung und Wartung mit der entsprechenden Richtlinie, der Kontrollklausel in Anhang A oder der Vertragsklausel, die sie erfüllen.
  • Aktualisieren Sie die Formulare so, dass sie die Daten erfassen, auf die Sie später angewiesen sein werden: welche Regel Anwendung fand, wer sie genehmigte, welcher Mieter betroffen war und was unternommen wurde, um ein erneutes Auftreten zu verhindern.
  • Diese Erwartungen sollten in rollenbasierten Schulungen berücksichtigt werden, damit die Mitarbeiter verstehen, warum bestimmte Felder und Genehmigungen obligatorisch sind und nicht einfach nur „zusätzlicher Verwaltungsaufwand“.

Wenn diese Struktur in Ihrem ISMS und einem übergeordneten IMS verankert ist – anstatt über Dokumente und im Wissen einzelner Mitarbeiter verstreut zu sein –, wird A.5.36 zu einer Anleitung, wie wir das MSP betreiben, und nicht zu einer Dokumentation für den Auditor. Mit ISMS.online können Sie diese Verknüpfungen durch verknüpfte Arbeitsabläufe, Risikoaufzeichnungen, interne Audits und Managementbewertungen explizit darstellen und so Kontinuität auch bei Rollenwechseln gewährleisten.

Wie können SIEM-, RMM- und Ticketing-Tools zu praktischen Durchsetzungsinstrumenten für Richtlinienregeln werden?

Sie verwandeln bestehende Plattformen in Durchsetzungsmechanismen, indem Sie eine kleine Anzahl wichtiger Regeln in Bedingungen übersetzen, die diese Tools automatisch überprüfen können, und indem Sie sicherstellen, dass jeder Fehler zu einem klaren, umsetzbaren Ticket mit Verantwortlichkeit und einem Feedback-Pfad in Ihr ISMS wird.

Welchem ​​Muster kann ein MSP folgen, um Regeln maschinenüberprüfbar zu machen?

Ein einfaches sechsstufiges Muster funktioniert in den meisten Bereichen.

1. Formulieren Sie die Regel so, dass sie sowohl von einem Menschen als auch von einem Werkzeug angewendet werden kann.

Beispielsweise:

  • „Alle verwalteten Windows-Server müssen kritische Sicherheitsupdates innerhalb von 14 Tagen nach deren Veröffentlichung installieren, es sei denn, es liegt eine genehmigte Ausnahme vor.“
  • „Jeder Kundenmandant muss mindestens zwei benannte globale Administratoren haben, die beide durch MFA und bedingten Zugriff geschützt sind.“

Vermeiden Sie mehrdeutige Formulierungen wie „sofern möglich“, wenn Sie Hilfsmittel benötigen.

2. Entscheiden Sie, welche Signale die Regel bestätigen oder widerlegen.

Schauen Sie sich an, was Ihre Systeme bereits sehen können:

  • Patchdaten für RMM oder Schwachstellenscanner.
  • CMDB- oder Anlageninventarinhalte.
  • Verzeichnis- und SaaS-Administratorrollen, Anmelde- und Konfigurationsprotokolle.
  • Tickets und Ausnahmen in Ihrem Service-Desk.

Diese Signale definieren, was automatisch überprüft werden kann.

3. Die Regel in konkrete, überprüfbare Bedingungen umsetzen

Beispiele:

  • „Jeder betroffene Server ist im Inventar aufgeführt, verfügt über einen aktuellen Agenten und weist keine kritischen, ungepatchten Sicherheitslücken auf, die älter als 14 Tage sind.“
  • „Für jeden Server, bei dem ein Patch überfällig ist, gibt es entweder eine offene, genehmigte Ausnahme oder ein Ticket zur Behebung des Problems mit einem Verantwortlichen und einer Service-Level-Vereinbarung (SLA).“
  • „Jeder Mandant verfügt über mindestens zwei eindeutige globale Administratoren mit erzwungener Multi-Faktor-Authentifizierung; generische Konten haben keine Administratorrechte.“

Dieser Schritt schafft die Brücke zwischen den Richtlinienworten und der Werkzeuglogik.

4. Erstellen Sie Dashboards, Abfragen und Regeln in Ihren Tools.

Implementieren Sie diese Bedingungen auf Ihren Plattformen:

  • Dashboards in RMM- und Schwachstellenanalysetools, die nicht konforme Assets aufdecken und es Teams ermöglichen, detaillierte Analysen durchzuführen.
  • SIEM-Korrelationsregeln oder geplante Berichte, die auf richtlinienrelevante Anomalien hinweisen, wie z. B. neue privilegierte Konten ohne MFA oder große Änderungen außerhalb von Änderungszeiträumen.
  • Ticketing-Workflows, die Genehmigungen erzwingen und die richtigen Felder erfassen, wenn bestimmte Kategorien gemeldet werden.

Die „Überprüfung der Einhaltung“ besteht heute darin, Live-Ansichten zu betrachten und nicht mehr darin, ad hoc Tabellenkalkulationen zusammenzustellen.

5. Routenfehler in aussagekräftige Tickets umwandeln

Wenn etwas den Test nicht besteht, sollte ein Ticket erstellt werden, auf das jemand reagieren kann:

  • Kennzeichnen Sie die Tickets mit der Regel und der Kontrolle, auf die sie sich beziehen (z. B. „ISO 27001 A.5.36 – privilegierter Zugriff“).
  • Geben Sie den Kontext an: Kundenname, Asset-ID, Schweregrad, Dauer des Verstoßes und Links zu etwaigen damit zusammenhängenden Ausnahmen.
  • Setzen Sie realistische SLAs und Verantwortlichen, damit diese Tickets nicht in der Masse an minderwertigen Tickets untergehen.

Dies ist der Punkt, auf den es in A.5.36 ankommt: Sie erkennen nicht nur Verstöße gegen Ihre eigenen Regeln, sondern beheben sie auch kontrolliert.

6. Genügend historische Daten aufbewahren, um Trends und Erkenntnisse aufzuzeigen.

Die Beweise dafür, dass Arbeit kontrolliert wird, stammen aus der Geschichte:

  • Dashboards, Berichte und Tickets sollten so lange aufbewahrt werden, dass Verbesserungen oder wiederkehrende Themen erkennbar sind und interne Audits unterstützt werden können.
  • Nutzen Sie einige gut ausgewählte Fallbeispiele – darunter mindestens ein unangenehmes Beispiel – in Management-Reviews, Lieferantenprüfungen und Kundengesprächen, um zu zeigen, dass Verstöße gegen Richtlinien zu Maßnahmen und Lernprozessen führen.

Mit der Zeit entsteht so ein Katalog maschinell überprüfbarer Regeln für privilegierten Zugriff, Backup-Verifizierung, EDR-Implementierung, Protokollabdeckung und mehr. ISMS.online unterstützt Sie dabei, indem es diese Kontrollen und ihre Nachweise mit Ihren Richtlinien, Risiken und den Kontrollen gemäß Anhang A verknüpft. So können Sie sie als Teil eines kohärenten Informationssicherheitsmanagementsystems präsentieren und nicht als eine Ansammlung unzusammenhängender Screenshots.

Wie kann ein Managed Service Provider (MSP) mit ISMS.online einen klaren Wettbewerbsvorteil aus ISO 27001 A.5.36 erzielen?

Sie machen A.5.36 zu einem Wettbewerbsvorteil, indem Sie Prüfer und Kunden ruhig und verständlich von der Regelerklärung zur praktischen Umsetzung und den Maßnahmen bei Verstößen führen können. Und das alles in einer einzigen, strukturierten Umgebung, die Sie für Audits, Ausschreibungen und Überprüfungen wiederverwenden können. ISMS.online ist genau diese Umgebung.

Wie sieht das bei Audits, Angebotsanfragen und Kundenbewertungen aus?

Drei Gewohnheiten zeichnen MSPs besonders aus.

Verwenden Sie eine einheitliche Ansicht von Regel über Dienst bis hin zu Nachweis

Statt Ordner und Tabellenkalkulationen jonglieren zu müssen, wenn jemand A.5.36 erwähnt:

  • Pflegen Sie a einheitliches, strukturiertes Register Richtlinien, Standards und dienstspezifische Regeln in ISMS.online, mit Angabe der Verantwortlichen, des Geltungsbereichs und der verlinkten Nachweisquellen.
  • Verknüpfen Sie jede Regel mit den entsprechenden Kontrollen, Risiken, internen Audits und Korrekturmaßnahmen aus Anhang A mithilfe von verknüpften Arbeitsabläufen.
  • Wenn ein Auditor oder ein Unternehmenskunde danach fragt, öffnen Sie diese Übersicht und klicken Sie dann auf einige Live-Beispiele – Zugriffsüberprüfungen, Änderungstickets, Schulungsbestätigungen –, um den Weg von der schriftlichen Regel zum tatsächlichen Verhalten aufzuzeigen.

Dieses Maß an Rückverfolgbarkeit lässt Sie wie einen Managed Service Provider (MSP) erscheinen, der mit einem echten ISMS arbeitet und nicht nur mit guten Absichten.

Zeigen Sie, wie Sie reagieren, wenn Regeln gebrochen werden.

Käufer wollen zunehmend verstehen, wie Sie sich an schlechten Tagen verhalten:

  • Nutzen Sie ISMS.online, um ein strukturiertes Protokoll von Richtlinienverstößen und Ausnahmen zu führen, mit Feldern für Auswirkung, Ursache, Verantwortlicher, Behandlung und Abschluss.
  • Bringen Sie einige sorgfältig redigierte Fallbeispiele zu den Besprechungen mit, um zu zeigen, wie die Probleme erkannt wurden, was Sie sofort unternommen haben und wie Sie anschließend die Kontrollen oder Schulungen verstärkt haben.

Gut umgesetzt, schaffen diese Beispiele Vertrauen; sie zeigen, dass Sie A.5.36 als lebendige Disziplin behandeln und nicht als Marketingslogan.

Nutzen Sie Ihre Arbeit aus A.5.36 für verschiedene Frameworks und Kunden wieder.

Da ISMS.online ISO 27001- und Annex L-konforme integrierte Managementsysteme unterstützt, hat jede Verbesserung, die Sie für A.5.36 vornehmen, einen doppelten Nutzen:

  • Andere Rahmenwerke und Vorschriften: – Bei SOC 2, NIS 2, DORA oder branchenspezifischen Standards werden oft ähnliche Fragen zur Einhaltung der eigenen Regeln gestellt; diese können anhand der gleichen verknüpften Datensätze beantwortet werden.
  • Ausschreibungen und Cyberversicherung: – Sicherheitsfragebögen, die die Einhaltung von Richtlinien überprüfen, können oft durch den Export oder die Zusammenfassung Ihrer vorhandenen ISMS.online-Nachweise beantwortet werden.
  • Kundenrezensionen und Quartalsberichte: – Sie können Teile Ihres A.5.36-Nachweispakets wiederverwenden, um zu zeigen, wie Sie die Umwelt jedes Kunden im Laufe der Zeit schützen, und nicht nur zu Meilensteinen der Zertifizierung.

Wenn Sie als Managed Service Provider (MSP) wahrgenommen werden möchten, der seine Arbeitsweise transparent darstellt, ist es sinnvoll, Ihrem Team eine Plattform zur Verfügung zu stellen, die genau diese Transparenz ermöglicht. Die Untersuchung, wie ISMS.online Ihren A.5.36-Ansatz – neben Ihrem umfassenderen Informationssicherheitsmanagementsystem und einem integrierten Managementsystem gemäß Annex L – unterstützen kann, ist ein praktischer Weg, von einer grundlegenden Zertifizierung zu einer fundierten, wirtschaftlich tragfähigen Darstellung Ihrer Sicherheitsmaßnahmen für sich und Ihre Kunden zu gelangen.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.