Zum Inhalt
ISMS.online

Wie man ein mandantenfähiges ISO 27001-Risikoregister für MSPS erstellt

Mit dem Wachstum Ihres Managed Service Providers (MSP) wird das Risikomanagement für mehrere Kunden auf gemeinsam genutzten Plattformen zunehmend unübersichtlich. Ein mandantenfähiges ISO 27001-Risikoregister schafft eine zentrale Datenquelle, ermöglicht Ihnen, Ihre Entscheidungen gegenüber Auditoren zu begründen und systemische Probleme frühzeitig zu erkennen. Verabschieden Sie sich von Tabellenkalkulationen und fragmentierten Daten – entwickeln Sie ein Framework, das eine zuverlässige, nachvollziehbare und auditierbare Risikoüberwachung in großem Umfang ermöglicht.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum Ihre MSP-Risikoregister mit dem Wachstum Ihres Unternehmens an ihre Grenzen stoßen

Die Risikoregister von Managed Service Providern (MSPs) stoßen an ihre Grenzen, wenn die Art der Risikoerfassung nicht mehr dem tatsächlichen Betrieb der Shared Services entspricht. Wahrscheinlich haben Sie mit einem ISO-27001-Risikoregister pro Kunde in einer Tabellenkalkulation oder einem einfachen Tool begonnen, was für einige wenige Kunden ausreicht. Sobald Sie jedoch Dutzende von Mandanten auf gemeinsamen Plattformen verwalten, liefert dieses Modell („ein Register pro Kunde“) keine verlässlichen Informationen oder glaubwürdigen ISO-27001-Nachweise mehr, und jede Bewertung oder jedes Audit wird schwieriger als das vorherige.

Ein gut konzipiertes, mandantenfähiges Risikoregister ist mehr als nur das Aufräumen von Tabellen. Es dient dem Nachweis gegenüber sich selbst und anderen, dass Sie die Risiken Ihrer Shared Services verstehen, diese Risiken für jeden Mandanten einheitlich behandeln und Ihre ISO-27001-Konformität auch dann gewährleisten können, wenn ein Auditor oder ein wichtiger Kunde kritische Fragen stellt.

Das Risiko bei Mehrmietern ist ein Portfolioproblem, kein Tabellenkalkulationsproblem.

Wenn Sie Inhaber eines Managed Service Providers (MSP), COO, CISO, Sicherheitsbeauftragter oder Service Manager sind, sind die Muster in diesem Leitfaden so gestaltet, dass sie Ihrer Realität entsprechen: gemeinsam genutzte Tools, viele Kunden, geringe Margen und ständige externe Kontrolle.

Die verräterischen Symptome eines Registers, das nicht skaliert

Ein mandantenfähiges Risikoregister versagt, wenn bekannte Probleme wieder auftreten, die Daten aber fragmentiert und schwer nachvollziehbar sind. Dann gibt es keine einheitliche Risikoinformation mehr für den gesamten Kundenstamm, und jede Prüfung oder Befragung wird zu einer stressigen Rekonstruktionsübung, bei der unter Zeitdruck versucht wird, die verschiedenen Listen abzugleichen.

Ein mandantenfähiges Risikoregister, das erste Anzeichen von Problemen zeigt, weist in der Regel dieselben Symptome auf. Wenn Managed Service Provider (MSPs) eine gewisse Größe erreichen, werden die Probleme offensichtlich:

Laut der ISMS.online-Umfrage 2025 erwarten Kunden zunehmend, dass ihre Lieferanten sich an formalen Rahmenwerken wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials und SOC 2 orientieren, anstatt sich auf informelle Behauptungen über bewährte Verfahren zu verlassen.

  • Das gleiche Risiko taucht in zehn verschiedenen Tabellenkalkulationen mit leicht unterschiedlichen Beschreibungen, Bewertungen und Verantwortlichen auf.
  • Einige Kundenregister definieren „hoch“ als einen Wert von 12, andere als 15, sodass eine portfolioweite Berichterstattung bedeutungslos wird.
  • Gemeinsame Risiken, wie beispielsweise die Kompromittierung Ihrer Remote-Monitoring- und Management-Plattform (RMM), werden von Kunde zu Kunde völlig unterschiedlich behandelt.
  • Jede Prüfung oder größere Ausschreibung löst ein hektisches Treiben aus, um Listen abzugleichen, Aktualisierungen zu verfolgen und Unstimmigkeiten unter Zeitdruck zu beheben.
  • Teams zögern, mandantenfähige Informationen an einem Ort zu speichern, weil sie sich unsicher sind, wie sie Kundendaten trennen können.

Gemäß ISO 27001 handelt es sich hierbei nicht nur um ein Effizienzproblem. Die Norm erwartet einen systematischen und kontinuierlich gepflegten Prozess zur Risikobewertung und -behandlung innerhalb des Geltungsbereichs Ihres ISMS. Fragmentierte und inkonsistente Register erschweren es erheblich, diese Disziplin nachzuweisen. Diese Erwartung spiegelt sich in den Anforderungen der ISO 27001 zur Einrichtung, Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Prozesses zur Bewertung und Behandlung von Informationssicherheitsrisiken wider, wie in der von der ISO veröffentlichten Norm beschrieben.

Warum Mehrfamilienhäuser die Risikogleichung verändern

Multi-Tenancy verändert die Risikogleichung, da eine Kompromisslösung oder Designentscheidung viele Kunden gleichzeitig betreffen kann. Traditionelle ISO-27001-Implementierungen gehen oft von einer einzelnen Organisation aus; in der Realität verstärken gemeinsam genutzte Tools und Plattformen jedoch sowohl gute als auch schlechte Entscheidungen im gesamten Unternehmen. Schwachstellen breiten sich daher schneller und weiter aus, wenn sie nicht zentral gemanagt werden. Diese Art von Kaskadeneffekt ist ein bekanntes Merkmal von Lieferketten- und Shared-Service-Risiken und wird in den Leitlinien regionaler Cybersicherheitsbehörden wie ENISA beschrieben.

Beispielsweise:

Die meisten Organisationen, die an der ISMS.online-Umfrage „State of Information Security 2025“ teilnahmen, berichteten, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

  • Eine einzige Designentscheidung in Ihrer Plattform (z. B. die Änderung der Sicherheitseinstellungen für RMM oder Backup) kann das Risiko für Dutzende von Mandanten beeinflussen.
  • Ein Angreifer, der Ihre gemeinsam genutzten Tools kompromittiert, kann gleichzeitig in viele Client-Umgebungen eindringen.
  • Eine Schwäche in der Konfiguration eines einzelnen Kunden kann ein Muster aufdecken, das sich durch Ihr gesamtes Portfolio zieht.

Wenn Sie die Risiken jedes einzelnen Kunden isoliert betrachten, fehlt Ihnen eine zuverlässige Methode, um Muster zu erkennen, systemische Lösungen zu priorisieren oder diese Ihrem Vorstand und Ihren Kunden zu erläutern. Ein mandantenübergreifendes Risikoregister macht diese übergreifenden Probleme sichtbar und bietet gleichzeitig jedem Kunden eine übersichtliche, mandantenspezifische Ansicht.

Die Chance: von verstreuten Listen zu einem portfolioübergreifenden Rückgrat

Ein umfassendes, mandantenfähiges Risikoregister wandelt verstreute Problemlisten in eine portfolioübergreifende Grundlage für Entscheidungen, Audits und Kundengespräche um. Ziel ist es nicht, die Grundlagen der ISO 27001 aufzugeben, sondern sie in einem Datenmodell abzubilden, das Mandanten, Shared Services und Portfolio-Reporting berücksichtigt. So können Sie sowohl detaillierte Auditfragen als auch strategische Managementfragen anhand derselben Daten beantworten.

Sie müssen die Grundlagen von ISO 27001 nicht aufgeben, um dieses Problem zu beheben. Stattdessen müssen Sie Folgendes tun:

  • Behalten Sie die Kernkonzepte der ISO 27001 bei, die Auditoren erwarten.
  • Überdenken Sie das Datenmodell so, dass es Mandanten und gemeinsam genutzte Dienste explizit berücksichtigt.
  • Trennen Sie wiederverwendbare Risikodefinitionen von mandantenspezifischen Risikoinstanzen.
  • Alles sollte in Arbeitsabläufe und Zugriffskontrollen eingebettet sein, die für MSP-Mitarbeiter, Prüfer und Kunden gleichermaßen komfortabel sind.

Anstatt jedes Kundenregister als separates Artefakt zu behandeln, können Sie zu einem einzigen, mandantenfähigen Modell übergehen, das sowohl Einzelprüfungen als auch Entscheidungen auf Portfolioebene unterstützt.

Kontakt


ISO 27001-Risikokonzepte, die Sie in einer Multi-Tenant-Welt darstellen müssen

Ein mandantenfähiges Risikoregister muss weiterhin die Kernkonzepte der ISO 27001 abbilden, selbst wenn die Datenspeicherung und -strukturierung komplexer wird. Bevor Sie die Architektur ändern, müssen Sie genau verstehen, was die ISO 27001 von Ihrem Risikoprozess erwartet. Die Norm schreibt kein bestimmtes Format für das Risikoregister vor, verlangt aber, dass Sie die relevanten Aspekte, potenzielle Fehlerquellen, Schwachstellen, die Wahrscheinlichkeit von Ereignissen und Ihre Gegenmaßnahmen identifizieren sowie Informationssicherheitsrisiken systematisch erkennen, analysieren, bewerten, behandeln und überwachen. In der Praxis bedeutet dies, dass Ihr Register bestimmte Konzepte explizit erfassen muss, damit Auditoren nachvollziehen können, wie Sie von Bedrohungen und Schwachstellen zu Entscheidungen und Kontrollen gelangen. Die ISO 27001 und die zugehörige Norm für Risikomanagement beschreiben diese Ergebnisse als wiederholbaren Bewertungs- und Behandlungsprozess, obwohl sie bewusst auf die Vorgabe eines einheitlichen Registerformats verzichten, wie in den von der ISO veröffentlichten Materialien ersichtlich.

Klarheit über Risikokonzepte erleichtert es ungemein, die eigenen Entscheidungen zu verteidigen.

Die Bausteine: Vermögenswerte, Bedrohungen, Schwachstellen, Risiken und Kontrollen

Jedes von Ihnen erfasste Risiko sollte so verständlich sein, dass auch Nicht-Fachleute es nachvollziehen können. Für jedes Risiko sollten Sie darlegen können, was auf dem Spiel steht, welche Folgen es haben könnte, warum es eintreten könnte und welche Maßnahmen Sie ergreifen, damit ein Prüfer oder Kunde den Sachverhalt nachvollziehen kann, ohne Fachjargon übersetzen oder Ihre Argumentation erraten zu müssen.

Für jedes Risiko sollten Sie Folgendes angeben können:

  • Asset: – Was steht auf dem Spiel? Dies könnte das ERP-System eines Kunden, eine gemeinsam genutzte Backup-Plattform, eine Reihe privilegierter Konten oder ein Geschäftsprozess wie die „Kundenabrechnung“ sein.
  • Bedrohung: – Was könnte schiefgehen? Phishing, Diebstahl von Zugangsdaten, Missbrauch durch Insider, Denial-of-Service-Angriffe, Ausfall des Rechenzentrums und so weiter.
  • Verletzlichkeit: – Welche Schwäche macht diese Bedrohung wahrscheinlicher oder schädlicher? Fehlende Multi-Faktor-Authentifizierung, ungepatchte Systeme, übermäßige Berechtigungen, mangelhafte Sorgfaltspflichten gegenüber Lieferanten und ähnliche Probleme.
  • Risiko: – die Kombination aus Wahrscheinlichkeit und Auswirkung, falls die Bedrohung die Schwachstelle dieses Systems ausnutzt.
  • Regler: – die Maßnahmen, die Sie ergreifen, um das Risiko zu verringern: technische, organisatorische und verfahrenstechnische Maßnahmen.

ISO 27001 und ISO 27005 lassen Ihnen die Wahl zwischen einem asset- oder szenariobasierten Ansatz, wobei diese Konzepte stets im Hintergrund präsent sind. Beide Normen beschreiben asset- und szenariobasierte Techniken zur Identifizierung und Analyse von Informationssicherheitsrisiken, ohne einen bestimmten Ansatz vorzuschreiben. So können Sie die Methode wählen, die am besten zu Ihrem Unternehmen passt und gleichzeitig die ISO-Vorgaben erfüllt. Ihr Mandantenregister muss diese Elemente erfassen und verknüpfen können, damit Sie den Auditoren Ihre Risikobewertung transparent darlegen können.

Felder, die jeder MSP-Risikodatensatz enthalten sollte

Ihre Risikodatensätze benötigen einheitliche Felder, damit Sie Vergleiche, Aggregationen und Berichte für verschiedene Mandanten ohne manuelle Bereinigung erstellen können. Wenn jede Risikozeile anders aussieht, kämpfen Sie mit Ihren eigenen Daten, bevor Sie grundlegende Fragen zu Ihrem Portfolio beantworten können, und Wirtschaftsprüfer könnten die Konsistenz Ihrer Methodik infrage stellen.

Ein einheitlicher Satz von Feldern erleichtert den Vergleich und die Berichterstellung über viele Mandanten hinweg. Unabhängig davon, ob Sie mit einer Tabellenkalkulation oder einer dedizierten ISMS-Plattform beginnen, ist eine sinnvolle Zeilenstruktur für jedes Risiko wie folgt:

  • Risiko-ID (eindeutig und zeitlich stabil).
  • Mandanten- (Client-)Kennung.
  • Dienst oder Umgebung (z. B. „Managed Endpoint“, „Azure-Abonnement A“, „Produktion“, „Test“).
  • Anlagenname und -typ.
  • Risikobeschreibung (oft formuliert als „Bedrohung durch Ausnutzung einer Schwachstelle im System, die zu negativen Auswirkungen führt“).
  • Primärer Wirkungsbereich (Vertraulichkeit, Integrität, Verfügbarkeit oder eine andere Eigenschaft, die Sie überwachen).
  • Inhärente Wahrscheinlichkeit und Auswirkung (vor Kontrollmaßnahmen).
  • Inhärenter Risikoscore (gemäß der von Ihnen gewählten Skala oder Matrix).
  • Vorhandene Kontrollen.
  • Behandlungsentscheidung (reduzieren, vermeiden, übertragen, akzeptieren).
  • Geplante zusätzliche Kontrollen oder Maßnahmen.
  • Restwahrscheinlichkeit, Auswirkung und Bewertung (nach der Behandlung).
  • Risikoträger.
  • Status (offen, in Behandlung, geschlossen, angenommen).
  • Nächster Überprüfungstermin.

In einer Mandantenumgebung fügen Sie außerdem Metadaten wie „MSP-eigenes Risiko vs. Kundeneigenes Risiko“, regulatorische Kennzeichnungen und Verweise auf gemeinsam genutzte Komponenten hinzu. Diese Felder bilden das Rückgrat des Portfolioreportings und gewährleisten die Nachvollziehbarkeit, die Prüfer bei der Stichprobenprüfung von Risiken und der Begründung ihrer Bewertung und Behandlung benötigen.

Die Sprache sollte auch für Nicht-Fachleute verständlich sein.

Ein Risikoregister funktioniert nur dann effektiv, wenn Ingenieure, Account Manager und Kundenbeteiligte ohne Fachjargon mitwirken können. Wenn Unsicherheiten bei der Formulierung oder Bewertung von Risiken bestehen, meiden die Beteiligten den Prozess oder tragen inkonsistente Daten ein, und Ihr sorgfältig entwickeltes Modell verliert schnell an Glaubwürdigkeit.

Die meisten Personen, die zu Ihrem Risikoregister beitragen, sind keine Risikospezialisten. Es handelt sich um Ingenieure, Kundenbetreuer, Architekten und Ansprechpartner beim Kunden. Um konsistente und qualitativ hochwertige Daten zu erhalten, müssen Sie Folgendes beachten:

  • Geben Sie in Ihrer Vorlage oder Ihrem Tool einfache Definitionen und Beispiele für jedes Feld an.
  • Verwenden Sie nach Möglichkeit Dropdown-Listen und Bewertungshinweise anstelle von Freitext.
  • Bieten Sie beispielhafte Risikoformulierungen für gängige MSP-Szenarien zum Kopieren und Anpassen an.

Hier kann eine Plattform wie ISMS.online helfen, indem sie Risikovorlagen, Bewertungsskalen und Feldbeschreibungen in die Benutzererfahrung einbettet, sodass Ihre Teams nicht jedes Mal den Standard auswendig lernen oder über die Terminologie diskutieren müssen, wenn sie ein Risiko hinzufügen.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Entwicklung eines mandantenfähigen Risikodatenmodells, das tatsächlich funktioniert

Ein mandantenfähiges Risikodatenmodell muss jedem Kunden eine übersichtliche, isolierte Sicht auf seine Risiken bieten und Ihnen als Managed Service Provider (MSP) einen vernetzten, portfolioübergreifenden Überblick über Trends, Themen und gemeinsame Risiken ermöglichen. Das bedeutet mehr als „ein Register pro Kunde“ oder das einfache Hinzufügen einer „Mandanten“-Spalte zu Ihrer bestehenden Tabelle. Sie benötigen eine Struktur, die es Ihnen erlaubt, Daten sicher zu analysieren und zu filtern, die Mandantenisolation und die ISO-27001-Konformität zu gewährleisten und sowohl mandantenspezifische als auch portfolioübergreifende Fragen ohne ständige manuelle Arbeit oder die Erstellung individueller Berichte bei jeder neuen Frage zu beantworten.

Bevor Sie Ihre Tools ändern, kann es hilfreich sein, das Verhalten von Risikoregistern für Einzelmandanten und Mehrmandanten zu vergleichen.

Eine einfache Möglichkeit, den Unterschied zu erkennen, besteht darin, die beiden Muster nebeneinander zu vergleichen:

Aspekt | Register für Einzelorganisationen | Register für Mandantenfähige Managed Service Provider (MSP)
—|—|—
Geltungsbereich | Systeme einer Organisation | Viele Kunden und gemeinsam genutzte Plattformen
Risikomuster | Überwiegend organisationsspezifisch | Gemeinsame Szenarien für alle Mieter
Auswirkungen der Änderung | Betrifft eine Umgebung | Betrifft mehrere Mieter gleichzeitig
Berichterstattung | Einheitliche Stakeholdergruppe | MSP-Führungskräfte, zahlreiche Kunden, Wirtschaftsprüfer
Datenisolation | Einfacher, eine Grenze | Mandantenisolation plus MSP-Ansicht

Diese Tabelle zeigt, warum ein nur geringfügig modifiziertes Single-Tenant-Register für den MSP-Umfang wahrscheinlich nicht ausreicht und warum Sie Ihr Datenmodell sorgfältiger planen müssen.

Verwenden Sie ein zweischichtiges Modell: Vorlagen und Instanzen

Durch die Trennung globaler Risikovorlagen von mandantenspezifischen Instanzen können Sie konsistente Definitionen beibehalten und gleichzeitig Auswirkungen und Behandlung individuell an jeden Mandanten anpassen. Dieses zweistufige Modell ist in der Regel die einzige nachhaltige Methode, um viele Mandanten zu verwalten, ohne in doppelten Risikobeschreibungen oder unübersichtlichen Ausnahmen zu ertrinken. Das robusteste Modell besteht in folgender Trennung:

  • Globale Risikovorlagen: – wiederverwendbare Definitionen häufiger MSP-Risiken.
  • Mieterrisikofälle: – Mandantenbezogene Datensätze, die auf diese Vorlagen verweisen.

Eine globale Vorlage könnte Folgendes beinhalten:

  • Vorlagen-ID und -Name (zum Beispiel „R‐PHISH‐001: Phishing führt zum Diebstahl von Zugangsdaten“).
  • Szenariobeschreibung.
  • Typischerweise betroffene Anlagentypen und Dienstleistungen.
  • Empfohlene Kontrollmaßnahmen (Schulungen zur Sensibilisierung für IT-Sicherheit, E-Mail-Filterung, Multi-Faktor-Authentifizierung, Überwachung des Anmelderisikos).
  • Standardmäßige qualitative Wahrscheinlichkeit und Auswirkung (für einen „typischen“ Mieter).
  • Zugeordnete Kontrollthemen (z. B. Kategorien gemäß ISO 27001 Anhang A).

Jede Mandanteninstanz fügt dann den spezifischen Kontext hinzu:

  • Mieter-ID.
  • Tatsächlich betroffene Vermögenswerte und Benutzergruppen dieses Kunden.
  • Tatsächliche Wahrscheinlichkeit und Auswirkungen in der Situation des jeweiligen Kunden.
  • Tatsächlich umgesetzte Kontrollen und Lücken.
  • Behandlungsplan, Eigentumsverhältnisse und Überprüfungstermine.
  • Entscheidung über das Restrisiko (z. B. akzeptiert, weitere Reduzierung geplant).

Dies ermöglicht es Ihnen, eine einheitliche Formulierung und Zuordnung für gängige Risiken beizubehalten und gleichzeitig Auswirkungen, Eintrittswahrscheinlichkeit und Behandlung individuell auf jeden Mieter abzustimmen.

Entscheiden Sie, wie Sie die Mandantendaten isolieren werden.

Ihr Risikomodell muss die Mandantenisolation so klar abbilden, dass Sie es Auditoren und den Sicherheitsteams Ihrer Kunden ohne Zögern erklären können. Das bedeutet, ein Speichermuster zu wählen, das Sie sicher betreiben können, und zu dokumentieren, wie Zugriff, Verschlüsselung und Überwachung dieses unterstützen. So können Sie nicht nur nachweisen, dass Risiken identifiziert wurden, sondern auch, dass sensible Informationen getrennt bleiben.

Sobald Sie Vorlagen von Instanzen getrennt haben, legen Sie fest, wie Mandantendaten isoliert und gespeichert werden. Typische Optionen sind:

  • Separate Datenbank oder separates Schema pro Mandant: – Stärkste Isolation, aber höherer operativer Aufwand bei Skalierung. Gut geeignet bei strengen regulatorischen oder Aufenthaltsbeschränkungen oder großen, umsatzstarken Kunden.
  • Gemeinsame Datenbank mit Mandantenschlüsseln: – Ein einziger Satz von Tabellen, in denen jede Zeile eine Mandanten-ID enthält; die Isolation wird in der Anwendungslogik und den Abfragen sichergestellt. Einfacher im großen Maßstab zu betreiben, erfordert jedoch ein sorgfältiges Design und gründliche Tests.
  • Hybrid: – zum Beispiel eine gemeinsame Datenbank für gängige Vorlagen und kleine Mandanten, separate Schemas für regulierte oder Hochrisikokunden.

Für welche Methode Sie sich auch entscheiden, dokumentieren Sie diese klar und deutlich und stellen Sie sicher, dass Ihre Zugriffskontrollen, Verschlüsselung und Überwachung dem Modell entsprechen. Prüfer und die Sicherheitsteams Ihrer Kunden werden fragen, wie Sie verhindern, dass Risikodaten eines Kunden in die Hände anderer gelangen.

Fügen Sie die richtigen mandantenfähigen Metadaten hinzu.

Mandantenfähige Metadaten sollten es ermöglichen, Portfoliofragen einfach zu beantworten, ohne Daten exportieren und manuell zusammenführen zu müssen. Können Sie einfache mandantenübergreifende Fragen nicht schnell beantworten, bietet Ihr Modell noch nicht den Nutzen, den ein Multi-Tenant-Ansatz bieten sollte, und die Berichtserstellung wird sich weiterhin wie ein einmaliges Projekt anfühlen.

Um sowohl die Berichterstattung pro Mieter als auch auf Portfolioebene zu unterstützen, sollte jede Risikoinstanz mindestens Folgendes enthalten:

  • Mieter-ID und Name.
  • Mietersektor (z. B. Gesundheitswesen, Finanzwesen, Fertigung).
  • Regionale oder regulatorische Zuständigkeit.
  • Leistungen im Leistungsumfang (z. B. „Managed Network“, „Cloud Platform Support“).
  • Umgebung (Produktion, Staging, Test).
  • Kennzeichnung, die angibt, ob es sich primär um ein Risiko der MSP-Plattform, ein Risiko der Kundenumgebung oder um eine gemeinsame Verantwortung handelt.

Mithilfe dieser Felder lassen sich Fragen wie die folgenden leicht beantworten:

  • „Bei welchen unserer Finanzdienstleistungskunden besteht noch ein hohes Restrisiko im Bereich des Privileged Access Managements?“
  • „Wie viele Mieter sind noch immer in hohem Maße von RMM-Kompromissen betroffen?“
  • „Welche Kunden in einer bestimmten Region weisen offene Risiken im Zusammenhang mit dem Datenspeicherort auf?“

Eine gut konzipierte ISMS-Plattform ermöglicht es Ihnen, Daten anhand dieser Attribute zu filtern und zu segmentieren, ohne die Daten manuell exportieren und wieder zusammenführen zu müssen. Dies ist besonders wichtig, wenn Wirtschaftsprüfer oder große Kunden einen portfolioübergreifenden Nachweis verlangen.



Felder und Metadaten, die Prüfern Sicherheit geben

Für Prüfer ist es am einfachsten, wenn sie jedes stichprobenartige Risiko klar auf Bewertungen, Maßnahmen, Kontrollen und Nachweise zurückführen können. Ihre Felder und Metadaten sollten diesen Prozessablauf vereinfachen, selbst in einer Multi-Tenant-Umgebung, in der die Verantwortung zwischen Ihnen und Ihren Kunden geteilt ist. So lässt sich durch die Stichprobenprüfung einiger weniger Risiken ein realistisches Bild der tatsächlichen Funktionsweise Ihres Prozesses gewinnen.

Kernrisikofelder, neu betrachtet für Wirtschaftsprüfer

Stellen Sie sich vor, ein Auditor zieht ein Risiko aus Ihrem Register und fragt, warum Sie es so bewertet haben und welche Maßnahmen Sie ergriffen haben. Können Sie diese Fragen direkt anhand Ihres Registers beantworten, ohne separate Dokumente durchsuchen oder den Kontext erraten zu müssen, reduzieren Sie die Bedenken des Auditors und erleichtern es erheblich, nachzuweisen, dass Ihr ISO-27001-Prozess sowohl effektiv konzipiert ist als auch effektiv funktioniert. Betrachten Sie jedes Risiko als etwas, das ein Auditor aus dem Register ziehen und Schritt für Schritt untersuchen könnte. Aus seiner Sicht müssen die folgenden Fragen für jedes stichprobenartig untersuchte Risiko leicht zu beantworten sein:

  • Welches Risiko besteht? Die Risikobeschreibung muss klar und präzise sein. Es muss deutlich gemacht werden, welche Vermögenswerte und welche Auswirkungen betroffen sind.
  • Warum ist es so bewertet? – Ihre Methodik und Kriterien für Wahrscheinlichkeit und Auswirkungen sollten dokumentiert und konsequent angewendet werden; das Register sollte die gewählten Bewertungen enthalten.
  • Was unternehmen Sie dagegen? – Die Behandlungsentscheidung, die geplanten Maßnahmen und die Verantwortlichen müssen mit Datumsangaben dokumentiert werden.
  • Was ist die Restposition? – Wenn Sie ein Restrisiko in Kauf nehmen, sollte die Begründung klar sein.
  • Wie hängt das mit den Steuerelementen zusammen? – Das Risiko sollte mit einer oder mehreren Kontrollmaßnahmen in Ihrer Anwendbarkeitserklärung oder einem gleichwertigen Dokument verknüpft sein.

In der Praxis könnte ein Auditor ein Risiko im Zusammenhang mit Ihrer RMM-Plattform auswählen, Sie bitten, die inhärenten und Restrisiken zu erläutern und anschließend Nachweise für die von Ihnen aufgeführten Kontrollen anfordern. Wenn Ihre Datenfelder diese Erläuterung unterstützen, sind Sie gut vorbereitet. Sie benötigen keine separate Spalte für jede Feinheit, müssen aber in der Lage sein, diese Fragen anhand der erfassten Daten zu beantworten.

Metadatenprüfer für Mandantensysteme legen Wert auf

In Multi-Tenant-Umgebungen möchten Auditoren auch verstehen, wie Sie die Grenzen des Geltungsbereichs festlegen und systemische Risiken in gemeinsam genutzten Plattformen managen. Sie wissen, dass eine schwache, gemeinsam genutzte Kontrollmaßnahme viele Mandanten betreffen kann. Daher prüfen sie genau, wie Sie diese Risiken kategorisieren und die Verantwortlichkeiten zuweisen und wie Sie nachweisen, dass dasselbe Problem nicht an verschiedenen Stellen ignoriert wird. Bedenken hinsichtlich gemeinsam genutzter Kontrollen und Single Points of Failure sind ein wiederkehrendes Thema in den Leitlinien nationaler Cybersicherheitsbehörden wie dem britischen NCSC. Diese betonen die Notwendigkeit, die Grenzen des Geltungsbereichs und die gemeinsamen Abhängigkeiten in Cloud- und Managed-Service-Umgebungen zu verstehen.

Insbesondere achten sie auf Folgendes:

  • Klarheit des Geltungsbereichs pro Mieter: – Welche Dienstleistungen und Anlagen sind durch das ISMS des MSP abgedeckt und welche fallen nicht in den Geltungsbereich oder sind nur für den Kunden bestimmt?
  • Klarheit der Verantwortlichkeiten: – für jedes Risiko, unabhängig davon, ob die Behandlungsmaßnahmen bei Ihnen, beim Klienten oder gemeinsam durchgeführt werden.
  • Einheitliche Behandlung von Risiken gemeinsam genutzter Plattformen: – Nachweis dafür, dass Sie systemische Probleme, die mehrere Mieter betreffen, nicht ignorieren.
  • Funktionstrennung: – beispielsweise sicherzustellen, dass die Person, die eine Kontrollmaßnahme ausführt, nicht die einzige Person ist, die das damit verbundene Risiko beurteilt.

Durch das Hinzufügen expliziter Felder wie „Verantwortlichkeit (MSP / Kunde / gemeinsam genutzt)“ und die Verknüpfung von Risiken mit Ihrem Servicekatalog und gemeinsam genutzten Plattformen lassen sich diese Punkte ohne Verwirrung beantworten und es wird einfacher zu begründen, warum manche Maßnahmen in Ihr ISMS gehören, während andere in clientseitige Programme gehören.

Sorgen Sie dafür, dass die Kasse für den täglichen Gebrauch nutzbar ist.

Ein Risikoregister, das nur bei Audits zum Einsatz kommt, veraltet schnell und wird als unbeliebt empfunden. Sie benötigen ein System, das die tägliche Entscheidungsfindung von Ingenieuren, Managern und Account-Leitern unterstützt. Das bedeutet, Risikodatensätze mit Tickets, Änderungen und übersichtlichen Ansichten zu verknüpfen, die Ihre Teams tatsächlich nutzen können. So fühlt sich die Aktualisierung des Registers wie ein Teil der normalen Arbeit an und nicht wie eine separate administrative Aufgabe.

Hilfreiche Ergänzungen sind:

  • Felder für Ticket- oder Änderungsreferenzen, damit Teams schnell zwischen Ihrer Risikodokumentation und den operativen Tools, in denen die Arbeit stattfindet, wechseln können.
  • Statuskennzeichnungen wie „Überprüfung nach Vorfall erforderlich“, „Entscheidung des Kunden ausstehend“ oder „In Bearbeitung, wartet auf Lieferanten“.
  • Einfache Duftstoffe und Ansichten für verschiedene Zielgruppen: Management, Ingenieure, Account Manager, Kundenbetreuer.

Hier kann der Einsatz einer dedizierten ISMS-Plattform wie ISMS.online mit integrierten Filtern, Ansichten und verknüpften Datensätzen Sie vor dem Kampf mit komplexen Tabellenkalkulationen oder generischen Tools bewahren, die nicht für das Multi-Tenant-Risikomanagement ausgelegt sind.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Erstellung eines standardisierten MSP-Risikokatalogs unter Berücksichtigung des Kundenkontexts

Ein standardisierter MSP-Risikokatalog ermöglicht es Ihnen, wiederkehrende Risikoszenarien einmalig zu erfassen und sie für mehrere Mandanten konsistent wiederzuverwenden. Richtig umgesetzt, schafft er eine gemeinsame Sprache und einheitliche Vorgehensweisen, ohne die individuellen Gegebenheiten jedes Mandanten zu vernachlässigen. So steigern Sie die Effizienz, ohne den Kontext zu verlieren, der für sinnvolle individuelle Behandlungsentscheidungen unerlässlich ist. Sobald Sie Risiken adäquat abbilden können, stellt sich die Frage, wie Sie vermeiden, das Rad für jeden Mandanten neu erfinden zu müssen. Ein mandantenfähiges Register sollte die Wiederverwendung von Mustern vereinfachen und gleichzeitig die spezifische Situation jedes Mandanten berücksichtigen, insbesondere beim Abwägen gemeinsam genutzter Plattformen mit unterschiedlichen Geschäftsmodellen, geografischen Standorten oder regulatorischen Anforderungen.

Beginnen Sie mit einer zentralen MSP-Risikobibliothek.

Ihre zentrale Risikobibliothek sollte die Muster erfassen, die Sie bei verschiedenen Mandanten beobachten, insbesondere solche mit gemeinsam genutzten Plattformen, Drittanbietern und gängigen Angriffstechniken. Ausgehend von diesen wiederkehrenden Szenarien erhalten Sie eine einheitliche Risikosprache und vermeiden, dass Teams nahezu identische Risiken für jeden Mandanten mit leicht unterschiedlichen Formulierungen beschreiben. Dies wiederum vereinfacht das Reporting und die Optimierung auf Portfolioebene erheblich.

Definieren Sie für jeden Fall eine klare Risikobeschreibung, die voraussichtlich betroffenen Dienste, typische Kontrollmaßnahmen und beispielhafte Auswirkungen. Diese dienen als Mastervorlagen in der zuvor beschriebenen globalen Katalogebene und schaffen eine einheitliche Sprache für Ihre Teams.

Rund 41 % der Organisationen gaben in der ISMS.online-Umfrage 2025 an, dass das Management von Drittparteirisiken und die Überwachung der Lieferantenkonformität eine der größten Herausforderungen im Bereich der Informationssicherheit darstellen.

Beginnen Sie damit, die häufigsten Risikoszenarien aufzulisten, die auf die meisten Ihrer Kunden zutreffen. Zum Beispiel:

  • Phishing und Social Engineering, die zum Diebstahl von Zugangsdaten führen.
  • Kompromittierung Ihrer RMM- oder Fernzugriffstools.
  • Ausfall oder Fehlkonfiguration gemeinsam genutzter Sicherungs- und Wiederherstellungsdienste.
  • Ausfall oder Sicherheitsvorfall bei einem wichtigen Drittanbieter-Cloud- oder SaaS-Anbieter.
  • Unzureichendes Rechtemanagement bei gemeinsam genutzten Administratorkonten.
  • Probleme mit dem Datenstandort oder der Datenübertragung auf gemeinsam genutzten Plattformen.

Definieren Sie für jeden Fall eine klare Risikobeschreibung, die voraussichtlich betroffenen Dienste, typische Kontrollmaßnahmen und beispielhafte Auswirkungen. Diese dienen als Mastervorlagen in der zuvor beschriebenen globalen Katalogebene und schaffen eine einheitliche Sprache für Ihre Teams.

Machen Sie deutlich, was Standard und was lokal ist.

Ihr Katalog muss klarstellen, welche Risikofaktoren global definiert sind und welche individuell für jeden Mieter angepasst werden müssen. Ist diese Unterscheidung unklar, geht entweder die Konsistenz verloren oder wichtige kundenspezifische Details werden vernachlässigt. Beides untergräbt das Vertrauen in den Katalog und die darauf basierenden Berichte.

Entscheiden Sie für jede Vorlage, welche Elemente Folgendes sind:

  • Standardisiert: – zum Beispiel die Formulierung des Szenarios, die zugeordneten Kontrollthemen und vielleicht ein standardmäßiges qualitatives Risikoniveau für einen „durchschnittlichen“ Mieter.
  • Kundenspezifisch: – zum Beispiel die genauen betroffenen Anlagen und Systeme, die tatsächlichen Auswirkungen auf ihr Geschäft und die tatsächliche Wahrscheinlichkeit angesichts ihres Umfelds und ihrer Nutzer.

Wenn Sie eine Vorlage für einen Mandanten instanziieren, sollten Ihre Teams die lokalen Felder anpassen können, ohne die globale Definition zu verändern. Ihre Tools sollten diese Unterscheidung deutlich machen, damit Sie beim Verbessern der Vorlage nicht versehentlich die Mandantenarbeit überschreiben.

Lokale Entdeckungen in den globalen Katalog einbringen

Im Laufe der Zeit werden bei einzelnen Mandanten neue Risiken auftreten, die auf umfassendere, mandantenübergreifende Muster hindeuten. Sie benötigen eine einfache und systematische Methode, um diese Erkenntnisse in Ihre globale Risikodatenbank zu integrieren, damit Sie keine neuen Trends verpassen oder diese in isolierten Registern unentdeckt bleiben.

Sie werden nicht jedes Risiko im Voraus erkennen. Ihre Teams werden kundenspezifische Probleme entdecken, insbesondere in spezialisierten Branchen oder bei individuellen Konfigurationen. Einige davon werden sich als Varianten bestehender Vorlagen erweisen, andere als völlig neue Muster.

Legen Sie einfache Regeln fest, wann etwas in die globale Bibliothek aufgenommen werden soll. Zum Beispiel:

  • Dieses Szenario ist bei mindestens drei Mietern bereits aufgetreten bzw. wird wahrscheinlich noch auftreten.
  • Es handelt sich um eine gemeinsame Plattform, einen Dienst oder einen Drittanbieter, von dem viele Kunden abhängig sind.
  • Es spiegelt einen neuen regulatorischen oder Bedrohungstrend wider, den Sie systematisch verfolgen möchten.

Legen Sie fest, wer für die Genehmigung dieser Änderungen verantwortlich ist, und dokumentieren Sie die Begründung. So entwickelt sich Ihr Katalog gezielt und nicht zufällig weiter und wird zu einem strategischen Vorteil, der in die Entwicklung und Optimierung Ihrer Shared Services einfließt.



Umsetzung: Arbeitsabläufe und Governance über Mandanten hinweg

Ein mandantenfähiges Risikoregister ist mehr als nur eine Datenbank; es entfaltet seinen Wert erst, wenn es in klare Arbeitsabläufe und Governance-Strukturen eingebunden ist. ISO 27001 sieht einen Zyklus aus Identifizieren, Analysieren, Bewerten, Behandeln und Überwachen vor. Dieser Zyklus muss in wiederholbare Schritte übersetzt werden, die mandantenübergreifend funktionieren und Auditoren sowie Kunden unmissverständlich erläutert werden können. So spiegelt Ihr Register einen dynamischen Prozess wider und nicht ein statisches Inventar, das im realen Leben schnell veraltet. Dieser Zyklus entspricht dem in ISO 27001 beschriebenen und in ISO 27005 weiter ausgeführten Risikomanagementprozess. Demnach müssen Organisationen Informationssicherheitsrisiken fortlaufend identifizieren, analysieren, bewerten, behandeln und überwachen, wie in der ISO-Dokumentation beschrieben.

Rund zwei Drittel der Befragten im ISMS.online-Bericht „State of Information Security 2025“ gaben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften deutlich erschweren.

Definieren Sie klare, wiederholbare Arbeitsabläufe

Sie benötigen wenige, klar definierte Arbeitsabläufe, die beschreiben, wie Risiken von der Identifizierung bis zum Abschluss behandelt werden und wer in jeder Phase beteiligt ist. Sind diese Arbeitsabläufe unklar oder variieren sie von Kunde zu Kunde, wird es Ihren Teams schwerfallen, das Register aktuell zu halten, und die Einhaltung der ISO 27001 wird schwierig, da Sie nicht nachweisen können, dass ähnliche Sachverhalte gleich behandelt werden.

Entwerfen Sie mindestens Arbeitsabläufe für:

Schritt 1 – Risikoeinschätzung

Definieren Sie, wie neue Risiken aus Bewertungen, Vorfällen, Änderungen, Kundengesprächen und Bedrohungsanalysen identifiziert und protokolliert werden, und stellen Sie sicher, dass die Teams wissen, welche Felder auszufüllen sind.

Schritt 2 – Beurteilung und Bewertung

Legen Sie fest, wer die Wahrscheinlichkeit und die Auswirkungen bewertet, welche Skalen verwendet werden und wie Meinungsverschiedenheiten beigelegt werden, damit die Bewertungen über alle Mieter und im Laufe der Zeit hinweg konsistent erscheinen.

Schritt 3 – Genehmigung und Behandlungsplanung

Beschreiben Sie, wie Risikoverantwortliche Bewertungen genehmigen und Behandlungsoptionen vereinbaren, einschließlich klarer Schwellenwerte, ab denen eine Akzeptanz zulässig ist oder eine Eskalation erforderlich ist.

Schritt 4 – Ausführung und Nachverfolgung

Zeigen Sie, wie Behandlungsmaßnahmen erfasst, priorisiert und bis zum Abschluss überwacht werden, idealerweise verknüpft mit Ihren Ticket- und Änderungsmanagementsystemen, damit die Arbeit an beiden Stellen sichtbar ist.

Schritt 5 – Regelmäßige Überprüfung

Erläutern Sie, wie und wann Risiken neu bewertet werden, beispielsweise jährlich, nach Vorfällen oder bei Änderungen der Dienstleistungen, um nachzuweisen, dass das Risiko aktiv überwacht wird.

Jeder Schritt sollte die Rollen und Verantwortlichkeiten sowohl Ihrer Teams als auch, falls relevant, der Stakeholder des Kunden festlegen. RACI-Matrizen und einfache Flussdiagramme helfen dabei, dies klar zu kommunizieren, und dasselbe Muster lässt sich oft auf mehrere Mandanten anwenden.

Die Koordination zwischen vielen Mietern sicherstellen, ohne die Kontrolle zu verlieren

Sie benötigen eine zentrale Koordination, die Dutzende von Mieterregistern aufeinander abstimmt, ohne dass jede Entscheidung zu einem Engpass wird. Ziel ist es, Abläufe und Schwellenwerte festzulegen, damit die richtigen Aufgaben auf der richtigen Ebene – ob mieterspezifisch oder portfolioübergreifend – erledigt werden und systemische Probleme konsequent angegangen werden, anstatt sie einzelnen Konten zu überlassen.

Da Sie Risiken für viele Kunden managen, benötigen Sie eine zentrale Koordination:

  • Nutzen Sie nach Möglichkeit standardisierte Überprüfungszyklen (z. B. jährliche Überprüfungen pro Mieter mit gestaffelten Terminen).
  • Bündeln Sie ähnliche Aktivitäten pro Mandant (z. B. Aktualisierung aller RMM-bezogenen Risiken nach einer größeren Plattformänderung).
  • Legen Sie Schwellenwerte fest, die Maßnahmen für das gesamte Portfolio auslösen (z. B. „Wenn mehr als fünf Mieter ein hohes Restrisiko bei X melden, planen Sie eine Überprüfung der Verbesserungsmöglichkeiten auf Plattformebene“).

Sobald sich Ihre internen Arbeitsabläufe stabilisiert haben, können Sie Ihren Kunden mehr Struktur bieten, beispielsweise durch die Vereinbarung gemeinsamer Überprüfungszyklen oder die gemeinsame Erstellung von Behandlungsplänen mit Mietern mit höherem Risiko.

Binden Sie Kunden zum richtigen Zeitpunkt ein.

Ihr Prozess sollte klar aufzeigen, wann die Meinung des Kunden zu Risikoentscheidungen erforderlich ist, insbesondere wenn es um Ausgaben, Nutzererfahrung oder rechtliche Risiken geht. Eine korrekte Umsetzung stärkt die Kundenbeziehungen und untermauert Ihre Rolle als ISO 27001-zertifizierter Lieferant, da Kunden erkennen, dass Sie gemeinsame Verantwortung ernst nehmen und bereit sind, Kompromisse zu erörtern.

Manche Mieter, insbesondere solche mit Regulierungsauflagen, möchten bei bestimmten Risikoentscheidungen direkt einbezogen werden. Stellen Sie sicher, dass Ihr Prozess dies ermöglicht, indem Sie gegebenenfalls Schritte zur Kundenberatung und -genehmigung vorsehen.

Sie könnten beispielsweise Kunden einbeziehen, wenn:

  • Ein Behandlungsplan impliziert neue Ausgaben oder spürbare Auswirkungen auf die Nutzer.
  • Das Restrisiko wird auf einem Niveau akzeptiert, das ihre rechtlichen oder vertraglichen Verpflichtungen beeinträchtigen könnte.
  • Bei mieterübergreifenden Problemen ist ein koordiniertes Vorgehen mehrerer Lieferanten erforderlich.

Indem Sie klarstellen, wann und wie Sie Kunden einbeziehen, vermeiden Sie Überraschungen und unterstützen sowohl die Anforderungen der ISO 27001 als auch die Geschäftsbeziehungen.

Gestalten Sie den Prozess überprüfbar und verbesserungsfähig.

Ihre Arbeitsabläufe sollten Aufzeichnungen und Kennzahlen generieren, die einen funktionierenden Risikoprozess belegen und Verbesserungspotenzial aufzeigen. Wenn Sie nachweisen können, dass Sie Risiken regelmäßig überprüfen, Maßnahmen abschließen und aus Vorfällen lernen, werden Audits deutlich einfacher und Ihre Führungsebene gewinnt mehr Vertrauen in Ihre Risikoinformationen.

Die Governance Ihres Multi-Tenant-Risikomanagementprozesses sollte Folgendes umfassen:

  • Dokumentierte Verfahrensweisen für jeden Arbeitsablauf.
  • Aufzeichnungen darüber, wer welche Entscheidungen wann getroffen hat.
  • Kennzahlen wie:
  • Anzahl offener Risiken pro Mieter und pro Dienstleistung.
  • Prozentsatz der Risiken bei aktuellen Überprüfungen.
  • Behandlungsabschlussraten.
  • Zeitspanne von der Risikoidentifizierung bis zur Behandlungsgenehmigung.

Nutzen Sie diese Kennzahlen, um Engpässe und Verbesserungspotenziale zu identifizieren. Langfristig sollten Sie weniger Überraschungen kurz vor Audits und planbarere, ruhigere Risikobewertungen erleben. Eine Plattform wie ISMS.online kann dies unterstützen, indem sie Risiken, Maßnahmen, Auditaktivitäten und Managementbewertungen so verknüpft, dass sie für Auditoren und Kunden nachvollziehbar sind.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Umwandlung des Registers in Berichtswesen und Kundenwert

Ein mandantenfähiges Risikoregister wird dann wirklich strategisch, wenn es Führungskräften ein klares Reporting ermöglicht, aussagekräftige Kundengespräche fördert und fundiertere Produktentscheidungen unterstützt. Bei optimaler Umsetzung wird das Reporting nicht länger zu einer lästigen Pflicht, sondern zu einer Quelle wertvoller Erkenntnisse und sogar kommerziellem Mehrwert. Statt sich mit uneinheitlichen Tabellenkalkulationen herumzuschlagen, können Sie Fragen der Führungsebene schnell beantworten, Kunden klare Risikoanalysen präsentieren und Portfolio-bezogene Muster nutzen, um Plattformverbesserungen und Service-Design zu optimieren.

Designansichten für verschiedene Zielgruppen

Sie sollten drei zentrale Ansichten Ihres Registers erstellen: eine für die MSP-Leitung, eine für jeden Mandanten und eine für den internen Betrieb. Jede Ansicht greift auf dieselben Daten zu, präsentiert sie jedoch in der Sprache und im Detailgrad, die die jeweilige Zielgruppe benötigt. So muss niemand unstrukturierte Risikodatensätze mit internen Codes und Abkürzungen interpretieren.

Sie benötigen mindestens drei Ansichtstypen:

  • Portfolio-Überblick für die MSP-Führungsebene: – aggregierte Risikodaten über alle Mieter hinweg, die Folgendes zeigen:
  • Die wichtigsten wiederkehrenden Risikothemen.
  • Verteilung des Restrisikos nach Dienst, Plattform oder Region.
  • Trends bei Risikoniveau und Behandlungsabschluss im Zeitverlauf.
  • Signale für Investitionen (z. B. viele Mieter, die auf ein schwaches Kontrollmuster setzen).
  • Mieterspezifische Ansicht für Kunden: – eine gefilterte Ansicht, die Folgendes anzeigt:
  • Ihre eigenen Risiken, Behandlungen und Gesundheitszustände.
  • Risiken gemeinsam genutzter Plattformen, die sie betreffen, in klarer Sprache dargestellt.
  • Fortschritte im Zeitverlauf (zum Beispiel die Anzahl der im letzten Zeitraum abgeschlossenen „hohen“ Risiken).
  • Operative Übersicht für Ihre Teams: – Listen von Risiken und Maßnahmen, gefiltert nach Dienstleistung, Eigentümer oder Zeitraum, konzipiert für das Tagesgeschäft und nicht für die Präsentation auf Vorstandsebene.

Stellen Sie sicher, dass jede Ansicht die Mieterisolation respektiert und dass kundenorientierte Berichte nicht unbeabsichtigt etwas über andere Kunden preisgeben.

Verknüpfung von Portfolioerkenntnissen mit der MSP-Strategie

Risikodaten des gesamten Portfolios sollten aktiv Einfluss auf die Konzeption, Preisgestaltung und Entwicklung Ihrer Managed Services nehmen. Wiederkehrende Muster, die auf eine schwache Kontrollfunktion oder ein unverhältnismäßig hohes Risiko eines Services hinweisen, sind Anlass, Ihre Plattformen und Angebote anzupassen, anstatt das Risiko einfach hinzunehmen und darauf zu hoffen, dass es sich nicht realisiert.

Rund ein Drittel der Organisationen gaben im ISMS.online-Bericht „State of Information Security 2025“ an, dass ihre Mitarbeiter bereits generative KI-Tools ohne Erlaubnis oder Anleitung verwenden.

Wenn Sie beispielsweise feststellen, dass viele Mandanten ein hohes Restrisiko im Zusammenhang mit privilegierten Zugriffen aufweisen, kann dies die Investition in eine zentrale Lösung für das Berechtigungsmanagement oder die zusätzliche Absicherung Ihrer Administrationstools rechtfertigen. Die Zentralisierung des privilegierten Zugriffsmanagements und die Absicherung administrativer Tools werden in Best-Practice-Materialien von Sicherheitscommunities und Fachorganisationen wie dem SANS Institute immer wieder hervorgehoben, da privilegierte Konten ein Hauptziel für Angreifer darstellen.

Wenn Sie feststellen, dass bestimmte Dienstleistungen regelmäßig mit einem höheren Risiko oder einem höheren Behandlungsaufwand verbunden sind, können Sie Folgendes tun:

  • Überprüfen Sie erneut, wie diese Dienstleistungen konzipiert und erbracht werden.
  • Die Preise sollten dem damit verbundenen Risiko und Aufwand Rechnung tragen.
  • Die Risikominderung sollte bei der Vorstellung von Serviceänderungen gegenüber Kunden als zentrales Ergebnis berücksichtigt werden.

Die Nutzung Ihres Risikoregisters als Feedbackschleife für Produkt- und Plattformentscheidungen stärkt sowohl Ihre Sicherheitslage als auch Ihre Geschäftsstrategie.

Integrieren Sie die Tools, die Sie bereits verwenden

Ihr Risikoregister bleibt präzise und verlässlich, wenn es mit den Tools verknüpft ist, die Ihre Teams bereits nutzen, wie z. B. Service Desks, Anlageninventarsysteme und Monitoring-Plattformen. So spiegelt das Register tatsächliche Veränderungen wider und wird nicht zu einem isolierten Dokument, das nur vor Audits oder großen Kundenvertragsverlängerungen aktualisiert wird.

Um das Register aktuell und korrekt zu halten, integrieren Sie es mit Folgendem:

  • Service-Desk- und PSA-Tools: – sodass Tickets und Änderungen, die das Risiko beeinflussen (z. B. Patches, MFA-Rollout, neue Projekte), verknüpft und manchmal sogar aus Risikobehandlungsmaßnahmen erstellt werden können.
  • Anlagenverwaltung und CMDB: – damit die in Ihren Risiken genannten Assets synchronisiert bleiben, wenn Kunden Systeme hinzufügen oder entfernen.
  • Überwachungs- und Sicherheitstools: – dass schwerwiegende Vorfälle und wiederholte Warnmeldungen Risikoüberprüfungen auslösen, anstatt gänzlich außerhalb des Risikomanagementprozesses behandelt zu werden.

Sie müssen nicht alles auf einmal automatisieren. Beginnen Sie mit einfachen, aber wertvollen Verbindungen (z. B. der Verknüpfung von Risikomaßnahmen mit Tickets oder dem Abrufen von Anlagendaten aus einer zuverlässigen Quelle) und erweitern Sie die Automatisierung, sobald Ihre Teams damit vertraut sind.

Nutzen Sie die Kasse als Mehrwert für Ihre Kunden.

Ihr Risikoregister kann ein sichtbarer Bestandteil Ihrer Wertschöpfungsstrategie sein und das Vertrauen Ihrer Kunden stärken – und nicht nur ein im Hintergrund stehendes ISO-Dokument. Indem Sie die richtigen Informationen bereitstellen, beweisen Sie Disziplin und schaffen eine gemeinsame Entscheidungsgrundlage, anstatt Kunden aufzufordern, Plattformänderungen zu vertrauen, ohne deren Bedeutung zu verstehen.

Ein gut strukturiertes, mandantenfähiges Register ermöglicht Ihnen Folgendes:

  • Stellen Sie im Rahmen Ihrer Dienstleistung regelmäßig kundenspezifische Risikoberichte bereit.
  • Nutzen Sie Ihre eigene ISO 27001-Disziplin als Verkaufsargument.
  • Nutzen Sie Risikodaten, um Serviceverbesserungen oder Zusatzverkäufe (z. B. erweiterte Überwachung, Schulungen zum Sicherheitsbewusstsein oder zusätzliche Kontrollen) auf der Grundlage des dokumentierten Restrisikos zu rechtfertigen.

Bei sorgfältiger Vorgehensweise geht es nicht darum, Kunden durch Angstmacherei zu höheren Käufen zu bewegen. Vielmehr geht es darum, auf Basis gemeinsamer Fakten bessere Entscheidungen zu treffen und die externen Bestätigungen zu untermauern, die größere Kunden bei der Bewertung eines Lieferanten oft fordern.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online bietet Ihnen eine praktische Möglichkeit, von verstreuten, mandantenspezifischen Risikolisten zu einer einheitlichen, mandantenfähigen ISO 27001-konformen Risikoinfrastruktur zu wechseln, die für Ihre Teams, Ihre Auditoren und Ihre Kunden gleichermaßen geeignet ist. Wenn Sie die Problematik fragmentierter Kundenrisikoregister kennen und ernsthaft an einem portfolioübergreifenden, ISO 27001-konformen Risikomanagement interessiert sind, erleichtert Ihnen die Besichtigung einer Live-Umgebung für mandantenfähige Managed Service Provider (MSPs) die Entscheidung, ob eine dedizierte ISMS-Plattform die richtige Grundlage für Ihre nächste Wachstumsphase bildet.

Fast alle Organisationen, die an der ISMS.online-Umfrage 2025 teilnahmen, nannten das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 als eine ihrer obersten Prioritäten für die kommenden Jahre.

Was Sie in einer Demo sehen können

Eine gezielte Demo sollte Ihnen zeigen, wie eine mandantenfähige ISMS-Plattform gängige Risiken einmalig abbildet und diese dann mandantenübergreifend wiederverwendet, ohne kundenspezifische Details zu verlieren. Sie haben außerdem die Möglichkeit zu testen, wie gut die Workflows, Zugriffskontrollen und Berichtsansichten mit den tatsächlichen Arbeitsabläufen Ihres Managed Service Providers (MSP) übereinstimmen, damit Sie nicht nur Theorie erwerben. Anbieter- und Anwenderleitfäden, darunter auch Materialien von ISMS.online, weisen häufig darauf hin, dass selbstentwickelte, tabellenkalkulationsbasierte ISMS-Tools mit zunehmenden Verpflichtungen und Kundenerwartungen einen erheblichen Aufwand für Entwicklung, Governance und Audits verursachen können.

Eine Plattform wie ISMS.online kann Ihnen Folgendes bieten:

  • Ein strukturiertes Risikomodell, das bereits Vermögenswerte, Kontrollen, Behandlungsmethoden und die Anforderungen der ISO 27001 berücksichtigt.
  • Die Fähigkeit, eine globale Bibliothek gängiger MSP-Risiken zu pflegen und diese pro Mandant mit lokalem Kontext zu instanziieren.
  • Klare Segmentierung der Mandantendaten mit rollenbasierter Zugriffskontrolle für Ihre Teams und die Stakeholder des Kunden.
  • Verknüpfte Arbeitsabläufe für Risikobewertung, -behandlung, interne Revision und Managementbewertung, damit Risiko nie nur eine statische Tabelle ist.
  • Berichtsansichten, die sowohl Ihre eigenen Zertifizierungsanforderungen als auch kundenfertige Risikozusammenfassungen unterstützen.

Sie könnten einiges davon selbst mit Tabellenkalkulationen und Standardwerkzeugen umsetzen, doch das bringt einen laufenden Aufwand für Entwicklung, Governance und Audits mit sich. Die Nutzung einer Plattform, die diese Anforderungen bereits für viele Organisationen erfüllt, kann viel Zeit und Mühe ersparen.

Wie Sie entscheiden, ob eine Plattform die richtige für Sie ist

Um zu entscheiden, ob ISMS.online die richtige Lösung für Sie ist, bringen Sie zur Demo am besten einige konkrete Szenarien mit: einen komplexen Shared Service, einen anspruchsvollen Kunden oder eine aktuelle Herausforderung im Rahmen einer Wirtschaftsprüfung. Die Darstellung dieser Fälle in der Plattform ist aussagekräftiger als jede allgemeine Funktionsliste, da sie das Gespräch auf Ihre tatsächlichen Rahmenbedingungen und Ziele lenkt.

Wenn Sie anhand Ihrer eigenen Szenarien und Fragestellungen sehen möchten, wie ein mandantenfähiges ISO 27001-Risikoregister in der Praxis aussieht, können Sie eine kurze Sitzung mit dem ISMS.online-Team vereinbaren. In diesem Gespräch können Sie die hier beschriebenen Konzepte in Ihrer Umgebung testen, eine Migration Ihrer aktuellen Register planen und entscheiden, ob eine dedizierte ISMS-Plattform die richtige Grundlage für Ihre nächste Wachstumsphase bildet.

Kontakt


Häufig gestellte Fragen (FAQ)

Worin unterscheidet sich ein mandantenfähiges ISO 27001-Risikoregister von separaten, mandantenspezifischen Tabellenkalkulationen für einen Managed Service Provider (MSP)?

Ein mandantenfähiges ISO 27001-Risikoregister bietet Ihnen eine einheitliche Risikogrundlage für alle Kunden anstelle von Dutzenden von fehlerhaften, voneinander abweichenden Tabellenkalkulationen.

Warum funktionieren mandantenbezogene Tabellenkalkulationen nicht mehr, wenn Ihr Managed Service Provider (MSP) wächst?

Im kleinen Rahmen erscheint eine Tabelle pro Kunde überschaubar. Sobald man jedoch zehn, zwanzig oder fünfzig Mieter hat, lassen sich die Probleme kaum noch ignorieren:

  • Das gleiche Szenario („RMM-Kompromittierung“, „Ausfall der Backup-Plattform“, „Ausfall des Identitätsanbieters“) erscheint in jeder Datei in leicht unterschiedlichen Worten.
  • Jedes Blatt hat seine eigene Bewertungsskala und Beschriftung.
  • Niemand traut sich, irgendetwas global zu ändern, aus Angst, eine Kleinigkeit zu übersehen und dadurch Inkonsistenzen zu erzeugen.

Das macht einfache Portfoliofragen mühsam. Die Frage „Welche Kunden weisen in unserem gemeinsamen Risikomanagement noch ein hohes Restrisiko auf?“ kann stundenlanges manuelles Suchen, Kopieren und Überprüfen bedeuten. Es schwächt auch Ihre Glaubwürdigkeit gegenüber Wirtschaftsprüfern und Aufsichtsräten, da Sie zwar wissen, dass einige Risiken systembedingt sind, Ihre Nachweise aber verstreut und schwer vergleichbar sind.

Ein mandantenübergreifendes Risikoregister erspart Ihnen die Duplizierung von Logik in jeder einzelnen Tabelle und ermöglicht die Pflege eines zentralen, integrierten Systems. Sie identifizieren, bewerten, behandeln und überprüfen weiterhin Risiken pro Mandant, jedoch über eine strukturierte Ansicht, die der tatsächlichen Funktionsweise Ihrer Managed Services entspricht.

Durch die Zentralisierung der Struktur können Sie portfolioübergreifende Fragen mit wenigen Klicks statt mit wenigen Tagen beantworten und schaffen sich eine wesentlich stärkere Grundlage für ISO 27001, NIS 2 und ähnliche Rahmenwerke.

Wie funktioniert ein Risikomodell für mehrere Mieter in der Praxis?

In einem Multi-Tenant-Modell halten Sie Ihre MSP-weiter Risikokatalog einmalig erstellen Mandantenspezifische Instanzen die auf diese Muster Bezug nehmen.

Jede Instanz enthält:

  • Eine Mieterkennung, ein Dienst und eine Umgebung.
  • Lokale Bewertung, Eigentumsverhältnisse, Behandlungswahl und Überprüfungsdatum.
  • Klare Kennzeichnung, ob das Risiko dem Managed Service Provider (MSP), dem Kunden oder einer gemeinsamen Risikoverteilung zugeordnet ist.

Das ermöglicht eine präzise Filterung pro Kunde und gleichzeitig die Zusammenführung aller Daten in Portfolio- und Servicebereichsansichten. Gemeinsame Risiken – wie privilegierte Zugriffsrechte in Ihrer RMM-Plattform oder die Ausfallsicherheit eines zentralen Backup-Dienstes – werden einmal definiert, einmal aktualisiert und überall dort wiederverwendet, wo sie relevant sind.

Ein integriertes Informationssicherheitsmanagementsystem wie ISMS.online unterstützt dieses Mandantenmuster bereits. Sie wechseln von verstreuten Dateien zu einem verwalteten ISMS, ohne Strukturen, Beziehungen oder Zugriffskontrollen selbst entwerfen zu müssen.

Wann lohnt es sich, von Tabellenkalkulationen abzurücken?

Man weiß, dass es Zeit für einen Umzug ist, wenn:

  • Es braucht mehr als einen Arbeitstag, um eine Risikofrage auf Portfolioebene für die Führungsebene oder einen wichtigen Kunden zu beantworten.
  • Das gleiche Servicerisiko erscheint in verschiedenen Formulierungen und mit unterschiedlichen Bewertungen in verschiedenen Tabellenkalkulationen.
  • Auditoren oder wichtige Kunden fragen dann, wie Sie gemeinsame Risiken auf Ihrer gesamten Plattform managen, nicht nur innerhalb ihres eigenen Verantwortungsbereichs.

An diesem Punkt geht es bei einem mandantenfähigen ISMS weniger um Ordnung, sondern vielmehr darum, Ihre Margen, Ihren Ruf und Ihre Fähigkeit, glaubwürdig über Risiken zu sprechen, während Sie expandieren, zu schützen.

Welche Kernfelder und Metadaten machen ein mandantenfähiges MSP-Risikoregister wirklich revisionssicher?

Ein für Auditoren benutzerfreundliches Multi-Tenant-Risikoregister ermöglicht es, jedes beliebige Risiko auszuwählen und an einem einzigen Ort zu sehen, was passieren könnte, warum es wichtig ist, wer dafür verantwortlich ist und was unternommen wurde.

Welche Informationen sollte jede Risikodokumentation für Mehrmieter enthalten?

Für einen Managed Service Provider (MSP) sollte jeder Risikodatensatz stets fünf Fragen beantworten:

  1. Was könnte passieren?
    Eine prägnante Risikobeschreibung, die eine Bedrohung, eine Schwachstelle und eine Auswirkung miteinander verknüpft.

  2. Wozu?
    Der betroffene Mieter, die Dienstleistung und die betroffenen Vermögenswerte.

  3. Warum spielt es eine Rolle?
    Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sowie auf vertragliche oder regulatorische Verpflichtungen.

  4. Was unternehmen Sie dagegen?
    Vorhandene Kontrollmaßnahmen, gewählte Behandlungsoption und geplante Maßnahmen.

  5. Wem gehört das Ergebnis?
    Benannter Eigentümer auf Ihrer Seite und, falls relevant, auf der Seite des Kunden.

In der Praxis bedeutet das in der Regel Felder für:

  • Risiko-ID, Mieter-ID und Mietername.
  • Dienst oder Umgebung (zum Beispiel „Managed Endpoint – Produktion“).
  • Angaben zu den Vermögenswerten und eine standardisierte Risikoerklärung.
  • Wirkungsbereiche und inhärente Wahrscheinlichkeits-/Auswirkungswerte.
  • Vorhandene Kontrollen, die ISO 27001 Anhang A und anderen von Ihnen verwendeten Rahmenwerken zugeordnet sind.
  • Behandlungsoption (reduzieren, vermeiden, übertragen, akzeptieren) und Zieldatum.
  • Restrisikobewertung nach der Behandlung.
  • Risikoverantwortlicher, Maßnahmenverantwortliche, Status und Überprüfungsdatum.
  • Verantwortlichkeitskennzeichen (MSP, Kunde, gemeinsam genutzt).

Wenn Ihre Aufzeichnungen diesem Muster folgen, können Prüfer und Kunden Entscheidungen vom Szenario bis zur Behandlung mit wenigen Klicks nachvollziehen, anstatt Ihre Absicht aus verstreuten Notizen rückwärts zu ermitteln.

Wie können zusätzliche Metadaten Ihr MSP-Register im Alltag nützlicher machen?

Sobald die Grundlagen vorhanden sind, verwandelt das Hinzufügen einiger gut gewählter Metadatenfelder Ihr Register von einem reinen Compliance-Archiv in ein Entscheidungsinstrument. Gängige Beispiele hierfür sind:

  • Mietersektor, Größe und geografische Lage.
  • Kritikalitätsstufe (für Ihr Unternehmen und für den Kunden).
  • Regulatorisches Profil (z. B. „NHS-bezogen“, „PCI-bezogen“, „unterliegt NIS 2“).

Damit sind Fragen wie „Welche regulierten britischen Kunden weisen beim Fernzugriff noch ein hohes Restrisiko auf?“ oder „Welche Mieter im Gesundheitswesen sind auf unsere Legacy-Backup-Plattform angewiesen?“ werden zu einfachen Lösungen und nicht zu Mini-Projekten.

ISMS.online beinhaltet ein ISO 27001-konformes Schema, das diese Anforderungen bereits berücksichtigt. Sie modellieren Mandanten und Dienste einmalig, fügen die für Ihren Managed Service Provider (MSP) relevanten Metadaten hinzu und nutzen diese Struktur anschließend, um die Fragen von Auditoren, Kunden und Ihrer eigenen Führungsebene zu beantworten.

Wie trägt diese Struktur zur Geräuschreduzierung für die Prüfer und Ihr eigenes Team bei?

Eine klare Struktur und aussagekräftige Metadaten verkürzen Diskussionen. Anstatt lange E-Mail-Ketten zu führen, um die Bedeutung einer einzelnen Zeile in einer Tabelle zu entschlüsseln, können Sie Folgendes tun:

  • Führen Sie einen Auditor von einer Klausel über eine Kontrollmaßnahme zu einem konkreten Risiko und den Nachweisen für die Behandlung.
  • Geben Sie den Ingenieuren gefilterte Arbeitslisten, die sich auf die größten Restrisiken in ihrem Servicebereich konzentrieren.
  • Stellen Sie den Account-Teams prägnante, wiederholbare Ansichten zur Verfügung, die sie in den Quartalsberichten (QBRs) präsentieren können.

Dieser Paradigmenwechsel – von „Interpretieren, was dieses Dokument aussagen will“ zu „Diese Daten nutzen, um zu entscheiden, wie wir weiter vorgehen“ – ist einer der schnellsten Wege, den Druck sowohl auf Ihre Mitarbeiter als auch auf Ihre externen Gutachter zu verringern.

Wie kann ein Managed Service Provider (MSP) die gemeinsamen Risiken gemäß ISO 27001 für alle Mandanten standardisieren, ohne den jeweiligen Kundenkontext zu verlieren?

Sie standardisieren gängige ISO 27001-Risiken, indem Sie gemeinsame Muster einmal definieren und anschließend jeder Mandanteninstanz ihre eigene Bewertung, Kontrollen und ihren eigenen Geschäftskontext zuweisen.

Wie sieht ein wiederverwendbares MSP-Risikomuster konkret aus?

In einem typischen MSP-Portfolio resultiert ein Großteil des Risikos aus wiederkehrenden Szenarien: Phishing, Ransomware, Missbrauch privilegierter Zugangsdaten, Ausfall eines gemeinsamen Überwachungs- oder Backup-Dienstes, Lieferantenausfälle usw. Man möchte die Beschreibung und die Kontrollkonzepte schließlich nicht jedes Mal neu erfinden.

Ein wiederverwendbares Muster in Ihrem ISMS umfasst üblicherweise Folgendes:

  • Eine standardmäßige Risikoerklärung.
  • Typische Dienstleistungen und Vermögenswerte, die davon betroffen sind.
  • Empfohlene Kontrollmechanismen und unterstützende Prozesse gemäß Anhang A.
  • Beispielindikatoren, die anzeigen, ob das Risiko steigt oder sinkt.

Für jeden Kunden erstellen Sie dann eine Instanz dieses Musters und:

  • Verknüpfen Sie es mit ihren spezifischen Assets, Identitäten und Datenklassifizierungen.
  • Die Wahrscheinlichkeit und die Auswirkungen sollten auf die Nutzung des Dienstes und die jeweiligen regulatorischen Rahmenbedingungen abgestimmt werden.
  • Erfassen Sie deren tatsächliche Steuerungselemente und etwaige Lücken.
  • Konkrete Behandlungsmaßnahmen vereinbaren und den Behandlungsrhythmus überprüfen.

Betrachten Sie das Muster als eine Gussform und jede Mieterwohnung als ein Gussstück, das von der Realität des jeweiligen Kunden geprägt ist.

Mit der Zeit werden Sie wiederkehrende lokale Risiken erkennen – beispielsweise bestimmte Arten, wie Kunden Identitäten integrieren, Verwaltungsschnittstellen offenlegen oder auf Fernzugriff von Drittanbietern angewiesen sind. Wenn dasselbe Szenario bei mehreren Mandanten auftritt, können Sie es in die zentrale Datenbank aufnehmen und müssen es nicht mehr von Grund auf neu lösen.

Wie lässt sich eine Standardisierung durch bloßes Abhaken von Checklisten vermeiden?

Standardisierung wird nur dann zur bloßen Pflichterfüllung, wenn sie die wirklich wichtigen Unterschiede verschleiert. Das lässt sich vermeiden, indem man:

  • Es muss klar angegeben werden, welche Elemente gemeinsam genutzt werden und welche zwingend angepasst werden müssen.
  • Integrieren Sie Kontrollmechanismen in Ihren Prozess, sodass eine Stichprobe von Mandanteninstanzen mit der Realität abgeglichen wird und nicht nur die Vorlage.
  • Schaffen Sie Platz in Ihrem Katalog für neue, von Ingenieuren entdeckte Muster, nicht nur für solche, die an einer Tafel skizziert werden.

Eine gut umgesetzte Bibliothek bietet Ingenieuren und Account Managern einen Ausgangspunkt, keine starre Vorgabe. Sie profitieren von der Effizienz einer einheitlichen Sprache und bewährter Steuerungskonzepte und lässt gleichzeitig Raum, die individuellen Bedürfnisse, Architekturen und Anforderungen jedes Kunden zu berücksichtigen.

Ein ISMS wie ISMS.online ist nach diesem Bibliothek-plus-Instanz-Modell konzipiert, sodass Sie Ihren Risikokatalog übersichtlich halten und ihn gleichzeitig an der Realität Ihrer Managed Services von heute orientieren können.

Wie sollten Managed Service Provider (MSPs) das zugrunde liegende Datenmodell für ein mandantenfähiges ISO 27001-Risikoregister gestalten?

Das Datenmodell Ihres Multi-Tenant-Registers sollte es unmöglich machen, Mandantendaten versehentlich zu vermischen, aber gleichzeitig leicht erkennbar machen, wie gemeinsam genutzte Plattformen Risiken für Ihr gesamtes Portfolio mit sich bringen.

Was sind die wesentlichen Bausteine ​​eines sicheren Multi-Tenant-Modells?

Die meisten erfolgreichen MSP-Modelle weisen einige wenige gemeinsame Kernkomponenten auf:

  • Mieter oder Organisationen: – die jedes Kundenumfeld repräsentiert.
  • Dienstleistungen und Vermögenswerte: – eine Beschreibung dessen, was Sie anbieten und worauf es basiert.
  • Risikovorlagen und -fälle: – gemeinsame Muster und kundenspezifische Datensätze.
  • Kontrollen und Nachweise: – technische, verfahrenstechnische und organisatorische Maßnahmen sowie die dazugehörige Dokumentation.
  • Vorfälle und Änderungen: – Ereignisse, die neue Risiken oder Neubewertungen auslösen.

Die Zusammenhänge zwischen den einzelnen Faktoren sind entscheidend. Ein einzelnes Risikoereignis kann beispielsweise mit einer gemeinsam genutzten Plattform, der Nutzung dieser Plattform durch einen bestimmten Kunden, den von Ihnen angewandten ISO 27001- und NIS 2-Kontrollen sowie dem letzten Vorfall, der zur Änderung der Risikobewertung geführt hat, verknüpft sein. Diese Kette ermöglicht es Ihnen, eine schlüssige Argumentation zu liefern, wenn jemand Ihre Vorgehensweise im Risikomanagement in der Praxis hinterfragt.

Aus Sicht der Mieter wählen Managed Service Provider (MSPs) tendenziell eines von drei Mustern:

  • Isolierte Datenbanken pro Mandant mit einer darüberliegenden Berichtsschicht.
  • Eine gemeinsam genutzte Datenbank, in der jede Zeile einen Mandantenschlüssel und strenge Zugriffskontrollen enthält.
  • Ein Hybridmodell, bei dem besonders sensible Mieter isoliert sind und andere die Infrastruktur gemeinsam nutzen.

Für welches Modell Sie sich auch entscheiden, Sie benötigen eines, das eine eindeutige Filterung auf Mandantenebene und sichere und genaue Ansichten auf Portfolioebene ermöglicht.

Woran lässt sich erkennen, ob Ihr aktuelles Modell einer externen Prüfung standhält?

Ein schneller, ehrlicher Test besteht darin zu prüfen, ob Sie Folgendes ohne manuelle Umwege tun können:

  • Alle Risiken, Kontrollen und Nachweise für einen einzelnen Mandanten erfassen, ohne dabei Daten von anderen Personen preiszugeben.
  • Zeigen Sie an, welche Mandanten betroffen sind, wenn Sie eine gemeinsam genutzte Vorlage ändern oder eine ältere Plattform außer Betrieb nehmen.
  • Erstellen Sie eine gefilterte Ansicht der Datensätze, die unter ISO 27001, NIS 2, DORA oder SOC 2 fallen, ohne die Listen manuell bearbeiten zu müssen.

Wenn diese Aufgaben umständlich oder unzuverlässig sind, werden auch Prüfer und Aufsichtsbehörden früher oder später dasselbe Problem haben. Der Wechsel zu einem ISMS, das für den Einsatz in mehreren Organisationen konzipiert wurde, wie beispielsweise ISMS.online, bedeutet, dass die Fragen der Mandantenfähigkeit, des Geltungsbereichs und der Verknüpfung von der Plattform übernommen werden. So können Sie sich auf fundierte Risikoentscheidungen konzentrieren, anstatt Ihr eigenes Schema zu debuggen.

Welche praktischen Arbeitsabläufe sorgen dafür, dass ein mandantenfähiges ISO 27001-Risikoregister für viele MSP-Kunden aktuell bleibt?

Ein Mandantenregister verdient nur dann Vertrauen, wenn es sich im gleichen Tempo wie Ihre Managed Services entwickelt und nicht nur im Tempo Ihrer externen Audits.

Welche wiederkehrenden Arbeitsabläufe sind am wichtigsten für den Erhalt der Kasse?

ISO 27001 fordert die Identifizierung, Bewertung, Behandlung und Überwachung von Risiken. Für Managed Service Provider (MSPs) besteht die Herausforderung darin, diesen Zyklus in konkrete Verhaltensweisen umzusetzen, die sich in den Kundenalltag integrieren lassen. Die effektivsten Ansätze basieren in der Regel auf einigen wenigen, vorhersehbaren Arbeitsabläufen:

  • Einarbeitung und Veränderung: – Neukunden und wesentliche Änderungen der Dienstleistungen lösen definierte Risikomuster aus, nicht nur eine oberflächliche Überprüfung.
  • Betriebssignale: – Vorfälle, Schwachstellenanalysen, Lieferantenwechsel und Überwachungsalarme erzeugen oder aktualisieren verknüpfte Risiken, anstatt unzusammenhängende Tickets zu generieren.
  • Bewertung und Kalibrierung: – Es gibt eine klare, einfache Rubrik für Wahrscheinlichkeit und Auswirkung, sodass „hoch“ bei einem Mieter im Einzelhandel im Großen und Ganzen auch „hoch“ bei einem Mieter im Gesundheitswesen bedeutet.
  • Behandlung und Verantwortlichkeit: – Entscheidungen über die Annahme, Reduzierung, Übertragung oder Vermeidung von Risiken werden sowohl auf der Seite des Managed Service Providers (MSP) als auch auf der Seite des Kunden mit Angabe der Verantwortlichen und Fälligkeitstermine dokumentiert.
  • Überprüfungsrhythmus: – Regelmäßige Überprüfungen werden pro Risiko oder pro Dienstleistung geplant, wobei Erinnerungen und Transparenz bereitgestellt werden, wenn sie versäumt werden.

Diese Abläufe lassen sich in Playbooks und RACI-Diagrammen skizzieren, aber die Arbeit wird wesentlich einfacher, wenn das ISMS die Hauptarbeit übernimmt: Aufgaben zuweisen, Erinnerungen versenden, Nachweise verknüpfen und überfällige Überprüfungen auf Dashboards anzeigen.

ISMS.online wurde genau für diese Art der Durchsetzung entwickelt. Anstatt dass sich jemand daran erinnern muss, „die Risikotabelle vor dem Auditor zu aktualisieren“, sieht Ihr Team die Risikoarbeit direkt neben Tickets, Änderungen und anderen Aktivitäten, die ohnehin schon den Arbeitsalltag prägen.

Wie gelingt es, Kunden aktiv einzubinden, anstatt alle Risikoentscheidungen selbst zu tragen?

Je größer das Unternehmen wird, desto riskanter wird es, ohne ausdrückliche Zustimmung im Namen des Kunden risikoreiche Entscheidungen zu treffen. Die Kundenbindung lässt sich leichter aufrechterhalten, wenn:

  • Bei jedem Risiko wird die Verantwortung deutlich: Managed Service Provider (MSP), Kunde oder gemeinsam genutztes Risiko, mit Namen und nicht nur Rollen.
  • In den Review-Sitzungen werden einfache visuelle Zusammenfassungen verwendet, die die größten Risiken, die Änderungen und Ihre Empfehlungen hervorheben.
  • Die Entscheidungen werden in Geschäftssprache formuliert („dieses Risiko akzeptieren“, „in zusätzliche Kontrollmaßnahmen investieren“, „den Service anpassen“) anstatt in Sicherheitsjargon.

Wenn diese Entscheidungen in Ihrem ISMS dokumentiert werden, schaffen Sie eine Historie, die beide Seiten schützt. Sollte eine Aufsichtsbehörde, ein Auditor oder Ihr neuer CISO später fragen: „Warum haben wir das akzeptiert?“, können Sie nachweisen, wann die Entscheidung besprochen wurde, welche Optionen präsentiert wurden und wer sie genehmigt hat.

Wie können Managed Service Provider (MSPs) ein Multi-Tenant-Risikoregister in Berichte umwandeln, die Kunden tatsächlich schätzen?

Kunden schätzen Ihr Register dann, wenn es ihnen hilft, ihr Risiko zu erkennen und zu steuern, und nicht, wenn es nur ein im Hintergrund stehendes Artefakt zur Einhaltung gesetzlicher Bestimmungen ist.

Welche Berichtsperspektiven sind für MSP-Akteure in der Regel am wichtigsten?

Man findet üblicherweise drei Zielgruppen, die unterschiedliche Aspekte derselben zugrunde liegenden Wahrheit benötigen:

  • Ihre eigene Führungsrolle: – legt Wert auf mandantenübergreifende Themen, die Konzentration von Risiken auf gemeinsam genutzten Plattformen, Trends beim Restrisiko nach Servicebereich und Region sowie darauf, wie sich dies auf die Einnahmen auswirkt.
  • Die Führung jedes Kunden: – wünscht sich einen klaren, unternehmensfreundlichen Überblick über die größten Risiken, die Veränderungen seit dem letzten Mal und die Bereiche, in denen sie auf Ihre Unterstützung angewiesen sind.
  • Operative Teams: – sowohl Ihre Ingenieure als auch die IT- und Sicherheitsmitarbeiter des Kunden, die taktische Listen offener Risiken, überfälliger Maßnahmen und Abhängigkeiten benötigen.

Wenn alle drei Ansichten aus einem strukturierten, mandantenfähigen Register stammen, entfällt das Erstellen neuer Präsentationen für jedes Meeting. Sie können Fragen wie „Was sind die drei größten portfolioübergreifenden Risiken in diesem Quartal?“ und „Welche Hochrisikorisiken konnten wir für diesen Kunden seit unserer letzten Überprüfung beheben?“ mit denselben Daten beantworten.

ISMS.online bietet zusätzlich zum Register Portfolio-Dashboards und clientfertige Exporte, sodass das Erstellen dieser Ansichten zu einem festen Bestandteil Ihres Arbeitsablaufs wird und nicht mehr nur eine besondere Aufgabe darstellt.

Wie stärkt ein besseres Risikoreporting die Wettbewerbsposition Ihres Managed Service Providers?

Mit der Zeit verändert eine regelmäßige Berichterstattung die Wahrnehmung Ihres Unternehmens durch die Kunden:

  • Vorstände und Aufsichtsbehörden sehen das Risiko als System an, nicht als nachträglichen Gedanken vor jeder Prüfung.
  • Kundengespräche eröffnen naturgemäß die Möglichkeit für Service-Upgrades oder zusätzliche Kontrollmechanismen, da Restrisiken und Trends sichtbar und nicht nur angedeutet werden.
  • Potenzielle Kunden, die Anbieter vergleichen, können erkennen, dass Sie einer der wenigen MSPs sind, die strukturierte, wiederholbare Einblicke in Risiko und Compliance bieten, anstatt nur Ad-hoc-Excel-Zusammenfassungen.

Für viele Anbieter ist es genau diese Entwicklung – von „Wir reagieren schnell, wenn etwas kaputt geht“ hin zu „Wir können Ihnen in einfacher Sprache zeigen, wie sicher Sie sind und was als nächstes Priorität haben sollte“ –, die ein Informationssicherheitsmanagementsystem von einer internen Kostenstelle in einen sichtbaren Bestandteil Ihres Wertversprechens verwandelt.

Wenn Sie möchten, dass Ihre Organisation als langfristiger Sicherheits- und Compliance-Partner und nicht nur als ein weiterer Supportvertrag wahrgenommen wird, ist der Aufbau dieser Meldeprozesse auf der Grundlage eines mandantenfähigen Risikoregisters einer der zuverlässigsten Wege, dieses Ziel zu erreichen.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.