GRC: Governance, Risk Management und Compliance für Unternehmen

GRC - Governance, Risk Management and Compliance - ist der systematische Ansatz um sicherzustellen, dass ein Unternehmen strategische Ziele verfolgt (Governance), Risiken kennt und steuert (Risk Management) und regulatorische Anforderungen erfüllt (Compliance). Der Schlüssel ist Integration: Statt drei separate Silos zu betreiben, verfolgt modernes GRC einen einheitlichen Ansatz.

Was GRC bedeutet - und was nicht

Die drei GRC-Säulen:

G - Governance (Steuerung):
  → Strategische Ausrichtung der IT und Sicherheit
  → Wer hat welche Verantwortung?
  → Policies, Standards, Prozesse definieren
  → Führung einbinden: Sicherheit ist Chefsache!
  → Werkzeuge: Security Policies, RACI-Matrix, KPIs

R - Risk Management (Risikomanagement):
  → Risiken identifizieren, bewerten, steuern
  → Welche Bedrohungen gibt es für das Unternehmen?
  → Akzeptables Risiko vs. zu behandelndes Risiko
  → Residualrisiko nach Maßnahmen
  → Werkzeuge: Risikoregister, ISMS-Risikoanalyse (ISO 27005)

C - Compliance:
  → Einhaltung externer Anforderungen (Gesetze, Normen)
  → DSGVO, NIS2, KRITIS, ISO 27001, PCI DSS, HIPAA...
  → Nachweis der Compliance (Audits, Zertifizierungen)
  → Unterschied: Compliance ≠ Sicherheit! (nur Mindeststandard)

Was GRC NICHT ist:
  → GRC ist kein Ersatz für technische Sicherheitsmaßnahmen
  → "Wir sind ISO-27001-zertifiziert" ≠ "Wir sind sicher"
  → GRC ohne technische Umsetzung ist wertlos (Papier-Compliance)

Das GRC-Problem ohne integriertem Ansatz

Typische Situation ohne GRC-Integration:

ISO 27001 Projekt (IT-Abteilung):
  → Erarbeitet Policies, Risikoanalyse, Awareness Training

DSGVO-Projekt (Datenschutzbeauftragter):
  → Verarbeitungsverzeichnis, Datenschutzerklärung, TOMs

NIS2-Projekt (Compliance-Manager):
  → Meldeprozesse, Lieferantenbewertung

Ergebnis:
  → Drei separate Risikoanalysen (für ISO, DSGVO, NIS2)!
  → Drei separate Richtlinien-Dokumente
  → Dreifacher Aufwand bei Audits
  → Widersprüchliche Aussagen in verschiedenen Dokumenten
  → Niemand hat Gesamtüberblick über das Risikobild

Integriertes GRC:
  → Eine Risikoanalyse → deckt ISO 27001, DSGVO, NIS2 ab
  → Control-Mapping: "Diese Maßnahme erfüllt ISO A.8.5 + DSGVO Art. 32"
  → Single Source of Truth für alle Compliance-Anforderungen
  → Effizienz: ein Audit für mehrere Standards möglich (ISMS + DSMS)

GRC-Framework aufbauen

Schritt 1: Anforderungs-Inventur

Welche regulatorischen Anforderungen gelten?

  Gesetzlich verpflichtend:
    □ DSGVO (alle Unternehmen in der EU)
    □ NIS2 (wenn critical/important entity)
    □ KRITIS-Verordnung (KRITIS-Betreiber)
    □ Branchenspezifisch: BAIT (Banken), KAIT (Versicherungen)

  Vertraglich verpflichtend:
    □ ISO 27001 (von Kunden oder Ausschreibungen gefordert)
    □ PCI DSS (Kreditkarten-Akzeptanz)
    □ SOC 2 (US-Markt, Cloud-Services)
    □ TISAX (Automotive)

  Freiwillig/Best Practice:
    □ BSI IT-Grundschutz
    □ CIS Controls
    □ NIST Cybersecurity Framework

---

Schritt 2: Control Framework wählen

ISO 27001:2022 (empfohlen):
  → 93 Controls in 4 Bereichen + Annex A
  → Weltweit anerkannt, zertifizierbar
  → Deckt Grundlage für DSGVO/NIS2 mit ab

CIS Controls v8 (alternativ, besonders für KMU):
  → 18 Control Groups, priorisiert
  → Implementation Groups 1-3 (nach Größe und Reife)
  → Technik-fokussierter als ISO 27001

NIST CSF 2.0 (2024):
  → 6 Funktionen: Govern, Identify, Protect, Detect, Respond, Recover
  → Flexibel, nicht zertifizierbar aber widely referenced
  → Kostenlos, öffentlich

---

Schritt 3: Risikoregister aufbauen

Risikoregister-Struktur:

Risiko-ID | Risikobezeichnung | Bedrohung | Schwachstelle | Wahrscheinlichkeit | Auswirkung | Risiko-Score | Maßnahmen | Residualrisiko | Owner

Bewertungsmatrix (3x3 vereinfacht):

         Auswirkung:
         Niedrig  Mittel  Hoch
Wahrsch. Hoch:    M       H      KR
         Mittel:  N       M      H
         Niedrig: N       N      M

KR = Kritisch (sofortiger Handlungsbedarf)
H  = Hoch (baldige Behandlung)
M  = Mittel (planmäßige Behandlung)
N  = Niedrig (akzeptierbar oder Monitoring)

Typische Top-10-Risiken (KMU):
  1. Ransomware-Angriff (Hoch, Hoch = Kritisch)
  2. Phishing → Credential-Kompromittierung (Hoch, Hoch = Kritisch)
  3. Insider Threat (Mittel, Hoch = Hoch)
  4. Ungepatchte Schwachstellen (Hoch, Mittel = Hoch)
  5. Datenverlust durch Backup-Versagen (Mittel, Hoch = Hoch)
  6. Supply-Chain-Kompromittierung (Niedrig, Hoch = Mittel)
  7. DDoS gegen Online-Präsenz (Mittel, Mittel = Mittel)
  8. Verlust mobiler Geräte (Hoch, Mittel = Hoch)
  9. BEC/CEO-Fraud (Mittel, Hoch = Hoch)
  10. Compliance-Verstoß/DSGVO-Bußgeld (Niedrig, Kritisch = Hoch)

---

Schritt 4: Policies und Standards definieren

Policy-Hierarchie:
  Level 1: Information Security Policy (Top-Level, von GF unterschrieben)
  Level 2: Standards (Passwort-Policy, Verschlüsselungs-Standard)
  Level 3: Verfahren/Prozesse (Incident-Response-Prozess, Patch-Verfahren)
  Level 4: Arbeitsanweisungen (Schritt-für-Schritt für IT)

Wichtigste Policies:
  □ Information Security Policy
  □ Acceptable Use Policy (Nutzungsrichtlinie)
  □ Password Policy (Passwort-Richtlinie)
  □ Access Control Policy
  □ Incident Response Policy
  □ Business Continuity / Disaster Recovery Policy
  □ Data Classification Policy
  □ Vendor Management Policy (Lieferantensicherheit)
  □ Remote Work Policy
  □ BYOD Policy

GRC-Tools für verschiedene Größen

Kleine Unternehmen (< 50 MA):

  Risikomanagement ohne Tool:
  → Excel/Google Sheets: Risikoregister, Control-Matrix
  → Word: Policies, Verfahrensanweisungen
  → SharePoint/Confluence: Dokumentenmanagement
  → Kosten: 0 (abgesehen von Zeitaufwand)

  Vorteil: Flexibel, keine Lizenzkosten
  Nachteil: Versionierung manuell, keine Dashboards

---

Mittelstand (50-500 MA):

  verinice (Open Source ISMS-Tool):
  → Kostenlose Basisversion
  → BSI IT-Grundschutz und ISO 27001 templates
  → Risikomanagement, Maßnahmentracking
  → DSGVO-Modul verfügbar

  Enginsight (DACH-Anbieter):
  → Vulnerability Management + GRC kombiniert
  → NIS2-Compliance-Modul
  → Deutsche Hosting-Infrastruktur (DSGVO)

  DocuWare / ELO (Dokumentenmanagement):
  → Versionierung, Workflow-basierte Genehmigungen
  → Revisionsichere Archivierung

---

Enterprise (500+ MA):

  ServiceNow GRC:
  → Führende Enterprise-Plattform
  → Integriertes Risk, Policy, Audit Management
  → CMDB-Integration
  → Sehr teuer, aber vollständig

  SAP GRC:
  → Für SAP-Umgebungen
  → Access Control, Process Control, Risk Management
  → Integration in SAP-Landschaft

  Archer (RSA):
  → Marktführer für komplexe GRC-Anforderungen
  → Hochkonfigurierbar

---

ISMS-spezifische Tools:

  DataGuard (DACH-Anbieter):
  → ISO 27001 + DSGVO Plattform
  → Geführte Implementierung
  → Automatisierte Compliance-Prüfungen

  Vanta (für SaaS-Unternehmen):
  → SOC 2, ISO 27001, GDPR Automatisierung
  → Kontinuierliches Monitoring der technischen Controls
  → Gut für Cloud-native Unternehmen

GRC und regulatorisches Mapping

Control-Mapping: Eine Maßnahme - viele Standards

Beispiel: Verschlüsselung at rest

  ISO 27001:2022: A.8.24 Use of cryptography
  DSGVO Art. 32: (1)(a) Pseudonymisierung und Verschlüsselung
  BSI IT-Grundschutz: CON.1 Kryptokonzept
  NIS2: Art. 21 (2)(d) Sicherheit der Lieferkette

  → Eine Maßnahme (Festplattenverschlüsselung) = 4 Anforderungen erfüllt!
  → Im GRC-Tool: Maßnahme mit allen 4 Controls verknüpfen

Compliance-Kalender:
  Januar:    ISO-27001-Management-Review
  März:      DSGVO-Datenschutzbericht erstellen
  April:     ISO-27001-Internes Audit (Vorbereitung Rezertifizierung)
  Juni:      Risikoanalyse-Update
  September: NIS2-Reporting (wenn applicable)
  Oktober:   ISO-27001-Surveillance Audit (jährlich)
  Dezember:  Security-Awareness-Jahrestraining

KPIs für GRC-Reporting:
  → Offene Sicherheitslücken: Trend (nimmt zu oder ab?)
  → Patch-Compliance: % der Systeme up to date
  → Maßnahmen-Umsetzungsrate: aus Risikoanalyse offene Punkte
  → Policy-Leserate: haben alle Mitarbeiter Policies bestätigt?
  → Awareness-Training-Abschlussrate
  → Incident Response Time: MTTD, MTTR
  → Audit-Findings: Anzahl offener Feststellungen