Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
FAQ - Häufig gestellte Fragen
Quick Start
Konzepte
Konzept: System und MandantKonzept: Daten und InformationenKonzept: Assets + AssetmanagementKonzept: TOM (Technische und Organisatorische Maßnahmen)
Grundfunktionen
Assets + Organisation
Datenschutz
Personal + Schulung

Konzept: TOM (Technische und Organisatorische Maßnahmen)

Die ersten beiden Konzept-Artikel dieser Serie haben das Grundgerüst der Schutzgegenstände aufgebaut: Informationswerte sagen, was geschützt werden muss, Assets sagen, wo die Information lebt. Dieser dritte Artikel beantwortet die dritte Frage: wie wird geschützt. Im audatis MANAGER ist das Modul Technische und organisatorische Maßnahmen (kurz TOM) das operative Herzstück des DSMS, ISMS - und gleichzeitig das prüfungsrelevanteste Modul für jedes Audit, ob nach DS-GVO Art. 32, ISO 27001 oder einem branchenspezifischen Rahmenwerk.

Was eine TOM ist und was sie leistet

Eine technische oder organisatorische Maßnahme ist eine konkret beschriebene Schutzhandlung, die ein definiertes Schutzziel adressiert. Sie ist nicht eine Maßnahme, die geplant, umgesetzt und in ihrer Wirksamkeit überwacht wird. Genau diese drei Phasen bildet der MANAGER ab: Geplant, In Umsetzung, Umgesetzt.

Die Unterscheidung technisch vs. organisatorisch folgt dem Sprachgebrauch von DS-GVO Art. 32. Technische Maßnahmen wirken über Konfiguration, Hardware oder Software (Festplattenverschlüsselung, MFA, Backups, etc.). Organisatorische Maßnahmen wirken über Regeln, Prozesse, Verantwortlichkeiten, Schulungen (Berechtigungsrichtlinie, Aufgabenteilung, Phishing-Awareness-Training, etc.). Beide Ebenen sind gleichwertig und zur Abbildung von Datenschutz und Informationssicherheit notwendig, und müssen das Niveau abbilden, welches zum Schutzbedarf passt.

Im audatis MANAGER ist das TOM-Modul das zentrale Maßnahmenregister, in dem Schutzwirkung, Verknüpfung, Mapping zu Anforderungen und Wirksamkeitsüberwachung zusammenlaufen.

Es bietet sich an, Maßnahmen auch möglichst granular darzustellen. Statt einer globalen Maßnahme "Firewall" empfehlen wir "Standort Firewall Herford", "Standort Firewall Bielefeld", "WAF Webapplikation", sodass diese auch differenziert bewertet werden können.

TOM im ehemaligen audatis MANAGER

Wer aus der Vorgänger-Generation des audatis MANAGER kommt, kennt eine andere TOM-Welt. Dieser Abschnitt stellt das alte Modell und seine Schwächen gegenüber und erklärt warum der neue audatis MANAGER einen anderen Ansatz fährt.

Funktionsweise im alten MANAGER.

Im ehemaligen audatis MANAGER wurden TOM in Form von TOM-Katalogen geführt. Ein Katalog war im Kern eine Textsammlung von Maßnahmenbeschreibungen - in der Praxis häufig standort- oder unternehmensbezogen angelegt ("TOM-Katalog Standort Bielefeld", "TOM-Katalog Konzernzentrale"). In einem solchen Katalog standen alle technischen und organisatorischen Maßnahmen, die an einem Standort oder im Unternehmen wirksam sind, als zusammenhängender Fließtext oder als gegliederte Maßnahmenliste. Die Verknüpfung mit dem Verzeichnis der Verarbeitungstätigkeiten erfolgte auf Katalog-Ebene: eine VT wurde mit einem oder mehreren TOM-Katalogen verknüpft. Damit war formal die Aussage getroffen, dass die im Katalog hinterlegten Maßnahmen die Verarbeitung schützen.

Drei strukturelle Schwächen dieses Ansatzes traten in Audits und in der täglichen Pflege regelmäßig auf:

  1. Keine Granularität, pauschale Zuordnung. Ein TOM-Katalog wurde immer als Ganzes mit einer VT verknüpft. Die Aussage lautete damit faktisch: "Alle Maßnahmen aus diesem Katalog schützen diese VT." Das stimmt in der Realität so gut wie nie. Eine Maßnahme zur Serverraum-Zutrittssicherung schützt die Personalbuchhaltung in derselben Weise wie das Webshop-VVT - nämlich nur insoweit, als die jeweiligen Assets im geschützten Serverraum stehen. Ein Katalog vermischt das, statt es zu differenzieren.
  2. Dubletten waren unsichtbar. Wer mehrere Kataloge führte (typisch: pro Standort, pro Tochtergesellschaft, pro Anwendungsbereich), schrieb dieselbe Maßnahme - "Festplattenverschlüsselung der mobilen Endgeräte" - mehrfach in unterschiedlichen Formulierungen in unterschiedliche Kataloge. Identische oder fast identische Schutzhandlungen waren als solche nicht erkennbar, geschweige denn zentral pflegbar. Eine Änderung an einer Maßnahme (etwa Wechsel des Krypto-Verfahrens) musste in jedem Katalog manuell nachgezogen werden.
  3. Keine Wirksamkeitsüberwachung. Der TOM-Katalog war eine dokumentierte Maßnahmenliste, kein prüfbares System. Ob eine konkrete Maßnahme wirksam war, ob die Wirksamkeit periodisch geprüft wurde, wann sie zuletzt bewertet wurde, mit welchem Ergebnis - all das ließ sich aus der Katalog-Sicht weder ermitteln noch fortschreiben. Der alte Ansatz ließ den Wirksamkeits-Pfad organisatorisch außerhalb des Tools (z.B. in dedizierten Audits) entstehen - mit der Folge, dass Audit-Belege regelmäßig parallel und unverknüpft gepflegt wurden.

Insgesamt waren die alten TOM-Kataloge eher abstrakte, dokumentierende Maßnahmenlisten - geeignet zum Aushändigen an den Auftraggeber im Rahmen eines AVV, aber nicht geeignet als operatives Maßnahmenregister mit Wirkungsbezug und als Risikobehandlungsmaßnahmen.

Grundidee des neuen MANAGERs.

Der neue audatis MANAGER kehrt das Modell um. Die zentrale Einheit ist nicht mehr der Katalog, sondern die atomare, eigenständig pflegbare Einzelmaßnahme. Diese trägt eine eindeutige Identität, einen Status, ein eigenes Datenmodell mit Schutzzielen und Anforderungs-Mapping, eine eigene Wirksamkeitshistorie - und sie wird mehrfach verknüpft statt pauschal pro Katalog zugeordnet: zu den Assets, die sie konkret schützt, zu den VT, denen sie zugeordnet ist, zu den Risiken, die sie behandelt, zu den Geschäftsprozessen, die sie absichert, und zu den Bedrohungen, die sie mitigiert. Aus dieser Mehrfach-Verknüpfung lassen sich pro VT, pro Asset, pro Risiko die tatsächlich wirkenden Maßnahmen ableiten - präzise, ohne Vermischung, ohne Dubletten. Dubletten werden im neuen Modell strukturell unmöglich, weil eine Maßnahme nur einmal existiert (bestenfalls) und an beliebig vielen Stellen referenziert wird. Die Wirksamkeitsüberwachung ist in einem eigenen Tab verankert, mit Bewertungs-Zeitpunkten, Verantwortlichen, Status, Belegen und automatischer Erinnerung an die nächste Prüfung.

Die normativen und regulatorischen Anforderungen

TOM gehört zu den wenigen Begriffen, die in mehreren wesentlichen Regelwerken eine fast identische Rolle spielen.

Art. 32 DS-GVO verpflichtet den Verantwortlichen und den Auftragsverarbeiter, "geeignete technische und organisatorische Maßnahmen" zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Norm nennt vier Schutzziele - Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit - und verlangt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit.

ISO/IEC 27001:2022 Annex A liefert mit 93 Controls in vier Themen (Organisatorisch, Personen, Physisch, Technologisch) den standardisierten Maßnahmenkatalog. Jede Control ist eine Maßnahmen-Vorgabe, die im SoA (Statement of Applicability) auf das eigene Risiko-Bild angewendet wird.

Wer in regulierten Branchen, kritischen Sektoren oder in industriellen Lieferketten arbeitet, baut auf diesem Kern weitere Anforderungs-Schichten auf. Der audatis MANAGER bildet das im Tab Anforderungs-Mapping pro Maßnahme ab und unterstützt mehrere Rahmenwerke parallel - aktivierbar pro Mandant.

BSIG / NIS-2-Umsetzung. Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) setzt die EU-NIS-2-Richtlinie in deutsches Recht um und adressiert "besonders wichtige" und "wichtige Einrichtungen" in 18 Sektoren. § 30 BSIG verpflichtet die betroffenen Einrichtungen zu "geeigneten, verhältnismäßigen und wirksamen technischen, operativen und organisatorischen Maßnahmen" - mit explizit zehn Mindest-Themenfeldern (Risikomanagement-Konzept, Vorfalls-Bewältigung, BCM, Lieferkettensicherheit, Sicherheit bei Beschaffung, Wirksamkeitsbewertung, Kryptographie, Personalsicherheit, Zugriffskontrolle, MFA). § 31 BSIG ergänzt die Melde-Pflichten innerhalb gesetzlicher Fristen. Die Vorgaben überschneiden sich stark mit dem ISO-27001-Maßnahmenkatalog - das Anforderungs-Mapping macht die NIS-2-Konformität pro Maßnahme nachvollziehbar.

DORA (Digital Operational Resilience Act). Die EU-Verordnung 2022/2554 ist seit 17. Januar 2025 für Finanzunternehmen und ihre IKT-Drittdienstleister unmittelbar anwendbar. Sie verlangt einen umfassenden IKT-Risikomanagementrahmen (Art. 5-15), inklusive Identifikation, Schutz, Detektion, Wiederherstellung und Lernen - mit dokumentierter Wirksamkeitsbewertung und expliziten Anforderungen an Drittparteien-Verträge (Art. 28-44). Für Finanzdienstleister ersetzt DORA die bisherigen BAIT- und VAIT-Erwartungen weitgehend; die im MANAGER hinterlegten BAIT-/VAIT-Bausteine werden im Mapping mit DORA-Artikeln verzahnt.

BSI C5 (Stand 2026). Der Cloud Computing Compliance Criteria Catalogue (C5) des BSI ist der nationale Standard für die Sicherheit von Cloud-Diensten. Er strukturiert Anforderungen in 17 Themenfeldern (Organisation, Personal, Asset, physische Sicherheit, Betrieb, Identitäts- und Zugriffsmanagement, Kryptographie, Kommunikationssicherheit, Lieferantenmanagement, Beschaffung/Entwicklung, Vorfall-Management, BCM, Compliance, Audit-Bericht-Vorgaben). Cloud-Anbieter weisen C5-Konformität über Typ-1- und Typ-2-Testate nach; Cloud-Nutzer (Auftragsverarbeiter-Kunden) verwenden den Katalog als Auswahl- und Prüfraster. Im TOM-Mapping markieren Sie damit, welche eigenen Maßnahmen die C5-Kontrollen abdecken.

TISAX® (VDA ISA). Das Trusted Information Security Assessment Exchange® wird vom ENX-Verband im Auftrag des VDA betrieben und ist faktisch verpflichtend für Zulieferer der deutschen Automobilindustrie. Grundlage ist der VDA-ISA-Katalog (Information Security Assessment), abgestuft in Assessment Levels AL1 bis AL3 sowie Erweiterungs-Labels (Prototypenschutz, Anbindung an Dritte, Datenschutz). Die ISA-Anforderungen lehnen sich eng an ISO 27001 an, ergänzen aber automobil-spezifische Kontrollen (z. B. physischer Prototypenschutz, projektbezogene Klassifizierung). Im audatis MANAGER mappen Sie Ihre Maßnahmen direkt gegen ISA-Kontrollnummern und nutzen das im Exchange-Portal hinterlegte Label-Profil als Audit-Vorbereitung.

Der audatis MANAGER überlässt es Ihnen, welche Rahmenwerke Sie in Ihrem Mandanten aktivieren. Sie können Ihr TOM-Verzeichnis primär DS-GVO-getrieben aufbauen, ISO-getrieben, NIS-2-getrieben oder branchenspezifisch (DORA, C5, TISAX) - oder kombiniert. Der Tab Anforderungs-Mapping auf der Detailseite verbindet jede einzelne Maßnahme mit den Anforderungen, die sie abdeckt: Annex-A-Controls, BSI-IT-Grundschutz-Bausteine, NIS-2-/BSIG-Themenfelder, DORA-Artikel, C5-Kontrollen, TISAX®-/ISA-Anforderungen, BAIT, VAIT und weitere Frameworks, soweit im Mandanten aktiviert.

Maßnahmen-Logik: Schutzziele, Verknüpfungen, Wirkungsnachweis

Jede Maßnahme im audatis MANAGER trägt drei tragende Datenstrukturen.

Erstens die Schutzziele (C/I/A) im Tab Stammdaten. Hier wird festgehalten, welche der drei klassischen Schutzziele die Maßnahme adressiert, jeweils mit einer eigenen Begründung. Eine Maßnahme kann auf alle drei Ziele wirken (z. B. ein gehärtetes Backup-Konzept), oder gezielt auf eines (z. B. Festplattenverschlüsselung primär auf C). Diese Klassifikation ist die Brücke zwischen der Schutzbedarfs-Welt (Informationswerte, Assets) und der Maßnahmen-Welt: ein Asset mit Schutzbedarf C = sehr hoch benötigt eine passende TOM TOM mit Auswirkung auf Verfügbarkeit.

Zweitens die Verknüpfungen im gleichnamigen Tab. Hier wird die Schutzwirkung im Kontext sichtbar. Eine Maßnahme kann verknüpft sein mit:

  • Assets - welche Systeme, Standorte, Datenträger schützt sie konkret
  • Risiken - welche Risiken aus dem Risikoinventar behandelt sie (Basis für den Risikobehandlungsplan)
  • Verarbeitungstätigkeiten (VVT) - welche personenbezogenen Verarbeitungen schützt sie (Basis für das TOM-Register gem. Art. 32 DS-GVO)
  • Geschäftsprozesse - welche Prozesse werden durch welche TOM geschützt
  • Bedrohungen - welche aus dem Bedrohungskatalog stammenden Angriffsvektoren werden mitigiert

Diese Mehrfach-Verknüpfung ist gewollt: dieselbe Maßnahme "Festplattenverschlüsselung Notebooks" schützt mehrere Assets, behandelt mehrere Risiken, deckt mehrere VTs ab.

Drittens das Anforderungs-Mapping als eigener Tab. Es ist die Brücke zur Compliance-Darstellung und Basis aller Audit-Exports.

Wirksamkeit

Ein weiterer wichtiger Baustein im TOM-Modul ist der Tab Wirksamkeit.

Der audatis MANAGER bildet das mit zwei Mess-Zyklen ab:

  • Messung (z. B. monatlich, quartalsweise) - operativer Messwert, automatisch oder manuell erfasst
  • Wirksamkeitsprüfung (z. B. jährlich, halbjährlich) - übergeordnete Bewertung, ob die Maßnahme das Schutzziel überhaupt erfüllt

Den Ablauf und die FUnktionsweise von Wirksamkeitsprüfungen finden Sie in den verknüpften Artikeln am Ende dieses Artikels.

Verknüpfung mit Assets, Informationswerten und VVT

Die TOM ist das fehlende Bindeglied zwischen Schutzbedarf und SoA. Folgendes Bild ergibt sich, wenn alle drei Module sauber gepflegt sind:

Frage

Modul

Datenquelle

Was muss geschützt werden?

Daten und Informationen

Informationswert mit C/I/A-Bewertung

Wo lebt es?

Assetmanagement

Asset mit Asset-Owner und vererbtem Schutzbedarf

Welche Verarbeitungen finden statt?

VVT

Verarbeitungstätigkeit mit Zweck und Rechtsgrundlage

Welche Maßnahmen schützen das?

TOM

Maßnahme mit Schutzzielen, Wirksamkeit und Anforderungs-Mapping

SoA - das Statement of Applicability als Krönung

ISO 27001 verlangt das Statement of Applicability als zentrales Audit-Dokument. Es bildet die Annex-A-Controls auf die im eigenen ISMS getroffenen Entscheidungen ab: anwendbar oder nicht anwendbar, wie umgesetzt, welche Maßnahme deckt das ab. Der audatis MANAGER generiert den SOA-Report direkt aus dem TOM-Modul - als CSV, Excel oder PDF - und zieht das Anforderungs-Mapping als Grundlage.

Tipps für ein SoA:

  1. Begründungen pflegen. Eine "anwendbare" oder "nicht anwendbare" Control braucht eine fachliche Begründung - Maßnahmen-Beschreibung, Schutzziele und Verantwortlicher müssen schlüssig sein.
  2. Wirksamkeit dokumentieren. Eine "anwendbare und umgesetzte" Control ohne Mess-Ergebnisse oder Prüf-Historie ist in Audits eine Aussage ohne Beleg. Mindestens eine Wirksamkeitsprüfung pro Audit-Zyklus.

TOM-Texte sind kein Selbstzweck

Eine oft übersehene Disziplin: die Beschreibung der Maßnahme. Eine TOM "Backup-Konzept" ohne Inhalt ist im Audit eine Worthülse. Die saubere Variante beschreibt: was wird gesichert (Scope), wie oft (Frequenz), wohin (Speicherort), wie lange aufbewahrt (Retention), wer ist verantwortlich (Owner), wie wird die Wiederherstellbarkeit geprüft (Recovery-Test). Diese sechs Punkte machen aus einem Maßnahmen-Namen eine prüfbare Aussage.

Tipp: Textbausteine helfen, die Beschreibungs-Qualität über das gesamte TOM-Register hochzuhalten. Im Anlegen-Modal greift ein Autocomplete-Feld auf die in der Mandanten-Konfiguration gepflegte Textbaustein-Bibliothek zu. Wer eine wiederkehrende Maßnahmenklasse mehrfach erfasst (Festplattenverschlüsselung pro Endgerät-Typ, Awareness-Trainings pro Abteilung), spart durch Textbausteine sowohl Zeit als auch Konsistenz - und liefert dem Auditor durchgängige Sprache.

Mehrsprachigkeit ist ein zweiter, oft vergessener Faktor. Bei aktivierter Mehrsprachigkeit im Mandanten lassen sich Bezeichnung, Beschreibung und Wirksamkeitsbegründung über den Splitscreen-Modus ins Englische übersetzen. Für internationale Kunden, TISAX-Assessments oder grenzüberschreitende Audits ist die zweisprachige Pflege keine Kür - sie ist die Voraussetzung dafür, dass das TOM-Register überhaupt prüfbar wird.

Was Sie als Nächstes lesen sollten

Wer das Konzept verstanden hat, vertieft die Datenmodell-Sicht im Übersichts-Artikel TOM: Überblick und Konzept. Für die fehlenden Bezüge der Verknüpfungs-Kette folgen das Konzept: Daten und Informationen und das Konzept: Assets. Damit haben Sie die drei tragenden Säulen des audatis MANAGER DSMS- und ISMS-Datenmodells im Bild.

Verwandte Artikel


War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung