Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
Grundfunktionen
Assets + Organisation
Datenschutz
Informationssicherheit
Technische und Organisatorische Maßnahmen (TOM)
ModulüberblickTOM anlegen und Stammdaten pflegenTOM-Wirksamkeit prüfen und messenTOM-Verknüpfungen pflegen: Asset, Risiko, VVT, GeschäftsprozessTOM: Statement of Applicability (SoA)-Export und Anforderungs-MappingTOM per Massenaktion bearbeitenTOM-Modul konfigurieren
Personal + Schulung
FAQ + Troubleshooting
Changelog
Changelog
Changelog Juni 2026

TOM-Modul konfigurieren

Technische und Organisatorische Maßnahmen (TOM)

In diesem Artikel passen Sie das Modul Technische und organisatorische Maßnahmen (TOM) an Ihren Mandanten an: Frameworks, Bedrohungskatalog, Textbausteine, Schlagwörter, Überwachungskategorien, den Nummernkreis sowie den Prüf- und Aktualisierungsworkflow. Diese Konfiguration richten Sie einmalig bei der Einrichtung ein und passen sie später an, wenn neue Normen hinzukommen oder Ihre Maßnahmen-Bibliothek wächst. Die Frameworks aus dieser Konfiguration speisen die Erklärung zum Anwendbarkeit (SoA) und das Anforderungs-Mapping jeder einzelnen Maßnahme.

In 10 Minuten erledigt

  • In der Sidebar Informationssicherheit > Technische und organisatorische Maßnahmen öffnen und über den Hilfe-Sidebar-Eintrag Technische + organisatorische Maßnahmen konfigurieren die Konfiguration aufrufen.
  • Im Reiter Frameworks prüfen, welche der mitgelieferten System-Frameworks für Ihren Mandanten relevant sind, und nicht benötigte deaktivieren.
  • Im Reiter Textbausteine die vorkonfigurierten System-Bausteine sichten, die Sie als Ausgangspunkt für Ihre Maßnahmen-Bibliothek nutzen.
  • Im Reiter Überwachungskategorien drei bis vier Kategorien für die Wirksamkeitsüberwachung anlegen.
  • Im Reiter Einstellungen Präfix und ID-Format des Nummernkreises festlegen.
  • Im Reiter Prüfworkflow entscheiden, ob Maßnahmen-Änderungen formal geprüft werden sollen, und gegebenenfalls einen Standard-Prüfer setzen.

Die sieben Bereiche der Konfiguration

Die Konfigurationsseite gliedert sich in sieben Reiter, die Sie in beliebiger Reihenfolge bearbeiten können: Frameworks, Bedrohungen, Textbausteine, Schlagwörter, Überwachungskategorien, Einstellungen und Prüfworkflow. Die folgende Reihenfolge entspricht einem sinnvollen Einrichtungspfad.

Frameworks

Im Reiter Frameworks verwalten Sie die Norm- und Anforderungskataloge, gegen die Ihre Maßnahmen gemappt werden. Die Tabelle zeigt pro Framework das Kürzel, die Bezeichnung, die Anzahl der Anforderungen, das Aktiv-Kennzeichen und das System-Kennzeichen.

Im Auslieferungszustand stehen die folgenden System-Frameworks bereit:

Kürzel

Bezeichnung

BSI

BSI IT-Grundschutz

DSGVO_BDSG

DS-GVO + BDSG

DSGVO32

DS-GVO Art. 32

ISO27001

ISO 27001:2022 Annex A

NIS2

NIS-2-Umsetzungsgesetz

TISAX

TISAX (VDA ISA 6.0)

In der Oberfläche zeigt die Tabelle zusätzlich, wie viele Einzelanforderungen jedes Framework mitbringt. System-Frameworks sind von uns gepflegt und tragen das System-Kennzeichen. Sie lassen sich nicht löschen, sondern nur über das Aktiv-Kennzeichen deaktivieren. Deaktivieren Sie Frameworks, die für Ihren Mandanten nicht relevant sind, etwa TISAX, wenn Sie keinen Automotive-Kontext haben. Das hält die Auswahllisten beim Maßnahmen-Mapping übersichtlich.

Das Framework DS-GVO + BDSG mit dem Kürzel DSGVO_BDSG ist neu hinzugekommen und deckt den deutschen Datenschutz-Kanon breiter ab als das kleinere Framework DS-GVO Art. 32. Wenn Sie bereits Maßnahmen gegen DSGVO32 gemappt haben, prüfen Sie, ob das umfangreichere DSGVO_BDSG-Framework für Ihre Zwecke das passendere ist. Ein automatischer Migrationshinweis erscheint in der Oberfläche nicht.

Über die Schaltfläche Neu legen Sie eigene Frameworks an, etwa für branchenspezifische Anforderungen wie KRITIS-Sektoren oder die aufsichtsrechtlichen Vorgaben DORA. Das Anlege-Modal hat drei Felder: Bezeichnung (Pflicht), Beschreibung (optional) und Version (optional, zum Beispiel "2026"). Ein eigenes Kürzel-Feld gibt es im Modal nicht; das Kürzel von System-Frameworks ist fest vergeben.

Bedrohungen

Im Reiter Bedrohungen pflegen Sie den Bedrohungskatalog. Die Tabelle zeigt die mitgelieferten System-Bedrohungen mit den Spalten Bezeichnung, Kategorie, Aktiv und System. Die Bedrohungen verteilen sich auf folgende Kategorien:

Kategorie

Herkunft

Höhere Gewalt

BSI-Schema (G 0.1 bis G 0.7)

Technisches Versagen

BSI-Schema

Vorsätzliche Handlungen

BSI-Schema

Menschliche Fehlhandlungen

BSI-Schema

Cyber

audatis-Ergänzung

Organisatorisch

audatis-Ergänzung

Regulatorisch

audatis-Ergänzung

KI-spezifisch

audatis-Ergänzung

Bedrohungen werden im Risikomanagement und in der TOM-Wirksamkeitsprüfung referenziert. In der Maßnahmen-Detailseite lassen sich Bedrohungen mit einzelnen Maßnahmen verknüpfen. Das schafft eine nachvollziehbare Zuordnung: Welche Maßnahme mindert welche Bedrohung.

Eine neue Bedrohung legen Sie über Neu an. Das Modal hat die Felder Bezeichnung (Pflicht), Beschreibung (optional) und Kategorie (Pflicht, Auswahl aus den genannten Kategorien).

Textbausteine

Im Reiter Textbausteine pflegen Sie eine Bibliothek von Maßnahmen-Vorlagen, die beim Anlegen einer Maßnahme als Ausgangspunkt dienen. Die Tabelle zeigt Bezeichnung, Typ (Technisch oder Organisatorisch) und die zugeordneten Schutzziele als C/I/A-Kombination.

Eine umfangreiche Sammlung vorkonfigurierter System-Textbausteine ist bereits enthalten, etwa "Absicherung Active Directory Domain Services" oder "Absicherung von Android-Geräten", jeweils mit Typ und Schutzziel-Zuordnung. Diese Bausteine orientieren sich am Bestand gängiger BSI- und ISO-Maßnahmen und beschleunigen die erste Erfassung Ihrer Maßnahmen. Sie können sie als Ausgangspunkt für Ihre mandantenspezifische Bibliothek nutzen.

Ob die System-Textbausteine vollständig gelöscht oder nur deaktiviert werden können, hängt von ihrer System-Kennzeichnung ab; im Zweifel gehen Sie davon aus, dass sie analog zu den System-Frameworks deaktivierbar, aber nicht löschbar sind. Eigene Textbausteine, die Sie selbst anlegen, behandeln Sie wie gewohnt.

Einen eigenen Textbaustein legen Sie über Neu an. Das Modal hat folgende Felder:

  • Bezeichnung (Pflicht), zum Beispiel "Zutrittskontrolle" oder "Datensicherung".
  • Beschreibung (optional).
  • Typ (optional): Technisch oder Organisatorisch.
  • Schutzziele (optional): Vertraulichkeit, Integrität und Verfügbarkeit als Checkboxen.
  • Framework-Zuordnungen (optional): Mehrfachauswahl aus allen aktiven Frameworks und ihren Anforderungen.

Die Framework-Zuordnungen sind der zentrale Hebel: Wenn Sie einen Textbaustein bereits bei der Anlage den passenden ISO-27001-Controls oder BSI-Bausteinen zuordnen, werden diese Zuordnungen bei der Verwendung des Bausteins automatisch in die neue Maßnahme übernommen. Das strukturiert das Anforderungs-Mapping der Maßnahmen vor und spart später manuelle Arbeit. Die Auswahlliste der Framework-Zuordnungen zeigt nur Anforderungen aus aktivierten Frameworks: Ein deaktiviertes Framework erscheint hier nicht.

Schlagwörter

Im Reiter Schlagwörter pflegen Sie eine eigene Liste freier Tags zur thematischen Kategorisierung von Maßnahmen. Die Liste ist im Auslieferungszustand leer. Die Tabelle zeigt Bezeichnung, Status und Erstellungsdatum.

Legen Sie Schlagwörter nach dem initialen TOM-Setup an, zum Beispiel "KRITIS", "Datenschutz", "Zertifizierung ISO27001" oder "Sofortmaßnahme". Die Schlagwörter erleichtern später das Filtern in der Maßnahmen-Übersicht.

Tipp: Bei der Migration vom ehemaligen audatis MANAGER wurde hier ein Schlagwort mit Ihrer ehemaligen Bezeichnung Ihres TOM-Katalogs (z.B. "Basismaßnahmen IT") angelegt, sodass Gruppierungen nach ihrer bisherigen Logik weiter bestehen.

Überwachungskategorien

Im Reiter Überwachungskategorien definieren Sie die Kategorien für die Wirksamkeitsüberwachung. Auch dieser Bereich ist im Auslieferungszustand leer. Die Kategorien steuern die Prüfdimension, die Sie im Reiter Wirksamkeit der Maßnahmen-Detailseite auswählen. Ohne Kategorien bleibt die Wirksamkeitsprüfung unkategorisiert.

Richten Sie mindestens drei bis vier Kategorien ein, etwa "Internes Audit", "Stichprobe", "Penetrationstest" und "Selbstauskunft". Das ermöglicht später eine strukturierte Wirksamkeitsberichterstattung. Das Anlege-Modal ist minimal: Es hat nur das Feld Bezeichnung..

Einstellungen

Im Reiter Einstellungen konfigurieren Sie den Nummernkreis, aus dem die Maßnahmen-IDs gebildet werden. Die Sektion Nummernkreis hat drei Felder:

  • Präfix (Text, Standard "TOM", maximal 10 Zeichen).
  • Format (Auswahl aus drei Varianten).
  • Nächste Nummer (Zahl).

Für das Format stehen drei Optionen zur Auswahl:

Format

Aufbau

Beispiel

Format 1 (Standard)

Präfix-Jahr-Nr

TOM-2026-001

Format 2

Präfix-Nr

TOM-001

Format 3

Nur Nr

001

Das ID-Format bestimmt die eindeutige Kennzeichnung jeder Maßnahme in Audit-Exporten und in der SOA. Änderungen am Format wirken nur auf neue Maßnahmen; bestehende behalten ihre einmal vergebene ID. Bei der Anlage des Nummernkreises in einem leeren Mandanten steht die nächste Nummer auf 1.

Prüfworkflow

Im Reiter Prüfworkflow konfigurieren Sie zwei automatische Mechanismen: den Prüfworkflow und den Aktualisierungsworkflow. Ob diese Workflows aktiv sind, ist eine mandantenabhängige Einstellung. Im Schulungs-Mandanten sind beide standardmäßig deaktiviert; in anderen Mandanten können sie aktiviert sein. Prüfen Sie also für Ihren Mandanten den tatsächlichen Stand.

Der Prüfworkflow ermöglicht es, Maßnahmen zur formalen Prüfung einzureichen. Ist er aktiv, wird bei jeder Einreichung automatisch eine Aufgabe im Aufgaben-Modul erzeugt. Über das Feld Standard-Prüfer legen Sie fest, wer diese Aufgaben standardmäßig erhält. Die Auswahl zeigt nur Benutzer, die im Mandanten das Prüfrecht besitzen. Das Prüfrecht ist ein eigenes Recht in der Rollen-Konfiguration des Mandanten; neue Benutzer erscheinen erst nach Zuweisung dieses Rechts in der Auswahl. Aktivieren Sie den Prüfworkflow und setzen Sie einen Standard-Prüfer, wenn Maßnahmen-Änderungen formal genehmigt werden sollen, etwa eine Abnahme durch den CISO für kritische Controls.

Der Aktualisierungsworkflow sorgt dafür, dass Maßnahmen in einem festen Intervall erneut geprüft werden. Das Intervall wählen Sie aus den Optionen 3, 6, 12, 24 oder 36 Monate; der Standardwert ist 12 Monate. Damit unterstützen Sie den kontinuierlichen Verbesserungsprozess Ihres Managementsystems.

Wirkung über das Modul hinaus

Die TOM-Konfiguration wirkt an mehreren Stellen über das Modul hinaus.

Konfiguration

Wirkung

Frameworks

Speisen die Auswahlliste der SOA und das Anforderungs-Mapping jeder Maßnahme; alle aktiven Frameworks erscheinen auch im SOA-Export-Modal als Auswahl-Option

Bedrohungen

Lassen sich mit Maßnahmen verknüpfen und werden im Risikomanagement referenziert

Textbausteine mit Framework-Zuordnung

Übertragen die zugeordneten Frameworks und Anforderungen bei Verwendung automatisch in die neue Maßnahme

Überwachungskategorien

Steuern die Prüfdimension im Reiter Wirksamkeit der Maßnahmen-Detailseite

Prüf- und Aktualisierungsworkflow

Erzeugen Aufgaben im Aufgaben-Modul

Nummernkreis

Bestimmt die ID-Darstellung der Maßnahmen in Audit-Exporten und SOA

Im SoA-Export wählen Sie das Framework, gegen das die Abdeckung Ihrer Maßnahmen dargestellt wird; alle aktiven Frameworks stehen dort zur Auswahl, auch das neue DS-GVO + BDSG.

Stolperfallen

  • Prüfworkflow ohne Standard-Prüfer. Ist der Prüfworkflow aktiv, aber kein Standard-Prüfer gesetzt, wird die Prüfaufgabe ohne verantwortliche Person erstellt. Sie liegt dann unzugewiesen im Aufgaben-Modul. Prüfen Sie regelmäßig die unzugewiesenen Aufgaben oder setzen Sie von Anfang an einen Standard-Prüfer.
  • Framework deaktiviert, Zuordnung verschwindet. Deaktivieren Sie ein Framework, erscheinen seine Anforderungen nicht mehr in der Auswahlliste der Textbaustein-Framework-Zuordnungen. Stellen Sie sicher, dass alle Frameworks, die Sie für das Mapping brauchen, aktiv bleiben.

Faustregel beim Nummernkreis: einmal beim Setup festlegen und danach nicht mehr anfassen. Setzen Sie die nächste Nummer manuell auf einen Wert unterhalb bereits vergebener IDs, warnt das System zwar, sperrt aber nicht hart gegen Kollisionen.

Häufige Fragen

Worin unterscheiden sich die Frameworks DS-GVO Art. 32 und DS-GVO + BDSG?

Beide bilden datenschutzrechtliche Anforderungen ab, unterscheiden sich aber im Umfang: DS-GVO Art. 32 hat vier Anforderungen und konzentriert sich auf die in diesem Artikel genannten Schutzmaßnahmen. DS-GVO + BDSG hat 19 Anforderungen und deckt breitere deutsche Datenschutz-Anforderungen ab. Welches Framework für Sie das passendere ist, hängt von Ihrem Anwendungsfall ab. Wenn Sie bereits gegen DS-GVO Art. 32 gemappt haben, prüfen Sie, ob das umfangreichere Framework Ihren Anforderungen besser entspricht.

Kann ich die vorkonfigurierten System-Textbausteine löschen?

System-Textbausteine sollten sich analog zu den System-Frameworks verhalten, also nur deaktivieren, aber nicht löschen lassen. Verifiziert ist dieses Verhalten für die Textbausteine allerdings nicht abschließend. Gehen Sie im Zweifel davon aus, dass Sie nicht benötigte System-Bausteine deaktivieren statt löschen. Ihre eigenen, selbst angelegten Textbausteine können Sie wie gewohnt verwalten.

Was bewirkt eine Framework-Zuordnung im Textbaustein?

Eine Framework-Zuordnung verknüpft den Textbaustein mit konkreten Anforderungen aus einem oder mehreren aktiven Frameworks, etwa mit bestimmten ISO-27001-Controls. Verwenden Sie diesen Textbaustein später beim Anlegen einer Maßnahme, werden die zugeordneten Frameworks und Anforderungen automatisch in die neue Maßnahme übernommen. So strukturieren Sie das Mapping schon bei der Anlage vor und reduzieren spätere manuelle Arbeit.

Ist der Prüfworkflow standardmäßig aktiv?

Das hängt vom Mandanten ab. Es handelt sich um eine mandantenabhängige Einstellung, nicht um eine globale Standardeinstellung.

Verwandte Artikel


Last updated: 06.06.26, 05:13

War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung