Compliance-Evaluation¶
TCM365 bietet ein umfassendes Compliance-Management, das für Organisationen unter europaeischen regulatorischen Frameworks konzipiert ist, insbesondere KRITIS (Kritische Infrastrukturen) und NIS2 (Netz- und Informationssicherheitsrichtlinie). Die Plattform kombiniert automatisierte Compliance-Evaluation mit strukturiertem Incident-, Risiko-, Aenderungs- und Audit-Management.
Übersicht¶
Das Compliance-Modul in TCM365 umfasst sechs miteinander verbundene Bereiche, die zusammen ein vollständiges Compliance-Lifecycle-Management-System bilden:
| Bereich | Modul | Zweck |
|---|---|---|
| Compliance-Evaluation | compliance |
Automatisierte Evaluation gegen 10 Frameworks |
| Incident Management | incidents |
NIS2-konforme Vorfallsverfolgung mit Meldefristen |
| Risikobewertung | risk-assessment |
Risikobewertung mit Matrizen und Heat Maps |
| Change Management | change-management |
Änderungsanträge mit Approval Chains |
| BC/DR-Tests | bcdr |
Business Continuity und Disaster Recovery Tests |
| Audit-Nachweise | audit-evidence |
Nachweissammlung und -verwaltung |
Diese Module teilen gemeinsame Entities, Services und Zugriffsmuster, alle geschützt durch das dreischichtige Tenant-Isolierungsmodell (TenantAccessService, PostgreSQL RLS, Per-Tenant-Schemas).
Detaillierte KRITIS/NIS2-Dokumentation
Für ausfuehrliche Dokumentation zu den einzelnen Compliance-Bereichen siehe den Abschnitt KRITIS/NIS2 mit dedizierten Seiten für jeden Bereich.
Unterstützte Frameworks¶
TCM365 evaluiert Tenant-Konfigurationen gegen 10 Compliance-Frameworks:
| Framework | Fokus | Typische Zielgruppe |
|---|---|---|
| NIS2 | EU Netz- und Informationssicherheit | Betreiber kritischer Infrastrukturen, wesentliche/wichtige Einrichtungen |
| ISO 27001 | Informationssicherheits-Managementsysteme | Organisationen mit ISMS-Zertifizierung |
| ISO 27002 | Informationssicherheitskontrollen | Organisationen mit ISO 27001-Kontrollen |
| BSI | Deutsche IT-Sicherheit (IT-Grundschutz) | Deutsche Organisationen, öffentlicher Sektor |
| CIS | Center for Internet Security Benchmarks | Alle Organisationen |
| NIST | US-Sicherheitsframework (800-53, 800-207) | US-orientierte Organisationen, Bundesauftragnehmer |
| GDPR | EU-Datenschutzgrundverordnung | Alle Organisationen mit EU-Personendatenverarbeitung |
| Maester | Microsoft Security Testing | Microsoft 365-Administratoren |
| EIDSCA | Entra ID Security Configuration | Entra ID-Administratoren |
| Custom | Organisationsspezifische Anforderungen | Interne Compliance-Teams |
ComplianceCheck Entity¶
Jede Compliance-Evaluation erstellt einen ComplianceCheck-Record:
| Feld | Typ | Beschreibung |
|---|---|---|
id |
UUID | Primärschlüssel |
vendor_tenant_id |
UUID | FK zum Vendor Tenant |
framework |
enum | Eines der 10 unterstützten Frameworks |
snapshot_id |
UUID | FK zum evaluierten Snapshot |
baseline_id |
UUID | FK zum verwendeten Baseline-Template |
score |
decimal | Gesamt-Compliance-Score (0-100) |
total_controls |
integer | Gesamtzahl evaluierter Kontrollen |
passed_controls |
integer | Kontrollen, die Anforderungen erfüllen |
failed_controls |
integer | Kontrollen, die Anforderungen nicht erfüllen |
skipped_controls |
integer | Nicht anwendbare Kontrollen |
results |
JSONB | Detaillierte Ergebnisse pro Kontrolle |
created_at |
timestamp | Evaluierungszeitpunkt |
Compliance Dashboard¶
Das Frontend bietet ein Compliance Dashboard mit:
- Score Gauge -- Visuelle Compliance-Score-Anzeige (
ComplianceScoreGauge-Komponente) - Control Check Cards -- Individueller Kontrollstatus mit Pass/Fail-Details (
ControlCheckCard-Komponente) - Framework-Vergleich -- Side-by-Side-Scores über mehrere Frameworks
- Trend-Charts -- Compliance-Score-Verlauf über die Zeit
- Lueckenanalyse -- Fehlgeschlagene Kontrollen gruppiert nach Severity und Remediation-Priorität
Evaluation durchführen¶
{
"vendorTenantId": "uuid",
"snapshotId": "uuid",
"frameworks": ["NIS2", "ISO27001", "CIS"],
"baselineIds": ["cis-m365-l1", "bsi-grundschutz-m365"]
}
Die Compliance Engine iteriert durch die Kontroll-Mappings jedes ausgewaehlten Frameworks, evaluiert die Snapshot-Daten gegen Baseline-Regeln und erstellt einen umfassenden Compliance-Bericht.
Integration zwischen Compliance-Bereichen¶
Die Compliance-Module sind für Zusammenarbeit konzipiert:
flowchart TD
RA[Risikobewertung] -->|Identifiziertes Risiko<br>löst Change Request aus| CM[Change Management]
CM -->|Genehmigte Änderung<br>löst Rollback/Apply aus| CS[Configuration Snapshots]
CE[Compliance-Evaluation] -->|Fehlgeschlagene Kontrollen<br>erstellen Incidents| IM[Incident Management]
CS -->|Snapshots dienen als<br>Audit-Nachweise| AE[Audit-Nachweise]
IM -->|NIS2-Reporting generiert<br>Audit-Nachweise| AE
AE -->|Nachweise unterstützen<br>BC/DR-Testdokumentation| BCDR[BC/DR-Tests]
CE <-->|Evaluation gegen<br>Snapshots| CSAPI-Endpoints¶
| Methode | Endpoint | Beschreibung |
|---|---|---|
POST |
/api/v1/compliance/evaluate |
Compliance-Evaluation durchführen |
GET |
/api/v1/compliance |
Alle Compliance-Checks auflisten |
GET |
/api/v1/compliance/{id} |
Compliance-Check-Details abrufen |
DELETE |
/api/v1/compliance/{id} |
Compliance-Check löschen |
Weighted Severity Scoring (v2.4.0)¶
Ab v2.4.0 bewertet die ComplianceEngine Regeln gewichtet nach Severity. Kritische Regeln haben ein höheres Gewicht als niedrig eingestufte Regeln, was zu aussagekraeftigeren Compliance-Scores führt.
SeveritySuggestion Entity¶
Die neue SeveritySuggestion-Entity (v2.4.0) ermöglicht KI-basierte Severity-Anreicherung für Baseline-Regeln:
| Feld | Typ | Beschreibung |
|---|---|---|
id |
UUID | Primärschlüssel |
rule_id |
string | Referenz zur Baseline-Regel |
suggested_severity |
enum | KI-empfohlener Schweregrad |
reasoning |
text | Begründung der KI-Empfehlung |
model |
varchar | Verwendetes KI-Modell |
accepted |
boolean | Ob die Empfehlung akzeptiert wurde |
Dies ermöglicht eine kontinuierliche Verbesserung der Severity-Einstufungen basierend auf KI-Analyse und organisatorischem Kontext.
Best Practices¶
- Regelmäßig evaluieren -- Compliance-Evaluationen nach jeder Konfigurationsänderung durchführen
- Alle Incidents erfassen -- Auch kleinere Incidents bilden einen Audit Trail, der Sorgfaltspflicht demonstriert
- Risiken an Kontrollen knuepfen -- Identifizierte Risiken bestimmten Compliance-Kontrollen zuordnen für Nachverfolgbarkeit
- Change Management nutzen -- Alle Konfigurationsänderungen durch den Genehmigungsprozess leiten
- BC/DR quartalsweise testen -- Regelmäßige Tests validieren Wiederherstellungsfaehigkeiten und identifizieren Lücken
- Nachweise proaktiv sammeln -- Nicht auf ein Audit warten, um Nachweise zu sammeln
- NIS2-Fristen überwachen -- Die Countdown-Badges bieten Fruehwarnung bei nahenden Deadlines
- Risikobewertungen überprüfen -- Periodische Risk Reviews planen, um Aktualitaet sicherzustellen