GRC: Governance, Risk Management und Compliance für Unternehmen
Einführung in GRC (Governance, Risk Management and Compliance): Was GRC bedeutet, wie ein GRC-Framework aufgebaut wird, welche Tools unterstützen, wie GRC mit ISO 27001, NIS2 und DSGVO zusammenhängt und warum integriertes GRC effizienter ist als siloartige Compliance-Ansätze.
Inhaltsverzeichnis (5 Abschnitte)
GRC - Governance, Risk Management and Compliance - ist der systematische Ansatz um sicherzustellen, dass ein Unternehmen strategische Ziele verfolgt (Governance), Risiken kennt und steuert (Risk Management) und regulatorische Anforderungen erfüllt (Compliance). Der Schlüssel ist Integration: Statt drei separate Silos zu betreiben, verfolgt modernes GRC einen einheitlichen Ansatz.
Was GRC bedeutet - und was nicht
G - Governance (Steuerung) umfasst die strategische Ausrichtung der IT und Sicherheit, die Klärung von Verantwortlichkeiten, die Definition von Policies, Standards und Prozessen sowie die Einbindung der Führungsebene (Sicherheit ist Chefsache). Werkzeuge: Security Policies, RACI-Matrix, KPIs.
R - Risk Management (Risikomanagement) identifiziert, bewertet und steuert Risiken: Welche Bedrohungen gibt es? Was ist akzeptables Risiko, was muss behandelt werden? Welches Residualrisiko bleibt nach Maßnahmen? Werkzeuge: Risikoregister, ISMS-Risikoanalyse nach ISO 27005.
C - Compliance sichert die Einhaltung externer Anforderungen (DSGVO, NIS2, KRITIS, ISO 27001, PCI DSS, HIPAA) und deren Nachweis durch Audits und Zertifizierungen. Wichtiger Unterschied: Compliance ist nicht gleich Sicherheit - sie definiert nur den Mindeststandard.
Was GRC nicht ist: GRC ersetzt keine technischen Sicherheitsmaßnahmen. "ISO-27001-zertifiziert" bedeutet nicht automatisch "sicher". GRC ohne technische Umsetzung ist wertlose Papier-Compliance.
Das GRC-Problem ohne integriertem Ansatz
Ohne GRC-Integration entstehen typischerweise drei parallele Silos: Das ISO-27001-Projekt der IT-Abteilung erarbeitet Policies, Risikoanalyse und Awareness-Training; der Datenschutzbeauftragte bearbeitet DSGVO (Verarbeitungsverzeichnis, TOMs); der Compliance-Manager kümmert sich um NIS2 (Meldeprozesse, Lieferantenbewertung). Das Ergebnis: drei separate Risikoanalysen, drei separate Richtlinien-Dokumente, dreifacher Audit-Aufwand, widersprüchliche Aussagen und kein Gesamtüberblick über das Risikobild.
Integriertes GRC löst dieses Problem: Eine einzige Risikoanalyse deckt ISO 27001, DSGVO und NIS2 gleichzeitig ab. Control-Mapping macht explizit, welche Maßnahme welche Anforderungen erfüllt (z.B. "Festplattenverschlüsselung erfüllt ISO A.8.24 + DSGVO Art. 32"). Das Ergebnis ist eine Single Source of Truth für alle Compliance-Anforderungen und erheblich effizientere Audits.
GRC-Framework aufbauen
Schritt 1: Anforderungs-Inventur - Welche regulatorischen Anforderungen gelten?
Gesetzlich verpflichtend: DSGVO (alle Unternehmen in der EU), NIS2 (wenn critical/important entity), KRITIS-Verordnung (KRITIS-Betreiber), branchenspezifisch BAIT (Banken) und KAIT (Versicherungen).
Vertraglich verpflichtend: ISO 27001 (von Kunden oder Ausschreibungen gefordert), PCI DSS (Kreditkarten-Akzeptanz), SOC 2 (US-Markt, Cloud-Services), TISAX (Automotive).
Freiwillig/Best Practice: BSI IT-Grundschutz, CIS Controls, NIST Cybersecurity Framework.
Schritt 2: Control Framework wählen
- ISO 27001:2022 (empfohlen): 93 Controls in 4 Bereichen + Annex A, weltweit anerkannt und zertifizierbar, deckt Grundlage für DSGVO/NIS2 mit ab.
- CIS Controls v8 (Alternative, besonders für KMU): 18 Control Groups priorisiert, Implementation Groups 1-3 nach Größe und Reife, technik-fokussierter als ISO 27001.
- NIST CSF 2.0 (2024): 6 Funktionen (Govern, Identify, Protect, Detect, Respond, Recover), flexibel, nicht zertifizierbar aber weitverbreitet referenziert, kostenlos öffentlich verfügbar.
Schritt 3: Risikoregister aufbauen
Das Risikoregister erfasst pro Eintrag: Risiko-ID, Risikobezeichnung, Bedrohung, Schwachstelle, Wahrscheinlichkeit, Auswirkung, Risiko-Score, Maßnahmen, Residualrisiko und Owner.
Für die Bewertung empfiehlt sich eine 3x3-Matrix (Wahrscheinlichkeit × Auswirkung). Die Kombination Hoch/Hoch ergibt "Kritisch" (sofortiger Handlungsbedarf), Mittel/Hoch oder Hoch/Mittel ergibt "Hoch" (baldige Behandlung), Mittel/Mittel ergibt "Mittel" (planmäßige Behandlung), niedrige Kombinationen sind akzeptierbar oder im Monitoring.
Typische Top-10-Risiken für KMU: Ransomware-Angriff (Kritisch), Phishing/Credential-Kompromittierung (Kritisch), Insider Threat (Hoch), ungepatchte Schwachstellen (Hoch), Datenverlust durch Backup-Versagen (Hoch), Supply-Chain-Kompromittierung (Mittel), DDoS gegen Online-Präsenz (Mittel), Verlust mobiler Geräte (Hoch), BEC/CEO-Fraud (Hoch), Compliance-Verstoß/DSGVO-Bußgeld (Hoch).
Schritt 4: Policies und Standards definieren
Die Policy-Hierarchie umfasst vier Level: Level 1 ist die Information Security Policy (Top-Level, von der Geschäftsführung unterschrieben); Level 2 sind Standards wie Passwort-Policy und Verschlüsselungs-Standard; Level 3 sind Verfahren/Prozesse (Incident-Response-Prozess, Patch-Verfahren); Level 4 sind Arbeitsanweisungen (Schritt-für-Schritt für die IT).
Die wichtigsten Policies sind: Information Security Policy, Acceptable Use Policy, Password Policy, Access Control Policy, Incident Response Policy, Business Continuity/Disaster Recovery Policy, Data Classification Policy, Vendor Management Policy, Remote Work Policy und BYOD Policy.
GRC-Tools für verschiedene Größen
Kleine Unternehmen (< 50 MA): Excel/Google Sheets für Risikoregister und Control-Matrix, Word für Policies, SharePoint/Confluence für Dokumentenmanagement. Vorteil: flexibel, keine Lizenzkosten. Nachteil: manuelle Versionierung, keine Dashboards.
Mittelstand (50-500 MA): verinice (Open Source ISMS-Tool, kostenlose Basisversion, BSI IT-Grundschutz und ISO 27001 Templates, DSGVO-Modul); Enginsight (DACH-Anbieter, kombiniert Vulnerability Management und GRC, NIS2-Modul, deutsches Hosting); DocuWare/ELO für revisionsichere Archivierung mit Workflow-Genehmigungen.
Enterprise (500+ MA): ServiceNow GRC (führende Enterprise-Plattform, integriertes Risk-, Policy- und Audit-Management, CMDB-Integration, sehr teuer aber vollständig); SAP GRC (für SAP-Umgebungen mit Access Control, Process Control und Risk Management); Archer/RSA (Marktführer für komplexe GRC-Anforderungen, hochkonfigurierbar).
ISMS-spezifische Tools: DataGuard (DACH-Anbieter, ISO 27001 + DSGVO Plattform mit geführter Implementierung und automatisierten Compliance-Prüfungen); Vanta (für SaaS-Unternehmen, SOC 2/ISO 27001/GDPR-Automatisierung, kontinuierliches Monitoring technischer Controls, gut für Cloud-native Unternehmen).
GRC und regulatorisches Mapping
Control-Mapping - Eine Maßnahme, viele Standards: Festplattenverschlüsselung erfüllt gleichzeitig ISO 27001:2022 A.8.24 (Use of cryptography), DSGVO Art. 32 (1)(a) (Pseudonymisierung und Verschlüsselung), BSI IT-Grundschutz CON.1 (Kryptokonzept) sowie NIS2 Art. 21 (2)(d) (Sicherheit der Lieferkette). Im GRC-Tool wird die Maßnahme mit allen vier Controls verknüpft - einmal umgesetzt, viermal nachgewiesen.
Compliance-Kalender: Januar: ISO-27001-Management-Review; März: DSGVO-Datenschutzbericht; April: ISO-27001-Internes Audit (Vorbereitung Rezertifizierung); Juni: Risikoanalyse-Update; September: NIS2-Reporting (wenn applicable); Oktober: ISO-27001-Surveillance Audit (jährlich); Dezember: Security-Awareness-Jahrestraining.
KPIs für GRC-Reporting: Offene Sicherheitslücken (Trend steigend oder sinkend?), Patch-Compliance (% der Systeme up to date), Maßnahmen-Umsetzungsrate aus der Risikoanalyse, Policy-Leserate (haben alle Mitarbeiter Policies bestätigt?), Awareness-Training-Abschlussrate, Incident Response Time (MTTD, MTTR) sowie Anzahl offener Audit-Findings.
Fragen zu diesem Thema?
Unsere Experten beraten Sie kostenlos und unverbindlich.
Über den Autor
Dipl.-Math. (WWU Münster) und Promovend am Promotionskolleg NRW (Hochschule Rhein-Waal) mit Forschungsschwerpunkt Phishing-Awareness, Behavioral Security und Nudging in der IT-Sicherheit. Verantwortet den Aufbau und die Pflege von ISMS, leitet interne Audits nach ISO/IEC 27001:2022 und berät als externer ISB in KRITIS-Branchen. Lehrbeauftragter für Communication Security an der Hochschule Rhein-Waal und NIS2-Schulungsleiter bei der isits AG.
3 Publikationen
- Different Seas, Different Phishes - Large-Scale Analysis of Phishing Simulations Across Different Industries (2025)
- Self-promotion with a Chance of Warnings: Exploring Cybersecurity Communication Among Government Institutions on LinkedIn (2024)
- Exploring the Effects of Cybersecurity Awareness and Decision-Making Under Risk (2024)
