Zum Hauptinhalt springen

grcproxy

Von der Strukturanalyse bis zum Risikomanagement – praxisnahe Dokumentation für Informationssicherheit, Business Continuity und IT-Service-Continuity mit grcproxy.

SchnelleinstiegAlle Themen

Was ist grcproxy?

grcproxy ist eine browserbasierte SaaS-Plattform für strukturiertes Governance-, Risk- und Compliance-Management (GRC). Die Plattform unterstützt Unternehmen beim Aufbau und Betrieb eines zentralen Informationsverbunds – der vollständigen, nachvollziehbaren Dokumentation aller Geschäftsprozesse, IT-Ressourcen, Infrastruktur, Personal und Dienstleister sowie deren gegenseitiger Abhängigkeiten.

Das Kernprinzip ist einmalige Datenerhebung, mehrfache Nutzung: Prozesse und Ressourcen werden einmal strukturiert erfasst und stehen anschließend automatisch für Schutzbedarfsanalyse, Business Impact Analyse (BIA), IT-Grundschutz-Check und Risikobewertung zur Verfügung – ohne redundante Datenpflege. Synergien zwischen den Disziplinen ISMS, BCM und ITSCM entstehen durch die geteilte Datenbasis.

Methodisch orientiert sich grcproxy am BSI IT-Grundschutz nach BSI-Standard 200-1, 200-2 und 200-3. Das BSI bestätigt, dass ein auf Standard-Schutz ausgelegter IT-Grundschutz-Informationsverbund die wesentlichen technischen und organisatorischen Anforderungen der NIS2-Richtlinie (EU 2022/2555) erfüllt. Ergänzend werden ISO 27001, ISO 22301 sowie die IKT-Risikoanforderungen aus DORA (Digital Operational Resilience Act) für Finanzinstitute unterstützt. Die Plattform ist als Cloud-Service konzipiert und erfordert keine lokale Installation.

Der gesamte Prozess – von der initialen Erhebung bis zum laufenden ISMS-Betrieb – folgt dem PDCA-Zyklus (Plan – Do – Check – Act): iterativ, revisionsfähig und kontinuierlich verbesserbar.

Funktionsbereiche

Strukturanalyse

Vollständige Modellierung des Informationsverbunds: Organisationseinheiten, Geschäftsprozesse, IT-Systeme, Personal, Infrastruktur und Dienstleister. Automatische Vererbung von Schutzbedarf entlang aller Abhängigkeiten. Basis für alle weiteren Analysen.

Zur Strukturanalyse

ISMS-Betrieb

Automatisches Automodelling von BSI IT-Grundschutz-Bausteinen auf Ressourcen. IT-Grundschutz-Check mit Basis- und Standard-Prüfung. Revisionssichere Dokumentation aller Maßnahmen, Review-Workflow und Auditvorbereitung nach BSI 200-2.

Zum ISMS-Betrieb

Risikomanagement

Asset- und gefährdungsspezifische Risikoidentifikation und -bewertung nach BSI-Standard 200-3. Brutto-, Netto- und aktuelles Risiko. Konsolidierte Indikatoren (Risk Index, Max, Avg, Med) für Berichterstattung und Steuerung.

Zum Risikomanagement

Business Impact Analyse

Systematische Bewertung von Prozess- und Ressourcenausfällen. Automatische MTPD-Berechnung, BIA-Berichte pro Ressourcentyp, SPoF-Register (Single Points of Failure) und interaktive Prozessmap für strukturiertes BCM.

Zur BIA-Dokumentation

Für wen ist grcproxy?

Informationssicherheitsbeauftragte

ISMS-Aufbau und -Betrieb nach BSI IT-Grundschutz: von der initialen Strukturanalyse über den IT-Grundschutz-Check bis zur revisionssicheren Dokumentation von Maßnahmen, Reviews und Audits. Unterstützt den Weg zur BSI-Grundschutz-Zertifizierung sowie die Erfüllung der NIS2-Anforderungen nach Art. 21 lit. a, f und i.

BCM-Verantwortliche

Business Impact Analyse mit automatischer MTPD-Berechnung, Wiederanlaufplanung, Schutzbedarfsbewertung und GAP-Analyse zwischen RTO-Anforderungen und tatsächlicher IT-Wiederherstellungszeit. Grundlage für ISO 22301-konforme BCM-Dokumentation und die Anforderungen aus NIS2 Art. 21 lit. c (BCM und Notfallwiederherstellung).

Compliance & Risikomanagement

IKT-Risikobewertung nach BSI 200-3: gefährdungsspezifische Risikoidentifikation, Brutto-/Netto-Risiko, konsolidierte Risikoindikatoren. Unterstützt DORA-Anforderungen für Finanzinstitute, KRITIS-Meldepflichten sowie die NIS2-Anforderungen nach Art. 21 lit. a (Risikoanalyse) und lit. f (Wirksamkeitsbewertung von Maßnahmen).

Typische Zielorganisationen: Mittelständische Unternehmen (KMU) mit strukturiertem ISMS- oder BCM-Bedarf; besonders wichtige und wichtige Einrichtungen gemäß NIS2-Richtlinie (EU 2022/2555) in Annex-I-Sektoren (Energie, Gesundheit, Transport, Digitale Infrastruktur, Finanzmarkt, Öffentliche Verwaltung u. a.) und Annex-II-Sektoren (Lebensmittel, Chemie, verarbeitendes Gewerbe u. a.); Finanzinstitute mit DORA-Pflichten; sowie öffentliche Verwaltungen mit BSI-Grundschutz-Verpflichtung. NIS2 gilt ab 50 Mitarbeitern oder mehr als 10 Mio. € Jahresumsatz in betroffenen Sektoren.

BSI IT-Grundschutz als durchgängige Methodik

grcproxy implementiert den BSI IT-Grundschutz als durchgängiges Prinzip über alle Analysemodule hinweg. Das IT-Grundschutz-Kompendium liefert die Bausteine, Gefährdungen und Maßnahmen, die automatisch auf die modellierten Ressourcen des Informationsverbunds angewendet werden.

Die automatische Modellierung (Auto-Modelling) ordnet Ressourcen anhand ihres Typs und ihrer Attribute passende IT-Grundschutz-Bausteine zu. Über die im Kompendium definierten Referenzen zwischen Bausteinen, Maßnahmen und Gefährdungen ermittelt grcproxy automatisch, welche Gefährdungen für eine Ressource relevant sind – und stellt diese im Risikomanagement zur Bewertung bereit.

Die Methodik folgt dabei dem Pfad: Baustein → Maßnahme → Gefährdung → Risiko. So werden Risiken immer im Kontext der vorgesehenen Schutzmaßnahmen bewertet, nicht isoliert.

Das BSI bestätigt, dass ein auf Standard-Schutz ausgelegter Informationsverbund nach BSI IT-Grundschutz die wesentlichen technischen und organisatorischen Anforderungen der NIS2-Richtlinie (EU 2022/2555, Art. 21) erfüllt. Für Finanzinstitute gilt DORA als lex specialis; NIS2-Anforderungen in nicht überlappenden Bereichen bleiben daneben anwendbar.

Mehr zum Maßnahmen- und Bausteinkatalog →

Häufige Fragen

Welche Standards bildet grcproxy ab?

grcproxy orientiert sich primär am BSI IT-Grundschutz (BSI-Standard 200-1, 200-2, 200-3). Zusätzlich werden ISO 27001, ISO 22301 sowie DORA-Anforderungen für Finanzinstitute unterstützt. Das IT-Grundschutz-Kompendium ist integriert und wird automatisch auf Ressourcen angewendet.

Was ist Auto-Modelling in grcproxy?

Auto-Modelling ist die automatische Zuordnung von BSI IT-Grundschutz-Bausteinen zu Ressourcen im Informationsverbund. Auf Basis des Ressourcentyps und seiner Attribute werden automatisch die passenden Bausteine samt Maßnahmen und Gefährdungen zugeordnet – ohne manuelle Zuordnung.

Was ist der Informationsverbund in grcproxy?

Der Informationsverbund ist das zentrale Datenmodell in grcproxy: die vollständige, strukturierte Dokumentation aller Geschäftsprozesse, IT-Systeme, Infrastruktur, Personal und Dienstleister sowie deren Abhängigkeiten. Er ist die gemeinsame Grundlage für ISMS-Betrieb, BIA und Risikomanagement.

Unterstützt grcproxy die Anforderungen der NIS2-Richtlinie?

grcproxy unterstützt zentrale Anforderungen der NIS2-Richtlinie (EU 2022/2555) nach Art. 21: Risikoanalyse und Informationssicherheitskonzepte (lit. a), Business Continuity Management und Notfallwiederherstellung (lit. c), Wirksamkeitsbewertung von Schutzmaßnahmen (lit. f) sowie Asset Management und Zugangskontrolle (lit. i). Das BSI bestätigt, dass ein IT-Grundschutz-Informationsverbund auf Standard-Schutz-Niveau die wesentlichen technischen und organisatorischen Anforderungen der NIS2-Richtlinie erfüllt.

Direkt zu den Themen

Erste Schritte
Strukturanalyse
Schutzbedarfsanalyse
Business Impact Analyse
ISMS-Betrieb
IT-Grundschutz-Check
Risikomanagement
Rollen und Rechte