A.5.37 — Dokumentierte Betriebsverfahren

Der einzige Mitarbeiter, der die Firewall-Konfiguration versteht, ist im Urlaub. Eine kritische Regel muss angepasst werden. Dokumentation: nicht vorhanden. Ergebnis: ein Kollege ändert die falsche Regel, und der VPN-Zugang für 200 Mitarbeitende fällt aus. A.5.37 fordert, dass Betriebsverfahren für informationsverarbeitende Einrichtungen dokumentiert und den Personen, die sie brauchen, zugänglich sind.

Zweck: Korrekten und sicheren Betrieb von informationsverarbeitenden Einrichtungen gewährleisten.
Wirkungsrichtung: Präventiv, Korrektiv
Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
Thema: Organisatorische Kontrolle
BSI-Bausteine: OPS.1.1.1.A3, OPS.1.1.2.A11, OPS.1.1.3.A11, BSI-Standard 200-2 Kapitel 5.2.2, ISMS.1.A13, CON.8.A12, OPS.1.2.5.A7, DER.2.1.A16, SYS.1.1.A21, SYS.2.1.A40, NET.3.1.A9, NET.3.2.A14, NET.4.1.A10
KPI: % der Betriebsverfahren, die in den letzten 12 Monaten dokumentiert und überprüft wurden

Responsible	IT-Leitung
Accountable	IT-Leitung
Consulted	Alle Beschäftigten, Asset-Eigentümer, Abteilungsleitung, Facility Manager, IT-Admin, ISB, Rechtsberatung, Prozessverantwortliche, Risikoverantwortliche, Lieferantenmanagement
Informed	Abteilungsleitung, HR, IT-Leitung, IT-Admin, interne Revision, Risikoverantwortliche, Geschäftsführung

Was verlangt die Norm?

Verfahren dokumentieren. Alle sicherheitsrelevanten Betriebsverfahren werden dokumentiert und den Personen, die sie benötigen, zugänglich gemacht.
Inhaltliche Anforderungen. Jedes Verfahren beschreibt: Verantwortlichkeiten, Schritt-für-Schritt-Anleitung, Fehlerbehandlung, Eskalationskontakte, Wartungsfenster, Wiederherstellungsschritte.
Änderungsmanagement. Änderungen an den Verfahren werden genehmigt, dokumentiert und den betroffenen Personen kommuniziert.
Regelmäßige Überprüfung. Verfahren werden in geplanten Abständen auf Aktualität und Vollständigkeit überprüft.

In der Praxis

Verfahrensregister anlegen. Liste aller sicherheitsrelevanten Betriebsverfahren mit: Name, Verantwortlicher, letzte Überprüfung, Speicherort, Status. Das Register zeigt auf einen Blick, welche Verfahren dokumentiert sind und welche fehlen.

Priorisierung nach Risiko. Dokumentiere zuerst die Verfahren mit dem höchsten Risiko bei Fehlausführung: Backup und Restore, Firewall-Änderungen, Benutzer-Provisioning/Deprovisioning, Patch-Management, Incident Response. Weniger kritische Verfahren folgen danach.

Bus-Faktor-Test anwenden. Für jedes kritische System: Können mindestens zwei Personen das Verfahren anhand der Dokumentation durchführen? Wenn nur eine Person das Wissen hat, ist die Dokumentation die Versicherung gegen den Ausfall dieser Person.

Änderungsmanagement verknüpfen. Jede Änderung an einem System (neues Tool, Konfigurationsänderung, Prozessanpassung) triggert eine Prüfung: Muss die Betriebsdokumentation angepasst werden? Integriere diese Prüfung in den Change-Management-Prozess.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.37 typischerweise diese Nachweise:

Verfahrensregister — Übersicht aller dokumentierten Betriebsverfahren
Runbooks — dokumentierte Schritt-für-Schritt-Anleitungen für kritische Verfahren
Versionierung — Nachweis der Änderungsverfolgung und Genehmigung
Review-Protokolle — Nachweis der regelmäßigen Überprüfung auf Aktualität
Zugangsregelung — Nachweis, dass die Dokumentation den richtigen Personen zugänglich ist

KPI

% der Betriebsverfahren, die in den letzten 12 Monaten dokumentiert und überprüft wurden

Gemessen am Verfahrensregister: Wie viele der identifizierten Betriebsverfahren haben eine aktuelle, überprüfte Dokumentation? Ziel: 100%. Der häufigste Mangel: Verfahren, die seit der Erstdokumentation nie überprüft wurden und inzwischen veraltet sind.

Ergänzende KPIs:

Anteil der kritischen Systeme mit dokumentierten Betriebsverfahren
Anzahl der Verfahren, bei denen der Bus-Faktor-Test bestanden wurde
Anzahl der Verfahrensänderungen, die in der Dokumentation nachgezogen wurden

BSI IT-Grundschutz

A.5.37 mappt auf zahlreiche BSI-Bausteine, da Betriebsdokumentation ein Querschnittsthema ist:

OPS.1.1.1.A3 (Ordnungsgemäße IT-Administration) — verlangt dokumentierte Verfahren für alle administrativen Aufgaben.
OPS.1.1.2.A11, OPS.1.1.3.A11 — Betriebsverfahren für Patch- und Änderungsmanagement.
SYS.1.1.A21, SYS.2.1.A40 — Betriebsdokumentation für Server und Clients.
NET.3.1.A9, NET.3.2.A14 — Dokumentation der Netzwerkkonfiguration und Firewall-Regeln.
DER.2.1.A16 — Dokumentation der Verfahren zur Vorfallbehandlung.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.37 — Dokumentierte Betriebsverfahren
ISO/IEC 27002:2022 Abschnitt 5.37 — Umsetzungshinweise
BSI IT-Grundschutz, OPS.1.1.1 — Ordnungsgemäße IT-Administration

Häufig gestellte Fragen

Was muss dokumentiert werden?

Alle wiederkehrenden IT-Betriebsaufgaben mit Sicherheitsrelevanz: Backup-Verfahren, Patch-Prozess, Benutzer-Provisioning, Systemüberwachung, Änderungsmanagement, Incident-Response-Verfahren, Wartung, Datensicherung und -wiederherstellung. Seltene, aber kritische Verfahren (Disaster Recovery, Notfall-Failover) sind besonders wichtig.

Wie detailliert muss die Dokumentation sein?

So detailliert, dass eine fachlich qualifizierte Person, die das Verfahren noch nicht kennt, es anhand der Dokumentation korrekt durchführen kann. Das ist der ‚Bus-Faktor-Test': Wenn die einzige Person, die weiß, wie das Backup funktioniert, ausfällt, muss die Dokumentation ausreichen.

Wie halte ich die Dokumentation aktuell?

Drei Trigger: 1) Jede Änderung am Verfahren zieht eine Dokumentationsanpassung nach sich. 2) Jährliches Review aller Verfahren. 3) Jeder Vorfall, bei dem die Dokumentation nicht geholfen hat, triggert eine Überarbeitung. Verknüpfe das Änderungsmanagement mit der Dokumentationspflege.