Eine einseitige Notiz für Software-Teams
Screenshots durch wiederholbare Exporte ersetzen.
Nachweise standardmäßig — nicht erst auf Zuruf.
Einseitige Lösungen für typische „Zeig mir“-Auditfragen — werkzeugunabhängig und zum Kopieren.
Die These
Screenshots werden als Nachweis akzeptiert, aber Screenshot-Nachweise sind teuer, fragil und manchmal unmöglich.
Nachweise werden regelmäßig von echten Menschen verlangt: externe Auditoren, Kunden und Einkauf (Sicherheitsfragebögen), internes Risikomanagement und Compliance, Security- und ISMS-Verantwortliche sowie das Management bei Due-Diligence-Prozessen (Enterprise-Deals, Finanzierungen, M&A).
Was „Nachweis“ bedeutet
Ein Nachweis ist ein Artefakt, das später reproduzierbar ist und beantwortet, was passiert ist, wann es passiert ist, wer es getan hat, und aus welchem System es stammt.
ISO-Managementsysteme haben „zeig mir den Nachweis“ normalisiert (ISO 9001 → ISO/IEC 27001). Was einem ISO-27001-Audit standhält, trägt meist auch in benachbarten Anforderungen — etwa NIS2.
Regel
Was nächsten Monat nicht erneut erzeugt werden kann (gleiche Abfrage/derselbe Exportpfad), ist kein guter Nachweis.
❌ SCHLECHT — Screenshots in der Audit-Woche
Screenshots werden erst gemacht, wenn der Auditor fragt, und dann mit manuellen Erklärungen in ein Dokument geklebt. Zwischen Audits gibt es keine Spur, also hetzt das Team unter Zeitdruck. Genau dann passieren Fehler: falscher Zeitraum, fehlender Kontext, uneinheitliche Benennung.
✅ GUT — Routine-Screenshots
Dieselben Screenshots werden als Teil einer wöchentlichen/monatlichen Routine erfasst und als datiertes Evidence-Paket abgelegt. Jede Periode entsteht ein vorhersehbarer Ordner mit demselben Set an Screenshots, beschriftet mit Periode und Verantwortlichem. Die Audit-Woche wird zum Abrufen, nicht zum Produzieren.
Auditoren akzeptieren Screenshots — aber sie vertrauen Routinen.
Warum Screenshots in der Praxis scheitern
1. Teuer
Zugriffsprüfungen über viele Anwendungen bedeuten, dass jemand viele Admin-UIs besuchen, viele Screenshots machen und für jeden eine Erklärung schreiben muss. Der Aufwand wächst linear mit Anzahl der Systeme und Nutzer.
2. Fehleranfällig
Ein Screenshot zeigt den aktuellen Zustand, gefragt ist aber meist „Zustand zum Prüfungszeitpunkt“. Fehlen Tenant, URL, Zeitstempel oder aktiver Filter, ist er mehrdeutig — und mehrdeutige Nachweise werden zurückgewiesen oder neu angefordert.
3. Nicht skalierbar
Patch-Status für hunderte Endgeräte oder Backup-Erfolg über viele Workloads lässt sich nicht per Screenshot belegen. Man braucht einen Export, eine Abfrage oder einen Report — sonst ist die Antwort schon konstruktionsbedingt unvollständig.
Artefakt 1 — die Liste
Evidence-Inventar
Die eine Seite, die festhält, welche Nachweise ihr aufbewahrt, woher sie kommen und wer dafür verantwortlich ist. Wenn euer Team nicht benennen kann, was als Nachweis zählt, könnt ihr ihn auch nicht auf Anfrage liefern. Kopiert die Tabelle, ersetzt die Zeilen durch eure Systeme, behaltet die Spalten.
| Nachweis | Quelle | Verantwortlich | Frequenz | Exportformat | Ablageort |
|---|---|---|---|---|---|
| Benutzerzugriffsliste (Produktiv-App) | Identity Provider / App-Admin | Platform Owner | Monatlich | CSV-Export | Evidence/YYYY-MM/access/ |
| Admin-/Privilegierte Rollenmitglieder | IAM-Konsole | Security-Lead | Monatlich | CSV + signiertes PDF | Evidence/YYYY-MM/access/ |
| MFA-Enrollment-Status | Identity Provider | IT-Admin | Monatlich | CSV-Export | Evidence/YYYY-MM/access/ |
| Patch-/OS-Versionsstatus | MDM / Endpoint-Manager | IT-Admin | Monatlich | CSV-Export | Evidence/YYYY-MM/endpoints/ |
| Ergebnisse Backup-Jobs | Backup-Tool | Ops-Lead | Wöchentlich | CSV / Job-Report | Evidence/YYYY-MM/backups/ |
| Restore-Test-Protokoll | Backup-Tool + Ticket | Ops-Lead | Quartalsweise | PDF + Ticket-Link | Evidence/YYYY-Qn/restore/ |
| Produktions-Änderungsdaten | Git / Deploy-Log | Engineering-Lead | Laufend → monatlich exportiert | CSV / JSON | Evidence/YYYY-MM/changes/ |
| Schwachstellen-Scan-Ergebnisse | Scanner | Security-Lead | Monatlich | CSV / PDF | Evidence/YYYY-MM/vuln/ |
| Risikoregister-Snapshot | Risikoregister | ISMS-Verantwortliche/r | Monatlich | PDF-Export | Evidence/YYYY-MM/risk/ |
| Incident-Register-Snapshot | Ticketing-System | Security-Lead | Monatlich | CSV-Export | Evidence/YYYY-MM/incidents/ |
| Lieferantenliste + Review-Status | Lieferanten-Inventar | Einkauf / ISMS | Quartalsweise | CSV-Export | Evidence/YYYY-Qn/suppliers/ |
Artefakt 2 — die Routine
Monatlicher Evidence-Export
Die Liste oben ist nutzlos ohne eine Routine, die die Artefakte planmäßig erzeugt. Das ist der Loop: zehn Schritte, werkzeugunabhängig, in einer Sitzung machbar. Monatlich ausführen — und die Audit-Woche wird zum Abrufen, nicht zum Produzieren.
- 01Öffne den Evidence-Ordner für den aktuellen Monat und lege die Standard-Unterordner an.
- 02Öffne für jede Zeile des Inventars das Quellsystem und führe den dokumentierten Export oder die Abfrage aus.
- 03Speichere jeden Export nach dem Schema: {item}_{YYYY-MM}_{owner}.{ext}.
- 04Wo die Quelle keinen sauberen Export bietet, mach Screenshots mit URL, Tenant, Filter und System-Uhr/Zeitstempel.
- 05Notiere Akteur und Exportpfad in einer einzeiligen Notiz neben dem Artefakt.
- 06Bilde für Zugriffslisten, Admins und Lieferanten den Diff zum Vormonat und lege ihn neben dem Export ab.
- 07Trage Ausnahmen und bekannte Probleme im Register ein, mit Verantwortlichem und Zieltermin.
- 08Lass die Verantwortlichen den Ordner abnehmen (Checkbox im Tracker reicht).
- 09Sperre den Ordner für die Periode (read-only), damit später nichts mehr geändert wird.
- 10Verlinke den Ordner aus deinem Evidence-Index — damit die nächste Auditor-Anfrage einen Klick entfernt ist.
Weiterleiten
Diese Seite steht für sich. Schick sie an die Person, die ständig nach Screenshots gefragt wird.
Adaptiert aus
ISO 27001 für Softwareunternehmen
Eine vierbändige Buchreihe von Messemer Tech
Ein Praktiker-Leitfaden zum Aufbau und Betrieb eines ISO/IEC-27001-Programms in Softwareunternehmen — ohne Compliance-Theater.
Diese Seite ist eine Dokumentations-Begleitung, adaptiert mit Genehmigung aus dem Evidence-Kapitel des Buchs. Die Artefakte oben sind Auszüge; der vollständige Leitfaden erweitert sie über den Rest der Norm.