Governance
Human Gates
Kritische Entscheidungen und Freigaben werden von qualifizierten menschlichen Rollen getroffen — nicht automatisiert durch KI oder Workflow.
Management-Zusammenfassung
- 9 Human Gates decken alle kritischen Entscheidungspunkte ab: Management, Risikoakzeptanz, Legal, Datenschutz, Security, AI Governance, externe Kommunikation und Aufsichtsmeldung.
- Jedes Gate ist mit DORA-Maßnahmen (measure_id), Evidence-Referenzen und Decision Logs verknüpfbar.
- Gates folgen einem 4-Augen-Prinzip: Erstellung durch Fachbereich, Freigabe durch benannte verantwortliche Rolle.
- Kein Review Pack und keine Aufsichtsmeldung verlässt das System ohne mindestens ein passiertes Human Gate.
management
Management-Entscheidungen und Strategiefreigaben
risk acceptance
Dokumentierte Akzeptanz von Restrisiken
legal
Rechtliche Prüfung vor Handlungen mit Außenwirkung
data protection
Datenschutzrechtliche Prüfung und DSB-Einbindung
security
Sicherheitsrelevante Durchführungsfreigaben
ai governance
KI-Nutzungsfreigaben und Agent-Governance
external communication
Freigabe externer Kommunikation
regulatory reporting
Freigabe von Aufsichtsmeldungen
Aktive Human Gates
Management-Freigabe Resilienzstrategie
Jährliche Freigabe der IKT-Resilienzstrategie, Risikoappetit-Erklärung und Budget-Allokation durch das Leitungsorgan.
Verantwortlich
Geschäftsleitung / Vorstand
Review-Zyklus
Jährlich (Q4)
Verknüpfte Maßnahme
DORA-GOV-001
Kriterien
1. Risikoappetit dokumentiert 2. Budget für Maßnahmenplan freigegeben 3. Strategische Ziele mit messbaren KPIs definiert 4. Protokoll der Management-Sitzung liegt vor
Management Review Sign-Off
Jährliche Bewertung der Wirksamkeit des ISMS/DORA-Rahmenwerks durch das Management.
Verantwortlich
Geschäftsleitung / CISO
Review-Zyklus
Jährlich (Q1)
Verknüpfte Maßnahme
DORA-GOV-002
Kriterien
1. Management Review Agenda durchgeführt 2. Audit-Ergebnisse bewertet 3. Incident-Statistik vorgelegt 4. Verbesserungsmaßnahmen beschlossen 5. Ressourcen für Folgejahr genehmigt
Risikoakzeptanz Score > 8
Risiken mit einem Score > 8 (Schadenshöhe × Eintrittswahrscheinlichkeit im roten Bereich) erfordern eine dokumentierte Risikoakzeptanz durch die Geschäftsleitung.
Verantwortlich
CISO / Risikomanager
Review-Zyklus
Bei jeder Risikoakzeptanz
Verknüpfte Maßnahme
DORA-ICT-015
Kriterien
1. Risikobewertung mit Score > 8 liegt vor 2. Maßnahmen zur Risikoreduktion geprüft 3. Begründung für Akzeptanz dokumentiert 4. Kompensierende Kontrollen benannt 5. Befristung für Re-Evaluation gesetzt
Rechtliche Prüfung Aufsichtsmeldung
Meldungen an Aufsichtsbehörden (BaFin, BSI, Datenschutz) müssen vor Versand rechtlich geprüft werden.
Verantwortlich
Leiter Recht / Compliance
Review-Zyklus
Bei jeder Meldung
Verknüpfte Maßnahme
—
Kriterien
1. Vollständigkeit der Meldung nach Art. 19 DORA/Art. 23 NIS2 geprüft 2. Fristwahrung bestätigt 3. Keine widersprüchlichen Angaben zu Vorjahresmeldungen 4. Vertraulichkeitsvermerk gesetzt (falls erforderlich)
Datenschutz-Freigabe personenbezogener Daten
Jede Verarbeitung personenbezogener Daten in neuen Prozessen oder Systemen erfordert eine DSB-Freigabe.
Verantwortlich
Datenschutzbeauftragter (DSB)
Review-Zyklus
Bei jeder neuen Verarbeitung
Verknüpfte Maßnahme
DORA-POL-011
Kriterien
1. Zweckbindung dokumentiert 2. Rechtsgrundlage benannt (Art. 6 DSGVO) 3. Betroffenenrechte gewährleistet 4. AV-Vertrag mit Auftragsverarbeiter geprüft 5. Datenschutz-Folgenabschätzung (falls erforderlich)
TLPT-Durchführungsfreigabe
Threat-Led Penetration Tests (TLPT) für kritische Funktionen erfordern eine explizite Durchführungsfreigabe mit definiertem Scope und Eskalationsplan.
Verantwortlich
CISO / IT-Leiter
Review-Zyklus
Vor jedem TLPT
Verknüpfte Maßnahme
DORA-TPR-015
Kriterien
1. Test-Scope definiert (Assets, Systeme, Zeitraum) 2. Notfallplan für unerwartete Auswirkungen 3. Benachrichtigung interner Stakeholder 4. Externer Tester unter Vertrag und NDA 5. Rollback-Strategie dokumentiert
KI-Nutzungsfreigabe
Jeder KI-Agent oder jedes KI-gestützte Tool muss vor Produktivnutzung durch ein Human Gate freigegeben werden.
Verantwortlich
AI Governance Officer / CISO
Review-Zyklus
Vor Erstnutzung, dann jährlich
Verknüpfte Maßnahme
—
Kriterien
1. Agent-Profil mit Input-/Output-Spezifikation 2. Datenklasse der verarbeiteten Informationen bestimmt 3. Human-in-the-Loop Mechanismus definiert 4. Verbotene Eingaben dokumentiert 5. Review-Zyklus festgelegt 6. KI-Nutzungsmatrix ausgefüllt
Freigabe externe Kommunikation
Externe Kommunikation zu Sicherheitsvorfällen oder regulatorischen Themen muss vor Veröffentlichung von der Geschäftsleitung freigegeben werden.
Verantwortlich
Pressesprecher / Geschäftsleitung
Review-Zyklus
Bei jeder externen Kommunikation
Verknüpfte Maßnahme
—
Kriterien
1. Adressat und Kommunikationskanal definiert 2. Inhaltlicher Abgleich mit Aufsichtsmeldung 3. Keine laufenden Ermittlungen gefährdet 4. Sprachregelung mit Rechtsabteilung abgestimmt 5. Zeitpunkt der Veröffentlichung festgelegt
Aufsichtsmeldung Freigabe
Jede Meldung an Aufsichtsbehörden (DORA Art. 19, NIS2 Art. 23) muss durch ein Human Gate mit 4-Augen-Prinzip freigegeben werden.
Verantwortlich
Compliance / Geschäftsleitung
Review-Zyklus
Bei jeder Meldung
Verknüpfte Maßnahme
—
Kriterien
1. Meldepflicht nach Art und Frist bestätigt 2. Inhalt von Fachbereich und Rechtsabteilung geprüft 3. 4-Augen-Prinzip eingehalten 4. Meldeprotokoll im Decision Log dokumentiert 5. Eingangsbestätigung der Behörde nachverfolgt
Verknüpfte Module
Adaptiert von KRKrisensicher/krisensicherOS (Apache-2.0). Human Gates ersetzen keine gesetzlich vorgeschriebenen Freigabeprozesse.