Trust Center · Service-Berichtswesen
Service-Berichtswesen
Strukturiertes Berichtswesen für operative, sicherheitsrelevante und regulatorische Kennzahlen. Adressiert DORA Art. 6, MaRisk AT 5 und ISO 27001 A.5.1.
Report Generator
Demonstration eines strukturierten Service-Reports mit Ampelsystem.
Hinweis: Bei den generierten Werten handelt es sich um zufällige Beispieldaten zur Veranschaulichung des Report-Formats. Sie haben keinen Bezug zu tatsächlichen Messwerten oder Systemzuständen.
Management-Zusammenfassung
- Das Service-Berichtswesen bündelt operative, sicherheitsrelevante und vertragliche Kennzahlen in einem strukturierten Format.
- Empfänger: Management, Risikogremien, Aufsichtsbehörden, Kunden und Wirtschaftsprüfer.
- Ampelsystem mit Grün/Gelb/Rot-Bewertung ermöglicht schnelle Erfassung der Gesamtlage.
- Periodische Frequenz: monatlich operativ, quartalsweise taktisch, jährlich strategisch.
Zusammenfassung
Management-orientierte Zusammenfassung auf einer Seite, die Kernaussagen hervorhebt.
Zeitraum des Berichts (Monat, Quartal, Jahr)
Gesamtbewertung mit Ampelsystem (Grün/Gelb/Rot)
Bis zu fünf hervorgehobene Kennzahlen mit Trendindikatoren
Liste ausstehender Managemententscheidungen mit Fälligkeitsdatum
Vergleich zum Vorzeitraum mit Abweichungsanalyse
Verfügbarkeit & SLA
Verfügbarkeitskennzahlen und SLA-orientierte Uptime-Berichterstattung.
Tatsächliche Uptime in Prozent, gemessen am vereinbarten Servicefenster
Kumulierte Ausfallzeit in Minuten, aufgeschlüsselt nach geplant/ungeplant
Einstufung in Verfügbarkeitsstufe (Tier I-IV) nach Ausfalltoleranz
Mean Time to Recovery — durchschnittliche Wiederherstellungszeit
Mean Time Between Failures — durchschnittliche störungsfreie Betriebsdauer
SLA-Erfüllung
Vereinbarte SLA-Zielmarke (z. B. 99,9 %)
Erreichte SLA-Quote im Berichtszeitraum
Anzahl und Dauer von SLA-Unterschreitungen
Ausgelöste Service-Credit-Ereignisse mit finanzieller Auswirkung
Ticket-Metriken
Kennzahlen zur Bearbeitung von Service-Tickets und Support-Anfragen.
Kategorien
- Störungsmeldungen mit unmittelbarer Betriebsauswirkung
- Standardisierte Service-Anfragen (Zugriffe, Freigaben)
- Änderungsanforderungen mit Genehmigungsprozess
- Ursachenanalyse-Tickets nach wiederkehrenden Vorfällen
- Kundenbeschwerden mit Eskalationspfad
- Sicherheitsbezogene Vorfälle mit gesondertem Workflow
Lösungszeiten
- Durchschnittliche Gesamtlösungszeit
- Median der Lösungszeit (robust gegen Ausreißer)
- Durchschnittliche Zeit bis zur ersten qualifizierten Reaktion
- Anteil Tickets mit SLA-Verletzung an Gesamtvolumen
- Anzahl Tickets älter als definierte Altersschwelle
Sicherheitsvorfälle
Strukturierte Erfassung und Berichterstattung sicherheitsrelevanter Vorfälle.
Vorfallkategorien
- Unbefugte Zugriffsversuche oder erfolgreiche Kompromittierungen
- Erkannte Schadsoftware-Ereignisse inkl. Einstufung
- Datenschutzverletzungen mit Personenbezug
- Distributed-Denial-of-Service-Angriffe gegen die Infrastruktur
- Gezielte Phishing-Angriffe gegen Kunden oder Mitarbeiter
- Verstöße gegen interne Sicherheitsrichtlinien
- Physische Sicherheitsvorfälle an Standorten
Response-Metriken
- Durchschnittliche Erkennungszeit nach Ereigniseintritt
- Durchschnittliche Eindämmungszeit nach Erkennung
- Durchschnittliche Bereinigungszeit nach Eindämmung
- Durchschnittliche Wiederherstellungszeit nach Bereinigung
- Fristgerechte Meldungen an Aufsichtsbehörden in Prozent
Lieferantenrisiken
Monitoring-Struktur für Risiken aus der Lieferkette und Drittparteienbeziehungen.
Aggregierter Risikoindex je Lieferant, berechnet aus Teilindizes
Finanzielle Stabilitätsindikatoren des Dienstleisters
Abhängigkeitsgrad: Sole-Source, Multi-Source, Backup-verfügbar
Änderungen in der Unterauftragnehmer-Struktur
Status relevanter Zertifizierungen und Testate
Sicherheitsvorfälle und Betriebsstörungen beim Dienstleister
Erfüllungsgrad der vertraglich vereinbarten Pflichten
Reifegrad der Exit-Strategie bei Beendigung der Dienstleistung
Kontrollaktivitäten
Struktur für die Berichterstattung über interne Kontrollaktivitäten.
Review-Kadenz
- Operative Tageskontrollen mit automatischer Ausführungsbestätigung
- Wöchentliche Überprüfungen zu Betrieb und Sicherheit
- Monatliche Bewertung der Kontrollwirksamkeit
- Quartalsweise Selbstzertifizierung durch Prozessverantwortliche
- Jährliche unabhängige Prüfung der Kontrollen
Nachweistypen
- Automatisch generierte Log-Dateien mit Integritätssicherung
- Bildschirmbestätigung durch ausführende Person
- Zeugenbestätigung durch Vier-Augen-Prinzip
- Systemgenerierte Auswertungen und Dashboards
- Externe Bestätigung durch Dienstleister oder Prüfer
Releases & Change Management
Change-Management- und Deployment-Metriken für Software-Auslieferungen.
Change-Typen
- Gesamtanzahl Changes im Berichtszeitraum
- Vorab genehmigte Standard-Changes
- Changes mit vollständigem Genehmigungs-Workflow
- Dringende Changes mit verkürztem Freigabeprozess
- Fehlgeschlagene Changes mit Rollback
Deployment-Metriken
- Anzahl erfolgreicher Deployments pro Woche
- Durchlaufzeit von Commit bis Produktion
- Anteil Changes mit negativer Auswirkung am Gesamtvolumen
- Anteil Rollbacks an allen Deployments
Wartung
Struktur für die Planung und Kommunikation von Wartungsaktivitäten.
Planung
- Reguläre Wartungsfenster (Wochentag, Uhrzeit, Dauer)
- Erweiterte Wartungsfenster für grössere Eingriffe
- Ausserplanmässige Notfallwartung mit Begründung
- Vorankündigungsfrist für Kunden in Tagen
Kundenauswirkung
- Beschreibung verminderter Funktionalität während der Wartung
- Erwartete Nichtverfügbarkeit in Minuten
- Liste betroffener Systemkomponenten und Funktionen
- Rückfallplan bei unerwarteten Problemen während der Wartung
Kundenauswirkung
Methodik zur Bewertung und Quantifizierung der Kundenauswirkung.
Gesamtbewertung: None, Low, Medium, High, Critical
Dauer der Beeinträchtigung als multiplikativer Faktor
Betroffene Kundenpopulation als Prozent der Gesamtbasis
Grad des Funktionsverlusts: Vollausfall, Teileinschränkung, Degradation
Auswirkung auf Datenintegrität und Datenverfügbarkeit
Einschätzung des Reputationsschadens auf einer Skala 0–10
Potenzielle aufsichtsrechtliche Konsequenzen
Berichtsrhythmus
Operative Kennzahlen: Verfügbarkeit, Tickets, Changes, Sicherheitsvorfälle
Taktische Kennzahlen: SLA-Erfüllung, Lieferantenrisiken, Kontrollwirksamkeit
Strategische Gesamtschau: Jahresvergleich, Reifegrad, Zertifizierungsstatus
ISO 27001 Verbindung
Das Service-Berichtswesen operationalisiert die Nachweispflichten aus DORA und MaRisk durch ein strukturiertes periodisches Berichtswesen.
- DORA Art. 6: Governance- und Kontrollrahmen
- DORA Art. 24: Risikobasiertes Testprogramm
- DORA Art. 28: Vertragsanforderungen
- MaRisk AT 5: Auslagerungsmanagement
- ISO 27001 A.5.1: Management der Informationssicherheit
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung