Zum Inhalt springen

Trust Center · Service-Berichtswesen

Service-Berichtswesen

Strukturiertes Berichtswesen für operative, sicherheitsrelevante und regulatorische Kennzahlen. Adressiert DORA Art. 6, MaRisk AT 5 und ISO 27001 A.5.1.

Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung. Service Report PDF

Report Generator

Demonstration eines strukturierten Service-Reports mit Ampelsystem.

Hinweis: Bei den generierten Werten handelt es sich um zufällige Beispieldaten zur Veranschaulichung des Report-Formats. Sie haben keinen Bezug zu tatsächlichen Messwerten oder Systemzuständen.

Management-Zusammenfassung

  • Das Service-Berichtswesen bündelt operative, sicherheitsrelevante und vertragliche Kennzahlen in einem strukturierten Format.
  • Empfänger: Management, Risikogremien, Aufsichtsbehörden, Kunden und Wirtschaftsprüfer.
  • Ampelsystem mit Grün/Gelb/Rot-Bewertung ermöglicht schnelle Erfassung der Gesamtlage.
  • Periodische Frequenz: monatlich operativ, quartalsweise taktisch, jährlich strategisch.

Zusammenfassung

Management-orientierte Zusammenfassung auf einer Seite, die Kernaussagen hervorhebt.

Zeitraum des Berichts (Monat, Quartal, Jahr)

Gesamtbewertung mit Ampelsystem (Grün/Gelb/Rot)

Bis zu fünf hervorgehobene Kennzahlen mit Trendindikatoren

Liste ausstehender Managemententscheidungen mit Fälligkeitsdatum

Vergleich zum Vorzeitraum mit Abweichungsanalyse

Verfügbarkeit & SLA

Verfügbarkeitskennzahlen und SLA-orientierte Uptime-Berichterstattung.

Tatsächliche Uptime in Prozent, gemessen am vereinbarten Servicefenster

Kumulierte Ausfallzeit in Minuten, aufgeschlüsselt nach geplant/ungeplant

Einstufung in Verfügbarkeitsstufe (Tier I-IV) nach Ausfalltoleranz

Mean Time to Recovery — durchschnittliche Wiederherstellungszeit

Mean Time Between Failures — durchschnittliche störungsfreie Betriebsdauer

SLA-Erfüllung

Vereinbarte SLA-Zielmarke (z. B. 99,9 %)

Erreichte SLA-Quote im Berichtszeitraum

Anzahl und Dauer von SLA-Unterschreitungen

Ausgelöste Service-Credit-Ereignisse mit finanzieller Auswirkung

Ticket-Metriken

Kennzahlen zur Bearbeitung von Service-Tickets und Support-Anfragen.

Kategorien

  • Störungsmeldungen mit unmittelbarer Betriebsauswirkung
  • Standardisierte Service-Anfragen (Zugriffe, Freigaben)
  • Änderungsanforderungen mit Genehmigungsprozess
  • Ursachenanalyse-Tickets nach wiederkehrenden Vorfällen
  • Kundenbeschwerden mit Eskalationspfad
  • Sicherheitsbezogene Vorfälle mit gesondertem Workflow

Lösungszeiten

  • Durchschnittliche Gesamtlösungszeit
  • Median der Lösungszeit (robust gegen Ausreißer)
  • Durchschnittliche Zeit bis zur ersten qualifizierten Reaktion
  • Anteil Tickets mit SLA-Verletzung an Gesamtvolumen
  • Anzahl Tickets älter als definierte Altersschwelle

Sicherheitsvorfälle

Strukturierte Erfassung und Berichterstattung sicherheitsrelevanter Vorfälle.

Vorfallkategorien

  • Unbefugte Zugriffsversuche oder erfolgreiche Kompromittierungen
  • Erkannte Schadsoftware-Ereignisse inkl. Einstufung
  • Datenschutzverletzungen mit Personenbezug
  • Distributed-Denial-of-Service-Angriffe gegen die Infrastruktur
  • Gezielte Phishing-Angriffe gegen Kunden oder Mitarbeiter
  • Verstöße gegen interne Sicherheitsrichtlinien
  • Physische Sicherheitsvorfälle an Standorten

Response-Metriken

  • Durchschnittliche Erkennungszeit nach Ereigniseintritt
  • Durchschnittliche Eindämmungszeit nach Erkennung
  • Durchschnittliche Bereinigungszeit nach Eindämmung
  • Durchschnittliche Wiederherstellungszeit nach Bereinigung
  • Fristgerechte Meldungen an Aufsichtsbehörden in Prozent

Lieferantenrisiken

Monitoring-Struktur für Risiken aus der Lieferkette und Drittparteienbeziehungen.

Aggregierter Risikoindex je Lieferant, berechnet aus Teilindizes

Finanzielle Stabilitätsindikatoren des Dienstleisters

Abhängigkeitsgrad: Sole-Source, Multi-Source, Backup-verfügbar

Änderungen in der Unterauftragnehmer-Struktur

Status relevanter Zertifizierungen und Testate

Sicherheitsvorfälle und Betriebsstörungen beim Dienstleister

Erfüllungsgrad der vertraglich vereinbarten Pflichten

Reifegrad der Exit-Strategie bei Beendigung der Dienstleistung

Kontrollaktivitäten

Struktur für die Berichterstattung über interne Kontrollaktivitäten.

Review-Kadenz

  • Operative Tageskontrollen mit automatischer Ausführungsbestätigung
  • Wöchentliche Überprüfungen zu Betrieb und Sicherheit
  • Monatliche Bewertung der Kontrollwirksamkeit
  • Quartalsweise Selbstzertifizierung durch Prozessverantwortliche
  • Jährliche unabhängige Prüfung der Kontrollen

Nachweistypen

  • Automatisch generierte Log-Dateien mit Integritätssicherung
  • Bildschirmbestätigung durch ausführende Person
  • Zeugenbestätigung durch Vier-Augen-Prinzip
  • Systemgenerierte Auswertungen und Dashboards
  • Externe Bestätigung durch Dienstleister oder Prüfer

Releases & Change Management

Change-Management- und Deployment-Metriken für Software-Auslieferungen.

Change-Typen

  • Gesamtanzahl Changes im Berichtszeitraum
  • Vorab genehmigte Standard-Changes
  • Changes mit vollständigem Genehmigungs-Workflow
  • Dringende Changes mit verkürztem Freigabeprozess
  • Fehlgeschlagene Changes mit Rollback

Deployment-Metriken

  • Anzahl erfolgreicher Deployments pro Woche
  • Durchlaufzeit von Commit bis Produktion
  • Anteil Changes mit negativer Auswirkung am Gesamtvolumen
  • Anteil Rollbacks an allen Deployments

Wartung

Struktur für die Planung und Kommunikation von Wartungsaktivitäten.

Planung

  • Reguläre Wartungsfenster (Wochentag, Uhrzeit, Dauer)
  • Erweiterte Wartungsfenster für grössere Eingriffe
  • Ausserplanmässige Notfallwartung mit Begründung
  • Vorankündigungsfrist für Kunden in Tagen

Kundenauswirkung

  • Beschreibung verminderter Funktionalität während der Wartung
  • Erwartete Nichtverfügbarkeit in Minuten
  • Liste betroffener Systemkomponenten und Funktionen
  • Rückfallplan bei unerwarteten Problemen während der Wartung

Kundenauswirkung

Methodik zur Bewertung und Quantifizierung der Kundenauswirkung.

Gesamtbewertung: None, Low, Medium, High, Critical

Dauer der Beeinträchtigung als multiplikativer Faktor

Betroffene Kundenpopulation als Prozent der Gesamtbasis

Grad des Funktionsverlusts: Vollausfall, Teileinschränkung, Degradation

Auswirkung auf Datenintegrität und Datenverfügbarkeit

Einschätzung des Reputationsschadens auf einer Skala 0–10

Potenzielle aufsichtsrechtliche Konsequenzen

Berichtsrhythmus

Monatlich

Operative Kennzahlen: Verfügbarkeit, Tickets, Changes, Sicherheitsvorfälle

Quartalsweise

Taktische Kennzahlen: SLA-Erfüllung, Lieferantenrisiken, Kontrollwirksamkeit

Jährlich

Strategische Gesamtschau: Jahresvergleich, Reifegrad, Zertifizierungsstatus

ISO 27001 Verbindung

Das Service-Berichtswesen operationalisiert die Nachweispflichten aus DORA und MaRisk durch ein strukturiertes periodisches Berichtswesen.

  • DORA Art. 6: Governance- und Kontrollrahmen
  • DORA Art. 24: Risikobasiertes Testprogramm
  • DORA Art. 28: Vertragsanforderungen
  • MaRisk AT 5: Auslagerungsmanagement
  • ISO 27001 A.5.1: Management der Informationssicherheit

ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.

Reifegrad

  1. 1 Initial

    Ad-hoc-Ansätze, keine formalen Prozesse

  2. 2 Defined

    Formale Prozesse definiert, aber nicht durchgängig umgesetzt

  3. 3 Implemented

    Prozesse vollständig umgesetzt und dokumentiert

  4. 4 Monitored

    Prozesse werden überwacht und gemessen

  5. 5 Optimized

    Kontinuierliche Verbesserung und Anpassung