Wissenswertes

Vorlagen für die IT-Dokumentation –
Beispiele für Richtlinien und Betriebshandbücher

Inhaltsverzeichnis

KI-Tools machen es heute leicht, schnelle Entwürfe für Vorlagen und Muster zu generieren. Die eigentliche Herausforderung beginnt jedoch erst danach: Damit aus einem Textbaustein eine eigene Dokumentation wird, muss er exakt an Ihre Organisation angepasst, in Ihre bestehenden Strukturen integriert und mit Ihren Prozessen verknüpft werden.

Unsere nachfolgenden Beispiele unterstützen Sie hierbei. Wir unterscheiden dabei zwei grundlegende Anwendungsfälle:

  1. Zentrale Vorgabedokumente: Hierbei handelt es sich um Dokumente, die es in Ihrer Organisation nur einmal gibt, wie z. B. ein IT-Sicherheitskonzept oder eine Cloud-Richtlinie. Sie definieren den verbindlichen Rahmen und regeln das „Was“ und „Wie“ für alle Beteiligten.
  2. Vorlagen zur Erstellung standardisierter Dokumente für den Betrieb (Templates): Hierbei geht es um Dokumente, die für viele gleichartige Objekte (z. B. IT-Systeme, Anwendungen oder Server) erstellt werden müssen. In diesem Fall ist es sinnvoll, ein Template (Schablone) bereitzustellen, das sicherstellt, dass alle wesentlichen Informationen strukturiert und einheitlich erfasst werden.

Praxisbeispiele: Um diesen Unterschied greifbar zu machen, zeigen wir Ihnen im Folgenden, wie Sie methodisch vorgehen und wie solche Dokumente konkret aufgebaut sein können – beginnend mit der Erstellung einer Richtlinie zur Nutzung von Cloud-Diensten.

Beispiel: Methodik zur Erstellung von Richtliniendokumenten

Die Erstellung einer neuen Richtlinie beginnt oft mit der Frage: „Was muss eigentlich alles geregelt werden?“

Statt das Rad neu zu erfinden, empfiehlt es sich, zunächst einen fachlich vollständigen Rahmen (Framework) zu erstellen, der auf etablierten Standards basiert. Erst im zweiten Schritt füllen Sie diesen Rahmen mit Ihren organisationsspezifischen Inhalten.

Dank moderner KI-Modelle müssen Sie Normen heute nicht mehr mühsam wälzen, um eine Gliederung zu erhalten. Mit einem gezielten Prompt liefert Ihnen die KI das Gerüst.

Beispiel-Prompt

Um beispielsweise die Anforderungen der ISO/IEC 27001 (Control A.5.23) sicher abzudecken, nutzen wir folgenden Befehl:

„Ich benötige eine themenspezifische Richtlinie gemäß ISO/IEC 27001 zur Umsetzung der Anforderungen des Controls A.5.23 ‚Informationssicherheit für die Nutzung von Cloud-Diensten‘. Bitte strukturiere die Richtlinie mit Zweck, Geltungsbereich, Rollen, Anforderungen entlang des Lebenszyklus und technischen Mindestkontrollen.“

Empfohlene Inhalte der Cloudnutzungs-Richtlinie

Als Ergebnis erhalten Sie eine ausführliche Struktur, die typischerweise folgende Punkte umfasst:

1. Zweck und Zielsetzung

  • Zweck der Richtlinie (Warum regeln wir das?)
  • Ziele bei der Nutzung von Cloud-Diensten (z. B. Flexibilität, Kosten, Sicherheit)
  • Verankerung des Shared-Responsibility-Prinzips (Klarstellung, dass Verantwortung für Daten beim Kunden bleibt)

2. Geltungsbereich (Scope)

  • Organisatorisch: Welche Abteilungen/Tochtergesellschaften sind betroffen?
  • Fachlich: Welche Cloud-Service-Modelle (IaaS, PaaS, SaaS) sind gemeint?
  • Technisch: Gilt dies für Produktiv-, Test- und Entwicklungsumgebungen?

3. Begriffe

  • Definition wichtiger Termini zur Vermeidung von Missverständnissen (z. B. Cloud Service Provider (CSP), Auftragsverarbeitung (AVV), Datenklassifizierung).

4. Referenzen

  • Verweise auf relevante Normen und Gesetze (ISO/IEC 27001, ISO/IEC 27017/27018, DSGVO).
  • Interne Verlinkung: Verweise auf übergeordnete Dokumente (z. B. Informationssicherheitsrichtlinie, Klassifikationsrichtlinie), um Redundanzen zu vermeiden.

5. Rollen und Verantwortlichkeiten

  • Wer darf entscheiden? (Cloud-Strategy-Board, CISO, Datenschutzbeauftragter, Einkauf).
  • Wer ist für den Betrieb verantwortlich? (Service Owner, Applikationsverantwortlicher).

6. Grundsätze

Übergeordnete Sicherheits- und Datenschutzprinzipien, die für jeden Cloud-Dienst gelten:

  • Cloud-First vs. On-Premise-Strategie
  • Verbot von Schatten-IT
  • Privacy by Design / Default
  • Vorgaben zur Verschlüsselung (BYOK/HYOK)

7. Anforderungen entlang des Lebenszyklus

  • Bedarf: Kriterien für die Auswahl.
  • Beschaffung: Prüfung des Anbieters (Vendor Risk Assessment) und Vertragsprüfung (SLA, AVV).
  • Betrieb: Laufende Überwachung und Change-Management.
  • Exit: Regelungen zur Datenrückgabe und Löschung bei Vertragsende.

8. Technische Mindestkontrollen

Verbindliche Vorgaben für die technische Absicherung:

  • Multi-Faktor-Authentifizierung (MFA)
  • Identitätsmanagement (SSO/RBAC)
  • Verschlüsselung (Data in Transit / at Rest)
  • Protokollierung (Audit-Logs)
  • Schnittstellensicherheit (API-Security)

9. Überwachung, Messung und Reporting

  • Definition von KPIs (z. B. Verfügbarkeit) und KRIs (z. B. Anzahl Sicherheitsvorfälle).
  • Berichtswesen an das Management oder ISMS-Gremien.

10. Dokumentationspflichten

Welche Nachweise müssen je Cloud-Dienst vorliegen?

  • Architektur- und Datenflussdiagramme
  • Verträge und Zertifikate (SOC2, ISO 27001 des Providers)
  • Härtungsdokumentation
  • Notfall- und Exit-Konzepte

11. Schulung und Awareness

  • Vorgaben zur Sensibilisierung der Mitarbeiter im Umgang mit Cloud-Diensten.

12. Ausnahmen

  • Prozess für genehmigte Abweichungen (Risk Acceptance), befristete Ausnahmeregelungen und Kompensationsmaßnahmen.

13. Sanktionen

  • Hinweis auf arbeits- oder vertragsrechtliche Konsequenzen bei Verstößen.

14. Überprüfung und Aktualisierung

  • Turnus für den Review der Richtlinie (z. B. jährlich oder bei gravierenden technologischen Änderungen).

Die notwendigen Schritte zur eigenen Richtlinie

Identifizierung der unternehmensspezifischen Regelungen

Eine Richtlinie beschreibt das „Was“ (Was muss eingehalten werden?) und das „Warum“. Die Hauptarbeit liegt in der Ermittlung und Dokumentation Ihrer konkreten Vorgaben entlang der oben stehenden Struktur.

Modulare Dokumentationsstruktur

Richtlinien dürfen nicht isoliert betrachtet werden. Sie sind Teil des Gesamtsystems. Die Abbildung zeigt die von der ISO/IEC 27001 geforderten Dokumente am Beispiel der Dokumentenpyramide.

Verweise statt redundante Inhalte

Auf Inhalte, die in anderen Dokumenten geregelt sind, sollte konsequent verwiesen oder verlinkt werden:

  • Wiederholen Sie keine Texte aus der Informationssicherheitsleitlinie. Verweisen Sie darauf.
  • Kopieren Sie keine Gesetzestexte (DSGVO). Verweisen Sie darauf.
  • Nutzen Sie Links zu Dokumenten (in SharePoint, Wiki u. a.), um eine vernetzte Wissensbasis zu schaffen.

Dokumentation der zugehörigen Betriebsprozesse und Verfahren

Zur Umsetzung der Controls (Vorgabe in der Richtlinie) ist die Dokumentation der implementierten Betriebsprozesse (Umsetzung) eine zwingende Voraussetzung.

Bei der Nutzung von Cloud-Diensten (A.5.23) sollten u. a. folgende Verfahren beschrieben werden:

  • Auswahlprozess: Evaluierung eines Cloud-Anbieters inklusive Risikoanalyse.
  • Zugriffsschutz: Dokumentation der Authentifizierungsmethoden, Rollen und Berechtigungen.
  • Kryptografie: Verfahren zur Verschlüsselung und Schlüsselverwaltung (Dokumentation der eingesetzten Verschlüsselungsmechanismen einschließlich Schlüsselverwaltung).
  • Überwachung: Verfahren zur Überwachung der Cloud-Sicherheit (Tools, Prüfroutinen) inkl. Prozess und Verantwortlichkeiten im Falle eines Sicherheitsvorfalls in der Cloud
    (Eskalationsverfahren, Kommunikationskanäle, Wiederherstellungsmaßnahmen).
  • Notfallvorsorge: Planung für Cloud-Ausfälle und Sicherheitsvorfälle sowie Wiederherstellungsstrategien und verfahren.

 

 

Beispiel: Vorlage für ein Betriebshandbuch (systemspezifisches Betriebskonzept)

Ein Betriebskonzept sollte alle Informationen bereitstellen, die erforderlich sind, um ein IT-System anforderungsgerecht und sicher zu betreiben. Hierzu integriert es die Aufbau- und Betriebssicht.

Warum sprechen wir von „Betriebskonzept“?

Wandel der Begriffe:

In früheren Ansätzen haben wir zwischen der Systemakte (statischer Aufbau/Konfiguration) und dem Betriebshandbuch (dynamische Abläufe/Prozesse) unterschieden. In modernen IT-Umgebungen, geprägt von Virtualisierung, Outsourcing, Infrastructure as Code (IaC) und DevOps, verschmelzen diese Ebenen jedoch zunehmend.

Der Begriff „Betriebskonzept“ trägt dieser Entwicklung Rechnung: Er integriert Konfiguration und Prozess in einer ganzheitlichen Sichtweise.

Praxistipp:
Lassen Sie sich von Begrifflichkeiten nicht verunsichern. Es spricht nichts dagegen, etablierte Namen wie Betriebshandbuch, Systemakte, Systembeschreibung oder Service-Dokument beizubehalten, wenn diese in Ihrer Organisation verankert und akzeptiert sind.

Entscheidend ist nicht das Label, sondern der Inhalt: Wichtig ist, dass das Dokument Ihre Strukturen abbildet und Technik (Aufbau) mit den dazugehörigen Prozessen (Ablauf) verknüpft.

Grundsatz: Nutzung als Informations-Hub

Betriebskonzepte (oder Betriebshandbücher) für IT-Systeme oder Anwendungen sollten vor allem keine monolithischen Textwüsten sein. Sie fungieren vielmehr  als „Klammer“ oder „Single Point of Information“, die alle Fäden eines IT-Systems zusammenführt.

Die Informationen liegen dabei physisch an unterschiedlichen Orten, werden aber im Konzept logisch verknüpft:

  1. Im Betriebskonzept (oder Betriebshandbuch) selbst (systemspezifische Informationen und Anweisungen).
  2. In Datenbanken (z. B. einer CMDB) (technische Fakten).
  3. In übergreifenden Richtlinien (allgemeine Vorgaben).
  4. In Drittsystemen (z. B. Monitoring, Ticketsystem, Vertragsdatenbank).

Struktur-Matrix: Themen und Speicherorte

In der folgenden Übersicht verwenden wir den praxisüblichen Begriff Betriebshandbuch als zentralen Speicherort für die integrierten Informationen. Die Tabelle dient als Blueprint (Vorlage) und zeigt, wo Informationen idealerweise führend gepflegt werden, um Redundanzen zu vermeiden.

ThemenbereichInhaltliche AspekteTypischer Speicherort/Verweis
1. SystemübersichtFunktionale Beschreibung, Systemklasse, KritikalitätBetriebshandbuch (Kapitel „Einleitung”/Steckbief)
 Betriebs- & Fachverantwortliche (Owner)Betriebshandbuch
 Ansprechpartner (intern/extern)Kommunikationsplan/Adressbuch
 SLAs, OLAs, VerfügbarkeitszieleBetriebshandbuch/Service-Katalog
2. Technische BeschreibungArchitekturdiagramm, KomponentenBetriebshandbuch (Visualisierung)
 Schnittstellen (System & Netzwerk)Schnittstellendokumente/CMDB (Dependency Map)
 AbhängigkeitenCMDB
3. DatenmanagementDatenmodell, Datenflüsse, SpeicherorteFachkonzept/Betriebshandbuch
 Schnittstellen-Definitionen (APIs)Entwicklerdokumentation
4. KonfigurationSoll-Konfiguration, Parameter

Betriebshandbuch
/Repository (Git)/CMDB

 Change-Management-ProzessVerweis auf übergreifenden Change-Prozess
5. InbetriebnahmeVoraussetzungen, Installation, DeploymentBetriebshandbuch (Deployment-Dokumentation)
 Installations- bzw. BereitstellungsprozessBesonderheiten im Betriebskonzept/Verweis auf entsprechende Betriebsprozesse
 Abnahme & TestsChange- und  Testdokumentation / Release-Notes
6. BetriebsabläufeRegelbetrieb, WartungsfensterBetriebshandbuch (Checklisten)
 Start/Stopp/RebootBetriebshandbuch
 Patch- & Release-ManagementVerweis auf übergreifendes Patch-Konzept/Besonderheiten im Betriebshandbuch
 Monitoring (Schwellwerte, Checks)Monitoring-System (Verlinkung im Konzept)
 Protokollierung, ReportingBesonderheiten im Betriebshandbuch/Verweis auf entsprechenden Betriebsprozess
7. Support & StörungIncident-Management, EskalationswegeVerweis auf ITSM-Tool / Support-Prozess
 Bekannte Fehler (Known Errors)Knowledge Base (KB-Articles)
8. SicherheitskonzeptSchutzbedarf, HärtungsmaßnahmenBetriebshandbuch (spezifische Härtung)
 Backup & RecoveryVerweis auf Datensicherungskonzept und spezifische Restore-Anleitung
 Berechtigungen & RollenBetriebshandbuch (Matrix) oder IAM-System
 Schutz vor SchadsoftwareBesonderheiten im Betriebskonzept und Verweis auf Informationssicherheitsrichtlinie
 PasswortverwaltungBesonderheiten im Betriebshandbuch und Verweis auf Passwortrichtlinie
9. NotfallvorsorgeWiederanlaufpläne (DR), Notfall-SzenarienBetriebshandbuch (Kapitel Notfall) oder separates Notfallhandbuch
10. Provider/VerträgeWartungsverträge, Lizenzen, 3rd PartyLizenzmanagement/Vertragsmanagement
  • Funktionale Beschreibung, Systemklasse, Kritikalität
    → Betriebshandbuch (Einleitung/Steckbrief)
  • Betriebs- & Fachverantwortliche (Owner)
    → Betriebshandbuch
  • Ansprechpartner (intern/extern)
    → Kommunikationsplan/Adressbuch
  • SLAs, OLAs, Verfügbarkeitsziele
    → Betriebshandbuch/Service-Katalog
  • Architekturdiagramm, Komponenten
    → Betriebshandbuch (Visualisierung)
  • Schnittstellen (System & Netzwerk)
    → Schnittstellendokumente/CMDB (Dependency Map)
  • Abhängigkeiten
    → CMDB
  • Datenmodell, Datenflüsse, Speicherorte
    → Fachkonzept/Betriebshandbuch
  • Schnittstellen-Definitionen (APIs)
    → Entwicklerdokumentation
  • Soll-Konfiguration, Parameter
    → Betriebshandbuch/Repository (Git)/CMDB
  • Change-Management-Prozess
    → Verweis auf übergreifenden Change-Prozess
  • Voraussetzungen, Installation, Deployment
    → Betriebshandbuch (Deployment-Dokumentation)
  • Installations- bzw. Bereitstellungsprozess
    → Besonderheiten im Betriebskonzept/Verweis auf entsprechende Betriebsprozesse
  • Abnahme & Tests
    → Change- und Testdokumentation/Release-Notes
  • Regelbetrieb, Wartungsfenster
    → Betriebshandbuch (Checklisten)
  • Start/Stopp/Reboot
    → Betriebshandbuch
  • Patch- & Release-Management
    → Verweis auf übergreifendes Patch-Konzept/Besonderheiten im Betriebshandbuch
  • Monitoring (Schwellwerte, Checks)
    → Monitoring-System (Verlinkung im Konzept)
  • Protokollierung, Reporting
    → Besonderheiten im Betriebshandbuch/Verweis auf entsprechenden Betriebsprozess
  • Incident-Management, Eskalationswege
    → Verweis auf ITSM-Tool/Support-Prozess
  • Bekannte Fehler (Known Errors)
    → Knowledge Base (KB-Artikel)
  • Schutzbedarf, Härtungsmaßnahmen
    → Betriebshandbuch (spezifische Härtung)
  • Backup & Recovery
    → Verweis auf Datensicherungskonzept und spezifische Restore-Anleitung
  • Berechtigungen & Rollen
    → Betriebshandbuch (Matrix) oder IAM-System
  • Schutz vor Schadsoftware
    → Besonderheiten im Betriebskonzept/Verweis auf Informationssicherheitsrichtlinie
  • Passwortverwaltung
    → Besonderheiten im Betriebshandbuch/Verweis auf Passwortrichtlinie
  • Wiederanlaufpläne (DR), Notfall-Szenarien
    → Betriebshandbuch (Kapitel Notfall) oder separates Notfallhandbuch

Wartungsverträge, Lizenzen, 3rd Party
→ Lizenzmanagement/Vertragsmanagement

Tailoring: Vorlagen passend zuschneiden

Betrachtet man die verschiedenen Themen in der Tabelle, wird schnell deutlich, dass es nicht sinnvoll ist, alle Systeme im gleichen Detailgrad zu dokumentieren. Es ist weder wirtschaftlich noch sinnvoll, ein kleines Hilfs-Tool mit derselben Tiefe zu dokumentieren wie das Kern-ERP-System.

„To tailor“ bedeutet „(zu)schneiden“ oder „zuschneiden“ – und genau darum geht es:

  • Auswahl der erforderlichen Informationen
  • Weglassen von Aspekten, die für ein System oder eine Zielgruppe nicht benötigt werden

Daher ist es sinnvoll, spezifische Vorlagen für unterschiedliche Systemgruppen bzw. Adressaten bereitzustellen (z. B. zentrale Fachanwendungen, kleine Tools, Infrastruktursysteme).

Dieser Tailoring-Prozess zielt darauf ab, die Dokumentation effizienter und zielgerichteter zu gestalten, indem sie an die tatsächlichen Bedürfnisse und Anforderungen der verschiedenen Systeme angepasst wird.

Ziel: So viel Dokumentation wie nötig für einen sicheren Betrieb und Compliance, aber so wenig wie möglich, um den Pflegeaufwand gering zu halten.

Steinpyramide

Mit den hier bereitgestellten Vorlagen möchten wir Ihnen die Erstellung eigener Vorlagen erleichtern. Noch effektiver können wir Sie im Rahmen einer individuellen Beratung unterstützen. Wir zeigen Ihnen, wie Sie Vorlagen als wichtigen Baustein Ihrer IT-Dokumentation optimal nutzen können.

Mehr zu unseren Angeboten finden Sie unter Umsetzung & Optimierung im Bereich Services. 

Nach oben scrollen