Trust Center · Service-Berichtswesen
Service-Berichtswesen
Strukturiertes Berichtswesen für operative, sicherheitsrelevante und regulatorische Kennzahlen. Adressiert DORA Art. 6, MaRisk AT 5 und ISO 27001 A.5.1.
Disclaimer: Diese Methodik beschreibt einen generischen Ansatz für Service-Berichtswesen. Sie ersetzt keine individuelle Abstimmung mit Kunden, Aufsichtsbehörden oder Wirtschaftsprüfern. Die konkrete Ausgestaltung ist organisations- und kontextabhängig.
Management-Zusammenfassung
- Das Service-Berichtswesen bündelt operative, sicherheitsrelevante und vertragliche Kennzahlen in einem strukturierten Format.
- Empfänger: Management, Risikogremien, Aufsichtsbehörden, Kunden und Wirtschaftsprüfer.
- Ampelsystem mit Grün/Gelb/Rot-Bewertung ermöglicht schnelle Erfassung der Gesamtlage.
- Periodische Frequenz: monatlich operativ, quartalsweise taktisch, jährlich strategisch.
Executive Summary
Management-orientierte Zusammenfassung auf einer Seite, die Kernaussagen hervorhebt.
Zeitraum des Berichts (Monat, Quartal, Jahr)
Gesamtbewertung mit Ampelsystem (Grün/Gelb/Rot)
Bis zu fünf hervorgehobene Kennzahlen mit Trendindikatoren
Liste ausstehender Managemententscheidungen mit Fälligkeitsdatum
Vergleich zum Vorzeitraum mit Abweichungsanalyse
Verfügbarkeit & SLA
Verfügbarkeitskennzahlen und SLA-orientierte Uptime-Berichterstattung.
Tatsächliche Uptime in Prozent, gemessen am vereinbarten Servicefenster
Kumulierte Ausfallzeit in Minuten, aufgeschlüsselt nach geplant/ungeplant
Einstufung in Verfügbarkeitsstufe (Tier I-IV) nach Ausfalltoleranz
Mean Time to Recovery — durchschnittliche Wiederherstellungszeit
Mean Time Between Failures — durchschnittliche störungsfreie Betriebsdauer
SLA-Erfüllung
Vereinbarte SLA-Zielmarke (z. B. 99,9 %)
Erreichte SLA-Quote im Berichtszeitraum
Anzahl und Dauer von SLA-Unterschreitungen
Ausgelöste Service-Credit-Ereignisse mit finanzieller Auswirkung
Ticket-Metriken
Kennzahlen zur Bearbeitung von Service-Tickets und Support-Anfragen.
Kategorien
- incident — Störungsmeldungen mit unmittelbarer Betriebsauswirkung
- service request — Standardisierte Service-Anfragen (Zugriffe, Freigaben)
- change request — Änderungsanforderungen mit Genehmigungsprozess
- problem — Ursachenanalyse-Tickets nach wiederkehrenden Vorfällen
- complaint — Kundenbeschwerden mit Eskalationspfad
- security incident — Sicherheitsbezogene Vorfälle mit gesondertem Workflow
Lösungszeiten
- mean time to resolve — Durchschnittliche Gesamtlösungszeit
- median time to resolve — Median der Lösungszeit (robust gegen Ausreißer)
- first response time — Durchschnittliche Zeit bis zur ersten qualifizierten Reaktion
- breach rate — Anteil Tickets mit SLA-Verletzung an Gesamtvolumen
- aged tickets — Anzahl Tickets älter als definierte Altersschwelle
Sicherheitsvorfälle
Strukturierte Erfassung und Berichterstattung sicherheitsrelevanter Vorfälle.
Vorfallkategorien
- unauthorized access — Unbefugte Zugriffsversuche oder erfolgreiche Kompromittierungen
- malware detection — Erkannte Schadsoftware-Ereignisse inkl. Einstufung
- data breach — Datenschutzverletzungen mit Personenbezug
- ddos incident — Distributed-Denial-of-Service-Angriffe gegen die Infrastruktur
- phishing campaign — Gezielte Phishing-Angriffe gegen Kunden oder Mitarbeiter
- policy violation — Verstöße gegen interne Sicherheitsrichtlinien
- physical security — Physische Sicherheitsvorfälle an Standorten
Response-Metriken
- mean detect time — Durchschnittliche Erkennungszeit nach Ereigniseintritt
- mean contain time — Durchschnittliche Eindämmungszeit nach Erkennung
- mean eradicate time — Durchschnittliche Bereinigungszeit nach Eindämmung
- mean recover time — Durchschnittliche Wiederherstellungszeit nach Bereinigung
- notification compliance — Fristgerechte Meldungen an Aufsichtsbehörden in Prozent
Lieferantenrisiken
Monitoring-Struktur für Risiken aus der Lieferkette und Drittparteienbeziehungen.
Aggregierter Risikoindex je Lieferant, berechnet aus Teilindizes
Finanzielle Stabilitätsindikatoren des Dienstleisters
Abhängigkeitsgrad: Sole-Source, Multi-Source, Backup-verfügbar
Änderungen in der Unterauftragnehmer-Struktur
Status relevanter Zertifizierungen und Testate
Sicherheitsvorfälle und Betriebsstörungen beim Dienstleister
Erfüllungsgrad der vertraglich vereinbarten Pflichten
Reifegrad der Exit-Strategie bei Beendigung der Dienstleistung
Kontrollaktivitäten
Struktur für die Berichterstattung über interne Kontrollaktivitäten.
Review-Kadenz
- daily controls — Operative Tageskontrollen mit automatischer Ausführungsbestätigung
- weekly reviews — Wöchentliche Überprüfungen zu Betrieb und Sicherheit
- monthly assessments — Monatliche Bewertung der Kontrollwirksamkeit
- quarterly certifications — Quartalsweise Selbstzertifizierung durch Prozessverantwortliche
- annual audit — Jährliche unabhängige Prüfung der Kontrollen
Nachweistypen
- automated log — Automatisch generierte Log-Dateien mit Integritätssicherung
- screen confirmation — Bildschirmbestätigung durch ausführende Person
- witness statement — Zeugenbestätigung durch Vier-Augen-Prinzip
- system report — Systemgenerierte Auswertungen und Dashboards
- external attestation — Externe Bestätigung durch Dienstleister oder Prüfer
Releases & Change Management
Change-Management- und Deployment-Metriken für Software-Auslieferungen.
Change-Typen
- total changes — Gesamtanzahl Changes im Berichtszeitraum
- standard changes — Vorab genehmigte Standard-Changes
- normal changes — Changes mit vollständigem Genehmigungs-Workflow
- emergency changes — Dringende Changes mit verkürztem Freigabeprozess
- failed changes — Fehlgeschlagene Changes mit Rollback
Deployment-Metriken
- deployment frequency — Anzahl erfolgreicher Deployments pro Woche
- lead time — Durchlaufzeit von Commit bis Produktion
- change failure rate — Anteil Changes mit negativer Auswirkung am Gesamtvolumen
- rollback rate — Anteil Rollbacks an allen Deployments
Wartung
Struktur für die Planung und Kommunikation von Wartungsaktivitäten.
Planung
- routine windows — Reguläre Wartungsfenster (Wochentag, Uhrzeit, Dauer)
- extended windows — Erweiterte Wartungsfenster für grössere Eingriffe
- emergency maintenance — Ausserplanmässige Notfallwartung mit Begründung
- notice period — Vorankündigungsfrist für Kunden in Tagen
Kundenauswirkung
- service degradation — Beschreibung verminderter Funktionalität während der Wartung
- expected downtime — Erwartete Nichtverfügbarkeit in Minuten
- affected components — Liste betroffener Systemkomponenten und Funktionen
- contingency plan — Rückfallplan bei unerwarteten Problemen während der Wartung
Kundenauswirkung
Methodik zur Bewertung und Quantifizierung der Kundenauswirkung.
Gesamtbewertung: None, Low, Medium, High, Critical
Dauer der Beeinträchtigung als multiplikativer Faktor
Betroffene Kundenpopulation als Prozent der Gesamtbasis
Grad des Funktionsverlusts: Vollausfall, Teileinschränkung, Degradation
Auswirkung auf Datenintegrität und Datenverfügbarkeit
Einschätzung des Reputationsschadens auf einer Skala 0–10
Potenzielle aufsichtsrechtliche Konsequenzen
Berichtsrhythmus
Operative Kennzahlen: Verfügbarkeit, Tickets, Changes, Sicherheitsvorfälle
Taktische Kennzahlen: SLA-Erfüllung, Lieferantenrisiken, Kontrollwirksamkeit
Strategische Gesamtschau: Jahresvergleich, Reifegrad, Zertifizierungsstatus
ISO 27001 Verbindung
Das Service-Berichtswesen operationalisiert die Nachweispflichten aus DORA und MaRisk durch ein strukturiertes periodisches Berichtswesen.
- DORA Art. 6: Governance- und Kontrollrahmen
- DORA Art. 24: Risikobasiertes Testprogramm
- DORA Art. 28: Vertragsanforderungen
- MaRisk AT 5: Auslagerungsmanagement
- ISO 27001 A.5.1: Management der Informationssicherheit
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung