Welche Betriebs-/Sicherheitsoptionen gelten?

EU-SaaS oder On-Prem, verschlüsselte Speicherung, RBAC, SSO/MFA, revisionssichere Protokolle und API-Zugänge für Alarmierung/CM.

Welche Dashboards sind üblich?

Status je Plan/Szenario, Kritikalität nach Standort/Prozess, Übungsfortschritt, RTO/RPO-Zielerreichung sowie übergreifende Ampeln.

Unterstützt GRASP Lieferketten-Abhängigkeiten?

Ja – Dienstleister, Standorte, Systeme und Schnittstellen werden in der BIA berücksichtigt; Ausfälle und Alternativen sind dokumentiert.

Wie verknüpft sich BCM mit ISMS/NIS2?

Risiken, Maßnahmen und kritische Abhängigkeiten sind durchgängig verbunden; Incidents lassen sich direkt in BCM-Szenarien überführen.

Wie werden Übungen/Tests dokumentiert?

Planung, Durchführung, Befunde, Maßnahmen und Re-Tests mit Nachverfolgung. Reporting zeigt Übungsabdeckung und Wirksamkeit.

Können wir Krisen- und Notfallpläne abbilden?

Ja – Planbibliothek mit Rollen, Checklisten, Kommunikationswegen, Eskalationen und Kontaktlisten; Reviews sichern Aktualität.

Wie funktioniert die BIA in GRASP?

Erhebung von Prozessen, Ressourcen, Abhängigkeiten sowie RTO/RPO und Auswirkungen; Ergebnisse priorisieren Maßnahmen und Wiederanlaufreihenfolgen.

Welche Standards adressiert das BCM-Modul?

BCM entlang ISO 22301 – mit Business-Impact-Analyse, Kontinuitäts-/Wiederanlaufplänen, Übungen/Tests und Verbesserungszyklen.

Welche Betriebs- und Sicherheitsoptionen gibt es?

Wahlweise EU-SaaS oder On-Prem; SSO/MFA, fein granulare Rollen, Verschlüsselung in Transit/at Rest und optionale SIEM-Anbindung.

Welche Standardberichte liefert GRASP?

Lagebericht, Management-Summary, Maßnahmenplan, Audit-Checklisten, Prüfpfade/Änderungshistorien sowie Export in PDF/CSV.

Wie funktioniert die Risikoanalyse nach 200-3?

Definition von Schadensszenarien, Eintrittswahrscheinlichkeit und Schadensausmaß; Ableitung von Maßnahmen und Bewertung der Residualrisiken. Berichte zeigen Prioritäten.

Wie läuft die Schutzbedarfsfeststellung?

Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit je Objekt; Schutzklassen sind klar zuweisbar und änderbar. Ergebnisse fließen direkt in Maßnahmen-Priorisierung.

Gibt es Importe (Excel/GSTOOL/verinice)?

Ja – gängige Importpfade mit QS-Prüfungen helfen beim Wechsel. Dubletten werden erkannt, Zuordnungen geprüft.

Wie bildet GRASP Verbünde, Zielobjekte und Modellierung ab?

Hierarchische Strukturen, Verbund-/Netzsicht, Zielobjekte mit Attributen/Beziehungen und Wiederverwendungsbausteine. Massenbearbeitung erleichtert Updates.

Wie arbeitet GRASP mit dem IT-Grundschutz-Kompendium?

Bausteine und Anforderungen sind versioniert. Änderungen zwischen Editionen sind markiert; Umsetzungsstände lassen sich vergleichen.

Unterstützt GRASP die BSI-Standards 200-1/200-2/200-3?

Ja. Das Modul führt durch Vorgehensweisen nach 200-1/-2 und die Risikoanalyse nach 200-3 – inklusive Verbund-/Modellierungsfunktionen.

Welche Betriebsmodelle gelten hier?

EU-SaaS oder On-Prem mit identischen Security-Kontrollen. Optionen für dedizierte Mandanten, IP Allow Lists und Protokollexporte ans SIEM.

Welche Reports sind „aufsichtsfest“?

Management-Report, Maßnahmen-Status, Incident-Chronik, Risiko-Heatmap und Exportpakete für Prüfungen – mit Zeitstempeln und Änderungsverlauf.

Wie verhält sich NIS2 zu ISO 27001 in GRASP?

Sie können beide Sichten parallel nutzen. Mappings erleichtern die Wiederverwendung von Controls und Evidenzen, um Doppelarbeit zu vermeiden.

Unterstützt GRASP Third-Party bzw. Supply-Chain-Risiken?

Lieferanten-Register, Bewertungskriterien, Fragebögen und Maßnahmennachverfolgung sind enthalten. Risiken werden dem Gesamtprofil zugerechnet.

Bekommen wir ein zentrales Risikobild?

Ja. Risiko, Maßnahmen und Reifegraddaten fließen in Dashboards zusammen; Sie sehen Top-Risiken, kritische Abhängigkeiten und Trends.

Wie adressiert GRASP Melde- und Reaktionspflichten?

Vordefinierte Workflows für Incidents (Erstmeldung, Zwischenstand, Abschlussbericht), Eskalationen, Verantwortlichkeiten und Evidenzen – inklusive Export der Berichtsunterlagen.

Deckt das Modul unterschiedliche Sektoren ab?

Ja. Steuerung erfolgt über Profile/Vorlagen, die sich an sektorspezifische Anforderungen anpassen lassen (z. B. KRITIS-nahe Anforderungen, Lieferkettenrisiken, Meldewege).

Wie hilft GRASP bei NIS2-Compliance?

Das Modul führt durch Gap-Analysen zu NIS2-Pflichten, Maßnahmensteuerung, Risiko & Business-Impact-Bezügen und Berichtspflichten – mit Nachweisführung für Aufsichten.

Welche Betriebs- und Sicherheitsoptionen gibt es?

Wahlweise EU-SaaS oder On-Prem. SSO/MFA, Rollen-/Rechtekonzept, Audit-Logs, Verschlüsselung in Transit/at Rest sowie gesonderte Datenräume für Mandanten.

Wie lange dauert die Einführung typischerweise?

Für Piloten rechnen viele Kunden mit 6–10 Wochen (Scope, Datenmodell, Risikoansatz, erste SoA). Der Rollout hängt von Größe, Integrationen und Governance ab.

Welche Integrationen sind üblich?

Ticketing (Jira/ServiceNow), Verzeichnisdienste (AD/AAD/LDAP), DMS/Confluence, SIEM/Logs, CMDB/Asset-Quellen. Offene API und CSV/Excel-Importe verkürzen den Onboarding-Aufwand.

Wie unterstützt GRASP Audits und Zertifizierungen?

Auditprogramme, Stichproben, Feststellungen (Findings) mit Maßnahmen, Re-Tests sowie Export von Audit-Dossiers. Dashboards zeigen Reifegrad und Abweichungen; Nachweise/Evidenzen sind versioniert.

Gibt es Vorlagen und Best Practices?

Ja – z. B. Leitlinie zur Informationssicherheit, Risikokriterien, SoA-Vorlage, Maßnahmenplan, Audit-Checklisten und Management-Review-Template; alles anpassbar.

Wie funktioniert die Risikoanalyse?

Sie definieren Werte/Assets, Bedrohungen, Schwachstellen und Maßnahmen. Bewertungsraster sind konfigurierbar (Impact/Likelihood, qualitative oder semi-quantitative Skalen); Residualrisiken werden nach Maßnahmen fortgeschrieben.

Wie bildet GRASP Annex A (2022) und die SoA ab?

Alle Controls sind versioniert hinterlegt. Sie wählen anwendbare Controls, dokumentieren Begründungen, Umsetzungsstand, Verantwortliche und Evidenzen; die SoA entsteht automatisch und ist exportierbar.

Wofür ist das ISO-27001-Modul in GRASP gedacht?

Es unterstützt den vollständigen ISMS-Lebenszyklus nach ISO/IEC 27001:2022 – von Kontext & Scope über Risikoanalyse, SoA und Maßnahmensteuerung bis zu internen Audits und Management-Reviews.

Häufige Fragen

Können konfigurierbare Berichte für interne und externe Audits erzeugt und exportiert werden?

Ja, GRASP German GRC verfügt über ein umfangreiches Berichtswesen. Berichte lassen sich in den Formaten PDF, XLSX, CSV und ODF exportieren und sind auditkonform strukturiert.

Erlaubt das System die Durchführung von Schutzbedarfsanalysen nach BSI?

Ja, mit GRASP German GRC lassen sich Schutzbedarfsanalysen vollständig abbilden – inklusive Anwendungen, Systeme, Räume, Gebäude, Prozesse und Personen. Die Analyseergebnisse sind auditfähig dokumentierbar.

Können Aufgaben in GRASP German GRC zugewiesen, priorisiert und mit Fristen versehen werden?

Ja, Aufgaben lassen sich rollenbasiert delegieren, priorisieren und mit Fristen versehen. GRASP German GRC bietet automatische E-Mail-Erinnerungen und eine konfigurierbare Benachrichtigungsmaske.

Ist ein revisionssicheres Änderungs- und Aktivitätenprotokoll vorhanden?

Ja, GRASP German GRC dokumentiert alle Änderungen mit Zeitstempel, Nutzerkennung und Änderungsinhalt. Ein vollständiges Änderungs- und Audit-Log ist Bestandteil des Systems.

Verfügt das Tool über ein differenziertes Rollen- und Berechtigungskonzept?

Ja, GRASP German GRC bietet ein feingranulares Rechte- und Rollensystem. Nutzerrollen wie Bearbeiter, Prüfer oder Administratoren lassen sich projektbezogen zuweisen. Der Zugriff kann je Projekt einzeln gesteuert werden.

Wie gewährleisten Sie die Stabilität und Skalierbarkeit von GRASP German GRC?

GRASP German GRC basiert auf moderner Cloud-Technologie (Azure Deutschland) mit Hochverfügbarkeitsarchitektur und wird kontinuierlich überwacht und weiterentwickelt.

Ist GRASP German GRC sicher und prüfbar durch Dritte?

Ja – auf Wunsch ermöglichen wir unabhängige Sicherheits-Assessments, sowohl einmalig als auch regelmäßig. GRASP German GRC ist ISO 27001 zertifiziert. Prüfungen können nach Absprache durchgeführt werden.

Wie aufwendig ist die Einführung von GRASP German GRC in unserem Unternehmen?

Die Implementierung von GRASP German GRC erfolgt strukturiert und effizient. Wir unterstützen Sie mit Projektleitung, technischer Beratung und einem klaren Onboarding-Prozess. Auch innerhalb der Lösung existiert ein umfangreicher Onboarding-Assistent. Templates etc.

Wie ist das Preismodell von GRASP German GRC aufgebaut?

Wir unterscheiden zwischen „Professional“ und „Enterprise“. Sie können zudem entscheiden, ob Sie GRASP German GRC für ein oder direkt für drei Jahre kaufen. „Professional“ eignet sich für Teams in kleinen und Mittelständischen Unternehmen. „Enterprise“ ist hingegen für Midcaps und Konzerne geeignet. Sie erhalten auf unserer Preisseite die volle Übersicht.

Wie kommunizieren Sie im Notfall, z. B. bei Sicherheitsvorfällen in GRASP German GRC?

Im Falle eines Sicherheitsvorfalls folgt DextraData einem strukturierten Incident-Response-Prozess. Wir informieren betroffene Kunden umgehend über die relevanten Kommunikationskanäle, liefern transparente Informationen zum Vorfall, zu möglichen Auswirkungen und zu eingeleiteten Gegenmaßnahmen. Die Kommunikation erfolgt nachvollziehbar, DSGVO-konform und auf Wunsch auch abgestimmt mit den jeweiligen Informationssicherheitsverantwortlichen auf Kundenseite.

Wie hilft GRASP German GRC uns bei unseren aktuellen Problemen im Bereich Governance, Risk und Compliance?

GRASP German GRC unterstützt bei Transparenz, Struktur und Nachvollziehbarkeit komplexer GRC-Prozesse. Durch die zentrale Erfassung, Bewertung und Überwachung von Risiken schafft GRASP German GRC eine belastbare Entscheidungsgrundlage für Audits und Management-Reviews. Zudem ermöglicht das integrierte Maßnahmen- und Verantwortlichkeitsmanagement eine klare Zuweisung, Kontrolle und Dokumentation von Compliance-relevanten Aufgaben.

Wie geht GRASP German GRC mit Wettbewerbsvergleichen um, z. B. bei günstigeren Angeboten?

Wir setzen auf langfristigen Mehrwert und transparente Preisgestaltung. Sie können unsere Preise auf unserer Preisübersicht einsehen. Wenn Sie ein Enterprise-Unternehmen sind, bestimmen wir Ihren Preis individuell mit Ihnen gemeinsam. Falls nötig, prüfen wir später auch gemeinsam die Optimierungsmöglichkeiten Ihres GRASP German GRC Pakets.

Skaliert GRASP German GRC mit unserem Unternehmen, z. B. bei Wachstum oder Veränderungen?

Ja. GRASP German GRC ist so konzipiert, dass es sich an neue Unternehmensgrößen, internationale Standorte oder Übernahmeszenarien problemlos anpassen lässt.

Ist GRASP German GRC nur für Unternehmen mit einer gewissen Größe oder einer speziellen Branche nutzbar?

GRASP German GRC wird von Organisationen unterschiedlichster Größe und aus verschiedenen Branchen genutzt. Sie können die Einzelsegmente ISM, DSM oder BCM als separate Apps nutzen oder Sie nutzen GRASP German GRC für mehrere Segmente gleichzeitig als integriertes Managementsystem. Wir stellen Ihnen gerne passende Referenzen zur Verfügung.

Wie finde ich heraus, ob GRASP German GRC zu unserem Unternehmen passt?

GRASP German GRC ist modular und flexibel aufgebaut. Es skaliert mit Ihrem Unternehmen. Gerne zeigen wir Ihnen in einer persönlichen Demo, wie GRASP German GRC Ihre konkreten Anwendungsfälle unterstützt – mit Beispielen aus Ihrer Branche. Oder Sie registrieren sich für das kostenlose 30-Tage-Free Trial.

Was passiert mit meinen Daten, wenn die Testphase endet?

Nach Ablauf der Testphase bleiben Ihre Daten sicher gespeichert. Sie haben jederzeit die Möglichkeit, die vollständige Löschung Ihrer Daten zu beantragen. Sollten Sie Ihr Testkonto nach Ende der Testphase nicht aktiv verlängern oder keinen weiteren Zugriff benötigen, werden Ihre Daten nach einer Aufbewahrungsfrist automatisch und unwiderruflich gelöscht. Hierrüber informieren wir Sie vorab per E-Mail.

Kann die Free Trial-Version von GRASP German GRC nach Ablauf der Testphase in eine Vollversion (z.B. Professional) umgewandelt werden, ohne dass erfasste Daten verloren gehen?

Ja, die Trial-Version kann nahtlos in eine Vollversion (wie die Professional-Variante) umgewandelt werden. Alle während der Testphase erfassten Daten bleiben vollständig erhalten.

Welche personenbezogenen Daten werden im Tool verarbeitet bzw. benötigt?

Für die Inhalte ist der Kunde zuständig. Zur Nutzung der Software sind von den registrierten Nutzern zur Anmeldung Name (dies kann auch ein Fake-Name sein) und eine gültige E-Mail-Adresse erforderlich. Weitere personenbezogene Daten werden zur Nutzung des Systems nicht benötigt. Das Tracking von Usern (Audit Trail) kann vom Kunden ausgeschaltet werden. Die Daten stehen ausschließlich dem Kunden zur Verfügung. Insgesamt hat der Kunde die komplette Kontrolle darüber, welche Daten verarbeitet und wohin sie gesendet werden.

In welcher Region werden die Daten gespeichert und verarbeitet (Hosting in Deutschland, innerhalb der EU oder in einem Drittland)?

Standardmäßig erfolgt das Hosting über Azure Europe (auf Wunsch ist auch Azure Deutschland möglich).

Welche Support-Partner (Drittdienstleister, Entwicklungspartner) gibt es und/oder werden Cloud Services an Drittanbieter weitervergeben?

Unsere Kunden sind unsere „Entwicklungspartner“. Ansonsten wird alles direkt bei DextraData (inhouse) entwickelt. Die Cloud-Services werden nicht an Drittanbieter weitergegeben.

Ist die Software skalierbar und passt sie sich dem Wachstum meines Unternehmens an?

Ja, unsere GRC-Software wurde mit Blick auf Skalierbarkeit entwickelt, sodass sie mit Ihrem Unternehmen wachsen kann. Sie können bei zunehmendem Bedarf weitere Module oder Nutzerlizenzen hinzufügen.

Ist Single-Sign-On möglich?

Ja, Single Sign-On (SSO) ist in unserer Softwarelösung durchaus möglich. Wir nutzen moderne Schnittstellen wie OpenID, um eine nahtlose Integration mit verschiedenen Active Directory (AD) Systemen zu gewährleisten. Diese Integration ermöglicht es den Nutzern, sich mit ihren bestehenden Unternehmensanmeldedaten einzuloggen, wodurch der Zugriff auf die Software vereinfacht und die Benutzerfreundlichkeit erheblich verbessert wird.

Können Berichte und Dashboards individuell angepasst werden?

Neben unseren Standardberichten und Dashboards, gibt es die Möglichkeit, Individualisierungen vorzunehmen. Je nach Paketgröße wird dies als Add-On Angeboten.

Bietet GRASP German GRC die Möglichkeit Berichte zu erstellen? Können diese exportiert werden?

Ja, Nutzer können aus einer Reihe standardisierter Berichte wählen oder individuelle, maßgeschneiderte Berichte nutzen. Berichte können in verschiedenen Formaten exportiert werden, einschließlich PDF, Excel und Word, um unterschiedlichen Analyse- und Präsentationsbedürfnissen gerecht zu werden.

Bietet die Software ein Rechte- und Rollenmodell?

Die Software verfügt über ein umfassendes Zugriffskontrollsystem, das es Administratoren ermöglicht, detaillierte Berechtigungen für jeden Nutzer oder Nutzergruppe zu definieren. Dadurch können sie genau festlegen, auf welche Daten und Funktionen zugegriffen werden kann.

Wie sicher sind die in der Software gespeicherten Daten?

Produktsicherheit steht bei unseren Softwareprodukten an erster Stelle. DextraData setzt die Nutzung geeigneter Protokolle zum Schutz der Vertraulichkeit der Daten bei der Übermittlung über öffentliche Netzwerke durch. Die Kundendaten werden mit einem FIPS 140-2-validierten kryptografischen Modul gespeichert. Daten, einschließlich Backups, werden auf der Festplatte verschlüsselt. Es wird die AES 256-Bit-Verschlüsselung verwendet und die Schlüssel werden vom System verwaltet.

Entspricht die Software den geltenden Datenschutzgesetzen (z.B. DSGVO)?

GRASP German GRC ist von Grund auf konzipiert worden, um den aktuellen Datenschutzgesetzen zu entsprechen. Wir treffen im Einklang mit Artikel 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten.

Wie fördert die Software die interne Kommunikation und Zusammenarbeit in Sachen Risikomanagement?

Unsere Software ermöglicht eine gemeinsame Bearbeitung von Risiken, sodass es Teams erlaubt, Informationen in Echtzeit auszutauschen, gemeinsam an Risikobewertungen zu arbeiten und Maßnahmenpläne effektiv zu koordinieren. Dies fördert eine Kultur der Risikobewusstheit und Zusammenarbeit.

Für welche Branchen eignet sich die GRC-Software?

GRASP German GRC ist so konzipiert, dass es branchenübergreifend und unabhängig von der Unternehmensgröße einsetzbar ist. Wir haben keine spezifische Fokussierung auf eine bestimmte Branche oder Unternehmensgröße, da wir der Überzeugung sind, dass effektives Risikomanagement für jedes Unternehmen von Bedeutung ist. Dank der hohen Skalierbarkeit unserer Softwarelösung sind wir in der Lage, uns flexibel auf die individuellen Bedürfnisse und Anforderungen jeder Organisation anzupassen.

Was passiert mit meinem Zugang wenn ich ihn nicht regelmäßig nutze?

Während der kostenlosen Testphase von 30 Tagen bleibt Ihr Zugang auf jeden Fall aktiv. Sollte danach keine Aktivität mehr stattfinden, schalten wir Ihren Zugang nach einer gewissen Zeit ab, informieren Sie aber hierüber natürlich vorab per E-Mail.

ISO 27001

IT-Grundschutz

NIS2

Blogbeiträge

Webinare