Zum Wochenende habe ich auf Codeberg ein Beispiel-Repository veröffentlicht.1 Es enthält den methodischen Vorschlag, eine ISMS-Dokumentation wie Code zu behandeln. Konkretes Beispiel ist die ISO 27001 Risikobewertung von Assets in Organisationen. Im Mittelpunkt steht dabei weniger das konkrete Dokument als vielmehr das dahinterstehende Konzept.
Geschrieben ist alles in einem universellen Text-Only-Format, das garantiert auch noch in 50 Jahren in jedem Editor bearbeitet werden kann: Markdown.2
Markdown hat dabei einige praktische Eigenschaften:
- bleibt auch ohne Renderer les- und bearbeitbar
- erlaubt Checkboxen für Aufgaben und Review-Prozesse
- unterstützt strukturierte Tabellen, Listen und Metadaten
- ermöglicht mit Mermaid Ablaufdiagramme3
- funktioniert in Wissensdatenbanken und Wikis (z.B. BookStack)4
Mit Git5 als Versionierungssystem auf einem eigenen Server wie Forgejo6 entstehen zusätzliche Möglichkeiten der Dokumenten- und Zugriffssteuerung. Gleichzeitig entsteht automatisch eine Änderungshistorie.
Aus einer Markdown-Datei als “Single Source of Truth”7 kann automatisiert eine PDF oder das von einem Kunden oder Auditor gewünschte Format generiert werden. Dazu stehen beinahe grenzenlose Umwandlungs- und Formatierungsmöglichkeiten mit Pandoc,8 LaTeX,9 HTML,10 oder zur Not auch der CLI-Funktionen eines Headless LibreOffice zur Verfügung.11 Eigene Skripte helfen dabei, alles zu automatisieren. Das Ergebnis ist ein sauberes Dokument wie im nachfolgenden Screenshot sichtbar.
Screenshot des fertigen PDFs aus dem Markdown-Dokument
Dem aufmerksamen Leser wird die Ähnlichkeit zu den PDFs dieses Blogs und meinen Whitepapers feststellen. Ich arbeite seit vielen Jahren so. Eine Office-Anwendung wird eher seltener geöffnet.
Diese Methodik aus der Opensource-Softwareentwicklung steht im Kontrast zur häufig anzutreffenden Praxis in Unternehmen. Dort wird meiner Beobachtung nach immer noch wie in den 80er Jahren des letzten Jahrtausends gearbeitet: Lose Dateisammlungen in verschachtelten Verzeichnisstrukturen auf freigegebenen Laufwerken, damals noch auf Bus-verkabelten PCs mit BNC-Steckern, T-Stücken und 50-Ohm-Abschlusswiderständen.12
Solche Strukturen sind bereits für einzelne Personen fehleranfällig und schwer zu beherrschen. Versehentlich überschriebene oder gelöschte Dateien oder schlimmer, verschobene Verzeichnisstrukturen unterminieren jede Nachvollziehbarkeit. Und wehe es kommt nach einigen Jahren eine neue Version der proprietären Software heraus, mit künstlich eingezogenen Inkompatibilitäten oder neuen Dateiformaten. Das sind seit vier Jahrzehnten immer die gleichen Dinge, die nerven und wertvolle Zeit rauben.
Offene Dateiformate und ein Git-basierter Ansatz auf einem Forgejo-Server beheben die typischen Probleme dateibasierter Ablagen. Änderungen werden bis auf den einzelnen Buchstaben in einem Dokument nachvollziehbar. Der Zugriff über System- und Netzwerkgrenzen wird plötzlich möglich.
Der größte Vorteil jedoch: Abläufe lassen sich automatisieren und mit geringem Aufwand auf neue Kunden oder Projekte wiederverwenden. Es entsteht eine Infrastruktur, die in alle Richtungen wachsen und sauber skalieren kann. Wie im letzten Blog vorgestellt gilt in der IT der Grundsatz:13
Keine Skalierung ohne Automatisierung.
Das setzt allerdings einen organisatorischen Reifegrad und Wissensstand voraus. Mitarbeitende müssen wie Softwareentwickler “im Code” und Prozessen denken können. Statt vieler, repetitiver Mausklicks in sich ständig ändernden Anwendungen nehmen Skripte einem die Arbeit ab. Das fällt vielen, insbesondere im Mittelstand, schwer. Digitalisierung wird häufig als digitale Abbildung analoger Prozesse verstanden und sämtliche Fortschritte der letzten Jahrzehnte ignoriert.
Screenshot Bookstack als ISMS im Einsatz.
Ein ISMS wird in vielen Organisationen noch immer wie klassische Büroarbeit behandelt. Dabei ist es kein statisches System aus losen Dateien. Es lebt. Es muss kontinuierlich angepasst und weiterentwickelt werden und es skaliert idealerweise zusammen mit der Organisation.
Vor einigen Jahren bereits habe ich hier im Blog geschrieben, dass Digitalisierung ohne Versionierung eine ziemlich gute Heuristik für digitale Fehlschläge ist.14
In diesem Sinne,
Tomas Jakobs
https://codeberg.org/tomas-jakobs/isms-risk-assessment-matrix ↩︎
https://blog.jakobs.systems/micro/20241004-bookstacks-dokumentation/ ↩︎
https://help.libreoffice.org/latest/he/text/shared/guide/start_parameters.html ↩︎
https://blog.jakobs.systems/blog/20260224-fai-linux-rollout/ ↩︎
https://blog.jakobs.systems/micro/20230208-heuristik-des-tages/ ↩︎