Das Add-on ISMS dient dazu, das Risiko- und Maßnahmenmanagement direkt an den jeweiligen Objekten der IT-Dokumentation zu bewerten, zu dokumentieren und zu analysieren sowie darüber hinaus vorzeigbare Auswertungen mit Hilfe des Report Managers zu generieren. Es unterstützt hierbei die Dokumentationsprozesse der ISO-27000-Norm-Familie.

Installation

Die Installation erfolgt wie bei Add-ons gewohnt über das Admin Center. Einzige Besonderheit: Das Add-on trägt dort den Namen ISO27001.

Admin Center

Cache erneuern

Für die korrekte Nutzung des Add-ons ist es nach der Installation und nach jedem Update erforderlich, den Server-Cache von i-doit zu erneuern. Dazu sind zwei Schritte nötig:

  1. Verwaltung → Systemtools → Cache / Datenbank → Cache → Kompletten Cache leeren
  2. Verwaltung → Systemtools → Cache / Datenbank → Datenbank → Kategorie-Attribute neu indizieren


Inhaltsverzeichnis

Vorgehensweise

Das Add-on orientiert sich an 3 übergeordneten Prozessen:

  • Vorbereitung,
  • Datenimport und
  • Umsetzung
Diese Prozesse werden durch das Reporting ergänzt.

Vorbereitung

Zur Vorbereitung dienen 3 Schritte:

  • Bewertungskriterien festlegen,
  • Schadensszenarien beschreiben und

  • Risikoformel definieren


Bewertungskriterien

Zuerst findet eine Klassifizierung von Risiken statt, den sogenannten Bewertungskriterien. Jedes Kriterium wird als Objekt vom Typ Bewertungskriterium angelegt und definiert. Beispiel:

LevelBezeichnungBeschreibung der Eintrittswahrscheinlichkeit
1Gering

Tritt alle 10 Jahre ein

2NormalTritt jedes Jahr ein
3HochTritt mehrmals pro Jahr ein
4Sehr hochTritt täglich ein

Das Level sollte eine positive Ganzzahl sein, wonach die Kriterien aufsteigend sortiert werden. Die Beschreibung der Eintrittswahrscheinlichkeit ist optional.

Schadensszenarien

Im nächsten Schritt gilt es, verschiedene Schadenszenarien zu beschreiben und diese ins Verhältnis zu den oben definierten Bewertungskriterien zu setzen. Beispiel:

KennzeichnungBezeichnungBewertungskriterium
1Finanzielle AuswirkungenGering: Weniger als 5.000 EUR
Normal: Von 5.000 bis 50.000 EUR
Hoch: Von 50.000 bis 500.000 EUR
Sehr hoch: Mehr als 500.000 EUR

Die Schadensszenarien können sich anhand der im IT-Grundschutz des BSI definierten orientieren. Die Kennzeichnung dient der Sortierung.

Risikoformel

Im letzten Schritt der Vorbereitung wird eine geeignete Formel zur Berechnung der Risikohöhe gewählt. Folgende Formeln stehen unter Verwaltung → Systemeinstellungen → Mandanteneinstellungen → ISMS → Risikoformel zur Auswahl:

Formel
Mittelwert Risikobewertung + Eintrittswahrscheinlichkeit = Risikohöhe
Mittelwert Risikobewertung * Eintrittswahrscheinlichkeit = Risikohöhe
Maximum Risikobewertung + Eintrittswahrscheinlichkeit = Risikohöhe
Maximum Risikobewertung * Eintrittswahrscheinlichkeit = Risikohöhe

Beispiel für die Formel Maximum Risikobewertung + Eintrittswahrscheinlichkeit = Risikohöhe:

Risikobewertung1234
Finanzielle AuswirkungX


Körperliche Unversehrtheit


X
+ Eintrittswahrscheinlichkeit1234
= Risikohöhe5678

Erklärung: Bei den beiden Schadensszenarien Finanzielle Auswirkung und Körperliche Unversehrtheit gilt eine Risikobewertung von 1 beziehungsweise 4. Das Maximum liegt demnach bei 4. Die Eintrittswahrscheinlichkeit entspricht ebenfalls Werten von 1 bis 4. Laut Formel ergibt sich somit eine Risikohöhe von 4 + 1 = 5, 4 + 2 = 6, 4 + 3 = 7 und 4 + 4 = 8.

Für die weitere Auswertung ist nun noch zu wählen, wie kritisch eine Risikohöhe eingeschätzt wird. Dazu gibt es drei Farben nach dem Ampelprinzip. Beispiel für die Formel Maximum Risikobewertung + Eintrittswahrscheinlichkeit = Risikohöhe:

FarbeRisikohöhe
Rot sind Werte unter oder gleich8
Gelb sind Werte unter oder gleich4
Grün sind Werte unter oder gleich2

Aus den gewählten Werten ergibt sich eine Risikomatrix. Diese ist unter Extras → Report Manager → Views → ISMS Risikomatrix zu finden.

Datenimport

Die ISO-27000-Norm-Familie, BSI IT-Grundschutz und viele weitere Normen umfassen eine große Sammlung von Bedrohungen, Maßnahmen und Schwachstellen.
Das ISMS Add-on wird als ZIP-Datei bereitgestellt und enthält bereits gängige Sammlungen im CSV-Format im Verzeichnis src/classes/modules/iso27001/Catalogs/.

Datei

Norm/Standard

Beschreibung

Version

Sprache

Anzahl lizenzpflichtiger Objekte

ISO27001_Massnahmen_AnhangA(de).csv

DIN EN ISO/IEC 27001

Maßnahmen Anhang A

2017-06

deutsch

114

ISO27001_Controls_AnnexA(en).csv

DIN EN ISO/IEC 27001

Controls Appendix A

2017-06

englisch

114

IT-Grundschutz-Kompendium_Elementare Gefaehrdungen(de).csv

BSI Grundschutzkompendium

Elementargefährdungen als Bedrohung/Schwachstelle

2019-02

deutsch

47

IT-Grundschutz-Kompendium_Elementary_Threats(en).csv

BSI Grundschutzkompendium

Elementary threats as threat/vulnerabilities

2019-02

englisch

47

IT-Grundschutz-Kompendium_Anforderungen(de).csv

BSI Grundschutzkompendium

Anforderungen aus den Bausteinen als Maßnahmen

2019-02

deutsch

1657

B3S_Orientierungshilfe_Anhang(de).csv

B3S Orientierungshilfe

Bedrohungen, Schwachstellen, Maßnahmen

1.0

deutsch

63

B3S_Guidelines_Appendix(en).csv

B3S Orientierungshilfe

Threats, Vulnerabilities, Controls

1.0

englisch

63


Die jeweils benötigten CSV-Dateien können unter Extras  CMDB  Import  CSV Import hochgeladen und importiert werden.

CSV Import

Nach dem Hochladen wählt man die Datei zum Import aus und lädt anschließend das zugehörige Profil ISMS universal (new).


Import-ProfilObjekttypBeschreibung
ISMS ControlsMaßnahmeImportieren von Maßnahmen/Controls
ISMS ThreatsGefährdungImportieren von Gefährdungen

 

ISMS Controls importieren

Durch dem Import werden dementsprechend Objekte vom Typ Maßnahme , Bedrohung oder Schwachstelle erstellt.

Anschließend gilt es, die passenden Bedrohungen, Schwachstellen und Maßnahmen zu identifizieren. Ungeeignete können aus i-doit wieder gelöscht werden. Fehlende können jederzeit ergänzt werden. Bei einer "nativen" ISO27001-Zertifizierung sollten die 114 Maßnahmen des Anhang A auf jeden Fall importiert werden.

Gefährdungen

 Zunächst ist es wichtig, die Liste an Gefährdungen den eigenen Gegebenheiten anzupassen. Gelöscht werden müssen keine, doch neue sollten entsprechend als neue Objekte ergänzt werden. In der Kategorie Gefährdung sollten die Attribute Kennzeichnung und Gefährdungs-Katalog ergänzt werden.

 

Maßnahmen

Auch Maßnahmen sollten angepasst und erweitert werden. In der Kategorie Maßnahme befinden sich die entsprechenden Attribute Kennzeichnung, Stammdaten, Kapitel und Abschnitt. 

Umsetzung

Die Umsetzung nach ISO 27001 erfolgt in zwei Schritten:

  • Scope-Definition und
  • Risikoeinschätzung

Scope

Um den Scope zu definieren, ist es nötig, die davon berührten Assets zu identifizieren und zu dokumentieren. Dies ist durch die IT-Dokumentation innerhalb von i-doit grundlegend abgedeckt. Da die IT-Dokumentation allerdings mehr enthalten kann, als vom gewünschten Scope abgedeckt ist, gilt es, die passenden Objekte einem Scope hinzuzufügen. Dies geschieht durch die Kategorie ISMS. Dort ist im Attribut ISMS Relevanz entweder Ja oder Nein auszuwählen sowie im Attribut Anwendungsbereich ein oder mehrere Scopes.

Risikoeinschätzung

Für jedes Scope-relevante Objekt ist eine Risikoeinschätzung vorzunehmen. Hierzu dient die Kategorie ISMS → Risikoeinschätzung. Dieser Vorgang ist unterteilt in:

  • Risikoidentifikation,
  • Risikobewertung,
  • Risikobehandlung und
  • Risikobewertung nach Behandlung

Diese Schritte werden pro Gefährdung wiederholt.

Risikoidentifikation

Zunächst ordnen wir dem Objekt eine identifizierte Gefährdung zu. Daraufhin ist eine Schwachstelle zu benennen, die das Objekt direkt betrifft. Schwachstellen sind Objekte vom Objekttypen Schwachstelle. Weiterhin können eine oder mehrere Grundwerte der Informationssicherheit (Schutzziele) benennen, die von der Gefährdung betroffen sind.

Risikobewertung

Nach der Identifizierung des Risikos erfolgt die Bewertung. Hierzu wird pro Schadensszenario eine Einschätzung vorgenommen, welche Schutzklasse bzw. welches Bewertungskriterium Anwendung findet. Hinzu kommen existierende Maßnahmen, um dem Risiko adäquat zu begegnen. Abgerundet wird die Bewertung durch einen optionalen Kommentar und eine Datumsangabe zur Wiedervorlage.

Risikobehandlung

Nun gilt es, das Risiko zu minimieren. Unter Risikobehandlung kann zwischen folgenden Möglichkeiten ausgewählt werden:

Risikobehandlung durchBeschreibung
Auswahl von MaßnahmenDurch das Umsetzen von Maßnahmen wird ein Risiko vermieden
RisikoakzeptanzDas Risiko bleibt unbehandelt bestehen
RisikovermeidungBestimmte Aktionen werden nicht weiter fortgeführt
Übertragung der Risiken auf DritteDritte übernehmen das Risiko

Wird das Risiko durch Auswahl von Maßnahmen behandelt, kann unter Auswahl der Maßnahme eine oder mehrere ausgewählt werden.

Eine Begründung zur Auswahl darf ebenso nicht fehlen wie die Benennung einer verantwortlichen Person/-gruppe/Organisation. Optional ist die Angabe von benötigten Ressourcen und Kosten. Wichtig ist die Angabe, bis wann alle gewählten Maßnahmen umgesetzt sind und wie der derzeitige Umsetzungsstatus lautet. Eine Dringlichkeit der Umsetzung kann ebenfalls gewählt werden, um hierbei eine Priorisierung vorzunehmen.

Risikobewertung nach Behandlung

Zuletzt gilt es, nach der Risikobehandlung abermals eine Bewertung durchzuführen. Die oben bereits definierte Zuordnung von Schutzklassen zu Schadensszenarien kann über den Button Bewertung vor Behandlung kopieren übernommen werden. Danach kann diese Zuordnung angepasst werden.

Risikoeinschätzung für Gruppen

Sollen Scope-relevante Assets gruppiert werden, können dazu die jeweiligen Objekte einer Objektgruppe statisch zugeordnet werden. Auf diese Weise vermeidet man einen redundanten Aufwand, da eine Risikoeinschätzung nur noch für die Gruppe, aber nicht mehr für alle Objekte dieser Gruppe dokumentiert werden muss.

Im ersten Schritt legt man unter Verwaltung → CMDB Einstellungen  Benutzerdefinierte Kategorie  ISMS Risikoeinschätzung (Gruppe)  Objekttypen fest, welche Objekte gruppiert werden können.

Im nächsten Schritt legt man ein Objekt vom Typ Objektgruppe an. In dieser Gruppe dokumentiert man wie oben beschrieben die Risikoeinschätzung in der Kategorie ISMS → Risikoeinschätzung.

Objektgruppe

Anschließend fügt man der Objektgruppe eine Liste von Objekten hinzu, die dieser Gruppe angehören sollen. Wichtig hierbei ist, dass der Typ der Objektgruppe statisch sein muss. 

Objektgruppe

Das Resultat: Ruft man für ein Gruppenmitglied die Kategorie ISMS Risikoeinschätzung (Gruppe) auf, wird dort die Risikoeinschätzung der zugeordneten Gruppen angezeigt. Ein Objekt kann in mehreren Gruppen Mitglied sein.

Typische Schwachstellen

Wie oben erwähnt, wird bei der Risikoeinschätzung ein Pärchen aus Gefährdung und Schwachstelle gebildet. Diese Pärchenbildung ist in der Praxis meist statisch und oft wiederkehrend. Daher lohnt es sich, solche Pärchen im Vorhinein zu bilden, um sie anschließend schneller einschätzen und behandeln zu können.

Im ersten Schritt werden die nötigen Schwachstellen als Objekte vom Typ Schwachstelle erstellt. Wichtig hierbei ist die Vergabe eines Kürzels in der Kategorie Schwachstelle.

Anschließend wechselt man zu einer Gefährdung, die mit den eben definierten Schwachstellen im Zusammenhang stehen. In der Kategorie Typische Schwachstellen werden diese der Gefährdung zugeordnet.

Damit ist die Pärchenbildung abgeschlossen und kann in der Risikoeinschätzung verwendet werden. Hierzu wechselt man in ein Objekt, zu dem eine Risikoeinschätzung vorgenommen werden soll. Statt nun neue Einträge in der Kategorie ISMS → Risikoeinschätzung manuell zu erstellen, reicht ein Klick auf den Button Gefährdungen. Nach der Auswahl einer relevanten Gefährdung werden eben so viele Einträge in dieser Kategorie erstellt, wie Pärchen mit der ausgewählten Gefährdung existieren.

Im letzten Schritt kann eine Risikoeinschätzung wie oben beschrieben durchgeführt werden.

Reporting

Dieses Add-on verfügt bereits über zahlreiche Reports zur ständigen Überprüfbarkeit der derzeitigen Dokumentation.  Die Reports befinden sich unter Extras > Report Manager > Views und sind als Typ ISMS markiert. Eigene Reports können wie gewohnt selbst erstellt werden, da sich alle relevanten Daten als Objekte und Attribute vorliegen.


Report ViewBeschreibung
ISMS Risiko nach LevelListe der Risikoeinschätzung (vor Behandlung) anhand der Risikoformel (Ampelprinzip: grün/gelb/rot)
Erklärung zur Anwendbarkeit (SOA)Statement of Applicability: Liste aller Maßnahmen, die im Rahmen eines ISMS angewendet werden (siehe Kategorie Maßnahme, Attribut Anwendbarkeit)
ISMS RisikomatrixSiehe Abschnitt "Risikoformel definieren"
ISMS RisikoeinschätzungGesamtliste der Risikoeinschätzung
ISMS Risikobehandlungsplan (RTP)Risk Treatment Plan: Welche Risiken wurden bereits behandelt und welche müssen noch behandelt werden?
ISMS GeltungsbereichListe von allen Objekten, die ISMS-relevant sind
ISMS Restrisiko nach LevelListe der Risikoeinschätzung (nach Behandlung) anhand der Risikoformel (Ampelprinzip: grün/gelb/rot)


Report Views

Objekttypen und Kategorien

Bei Installation des Add-ons wird i-doit um die Objekttypgruppe ISMS ergänzt. Diese enthält neue Objekttypen und Kategorien.
Quick Configuration Wizard


ObjekttypKategorieAttributKonstanteBeschreibung
BewertungskriteriumC__OBJTYPE__ISO27001_PROTECTION_CATEGORIESSchutzklassen wie "Gering", "Normal", "Hoch" und "Sehr hoch"

Bewertungskriterium

C__CATG__ISO27001_PROTECTION_CATEGORY

Informationen zu einem Bewertungskriterium


Beschreibung der EintrittswahrscheinlichkeitOptionale Beschreibung


LevelPositive Ganzzahl zur aufsteigenden Sortierung
GefährdungC__OBJTYPE__ISO27001_THREATS
Gefährdung, die den Scope betrifft

Empfehlungen nach ISO27002C__CATG__ISO27001__RECOMMENDATIONSInformationen aus der Norm ISO 27002


Empfehlungen nach ISO27002Optionale Empfehlungen nach ISO 27002


Weitere InformationenPlatz für weitere Informationen

Gefährdung

C__CATG__ISO27001_THREAT

Informationen zu einer Gefährdung


KennzeichnungKürzel der Gefährdung


KategorieOptionale Kategorisierung der Gefährdung


Gefährdungs-KatalogQuelle


KapitelKapitel in der oben genannten Quelle


AbschnittAbschnitt in der oben genannten Quelle


SchutzzieleWelche Grundwerte der Informationssicherheit sind von dieser Gefährdung betroffen? Typische Grundwerte sind Vertraulichkeit, Integrität und Verfügbarkeit.

ISMS: Wird verwendet inListe aller Objekte, die mit dieser Gefährdung referenziert sind

Typische SchwachstellenSiehe Abschnitt "Typische Schwachstellen"
MaßnahmeC__OBJTYPE__ISO27001_CONTROLSControl/Maßnahme zur Umsetzung

Empfehlungen nach ISO27002

C__CATG__ISO27001__RECOMMENDATIONS

Siehe oben

ISIS: Wird verwendet inListe aller Objekte, die mit dieser Maßnahme referenziert sind

Maßnahme

C__CATG__ISO27001_CONTROL

Informationen zu einer Maßnahme


KennzeichnungKürzel der Maßnahme


ReferenzOptionale Referenz


StammdatenQuelle


GenehmigungGenehmigungsinstanz


KapitelKapitel in der oben genannten Quelle


AbschnittAbschnitt in der oben genannten Quelle


AnwendbarkeitStatement of Applicability (SOA)


Begründung der AnwendbarkeitBegründung der SOA


Bemerkung zur UmsetzungOptionaler Kommentar zur Umsetzung


UmsetzungstatusTypische Angabe pro Control/Maßnahme: umgesetzt, nicht umgesetzt, teilweise umgesetzt oder nicht nötig
SchadensszenarioC__OBJTYPE__ISO27001_INCIDENT_SCENARIOSBeschreibung von Schadensszenarien

Bewertungskriterien

C__CATG__ISO27001_PROTECTION_REQUIREMENTS

Zuordnung von Bewertungskriterien zu einem Schadensszenario


BewertungskriteriumZugeordnetes Bewertungskriterium


AusprägungGemeinsame Ausprägung

Schadensszenario

C__CATG__ISO27001_INCIDENT_SCENARIO

Informationen zu einem Schadensszenario


KennzeichnungKürzel des Schadensszenarios
SchwachstelleC__OBJTYPE__ISO27001_VULNERABILITIESEigenschaft bzw. Verwundbarkeit eines Objekts (Assets oder Wertes), die von einer Gefährdung ausgenutzt werden kann

ISMS: Wird verwendet inListe aller Objekte, die mit dieser Schwachstelle referenziert sind

Schwachstelle

C__CATG__ISO27001_VULNERABILITY

Informationen zu einer Schwachstelle


KennzeichnungKürzel der Schwachstelle


KategorieOptionale Kategorisierung einer Schwachstelle

Weiterhin lassen sich beliebigen Objekttypen der Kategorie-Ordner ISMS mit den untergeordneten Kategorien Risikoeinschätzung und Zugeordnete Maßnahmen hinzufügen:

KategorieAttributBeschreibung
ISMS (C__CATG__ISO27001_ISMS)ISMS-relevante Informationen

ISMS RelevanzIst dieses Objekt für ein ISMS relevant?

AnwendungsbereichListe der betroffenen Scopes
Risikoeinschätzung (C__CATG__RISK_ASSESSMENT)Risikoeinschätzung nach ISO 27001

GefährdungAuswahl einer Gefährdung

SchwachstelleAuswahl einer zur Gefährdung passenden Schwachstelle

Betroffene SchutzzieleVon der Gefährdung betroffene Grundwerte der Informationssicherheit

Existierende MaßnahmenAnwendbare Maßnahmen

Kommentar zur RisikobewertungOptionaler Kommentar zur Bewertung

WiedervorlageDatum der Wiedervorlage

RisikobehandlungSiehe Abschnitt "Risikobehandlung"

Auswahl der MaßnahmeAuswahl von Maßnahmen zur Reduktion eines Risikos

BegründungBegründung zur Auswahl einer Risikobehandlung

Verantwortlich für UmsetzungPerson/Personengruppe/Organisation, die für die Umsetzung der gewählten Maßnahmen verantwortlich ist

Notwendige RessourcenAuflistung benötigter Ressourcen

Kosten für die UmsetzungGesamtkosten, die für die Umsetzung erforderlich sind

Umsetzung bis spätestensBis wann muss die Umsetzung der Maßnahmen spätestens erfolgen?

UmsetzungsstatusAktueller Status der Umsetzung

Dringlichkeit der UmsetzungPriorität der Umsetzung
Zugeordnete MaßnahmenAuflisten aller Maßnahmen aus der Kategorie Risikoeinschätzung

Releases

VersionDatumChangelog
1.304.09.2019

[Neue Funktion] Erstellen eines neuen Objekttypes "Maßnahme Anhang A"
[Neue Funktion] Erweiterung des Objekttyps Bewertungskriterium zur textuellen Beschreibung des Schadensausmaßes
[Neue Funktion] Neue Report-View "SOA-Vollständigkeitsprüfung"
[Verbesserung] Neue Icons und Bilder für ISMS-Objekttypen
[Verbesserung] BSI-Elementargefährdungen nach Bedrohung und Schwachstelle aufgeteilt und als CSV-Import zur Verfügung gestellt
[Verbesserung] Risikoeinschätzung erweitert um das Attribut "Datum der Risikobewertung"
[Verbesserung] Report-View "Erklärung der Anwendbarkeit (SOA)" erweitert
[Verbesserung] Report-View "Risikomatrix" nutzt neue textuelle Ausprägung des Schadensausmaßes
[Verbesserung] Anforderungen aus dem BSI-Grundschutzkompedium werden als CSV-Import zur Verfügung gestellt
[Verbesserung] Bedrohungen, Schwachstellen und Maßnahmen aus der "Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifischeSicherheitsstandards (B3S) gemäß §8a(2) BSIG" (KRITIS) werden als CSV-Import zur Verfügung gestellt
[Änderung] Objekttyp "Gefährdung" umbenannt in "Bedrohung"
[Änderung] Entfernen des nicht benötigten dritten Schwellenwert im Abschnitt "ISMS" der Mandanteneinstellungen
[Änderung] Risikobehandlungsoptionen an Werte der ISO 31000 angepasst
[Änderung] Umbennenen des Objekttyps "Maßnahme" in "Maßnahme (SOA)"
[Bug] Fehlender Objekttitel in Report-View "ISMS Risikoeinschätzung objektbasiert"
[Bug] unbewertete Schadenszenarien führen zu falscher Darstellung in Report-Views "ISMS Risikoeinschätzung" und "... objektbasiert"
[Bug] Falsche Reihenfolge der Schandenszenario-Bewertungen in den Report-Views "ISMS Risikoeinschätzung" und "... objektbasiert"
[Bug] Rechtefehler bei Listeneditierung von Kategorie "Empfehlungen nach ISO 27002"
[Bug] SQL-Fehler bei Listeneditierung des Attributes "Anwendbarkeit"
[Bug] Kategorie "Empfehlungen nach ISO 27002" lässt sich nicht der Listenansicht hinzufügen
[Bug] Fehler im variablen Report
[Bug] Das Attribute "ISMS Relevanz" wird in der Listeneditierung nicht speichern
[Bug] Fehlende englische Übersetzung der Report view "ISMS Risikobehandlungsplan (RTP)"

1.2.0

31.01.2019

[Verbesserung] Neue Report View "ISMS Risikoeinschätzung objektbasiert"
[Bug] SQL-Fehler in der Listeneditierung bei der Kategorie "Bewertungskriterien"
[Bug] Nicht alle ISMS Kategorien lassen sich in der Listeneditierung editieren
[Bug] Der Report ISMS Risikomatrix gibt einen SQL Fehler aus, wenn keine Schwellwerte gesetzt sind
[Bug] Report View ISMS Risikomatrix zeigt falsche Werte an
[Bug] Auswahl "not bewerted" nicht mehr möglich, nachdem ein anderer Wert ausgewählt wurde
[Bug] Beschriftung in View Risikomatrix nutzt falsche Richtung
[Bug] Kategorie "Typische Schwachstellen" wird in "Gefährdungen" nicht angezeigt

1.1.010.04.2018Initiales Release