Skip to main navigation Skip to main content Skip to page footer
d3-Werk – Datenschutz, ISO 27001 & Cloud Security d3-Werk – Datenschutz, ISO 27001 & Cloud Security

Konkrete Nextcloud-Struktur für ein pragmatisches ISMS

Erstellt von Christian Dräger |

Konkrete Nextcloud-Struktur für ein pragmatisches ISMS

Wenn Du ein ISMS mit Nextcloud aufbauen willst, brauchst Du vor allem eins: klare Struktur. Ohne die wird es schnell unübersichtlich und nicht auditfähig.

Hier ist ein erprobtes, praxisnahes Setup, das Du direkt übernehmen oder anpassen kannst.

1. Ordnerstruktur (Top-Level)

/ISMS
│
├── 00_Leitung_und_Strategie
├── 01_Richtlinien_und_Vorgaben
├── 02_Risikomanagement
├── 03_Assets_und_Werte
├── 04_Maßnahmen_und_Kontrollen
├── 05_Incident_Management
├── 06_Audits_und_Reviews
├── 07_Schulungen_und_Awareness
├── 08_Nachweise_und_Protokolle
└── 09_Templates

Die Nummerierung ist wichtig – sie sorgt für klare Reihenfolge und bessere Orientierung.

2. Inhalte der einzelnen Bereiche

01_Leitung_und_Strategie

- ISMS_Handbuch.docx
- Geltungsbereich.docx
- Leitlinie_Informationssicherheit.docx
- Rollen_und_Verantwortlichkeiten.xlsx

Ziel: Alles, was die Grundlage und Steuerung betrifft.

02_Richtlinien_und_Vorgaben

- Passwort_Richtlinie.docx
- Zugriffskontrollrichtlinie.docx
- Backup_und_Recovery.docx
- Mobile_Device_Policy.docx

Wichtig: Versionierung in Nextcloud aktiv nutzen.

03_Risikomanagement

- Risikobewertungsmethodik.xlsx
- Risikoregister.xlsx
- Risikoanalysen/
    ├── 2026_Q1.xlsx
    ├── 2026_Q2.xlsx

Hier lebt Dein ISMS – das ist auditkritisch.

04_Assets_und_Werte

- Asset_Inventory.xlsx
- Schutzbedarfsfeststellung.xlsx

Optional: nach Systemen oder Abteilungen strukturieren.

05_Maßnahmen_und_Kontrollen

- Maßnahmenplan.xlsx
- Umsetzungsstatus.xlsx
- Kontrollnachweise/

Verknüpfe Maßnahmen mit Risiken (z. B. IDs).

06_Incident_Management

- Incident_Log.xlsx
- Vorfallberichte/
- Lessons_Learned/

Hier kannst Du sehr gut mit Aufgaben arbeiten.

07_Audits_und_Reviews

- Auditplan.xlsx
- Interne_Audits/
- Management_Reviews/

08_Schulungen_und_Awareness

- Schulungsunterlagen/
- Teilnahme_Nachweise.xlsx

09_Nachweise_und_Protokolle

- Backup_Logs/
- Zugriffskontrollen/
- Systemberichte/

Wichtig für Audits – sauber und vollständig halten.

10_Templates

- Risiko_Template.xlsx
- Incident_Template.docx
- Audit_Checkliste.docx
- Maßnahmen_Template.xlsx

Zentral, damit alle konsistent arbeiten.

3. Workflows in Nextcloud

Du kannst mit Bordmitteln (z. B. Flow, Tasks, Deck) einfache, aber effektive Prozesse bauen.

Workflow 1: Dokumentfreigabe

Ziel: Richtlinien sauber freigeben

Ablauf:

  1. Dokument wird erstellt (Status: Entwurf)
  2. Aufgabe an Reviewer
  3. Feedback einarbeiten
  4. Freigabe durch Verantwortlichen
  5. Ablage im finalen Ordner

Umsetzung:

  • Ordner „_Review“
  • Aufgaben-App für Freigaben
  • Versionierung nutzen

Workflow 2: Risikomanagement

Ziel: Risiken strukturiert erfassen

Ablauf:

  1. Risiko wird im Template erfasst
  2. Bewertung (Eintrittswahrscheinlichkeit / Auswirkung)
  3. Maßnahme definieren
  4. Maßnahme in Maßnahmenplan übernehmen
  5. Review zyklisch (z. B. quartalsweise)

Umsetzung:

  • Excel / Tabellen-App
  • eindeutige Risiko-ID
  • Verlinkung zu Maßnahmen

Workflow 3: Incident Management

Ziel: Vorfälle nachvollziehbar bearbeiten

Ablauf:

  1. Incident wird gemeldet
  2. Ticket/Aufgabe wird erstellt
  3. Analyse + Maßnahmen
  4. Dokumentation im Incident_Log
  5. Lessons Learned

Umsetzung:

  • Nextcloud Tasks oder Deck (Kanban)
  • Spalten: Offen → In Bearbeitung → Gelöst

Workflow 4: Maßnahmenverfolgung

Ziel: Umsetzung sicherstellen

Ablauf:

  1. Maßnahme definieren
  2. Verantwortlichen zuweisen
  3. Deadline setzen
  4. Status regelmäßig prüfen
  5. Abschluss dokumentieren

Umsetzung:

  • Deck Board:
    • To Do
    • In Progress
    • Done

4. Wichtige Templates (Inhalt)

Risiko-Template (Excel)

Spalten:

  • Risiko-ID
  • Beschreibung
  • Asset
  • Bedrohung
  • Schwachstelle
  • Wahrscheinlichkeit
  • Auswirkung
  • Risiko-Level
  • Maßnahme
  • Verantwortlicher
  • Status

Incident-Template

- Datum
- Melder
- Beschreibung
- Betroffene Systeme
- Auswirkung
- Ursache
- Maßnahme
- Abschlussdatum

Maßnahmen-Template

- Maßnahmen-ID
- Bezug (Risiko)
- Beschreibung
- Verantwortlicher
- Priorität
- Deadline
- Status

5. Berechtigungskonzept (wichtig!)

Typische Rollen:

  • ISMS-Verantwortlicher → Vollzugriff
  • IT → Bearbeiten
  • Management → Lesen + Freigaben
  • Mitarbeiter → nur Awareness-Bereich

In Nextcloud sauber über Gruppen lösen.

6. Mein pragmatischer Tipp

Starte nicht zu groß.

  • Erst Dokumentation + Risiken sauber aufsetzen
  • Dann Maßnahmen tracken
  • Danach Prozesse verfeinern

Ein ISMS wächst – und Dein Nextcloud-Setup sollte das auch.

Downloads

Anleitung_ISMS_Template

ISMS_Nextcloud_Templates

 

Zurück