BSI-konformes ITSM & ESM für Behörden

Whitepaper: BSI-konformer HEINZELMANN Service.Desk

BSI-konform und sicher

Die Sicherheit und Effizienz von IT-Systemen sind für Behörden, kommunale Verwaltungen und öffentliche Einrichtungen heute wichtiger denn je. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hierfür verbindliche Standards vor.

Im öffentlichen Sektor werden IT-Service-Management (ITSM)- oder Enterprise-Service-Management (ESM)-Systeme eingesetzt, um interne und externe Serviceprozesse zu steuern – weit über klassischen IT-Support hinaus.

Typische Anwendungsfälle sind:

Bürgerdienste

Anfragen an Rathaus oder Bürgeramt, Meldungen von Schäden im öffentlichen Raum (z.B. defekte Straßenbeleuchtung).

Interne Verwaltung

IT-Support für Mitarbeiter, Personal- und Onboarding-Prozesse, Facility-Management für kommunale Gebäude.

Der HEINZELMANN Service.Desk deckt all diese Szenarien ab – in einer einzigen Plattform:

Als ITSM- & Service Desk

Zentrale Erfassung und Bearbeitung von Supportanfragen, strukturierte Tickets, Workflows und Eskalationen, z. B. bei Problemen mit Fachanwendungen.

Als ESM- & Helpdesk

Digitalisierung von Fachbereichen (Personal, Facility) und schnelle Unterstützung für Bürger z.B. über ein Meldesystem für öffentliche Schäden.

Dank modularer Architektur, deutscher Entwicklung und BSI-konformen Betriebsoptionen ist der HEINZELMANN Service.Desk besonders für öffentliche Verwaltungen geeignet, die höchste Sicherheitsanforderungen erfüllen und gleichzeitig transparente, nachvollziehbare Serviceprozesse abbilden müssen.

1. BSI-Konformität: Eine Definition für Ausschreibungen & Praxis

Definition: „BSI-konform“ bedeutet, dass ein Produkt, ein System oder ein Prozess die Sicherheitsanforderungen und Empfehlungen des BSI erfüllt – etwa aus dem BSI IT-Grundschutz, den BSI-Standards 200-1 bis 200-3 oder den Technischen Richtlinien (TR).

Kriterien für BSI-Konformität:

Umsetzung von Sicherheitsmaßnahmen nach IT-Grundschutz
Verwendung von BSI-empfohlener Verschlüsselung
Rollen- und Rechtekonzepte zur Zugriffskontrolle
Protokollierung und Nachvollziehbarkeit (Auditfähigkeit)
Sichere System- und Netzwerkarchitektur
Regelmäßige Updates und Schwachstellenprüfungen

💡 Wichtig: BSI-konform heißt nicht automatisch BSI-zertifiziert. Eine Zertifizierung erfolgt nur durch das BSI selbst oder eine akkreditierte Stelle. Eine Software kann aber vollständig BSI-konform betrieben werden, ohne ein offizielles Zertifikat zu besitzen.

2. Warum BSI-Konformität für Behörden entscheidend ist

Rechtliche Verpflichtung: Viele Behörden unterliegen Verordnungen, die den BSI-IT-Grundschutz als Mindeststandard vorschreiben.
Schutz sensibler Daten: Die Verarbeitung personenbezogener Daten erfordert höchste Sicherheitsstandards nach DSGVO und BSI-Vorgaben.
Ausschreibungen: Öffentliche Vergabeverfahren verlangen oft „BSI-konforme“ Systeme oder entsprechende Nachweise.

3. Umsetzung der BSI-Vorgaben mit dem HEINZELMANN Service.Desk

Der HEINZELMANN Service.Desk ist von Grund auf für den Einsatz in sensiblen, sicherheitskritischen Umgebungen konzipiert.

3.1 On-Premises-Betrieb für maximale Datensouveränität

Alle Daten verbleiben in der eigenen Infrastruktur. Dies erfüllt die IT-Grundschutz-Anforderung OPS.1.1.1. Benötigt werden Windows-Server, MS SQL Server, .NET 8 und IIS.

3.2 Deutsche Entwicklung & Hosting

Als „Software Made in Germany“ bieten wir optional auch einen DSGVO- und BSI-konformen SaaS-Betrieb bei einem ISO 27001-zertifizierten Partner in Deutschland an.

3.3 Rollen- & Rechteverwaltung nach BSI ORP.4

BSI ORP.4 ist ein Baustein aus dem IT-Grundschutz, der das „Berechtigungsmanagement“ beschreibt. Er legt fest, wie Benutzerrechte in IT-Systemen sicher vergeben, dokumentiert, kontrolliert und wieder entzogen werden müssen.

Die Orientierung am BSI ORP.4 bedeutet, dass unser Rollen- & Rechtekonzept so aufgebaut ist, dass es diese Sicherheitsanforderungen erfüllt:

Rollenbasiertes Berechtigungsmodell: Nutzer bekommen nicht direkt Einzelrechte, sondern Rollen (z. B. „Sachbearbeiter“, „Administrator“), in denen die nötigen Rechte gebündelt sind.
Need-to-know-Prinzip: Jeder bekommt nur so viele Rechte, wie für seine Aufgabe zwingend nötig sind.
Feingranularität: Es kann genau gesteuert werden, wer auf welche Funktion, Daten oder Module zugreifen darf – bis auf sehr detaillierte Ebenen.
Nachvollziehbarkeit: Jede Rechtevergabe und Änderung wird dokumentiert und ist für Audits oder Sicherheitsprüfungen nachweisbar.

3.4 Audit-Logs & Protokollierung nach BSI OPS.1.1.4

BSI OPS.1.1.4 ist der Baustein für „Protokollierung“. Er legt fest, wie sicherheitsrelevante Ereignisse, Änderungen und Zugriffe aufgezeichnet werden müssen, damit sie später nachvollziehbar sind.

Eine lückenlose Änderungsnachverfolgung bedeutet, dass jede relevante Aktion im System protokolliert wird. Historien halten nicht nur fest, dass etwas geändert wurde, sondern auch den vorherigen Zustand. Damit erfüllt unsere Lösung die zentralen BSI-Anforderungen:

Nachvollziehbarkeit: Wer hat wann welche Daten gesehen, geändert oder gelöscht?
Integritätssicherung: Manipulationen werden erkennbar, weil Änderungen protokolliert sind.
Beweissicherung: Bei Vorfällen können Protokolle als revisionssichere Nachweise dienen.
Compliance & Audit-Fähigkeit: Prüfer können anhand der Logs die Einhaltung von Prozessen überprüfen.

Kurz gesagt: Die Software schreibt für alle wichtigen Objekte ein unveränderbares, vollständiges Protokoll, das den BSI-Vorgaben entspricht, sodass man jederzeit nachvollziehen kann, wer was wann gemacht hat.

3.5 TLS-verschlüsselte Kommunikation – Schutz nach aktuellem Stand der Technik

Der HEINZELMANN Service.Desk überträgt alle Daten standardmäßig über HTTPS und stellt damit eine TLS-verschlüsselte Verbindung zwischen Client und Server her. Diese schützt sensible Informationen – wie Login-Daten, Ticketinhalte und Anhänge – vor Abhören und Manipulation.

Die Verschlüsselung erfolgt nach anerkannten Sicherheitsstandards und entspricht damit gängigen Empfehlungen für eine sichere Datenübertragung, wie sie u. a. auch in den BSI-Richtlinien beschrieben sind.

3.6 Individuelle Workflows für ITIL & BSI-Prozesse

ITIL-Prozesse

ITIL (Information Technology Infrastructure Library) ist ein internationaler Standard für Best Practices im IT-Service-Management. Die genannten Prozesse sind:

Incident Management – Störungen schnell erfassen, priorisieren, bearbeiten und lösen.
Problem Management – Ursachenanalyse wiederkehrender Störungen und dauerhafte Behebung.
Change Management – Geplante Änderungen an IT-Systemen strukturiert und kontrolliert durchführen.

Individuelle Workflows

Die Software erlaubt es, diese Prozesse an die eigene Organisation anzupassen. Workflows sind nicht starr vorgegeben, sondern können für verschiedene Abteilungen oder Nutzungsszenarien maßgeschneidert werden, z.B. durch zusätzliche Genehmigungsschritte, Eskalationsstufen oder Benachrichtigungen.

Anpassbar an BSI-Bausteine

Beispiel: BSI OPS.1.3.1 – Behandlung von Sicherheitsvorfällen (Incident Handling). Dieser BSI-Baustein definiert, wie Sicherheitsvorfälle erkannt, gemeldet und dokumentiert werden müssen. Unser System kann so konfiguriert werden, dass die Workflows genau diesen Schritten entsprechen.

Kurz gesagt: Unser Workflow-Modul bildet ITIL-Standards ab, lässt sich aber gleichzeitig so einstellen, dass es die formalen BSI-Sicherheitsrichtlinien erfüllt – das ist besonders wichtig für öffentliche Einrichtungen und Unternehmen mit Compliance-Vorgaben.

4. Praxisbeispiel

Der Einsatz des HEINZELMANN Service.Desk On-Premises ermöglicht es einer bayerischen Kommune, die Anforderungen aus der BSI-Grundschutz-Basis-Absicherung vollständig umzusetzen. Durch rollenbasierte Zugriffskontrolle, vollständige Auditierung und TLS-gesicherte Kommunikation werden die Supportprozesse für Bürger und Mitarbeiter entscheidend beschleunigt.

5. Vorteile auf einen Blick

Erfüllt gesetzliche Vorgaben (BSI IT-Grundschutz, DSGVO, ISO 27001)
Volle Datensouveränität mit On-Premises-Option
Sicherer Cloud-Betrieb in Deutschland möglich
Auditfähig für interne und externe Prüfungen
Anpassbar an individuelle Organisations- und Behördenstrukturen

6. Häufig gestellte Fragen (FAQ)

Ist der HEINZELMANN Service.Desk BSI-zertifiziert?

Nein, die Software selbst ist nicht BSI-zertifiziert, da sich Zertifizierungen in der Regel auf ein Gesamtsystem (Software, Betriebsumgebung, Prozesse) beziehen. Der HEINZELMANN Service.Desk ist jedoch so konzipiert, dass er BSI-konform betrieben werden kann und die technischen Voraussetzungen zur Erfüllung der Standards mitbringt.

Unterstützt die Lösung auch ITIL-Prozesse?

Ja, im Kern unterstützt der HEINZELMANN Service.Desk die etablierten ITIL-Prozesse wie Incident, Problem, Change und Release Management. Diese können über den integrierten Workflow-Designer an die spezifischen Anforderungen Ihrer Organisation angepasst werden.

Ist der HEINZELMANN Service.Desk eine reine IT-Lösung?

Nein. Er ist als Enterprise Service Management (ESM)-Plattform konzipiert. Das bedeutet, dass Sie die gleichen strukturierten Prozesse und Workflows auch für andere Abteilungen wie Personal (HR), Facility Management oder das Bürgerbüro nutzen können, um eine einheitliche Service-Qualität in der gesamten Verwaltung zu etablieren.

Fazit & Nächste Schritte

Der HEINZELMANN Service.Desk ist eine BSI-konform betreibbare ITSM- und ESM-Lösung, die in Behörden und Unternehmen mit hohen Sicherheitsanforderungen zuverlässig eingesetzt werden kann.

Sichern Sie Ihre Serviceprozesse ab

Mit modularer Architektur, deutscher Entwicklung und umfassender Kontrolle über Daten und Prozesse erfüllt unsere Lösung zentrale BSI-Vorgaben und optimiert gleichzeitig Ihre Serviceprozesse.

Online Demo anfordern Angebot anfordern Kostenlos testen

Unsere Softwareprodukte bieten Lösungen für alle Aspekte des IT-Managements: