Audits, Versicherungsanfragen und Zertifizierungen haben eines gemeinsam: Sie verlangen Nachweise. Welche Server sind gepatcht? Funktionieren die Backups? Gibt es offene Schwachstellen? Wer diese Fragen manuell beantworten muss — SSH auf jeden Server, Logs durchsuchen, Screenshots sammeln — verbringt Stunden mit Arbeit, die automatisiert werden kann. DATAZONE Control generiert Compliance-Berichte automatisch: geplant oder auf Knopfdruck, als PDF exportierbar und mit allen Details, die Auditoren und Versicherungen erwarten.
Warum automatisierte Compliance-Berichte?
Manuelle Compliance-Nachführung hat mehrere Probleme:
- Zeitaufwand: 2-4 Stunden pro Monat für die Zusammenstellung von Patch-Status, Backup-Logs und Sicherheitschecks
- Fehleranfälligkeit: Manuelle Prüfung übersieht Systeme, die aus dem Raster fallen
- Inkonsistenz: Verschiedene Admins dokumentieren unterschiedlich
- Aktualität: Berichte sind beim Erstellen schon veraltet
- Nachweispflicht: Bei Sicherheitsvorfällen muss dokumentiert sein, dass Maßnahmen umgesetzt wurden
DATAZONE Control erfasst den Zustand aller verwalteten Systeme in Echtzeit. Compliance-Berichte sind daher keine aufwändige Sonderaufgabe, sondern ein Export des bereits vorhandenen Datenstands.
Berichtstypen
1. Update-Status-Bericht
Der Update-Status-Bericht zeigt den Patch-Stand aller verwalteten Systeme:
Enthaltene Informationen:
- Letzte Prüfung auf verfügbare Updates (pro System)
- Anzahl ausstehender Updates (Security und reguläre)
- Installierte Kernel-Version vs. verfügbare Version
- Datum der letzten Update-Installation
- Systeme mit überfälligen Updates (älter als definierter Schwellwert)
- Paketlisten der ausstehenden Updates
Beispiel-Auszug:
| Host | OS | Letzte Prüfung | Ausstehend | Security | Letztes Update | Status |
|---|---|---|---|---|---|---|
| pve01 | Debian 12.9 | 2026-04-19 03:00 | 0 | 0 | 2026-04-18 | Aktuell |
| pve02 | Debian 12.9 | 2026-04-19 03:00 | 3 | 1 | 2026-04-15 | Security-Update ausstehend |
| web01 | Ubuntu 24.04 | 2026-04-19 03:00 | 0 | 0 | 2026-04-17 | Aktuell |
| fw01 | OPNsense 25.4 | 2026-04-19 03:00 | 1 | 0 | 2026-04-10 | Minor-Update verfügbar |
| nas01 | TrueNAS 26.04 | 2026-04-19 03:00 | 0 | 0 | 2026-04-12 | Aktuell |
Systeme mit ausstehenden Security-Updates werden rot markiert. Der Bericht zeigt auch den Trend: Wie hat sich der Patch-Stand im letzten Monat entwickelt?
2. Sicherheitscheck-Bericht
Automatische Sicherheitschecks prüfen die Konfiguration aller Systeme gegen definierte Baselines:
Geprüfte Kategorien:
- SSH-Konfiguration: Root-Login deaktiviert, Key-Only Auth, Protokoll-Version
- Firewall-Status: iptables/nftables aktiv, Standard-Policy DROP
- Dienste: Keine unnötigen Dienste aktiv (Telnet, FTP, etc.)
- Benutzer: Keine Accounts ohne Passwort, keine inaktiven Accounts
- Dateiberechtigungen: /etc/shadow, /etc/passwd, SSH-Keys
- Kernel-Parameter: ASLR aktiv, SYN-Cookies aktiviert, IP-Forwarding kontrolliert
- TLS-Konfiguration: Mindestens TLS 1.2, keine schwachen Cipher Suites
- Log-Rotation: Syslog aktiv, Logs werden nicht überschrieben
Bewertungssystem:
Jeder Check erhält einen Status:
- PASS: Konfiguration entspricht der Baseline
- WARN: Abweichung, aber kein kritisches Risiko
- FAIL: Sicherheitsrelevante Abweichung, Handlungsbedarf
- SKIP: Check nicht anwendbar (z.B. Firewall-Check auf einem NAS)
Der Bericht enthält eine Zusammenfassung mit Score pro System (0-100) und Details zu jedem einzelnen Check.
3. Backup-Validierungsbericht
Der Backup-Bericht prüft nicht nur, ob Backups existieren, sondern ob sie funktionsfähig sind:
Geprüfte Aspekte:
- Backup-Existenz: Ist für jedes System ein aktuelles Backup vorhanden?
- Backup-Alter: Ist das jüngste Backup innerhalb des definierten RPO (Recovery Point Objective)?
- Backup-Integrität: Wurde die Checksumme des Backups verifiziert?
- Backup-Größe: Ungewöhnliche Größenänderungen (deutlich kleiner = möglicherweise unvollständig)
- Backup-Speicherort: Werden Backups offsite/extern repliziert?
- Retention: Werden die definierten Aufbewahrungsfristen eingehalten?
Beispiel-Auszug:
| Host | Letztes Backup | Alter | Größe | Integrität | Offsite | Status |
|---|---|---|---|---|---|---|
| pve01 | 2026-04-19 02:00 | 6h | 128 GB | Verifiziert | Ja | OK |
| pve02 | 2026-04-19 02:15 | 6h | 95 GB | Verifiziert | Ja | OK |
| web01 | 2026-04-18 23:00 | 9h | 12 GB | Verifiziert | Ja | OK |
| db01 | 2026-04-17 02:00 | 54h | 340 GB | Verifiziert | Nein | Warnung: Kein Offsite |
| nas01 | 2026-04-14 02:00 | 126h | 4.2 TB | Nicht geprüft | Nein | Kritisch: Backup älter als RPO |
4. Schwachstellen-Scan-Bericht
DATAZONE Control prüft installierte Pakete gegen bekannte CVE-Datenbanken:
Enthaltene Informationen:
- CVE-ID, Schweregrad (CVSS Score), betroffenes Paket
- Installierte vs. gefixte Version
- Verfügbarkeit eines Patches
- Betroffene Systeme (Gruppierung nach CVE)
- Zeitraum seit Veröffentlichung des CVE
Schweregrad-Kategorien:
| CVSS Score | Einstufung | SLA (empfohlen) |
|---|---|---|
| 9.0–10.0 | Kritisch | Patch innerhalb 24 Stunden |
| 7.0–8.9 | Hoch | Patch innerhalb 7 Tagen |
| 4.0–6.9 | Mittel | Patch innerhalb 30 Tagen |
| 0.1–3.9 | Niedrig | Nächster regulärer Patch-Zyklus |
Berichte generieren
Ad-hoc-Bericht über die Weboberfläche
- Navigieren Sie zu Reports → Generate
- Wählen Sie den Berichtstyp (oder mehrere)
- Wählen Sie den Scope:
- Alle Systeme
- Bestimmte Gruppe (z.B. “Standort Berlin”)
- Einzelnes System
- Zeitraum festlegen (für Trend-Daten)
- Format wählen: PDF, HTML oder JSON
- Generate klicken
Der Bericht wird innerhalb von Sekunden generiert und steht zum Download bereit.
Geplante Berichte (Scheduling)
Für regelmäßige Compliance-Nachweise können Berichte automatisch geplant werden:
- Navigieren Sie zu Reports → Schedules
- Erstellen Sie einen neuen Schedule:
- Name: Monatlicher Compliance-Bericht
- Berichtstypen: Update-Status, Sicherheitschecks, Backup-Validierung
- Scope: Alle Systeme
- Zeitplan: Monatlich, am 1. um 06:00 Uhr
- Format: PDF
- Empfänger: it-leitung@example.com, compliance@example.com
- Aufbewahrung: 24 Monate
Geplante Berichte werden automatisch generiert, als PDF gespeichert und per E-Mail an die definierten Empfänger gesendet.
Bericht per API generieren
Für Integration in eigene Workflows:
# Compliance-Bericht über API generieren
curl -X POST https://control.example.com/api/v1/reports/generate \
-H "Authorization: Bearer $API_TOKEN" \
-H "Content-Type: application/json" \
-d '{
"type": ["updates", "security", "backups", "vulnerabilities"],
"scope": "all",
"format": "pdf",
"period": "last_30_days"
}'Die API gibt eine Report-ID zurück, über die der fertige Bericht heruntergeladen werden kann.
PDF-Export: Aufbau und Inhalte
Der PDF-Bericht folgt einer standardisierten Struktur:
Deckblatt
- Firmenname und Logo
- Berichtstyp und Zeitraum
- Generierungsdatum und -uhrzeit
- Scope (welche Systeme)
- Gesamtbewertung (Score 0-100)
Executive Summary
Eine Seite mit den wichtigsten Kennzahlen:
- Anzahl verwalteter Systeme
- Patch-Compliance-Quote (% der Systeme auf aktuellem Stand)
- Backup-Erfolgsrate
- Anzahl offener Schwachstellen nach Schweregrad
- Trend-Pfeil (besser/schlechter als Vormonat)
Detailbereiche
Jeder Berichtstyp erhält einen eigenen Abschnitt mit:
- Zusammenfassung
- Tabelle aller Systeme mit Status
- Details zu Abweichungen und Problemen
- Empfohlene Maßnahmen
Anhang
- Vollständige Paketlisten (ausstehende Updates)
- CVE-Details mit Links
- Check-Ergebnisse im Detail
- Konfigurationsänderungen seit letztem Bericht
Use Cases
Cyber-Versicherung
Cyber-Versicherungen verlangen zunehmend Nachweise über den IT-Sicherheitszustand. DATAZONE Control liefert:
- Patch-Status: Nachweis, dass Security-Updates zeitnah eingespielt werden
- Backup-Nachweis: Regelmäßige, verifizierte Backups existieren
- Firewall-Konfiguration: Systeme sind durch Firewalls geschützt
- Verschlüsselung: TLS-Konfiguration entspricht dem Stand der Technik
Bei einem Schadensfall dokumentiert der Bericht, dass zum Zeitpunkt des Vorfalls angemessene Sicherheitsmaßnahmen implementiert waren.
ISO 27001 / BSI IT-Grundschutz
Für Zertifizierungen müssen Kontrollen nachgewiesen werden. DATAZONE Control deckt unter anderem ab:
- A.12.6.1: Management technischer Schwachstellen
- A.12.3.1: Backup von Informationen
- A.14.2.2: Änderungskontrollverfahren
- A.18.2.3: Überprüfung der technischen Compliance
Die automatischen Berichte dienen als kontinuierlicher Nachweis zwischen den Audits.
Managed Service Provider
MSPs, die IT-Infrastruktur für Kunden betreiben, nutzen Compliance-Berichte als:
- Leistungsnachweis: Dokumentation der erbrachten Wartung
- SLA-Reporting: Einhaltung vereinbarter Update- und Backup-SLAs
- Transparenz: Kunden sehen den Zustand ihrer Infrastruktur
- Eskalation: Automatische Alerts bei SLA-Verletzungen
Konfiguration: Baselines und Schwellwerte
Update-Schwellwerte definieren
Unter Settings → Compliance → Update Policy:
- Security-Updates: Warnung nach 48 Stunden, Kritisch nach 7 Tagen
- Reguläre Updates: Warnung nach 14 Tagen, Kritisch nach 30 Tagen
- Kernel-Updates: Warnung nach 7 Tagen (erfordern Reboot)
Backup-Policy
Unter Settings → Compliance → Backup Policy:
- RPO (Recovery Point Objective): Maximales Backup-Alter (z.B. 24 Stunden)
- Offsite-Pflicht: Mindestens eine Offsite-Kopie pro System
- Integritätsprüfung: Automatische Verifikation nach jedem Backup
- Retention: Mindestaufbewahrungsdauer (z.B. 90 Tage)
Security-Baseline
Unter Settings → Compliance → Security Baseline:
- SSH: Root-Login deaktiviert, Key-Auth erzwungen
- Firewall: Standard-Policy DROP auf allen Systemen
- TLS: Mindestens TLS 1.2, keine veralteten Cipher Suites
- Dienste: Whitelist erlaubter Dienste pro Systemtyp
Abweichungen von der Baseline werden im Sicherheitscheck-Bericht als WARN oder FAIL gemeldet.
Integration mit externen Systemen
Ticket-System
Compliance-Verstöße können automatisch Tickets erstellen:
- Kritisch: Ticket mit hoher Priorität, sofortige Benachrichtigung
- Warnung: Ticket mit normaler Priorität
- Info: Nur im Bericht, kein Ticket
SIEM/Syslog
Alle Compliance-Events werden als strukturierte Logs exportiert und können in SIEM-Systeme (Graylog, ELK, Wazuh) integriert werden.
Dokumentenmanagementsystem
PDF-Berichte können automatisch in ein DMS exportiert werden — für revisionssichere Archivierung.
Fazit
Compliance-Berichte in DATAZONE Control wandeln den bereits erfassten Infrastruktur-Zustand in auditfähige Dokumente um. Statt Stunden mit manueller Datensammlung zu verbringen, generiert ein Klick oder ein Cron-Job den vollständigen Bericht als PDF — mit Update-Status, Sicherheitschecks, Backup-Validierung und Schwachstellen-Scan. Cyber-Versicherungen, ISO-Auditoren und Kunden erhalten konsistente, aktuelle Nachweise ohne zusätzlichen Aufwand.
Weitere Artikel
Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept
Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.
Proxmox Notification-System: Matcher, Targets, SMTP, Gotify und Webhooks
Proxmox Notification-System ab PVE 8.1 konfigurieren: Matcher und Targets, SMTP-Setup, Gotify-Integration, Webhook-Targets, Notification-Filter und sendmail vs. neue API.
TrueNAS mit MCP: KI-gestützte NAS-Verwaltung per natürlicher Sprache
TrueNAS mit MCP (Model Context Protocol) verbinden: KI-Assistenten für NAS-Verwaltung, Status-Abfragen, Snapshot-Erstellung per Chat, Sicherheitsaspekte und Zukunftsausblick.