Drei Monate? Ein halbes Jahr? Irgendwann mal kurz vor dem letzten Audit schnell aktualisiert?
Damit seid ihr nicht allein. Das ist kein Versagen – das ist ein strukturelles Problem. Die meisten ISMS-Tools sind Compliance-Werkzeuge, die so tun, als würde Infrastruktur stillstehen. Man befüllt sie einmal, pflegt sie halbherzig und hofft, dass der Auditor nicht zu tief bohrt.
Wir haben COD-ISMS gebaut, weil wir täglich mit dieser Realität konfrontiert sind. Und weil es besser geht.
Das eigentliche Problem: Zwei Welten, die nie zusammenfinden
In jedem Unternehmen gibt es zwei parallele Realitäten:
Realität 1: Die Infrastruktur. IT-Systeme, OT-Anlagen, medizinische Geräte, Trafostationen, Produktionssteuerungen. Sie ändert sich ständig. Geräte kommen und gehen. Konfigurationen ändern sich.
Realität 2: Das ISMS. Asset-Listen, Risikobewertungen, Controls. Gepflegt von Menschen, mit Stand von vor drei Monaten.
Die Lücke zwischen diesen beiden Welten ist der blinde Fleck jedes klassischen ISMS. Und genau da greifen Angreifer an – und Auditoren auch.
COD schließt diese Lücke. Automatisch.
COD ist eine integrierte Plattform aus verschiedenen Modulen, die nahtlos ineinandergreifen:
Schicht 1: COD-Network – Netzwerk-Inventarisierung als Ausgangspunkt
COD-Network erkennt automatisch alle IP-adressierbaren Geräte im Netzwerk – von IT-Endgeräten und Netzwerkkomponenten bis hin zu OT-Systemen und Industrieanlagen, sofern diese netzwerkseitig erreichbar sind. Netzstrukturpläne werden erstellt und importiert.
Was COD-Network heute noch nicht macht: Es klassifiziert Assets nicht automatisch. Das Einordnen – was ist eine Firewall, was eine SPS, was ein medizinisches Gerät – erfolgt manuell. Das ist ehrlich gesagt auch sinnvoll: Denn wer seine eigene Infrastruktur kennt, will diese Entscheidung selbst treffen.
Schicht 2: COD-ISMS – strukturierte Compliance auf lebenden Daten
COD-ISMS nimmt die in COD-Network gepflegten Assets und macht daraus die Grundlage für ein strukturiertes, dokumentiertes ISMS.
Was das konkret bedeutet:
Controls verwalten, nicht nur abhaken. Alle 93 ISO 27001:2022 Annex-A-Controls sind hinterlegt, in vier Themenbereiche gruppiert. Pro Control erfasst ihr Anwendbarkeit (ja/nein), Umsetzungsstatus (umgesetzt / teilweise / geplant / nicht umgesetzt), Notizen und verknüpfte Richtlinien. Den Fortschritt seht ihr visuell im Dashboard.
Richtlinien, die wirklich zur Compliance gehören. Richtlinien werden direkt mit den entsprechenden Controls verknüpft – versioniert, mit Diff-Anzeige, mit durchgängigem Workflow von Entwurf bis Archiviert.
Ein Audit-Trail, der diesen Namen verdient. Jede Änderung – an Assets, Controls, Richtlinien, Risikobewertungen – wird lückenlos protokolliert. Wer, wann, was, wo, warum. Manipulationssicher, serverseitig signiert. Das ist die Nachvollziehbarkeitsgrundlage für externe Audits.
Risikobewertungen auf dem konkreten Asset. Nicht auf „Netzwerkkomponente allgemein", sondern auf dem spezifischen Asset – mit dem Live-Status, den COD-Network liefert.
Ein Audit-Trail, der diesen Namen verdient. Jede Änderung wird lückenlos protokolliert. Wer, wann, was, wo, warum. Manipulationssicher, serverseitig signiert.
On-Premise oder Cloud – beide Optionen, volle Kontrolle
Gerade im KRITIS-Umfeld ist „keine Daten in die Cloud" oft keine Präferenz, sondern eine Anforderung. COD läuft vollständig on-premise – auf eurer Infrastruktur, in eurem Rechenzentrum.
Und trotzdem: Vorlagen-Updates – neue ISO-Controls, aktualisierter BSI-Katalog, Richtlinienvorlagen – werden zentral bereitgestellt und können kontrolliert eingespielt werden. Kein Cloud-Zwang. Keine veralteten Inhalte.
Für wen COD-ISMS gebaut wurde
Für IT-Leiter, die keine Zeit haben, Asset-Listen manuell zu pflegen – und trotzdem eine saubere, dokumentierte ISMS-Basis brauchen.
Für CISOs, die wissen wollen: Welche Controls sind dokumentiert umgesetzt, welche noch offen? – und eine Antwort wollen, die auf einer aktuellen Asset-Basis beruht.
Für Geschäftsführer, die in regulierten Umgebungen agieren und verstanden haben: Ein ISMS, das nicht mit der Realität übereinstimmt, ist keine Absicherung. Es ist eine Haftungsfrage.
Fazit: Ein ISMS, das weiß, was es schützt – und ehrlich sagt, was es kann
Die meisten ISMS-Tools wissen, was ihr ihnen gesagt habt – vor Monaten. COD verbindet Netzwerk-Inventarisierung und Compliance-Dokumentation in einer Plattform – ohne manuelle Brücken, ohne doppelte Datenpflege.
Wenn ihr sehen wollt, wie das in eurer Umgebung konkret aussieht – wir zeigen es euch gerne. Praxisnah, ohne Vertriebsdruck, ohne 47-seitiges Angebot vorab.
