Gesetzliche Krankenversicherungen (GKV) haben eine sehr spezifische ISMS-Welt: B3S (Branchenspezifischer Sicherheitsstandard) als verbindliche Grundlage, IVDB (IT-Verbund-Datenbank) als zentrale Quelle für IT-Verfahren, und die KZBV/GKV-SV mit eigenen Prüf-Routinen. Wer hier ein ISMS-Tool ohne IVDB-Verständnis einsetzt, verbringt die ersten drei Monate damit, IT-Verfahren manuell aus der IVDB zu kopieren.
Was die IVDB-Integration in SecTepe.Core leistet
- CSV/Excel-Import: aktuelle IVDB-Exports werden direkt eingelesen, mit automatischer Feld-Zuordnung auf das interne Asset-/Verfahrens-Modell.
- Konflikt-Erkennung: bestehende Einträge werden bei erneutem Import gemerged, statt dupliziert. Konflikte werden dem Bearbeiter zur Entscheidung vorgelegt.
- Live-Fortschrittsanzeige: bei großen IVDB-Beständen (häufig 500+ Verfahren) zeigt die UI Import-Fortschritt, Anzahl erkannter neuer/geänderter/gelöschter Einträge.
- B3S-konformes Daten-Handling: alle importierten Daten werden so klassifiziert, dass die B3S-Anforderungen (Schutzbedarfsfeststellung, Verantwortliche, Aufbewahrungsfristen) sofort dokumentierbar sind.
- Perspektivisch API-Integration: sobald eine direkte IVDB-API freigegeben wird, ist der Connector vorbereitet – CSV-Import bleibt als Fallback.
Was sich für die GKV operativ ändert
Vorher: drei Monate Asset-Inventur per Excel, gespeist aus IVDB-CSV, händisch in das ISMS-Tool gekippt – mit den üblichen Excel-Fehlern (Zellen verrutscht, Encoding kaputt, Formel-Reste).
Nachher: drei Tage Konfiguration des Mappings (welches IVDB-Feld auf welches ISMS-Asset-Feld), erster Import in 30 Minuten, Folge-Imports automatisiert.
Verzahnung mit weiteren ISMS-Bausteinen
- Risiko-Modul: importierte Verfahren bekommen automatisch eine Risk-Assessment-Aufgabe in der Queue.
- Review-Cycle: jedes IVDB-Verfahren bekommt eine jährliche Review-Aufgabe – siehe Review-Cycle-Management.
- Lieferanten-Mapping: Verfahren werden an die zugehörigen Auftragsverarbeiter / Drittparteien gehängt – kritisch für Art. 28 DSGVO.
- Audit-Export: B3S-Auditor bekommt einen vorbereiteten Bericht mit IVDB-Referenzen, Schutzbedarf und Maßnahmenstand.
Warum das jenseits der GKV interessant ist
Das gleiche Problem (großer, gepflegter, externer Datenbestand → muss in das ISMS) gibt es auch in anderen regulierten Branchen: Energieversorger mit IT-Verbund-Listen, KRITIS-Betreiber mit Asset-Registern, Banken mit MaRisk-IT-Listen. Die IVDB-Integration ist als Pattern wiederverwendbar – der Connector ist schlicht Branche-spezifisch parametrisiert.
Realistische Grenzen
Die Integration spart die Inventarisierungs-Stunden, nicht die inhaltliche Bewertung. Schutzbedarf, Risiko, Maßnahmen – das bleibt fachliche Arbeit. Aber: ohne saubere Asset-Liste keine sinnvolle Bewertung. Wer hier eine reibungsarme Datenquelle hat, gewinnt 60–70 % des typischen ISMS-Aufbau-Aufwands zurück.
Fazit
Branchen-spezifische Integrationen entscheiden in regulierten Märkten über Tool-Akzeptanz. Eine GRC-Plattform, die IVDB-CSVs sauber einlesen und B3S-konform abbilden kann, wird in der GKV in wenigen Jahren Standard sein. Wer heute aufbaut, sollte dieses Kriterium bei der Tool-Auswahl explizit prüfen – nicht erst nach dem Vertragsschluss.