OpenISMS: Das ISMS, das ich mir als IT-Auditor immer gewünscht hätte
Nach Jahren in IT-Audits und GRC-Projekten habe ich OpenISMS gebaut — ein vollständiges, Open-Source-fähiges Information Security Management System, das die Lücken schließt, die ich täglich in der Praxis gesehen habe. ISO 27001, NIS-2, DSGVO, EU AI Act, BSI C5 — alles in einer Anwendung. Und offen für jeden, der mitmachen möchte.
Wie es angefangen hat: Ein Problem, das ich täglich gesehen habe
Wer im IT-Audit arbeitet, kennt die Situation: Man kommt zu einem Kunden, stellt die ersten Fragen zum Informationssicherheits-Management und bekommt als Antwort eine Sammlung aus Excel-Tabellen, SharePoint-Dokumenten und — wenn man Glück hat — einem halb ausgefüllten Word-Template, das irgendwann mal als ISMS herhalten sollte. Der Asset-Stand ist veraltet, das Risikoregister wurde zuletzt vor anderthalb Jahren angefasst, und die Maßnahmen aus dem letzten Audit-Finding schweben irgendwo in einem gemeinsamen Laufwerk vor sich hin, ohne dass jemand weiß, ob sie überhaupt noch relevant sind.
Das ist kein Einzelfall. Das ist der Normalzustand in einem erschreckend großen Teil der Unternehmen, die ich über die Jahre begleitet habe — und zwar bei Unternehmen, die sich nominell bereits auf dem Weg zur ISO-27001-Zertifizierung befanden. Das Problem ist selten fehlendes Bewusstsein oder fehlender Wille. Das Problem ist fehlende Werkzeuge, die praxistauglich, erschwinglich und ohne monatelange Einführungsprojekte nutzbar sind.
Die kommerziellen ISMS-Tools auf dem Markt sind entweder astronomisch teuer, setzen ein ganzes Einführungsprojekt voraus oder sind so generisch gehalten, dass sie für operative IT-Security-Teams kaum Mehrwert bieten. Auf der anderen Seite gibt es Open-Source-Ansätze, die bestenfalls grundlegende Ticketsysteme sind und mit den regulatorischen Anforderungen von ISO 27001:2022, NIS-2 oder dem EU AI Act nichts anfangen können.
Irgendwann habe ich aufgehört, nach dem richtigen Tool zu suchen — und angefangen, es selbst zu bauen. OpenISMS ist das Ergebnis.
Ein ISMS-Tool sollte so aufgebaut sein, dass es den Prüfer, den Security-Officer und den IT-Administrator gleichzeitig bedient — mit klaren Rollen, nachvollziehbaren Prozessen und einer Oberfläche, die man nicht erst drei Tage schulen muss. Genau das war der Leitfaden für jede einzelne Entscheidung in OpenISMS.
Was ist ein ISMS — und warum braucht man eine dedizierte Anwendung?
Ein Information Security Management System (ISMS) ist kein Produkt, das man kauft — es ist ein systematischer Rahmen, mit dem ein Unternehmen seine Informationssicherheit organisiert, überwacht und kontinuierlich verbessert. ISO 27001 ist der bekannteste internationale Standard dafür. Er definiert, was ein ISMS leisten muss: Asset-Management, Risikobeurteilung, Maßnahmenauswahl, Messung, Audit, Verbesserung.
Das klingt überschaubar. In der Praxis bedeutet es: hunderte von Assets kategorisieren und aktuell halten, für jedes Asset eine Risikobewertung durchführen, Maßnahmen zuordnen und deren Umsetzung nachverfolgen, Vorfälle dokumentieren, Richtlinien verwalten, Prüfnachweise für Auditoren bereithalten — und das alles unter verschiedenen regulatorischen Anforderungen gleichzeitig.
Seit 2023 hat sich die regulatorische Komplexität nochmals erheblich gesteigert: NIS-2 bringt neue Meldepflichten und Lieferketten-Anforderungen. Der EU AI Act verlangt ein KI-Inventar mit Risikoeinstufungen. DORA gilt für Finanzunternehmen mit spezifischen IKT-Anforderungen. BSI C5:2026 ist für Cloud-Anbieter relevant. TISAX für die Automobilindustrie. Wer all das mit Excel-Listen und manuellen Prozessen steuern will, hat strukturell verloren — spätestens beim nächsten Audit.
Eine dedizierte Anwendung schafft genau das, was manuelle Prozesse nicht können: Konsistenz, Nachvollziehbarkeit, automatisierte Fristberechnung, lückenlose Audit-Trails und die Möglichkeit, verschiedene Compliance-Anforderungen in einem System zusammenzuführen — ohne Doppelarbeit.
Für wen ist OpenISMS geeignet?
OpenISMS ist nicht für jeden gleich nützlich — und das ist auch gut so. Ich habe beim Bauen bewusst bestimmte Zielgruppen im Kopf gehabt und nicht versucht, ein Universalwerkzeug für alle zu schaffen, das am Ende für niemanden wirklich passt.
Wer Kunden bei ISO-27001-Einführungen, NIS-2-Readiness oder DSGVO-Konformität begleitet, bekommt ein Werkzeug, das die gängigen Anforderungen bereits strukturell abbildet — inklusive Audit-Log, Compliance-Übersicht und druckfähigem Management-Report. Statt auf Kundensysteme anzuwiesen zu sein, können Berater OpenISMS als strukturierten Ausgangspunkt einsetzen.
Für Unternehmen, die ein ISMS aufbauen müssen — sei es wegen einer angestrebten ISO-Zertifizierung, NIS-2-Pflichten oder weil ein großer Kunde es im Rahmen seiner Supply-Chain-Anforderungen fordert — ohne dafür sechs Monate Einführungsprojekt und fünfstellige Lizenzkosten aufwenden zu wollen. Die geführten Onboarding-Karten und leeren Zustände mit erklärenden Hilfetexten helfen dabei, schnell einen Ausgangspunkt zu finden.
Wer das ISMS operativ betreiben will — Asset-Pflege, Risikobewertungen, Vorfalls-Tracking — findet in OpenISMS eine Plattform, die sich ohne lange Schulung erschließt. Der MCP-Server erlaubt es außerdem, ISMS-Daten direkt aus KI-Assistenten abzufragen und zu aktualisieren, was das Tagesgeschäft erheblich beschleunigen kann.
OpenISMS läuft als Single-Container auf Docker und lässt sich in wenigen Minuten auf Unraid, Proxmox oder einem einfachen Linux-Server einrichten. Wer seine eigene IT strukturiert dokumentieren und Risiken bewerten möchte — auch ohne ISO-Zertifizierungsziel — bekommt eine vollwertige Anwendung ohne Abonnement und ohne Cloud-Zwang.
Konzerne mit Tausenden von Assets und komplexen Multi-Mandanten-Anforderungen werden an die Grenzen eines einzelnen Containers stoßen. Für solche Umgebungen sind Enterprise-GRC-Plattformen mit entsprechender Integrations- und Skalierungsarchitektur besser geeignet. OpenISMS ist ehrlich darüber — und das ist gut so.
Praxiserfahrung als Blaupause: Was in OpenISMS steckt
Jede einzelne Funktion in OpenISMS hat einen konkreten Ursprung in der Praxis. Das sind keine Annahmen darüber, was nützlich sein könnte — das sind Lösungen für Probleme, denen ich persönlich begegnet bin.
NIS-2 schreibt vor, dass erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden als Frühwarnung und innerhalb von 72 Stunden vollständig gemeldet werden müssen. In der Praxis sah ich immer wieder, dass diese Fristen schlicht vergessen wurden — weil im Stress eines Vorfalls niemand aktiv auf die Uhr schaut. OpenISMS berechnet beide Fristen automatisch ab dem Erkennungszeitpunkt und zeigt Überfälligkeitswarnungen an. Das klingt simpel. Es spart in der Praxis erhebliche Compliance-Risiken.
Eines der häufigsten Findings in IT-Audits: Assets sind zwar einzeln dokumentiert, aber ihre gegenseitigen Abhängigkeiten sind nirgendwo erfasst. Wenn ein zentraler Dienst ausfällt, weiß niemand schnell, welche anderen Systeme davon abhängen. OpenISMS bildet Parent-Child-Beziehungen zwischen Assets ab und visualisiert den gesamten Abhängigkeitsgraph interaktiv — mit typspezifischen Knotenformen und Risiko-Farbcodierung. So wird auf einen Blick sichtbar, welche Systeme kritische Abhängigkeiten haben.
Der EU AI Act ist 2026 keine theoretische Zukunft mehr. Unternehmen müssen KI-Systeme inventarisieren und nach Risikostufe klassifizieren. Bestehende ISMS-Lösungen haben dafür schlicht keine Asset-Typen. In OpenISMS gibt es eigene Typen für „KI-Anwendung" und „KI-Agent" — mit Risikoeinstufungs-Workflow und Konformitätsbewertungsfeldern direkt im Asset-Register. KI-Assets werden in der Topologie lila hervorgehoben, damit die Übersicht sofort zeigt, wo KI-Einsatz stattfindet.
Art. 30 DSGVO verpflichtet zur Führung eines Verarbeitungsverzeichnisses. In der Praxis sehe ich regelmäßig, dass zwar Assets als „verarbeitet personenbezogene Daten" markiert sind, aber kein entsprechender VVT-Eintrag existiert. OpenISMS erkennt diese Lücke automatisch und zeigt sie in der Compliance-Übersicht an — mit direktem Einstieg in die Anlage des fehlenden Eintrags. Dasselbe gilt für DSFA-Pflicht-Kennzeichnungen nach Art. 35.
ISO 27001 verlangt regelmäßige Überprüfungen. In der Praxis geraten Reviews in Vergessenheit — besonders wenn Assets hinzukommen, deren letzte Bewertung schon Jahre zurückliegt. OpenISMS erstellt automatisch nach jeder Bewertung einen Reminder für ein Jahr später. Ein täglicher Cron-Job markiert überfällige Reviews als solche und zeigt ein rotes Badge in der Navigation. Kein manuelles Nachverfolgen mehr.
Sicherheitstools, die selbst schlechte Sicherheitspraktiken vorschreiben, sind ein Widerspruch in sich. OpenISMS unterstützt SSO via OIDC (Authentik, Keycloak, Entra, Google und jeden weiteren OIDC-Provider), TOTP-Zwei-Faktor-Authentifizierung und Passkeys nach FIDO2/WebAuthn Level 2. Die RBAC-Matrix ist granular pro Modul und Aktion konfigurierbar — direkt in der Anwendung, ohne Neustart.
Warum nicht einfach ein bestehendes Tool nutzen?
Das ist eine berechtigte Frage — und sie verdient eine ehrliche Antwort. Natürlich gibt es bereits ISMS-Tools. Ich habe viele davon im Einsatz gesehen oder selbst ausprobiert. Hier ist meine nüchterne Einschätzung:
| Kategorie | Typisches Problem | OpenISMS-Ansatz |
|---|---|---|
| Excel / SharePoint | Keine Audit-Trails, keine automatisierten Fristen, kein Rollenkonzept, schnell inkonsistent | Lückenloses Audit-Log, automatische Fristberechnung, granulare RBAC |
| Kommerzielle Enterprise-Tools | Fünfstellige Lizenzkosten, monatelange Einführung, oft überdimensioniert | Self-hosted, keine Lizenzkosten, in Minuten startklar |
| Einfache Open-Source-Tools | Kein ISO-27001-Mapping, keine NIS-2-Fristen, keine DSGVO-VVT-Integration | Alle relevanten Frameworks nativ eingebaut und verknüpft |
| Ticketsysteme (Jira, ServiceNow) | Für ISMS zweckentfremdet, fehlende Compliance-Felder, kein Asset-Graph | Für ISMS entwickelt — alle Felder sind Compliance-ready |
| SaaS-ISMS-Lösungen | Datensouveränität, laufende Abo-Kosten, Vendor-Lock-in | Vollständig self-hosted, Daten bleiben auf eigenem Server |
Das bedeutet nicht, dass kommerzielle Tools keine Daseinsberechtigung haben. Für Konzerne mit komplexen Governance-Strukturen, die ein Tool mit professionellem Support, SLA und Integrations-Ökosystem brauchen, sind Enterprise-GRC-Lösungen die richtige Wahl. OpenISMS schließt eine andere Lücke: die unterhalb dieser Anforderungen — und diese Lücke ist erheblich größer, als der Markt bisher wahrnimmt.
OpenISMS ist Source-Available: Der Quellcode ist öffentlich einsehbar, die Nutzung ist für private und nicht-kommerzielle Zwecke kostenfrei. Für kommerzielle bzw. Enterprise-Nutzung ist eine Lizenz erforderlich. Anfragen gerne an [email protected].
Features im Überblick
OpenISMS ist in Version 2.2.1 eine vollständige ISMS-Anwendung — kein MVP, kein Proof of Concept. Hier sind die wichtigsten Bereiche:
- Vollständiges Asset-Register nach ISO 27001 Annex A.8
- Asset-Typen inkl. KI-Anwendung und KI-Agent (EU AI Act)
- CVE-Zähler, Patch-Status, EOL-Datum, RTO/RPO
- Parent/Child-Abhängigkeitsstruktur
- Interaktiver Topologie-Graph (Mermaid)
- CIA-Triad-Bewertung (Skala 1–5) mit Verlauf
- 5×5-Risikomatrix (inhärent & residual)
- Risk Acceptance Tracking mit Ablaufdatum
- Treatment-Workflow: Reduzieren / Akzeptieren / Übertragen / Vermeiden
- Excel- und CSV-Export
- Vollständige Incident-Dokumentation nach NIS-2 Art. 23
- Automatische 24h/72h-Fristberechnung
- Externes Aktenzeichen für Behördenmeldungen
- Lessons-Learned-Dokumentation
- Verknüpfung mit Assets und Risiken
- Controls nach ISO 27001 Annex A, NIS-2, BSI-Grundschutz
- Statement of Applicability (SoA) pro Framework
- Effektivitätsbewertung (1–5) je Maßnahme
- Verknüpfung mit Risiken und Assets
- Vollständiges VVT-Register (Art. 30) mit 8 Vorlagen
- DSFA-Workflow (Art. 35) mit Pflicht-Kennzeichnung
- Betroffenenrechte-Tracker (Art. 15–22) mit Frist
- Automatische Lückenanzeige bei fehlenden VVT-Einträgen
- 18 MCP-Tools für Claude Desktop und Claude Code
- Assets abfragen, Risiken anlegen, Incidents melden
- Reports und KPIs direkt per KI-Assistent abrufen
- API-Token-basierte Authentifizierung, widerrufbar
- ISMS Health Score (0–100) als Gauge-Diagramm
- 9 Auto-KPI-Karten mit Sparklines und Trend-Pfeilen
- 12-Monats-Verlaufscharts für Risiken, Vorfälle, Assets
- PDF-Export, druckoptimiert für Geschäftsführungsbericht
- SSO via OIDC (Authentik, Keycloak, Entra, Google …)
- Passkeys (WebAuthn/FIDO2) und TOTP
- 8 Standardrollen + Custom Roles
- Granulare RBAC-Matrix, konfigurierbar ohne Neustart
Der MCP-Server: ISMS trifft KI-Assistent
Das vielleicht ungewöhnlichste Feature von OpenISMS ist sein integrierter MCP-Server — ein Model Context Protocol Server, über den KI-Assistenten wie Claude direkt mit dem ISMS interagieren können. Das ist kein Gimmick: Es ist der konsequente nächste Schritt, wenn man ein ISMS wirklich in den Arbeitsalltag integrieren will.
Die Idee dahinter: Die meisten ISMS-Tools sind Erfassungssysteme — man trägt Daten ein und liest sie irgendwann wieder aus. Der operative Wert entsteht aber dann, wenn diese Daten aktiv in Entscheidungen einfließen. Wenn ein IT-Mitarbeiter einen Vorfall meldet, sollte das so reibungslos sein, dass er es tatsächlich tut — und nicht erst einen Browser öffnen, sich einloggen und durch drei Menüebenen klicken muss.
Mit dem MCP-Server kann Claude Desktop oder Claude Code direkt auf das ISMS zugreifen: Assets abfragen, Risiken anlegen, Incidents melden, den ISMS Health Score abrufen — per natürlichsprachlicher Anfrage, ohne die Oberfläche zu öffnen.
„Wie ist der aktuelle ISMS-Health-Score und welche kritischen Risiken sind offen?"
→ Claude fragt das ISMS-Dashboard ab und gibt eine strukturierte Zusammenfassung zurück — ohne Browser.
„Meld bitte einen Vorfall: Verdacht auf Phishing-E-Mail, Schweregrad Hoch, betroffenes Asset: Mail-Server."
→ Claude legt den Incident direkt über die ISMS-API an, berechnet NIS-2-Fristen und bestätigt die Erstellung.
„Zeig mir alle kritisch klassifizierten Assets mit NIS-2-Relevanz, die noch keine Risikobewertung haben."
→ Claude filtert das Asset-Register und gibt eine übersichtliche Liste zurück, direkt aus dem ISMS.
„Erstell mir eine kurze Zusammenfassung des aktuellen ISO-27001-Abdeckungsgrads für das Management-Meeting."
→ Claude ruft den Compliance-Overview ab und formuliert eine präsentierbare Zusammenfassung.
{
"mcpServers": {
"isms": {
"type": "http",
"url": "https://isms.example.com/mcp",
"headers": {
"Authorization": "Bearer isms_api_<dein-token>"
}
}
}
}
API-Tokens werden direkt im ISMS-Profil generiert — widerrufbar, benutzerspezifisch, ohne Ablaufzwang.
18 MCP-Tools stehen bereit — von isms_list_assets über isms_create_incident bis hin zu isms_get_management_report. Der vollständige Katalog ist in der GitHub-README dokumentiert.
Sicherheit im eigenen Tool: Was unter der Haube steckt
Ein ISMS-Tool, das selbst schlechte Sicherheitspraktiken umsetzt, ist ein Widerspruch in sich — und eines der Dinge, die mich an einigen bestehenden Lösungen gestört haben. Bei OpenISMS war die Sicherheitsarchitektur keine nachträgliche Überlegung, sondern von Anfang an eine Anforderung.
JWT (24 h) als Basis, ergänzt durch TOTP (RFC 6238 mit Replay-Schutz), Passkeys nach FIDO2/WebAuthn Level 2 und SSO via OIDC mit Authorization Code Flow + PKCE. SSO-Konten sperren lokale Anmeldewege automatisch aus.
OIDC-Client-Secrets werden AES-256-GCM-verschlüsselt in der Datenbank gespeichert. JWT-Secret und Encryption-Key sind separate Umgebungsvariablen — keine Defaults, keine Fallbacks auf schwache Werte.
IP-basiertes Rate-Limiting (20 Versuche / 15 min) und konto-basierte Sperrung nach konfigurierbaren Fehlversuchen. Beides ist im Admin-Bereich einstellbar — ohne Neustart.
Lückenlose Protokollierung aller Aktionen: wer hat wann was geändert, mit Before/After-Vergleich. Aufbewahrungsdauer konfigurierbar, automatische Bereinigung via Cron. CSV/Excel-Export für externe Prüfer.
helmet.js setzt Security-Header (XSS-Protection, Clickjacking, MIME-Sniff) ab Werk. CORS ist auf APP_URL eingeschränkt. HTTPS wird über Reverse-Proxy (nginx, Traefik, Caddy) empfohlen und durch SECURE_COOKIES=true unterstützt.
Jedes Release durchläuft einen automatisierten Security-&-Quality-Workflow in GitHub Actions. Das Build-&-Publish-Badge im Repository zeigt den aktuellen CI-Status direkt auf einen Blick.
Sicherheitslücken in OpenISMS bitte nicht öffentlich als GitHub-Issue melden. Stattdessen direkt an [email protected] — ich strebe eine Reaktionszeit von 48 Stunden und koordinierte Disclosure an.
Was als nächstes kommt
OpenISMS ist in aktiver Entwicklung. Version 2.2.1 ist stabil — und es gibt bereits eine klare Vorstellung davon, wohin die Reise geht. Ich veröffentliche keine festen Release-Daten, weil ich ein Soloprojekt ehrlicher als ein Unternehmen führen will: Dinge kommen dann, wenn sie fertig und gut sind.
Für Berater, die mehrere Kunden über eine Instanz verwalten wollen — ohne gegenseitige Datensichtbarkeit.
Webhook-Unterstützung für externe Systeme (Ticketing, SIEM, Monitoring) und ein erweitertes API-Token-Management mit Scope-Kontrolle.
Automatische Vorschläge für Bedrohungen, Maßnahmen und Risikobewertungen auf Basis des Asset-Typs und bereits vorhandener Daten im System — über den MCP-Server oder direkt in der Oberfläche.
Automatisch generierte Prüfungsberichte auf Basis der ISMS-Daten — als PDF, nach ISO-27001- oder NIS-2-Struktur — direkt aus der Anwendung exportierbar.
Was fehlt dir? Was würde deinen Arbeitsalltag wirklich erleichtern? GitHub Discussions ist der richtige Ort — ich lese und beantworte jeden Beitrag.
Tech Stack
OpenISMS setzt auf einen modernen, wartbaren Stack — bewusst ohne exotische Abhängigkeiten, damit der Betrieb auch für kleinere Teams selbst beherrschbar bleibt.
| Bereich | Technologie |
|---|---|
| Backend | Node.js 22 · Express 5 · Sequelize ORM |
| Datenbank | MySQL 8.0 |
| Frontend | React 19 · TypeScript · Vite · Tailwind CSS 4 |
| Authentifizierung | JWT · OIDC/PKCE · TOTP (RFC 6238) · WebAuthn/FIDO2 |
| Visualisierung | Mermaid.js (Topologie) · recharts (KPI-Trends) |
| Export | SheetJS (xlsx) · CSV (UTF-8/BOM, Excel-kompatibel) |
| Deployment | Docker (GHCR Single-Container) · systemd · install.sh |
Installation: In fünf Minuten einsatzbereit
OpenISMS lässt sich auf mehrere Arten betreiben — für Homelab-Nutzer, Unraid-Installationen und Produktivumgebungen gleichermassen.
git clone https://github.com/grcforge/openisms.git cd openisms sudo bash install.sh
Interaktiver Dialog — wählt zwischen Docker Compose und systemd.
cp .env.example .env # DATABASE_URL, JWT_SECRET, ENCRYPTION_KEY, APP_URL setzen export ISMS_VERSION=latest docker compose -f docker-compose.ghcr.single.yml up -d
docker run -d --name isms --restart unless-stopped \ -p 8080:3001 \ -e DATABASE_URL="mysql://user:PASS@db-host:3306/isms" \ -e JWT_SECRET="" \ -e ENCRYPTION_KEY=" " \ -e APP_URL="http://192.168.1.50:8080" \ -v /mnt/user/appdata/isms/uploads:/app/uploads \ ghcr.io/grcforge/openisms-app:latest
Standard-Login nach Erstinstallation: [email protected] / Admin1234! — bitte sofort ändern.
Mitmachen, Feedback geben, unterstützen
OpenISMS ist ein Projekt, das aus der Praxis entstanden ist — und es soll aus der Praxis heraus wachsen. Das bedeutet: Ich bin auf Feedback, Erfahrungsberichte und Beiträge von Menschen angewiesen, die das Tool tatsächlich einsetzen. Nicht auf Wunschlisten in einem Vakuum.
Wenn du OpenISMS in deinem Homelab oder in deiner Organisation einsetzt, interessiert mich dein Feedback — egal ob positiv oder kritisch. Wenn etwas nicht so funktioniert, wie es sollte: ein Issue auf GitHub ist die direkteste Möglichkeit, das zu kommunizieren. Wenn du eine Funktion vermisst, die du für deine Praxis brauchst: Discussions sind der richtige Ort dafür. Wenn du selbst entwickelst und etwas beitragen möchtest: Pull Requests sind willkommen.
Ein Issue auf GitHub erstellen — mit so vielen Details wie möglich: Version, Umgebung, Schritte zur Reproduktion.
Issue erstellen →GitHub Discussions ist der richtige Ort für Ideen, Fragen und Diskussionen rund um Features und die Roadmap.
Zur Diskussion →Ein GitHub-Star hilft enorm dabei, das Projekt sichtbarer zu machen. Wer darüber hinaus unterstützen möchte: Buy Me a Coffee.
Pull Requests sind willkommen. Der Stack ist Node.js / React / TypeScript — wer damit vertraut ist, kann direkt loslegen.
Fork & Contribute →Für Lizenzanfragen, Enterprise-Nutzung oder direkte Rückmeldung erreichst du mich unter [email protected]. Ich freue mich über jede Rückmeldung — egal ob Lob, Kritik oder eine konkrete Anforderung aus deiner Praxis.
Fazit
OpenISMS ist kein fertiges Produkt im Sinne eines abgeschlossenen Projekts — es ist eine lebende Anwendung, die mit den Anforderungen der Praxis wächst. Version 2.2.1 deckt heute bereits ein breites Spektrum ab: von der einfachen Asset-Verwaltung bis hin zu NIS-2-konformer Incident-Dokumentation, vollständigem VVT-Register und einem MCP-Server für die Integration mit KI-Assistenten.
Was mich bei diesem Projekt antreibt, ist die Überzeugung, dass gute Werkzeuge einen echten Unterschied machen — nicht nur für große Organisationen mit siebenstelligen GRC-Tool-Budgets, sondern auch für mittelständische Unternehmen, IT-Abteilungen ohne eigenes Security-Team und alle, die ihr ISMS endlich in den Griff bekommen wollen, ohne dafür einen Beratungsvertrag unterschreiben zu müssen. Wenn OpenISMS dabei hilft, freut mich das. Wenn du etwas vermisst oder etwas nicht funktioniert: Ich bin gespannt auf dein Feedback.
IT-Auditor by day, Homelab-Bastler by night. Ich baue, teste und dokumentiere – von Proxmox-Clustern über Smart-Home-Setups bis hin zu 3D-Druck. Wenn du Technik so liebst wie ich, bist du hier genau richtig.
