Wenn der CISO Druck macht und der Auditor kommt — ServiceNow GRC gibt Ihnen die Kontrolle zurück.
ServiceNow GRC Hannover & DACH · Policy · Risk · Audit Management · ISO 27001 · BSI IT-Grundschutz · KRITIS
Risiken in Excel-Listen, die niemand konsolidiert. Audit-Nachweise, die drei Wochen manuell zusammengesucht werden. Richtlinien, bei denen niemand weiß, wer welche Version wann bestätigt hat. Sie kennen das. Ich löse das — strukturiert, nachweisbar, upgradefähig. Ich bin Michael Moch, ServiceNow GRC Spezialist und ITIL Expert mit 15+ Jahren Projekterfahrung in DAX-Konzernen, Versicherungen und Bundesbehörden in Deutschland, Österreich und der Schweiz. ISO 27001 und BSI IT-Grundschutz out of the box. Kein Custom-Code. Kein technischer Schuldenaufbau.
Audit-Vorbereitungsaufwand durch automatisierte Nachweis-Sammlung
100%
Rückverfolgbarkeit — jede Richtlinie, jede Maßnahme, jede Ausnahme
ISO 27001
BSI IT-Grundschutz & DSGVO out of the box — kein Custom-Code
15+
Jahre Projekterfahrung in DAX, Versicherungen & Bundesbehörden
15+
Jahre ITSM-Erfahrung
9+
ServiceNow-Zertifizierungen
ITIL Expert
Höchste Zertifizierungsstufe
ServiceNow Partner
ServiceNow SPM — Produkte & Module
Policy & Compliance Management
Richtlinien versionieren, genehmigen und automatisch verteilen. Bestätigungen und Ausnahmen lückenlos dokumentiert — auditbereit zu jedem Zeitpunkt.
Risk Management
Zentrales Risikoregister statt Excel-Silos — Risiko-Heatmap, automatische Eskalationen und vollständiges Maßnahmen-Tracking mit Audithistorie.
Audit Management
Audit-Programme planen, Nachweise zentral sammeln, Befunde mit Controls verknüpfen — der Auditor bekommt alles strukturiert, statt Wochen Vorbereitungsaufwand.
Vendor Risk Management
Lieferanten strukturiert bewerten und kontinuierlich überwachen — Fragebögen automatisiert versendet, Risikoeinstufung direkt ins Register, DSGVO-konform.
Business Continuity Management
BIA, Wiederherstellungspläne und Krisenübungen in ServiceNow — ISO-22301-Controls direkt verknüpft, relevant für KRITIS-Organisationen.
Controls & Framework-Mapping
ISO 27001, BSI IT-Grundschutz und DSGVO out of the box hinterlegt — technische Maßnahmen und Richtlinien direkt mit normativen Controls verknüpft.
Now Assist für GRC
Risikobeschreibungen KI-generiert, Audit-Befunde automatisch zusammengefasst, Policy-Texte vorformuliert — direkt in ServiceNow, ohne zusätzliches Tool.
Michael Moch
Die typische Ausgangslage
Compliance auf Zuruf — das kostet mehr als Sie denken.
Sechs Situationen aus GRC-Projekten in DAX-Konzernen, Versicherungen und Bundesbehörden. Als IT-Leiter tragen Sie die Verantwortung — mit den falschen Werkzeugen.
01
Risikobewertung in Excel. Jede Abteilung pflegt ihre eigene Liste. Vor dem Audit konsolidiert jemand tagelang — und das Ergebnis ist trotzdem nicht aktuell. Der Vorstand fragt. Sie schätzen.
02
Richtlinien ohne Lifecycle. Wer hat welche Policy wann bestätigt? Welche Version gilt gerade? Beim externen Audit ist das nicht beantwortbar — und das wissen beide Seiten im Raum.
03
Audit-Vorbereitung als Feuerwehreinsatz. Drei Wochen vor dem Termin sammeln Ihre Teams Nachweise aus E-Mails, SharePoints und Laufwerken. Produktivität fällt auf null. Nerven auch.
04
Control-Mapping nur im Kopf einer Person. Welche technische Maßnahme deckt welchen ISO-27001- oder BSI-Control ab? Wenn diese Person krank ist oder geht, ist das Wissen weg.
05
Lieferanten einmal bewertet, dann vergessen. Vendor Risk ist ein blinder Fleck. Ob sich die Sicherheitslage Ihrer Dienstleister verändert hat, erfahren Sie erst beim Vorfall — nicht davor.
06
Maßnahmen beschlossen, nie nachverfolgt. Risikominderungen landen im Protokoll. Ob sie umgesetzt wurden, kann niemand belastbar sagen — auch nicht beim nächsten CISO-Termin.
ServiceNow GRC Module
Sechs Module. Eine integrierte GRC-Plattform.
ServiceNow GRC ist kein Monolith. Sie starten mit dem Modul, das Ihren dringlichsten Bedarf trifft — und bauen die Plattform schrittweise aus. Alle Module teilen dieselben Daten, dieselben Controls, dieselben Workflows. Keine Doppelpflege. Keine Medienbrüche. Kein GRC-Spezialwerkzeug neben ServiceNow.
Policy & Compliance Management
Richtlinien · Attestierungen · Ausnahmen
Richtlinien erstellen, versionieren, genehmigen und automatisch an Verantwortliche verteilen. Bestätigungen und Ausnahmen lückenlos dokumentiert — auditbereit zu jedem Zeitpunkt. Kein manueller E-Mail-Versand mehr.
Risk Management
Risikoregister · Bewertung · Maßnahmen-Tracking
Zentrales Risikoregister statt Excel-Silos. Qualitative und quantitative Risikobewertungen, automatische Eskalationen bei Schwellenwertüberschreitung und vollständiges Maßnahmen-Tracking mit lückenloser Audithistorie.
Audit Management
Planung · Durchführung · Nachweis-Sammlung
Audit-Programme planen, Aufgaben zuweisen und Nachweise zentral sammeln — statt wochenlanger manueller Vorbereitung. Befunde direkt mit Controls und Risiken verknüpft. Der Auditor bekommt alles strukturiert geliefert.
Vendor Risk Management
Lieferantenbewertung · Monitoring · DSGVO
Lieferanten strukturiert bewerten und kontinuierlich überwachen. Fragebögen automatisiert versendet, Antworten ausgewertet, Risikoeinstufung direkt ins zentrale Register — DSGVO-konform und revisionssicher für DAX-Konzerne und Behörden.
Business Continuity Management
BIA · Wiederherstellungspläne · ISO 22301
Business-Impact-Analysen strukturiert erfassen, Wiederherstellungspläne dokumentieren und Krisenübungen planen. ISO-22301-Controls direkt in ServiceNow verknüpft — kein separates BCM-Werkzeug. Relevant für KRITIS-Organisationen und kritische Infrastruktur.
Controls & Framework-Mapping
Technische Maßnahmen, Richtlinien und Risiken direkt mit normativen Controls verknüpfen. ISO 27001, BSI IT-Grundschutz und DSGVO sind out of the box hinterlegt — kein eigenes Framework-Aufbau, kein Custom-Mapping erforderlich.
Aus der Praxis
Was Ihr Team täglich anders erlebt.
Konkrete Verbesserungen aus abgeschlossenen CSM-Projekten — von manuell zu automatisiert.
| GRC-Prozess | Automatisierter Workflow in ServiceNow | Messbares Ergebnis |
|---|---|---|
| Policy-Attestierung | Neue Richtlinienversion → automatische Aufgaben an Verantwortliche → Bestätigung oder dokumentierter Ausnahme-Antrag | Vollständige Nachweiskette |
| Risiko-Eskalation | Schwellenwert überschritten → automatische Eskalation an Risk Owner & Management → Maßnahmen-Zuweisung mit SLA | SLA-gesicherter Response |
| Audit-Nachweis-Sammlung | Audit gestartet → Aufgaben an Control Owner → Nachweise hochgeladen & verknüpft → Auditor-Review strukturiert bereitgestellt | −60 % Vorbereitungsaufwand |
| Vendor-Fragebogen | Neuer Lieferant erfasst → Fragebogen automatisch versendet → Antworten ausgewertet → Risikoeinstufung ins zentrale Register | Revisionssicher & DSGVO-konform |
| Continuous Control Monitoring | Technischer Control schlägt fehl (z. B. Vulnerability-Finding aus ITOM) → Control-Ausnahme automatisch erzeugt → Risikobewertung aktualisiert | Echtzeit-Risikobild für den CISO |
| Maßnahmen-Tracking | Risikominderung beschlossen → Task mit Fälligkeit & Owner angelegt → Eskalation bei Verzug → Wirksamkeitsprüfung dokumentiert | Lückenloser Nachweis im Audit |
Mein Ansatz
Out of the box. Upgradefähig. Ohne Custom-Code-Risiko.
Wie ich ServiceNow GRC Projekte in Deutschland, Österreich und der Schweiz konzipiere — und warum das langfristig den Unterschied macht.
Kein Custom-Code — 100 % upgradefähig
ServiceNow liefert GRC-Workflows, Control-Frameworks und Berichtsstrukturen out of the box. Jede Anpassung erfolgt ausschließlich über native Konfiguration — keine Skripte, keine Custom-Tables, kein technischer Schuldenaufbau. Ihre Instanz bleibt mit jedem ServiceNow-Release vollständig upgradefähig. Das ist nicht nur ein Versprechen — es ist mein Arbeitsprinzip seit 15 Jahren.
GRC integriert mit ITSM, ITOM und Integration Hub
Incidents aus Ihrem ITSM, Vulnerabilities aus ITOM Discovery oder Qualys — direkt als Controls oder Risiken in GRC verwertbar. Kein Datenexport, keine manuelle Übertragung. Das Risikobild ist immer aktuell, weil es auf denselben Daten basiert wie Ihr laufender IT-Betrieb.
ISO 27001 & BSI IT-Grundschutz bereits hinterlegt
ServiceNow GRC enthält vordefinierte Control-Frameworks für ISO 27001, BSI IT-Grundschutz und DSGVO. Controls, Kategorien und Nachweisanforderungen stehen sofort bereit — kein eigenes Framework aufbauen, kein Mapping von Null anfangen. Sie konfigurieren, Sie entwickeln nicht.
Reporting für Vorstand, CISO und operative Teams
Operative Teams sehen offene Maßnahmen und SLA-Status. Das Management bekommt aggregierte Risikoheatmaps. Der CISO sieht Control-Coverage auf Framework-Ebene. Alles in Echtzeit, direkt aus ServiceNow — kein manuelles Aufbereiten mehr vor dem nächsten Board-Termin.
Bundesbehörden & KRITIS — GRC in Hochsicherheitsumgebungen
ServiceNow GRC funktioniert vollständig über den MID Server. Keine sensiblen Compliance-Daten verlassen das abgeschottete Netz. BSI IT-Grundschutz und KRITIS-Anforderungen strukturiert abbildbar — bewährt in mehreren Projekten bei Bundesbehörden und kritischer Infrastruktur in Deutschland.
Schrittweise Einführung — kein Big-Bang-Projekt
GRC wird Modul für Modul eingeführt — beginnend mit dem Bereich, der den größten Hebel hat. Policy Management startet zuerst, Risk Management folgt, Audit Management baut darauf auf. Ihr laufender Betrieb bleibt zu jedem Zeitpunkt unberührt. Keine Überraschungen beim Budget.
Messbar. Nachweisbar. Upgradefähig.
Wir haben uns seit Jahren um ISO 27001 herumgedrückt, weil der Aufwand zu hoch schien. Michael hat uns gezeigt, dass das Framework in ServiceNow bereits steckt — wir mussten es nur konfigurieren. In sechs Monaten waren wir auditbereit.
6 Mo
Von Null zur ISO-27001-Auditbereitschaft
-60%
Audit-Vorbereitungsaufwand
0
Custom-Code-Eingriffe
Versicherungskonzern · 8.000 Mitarbeiter · Deutschland · ServiceNow Policy & Risk Management
Unser Audit dauerte früher drei Wochen Vorbereitung — die Nachweise lagen in E-Mails, SharePoints und Laufwerken verstreut. Jetzt bekommt der Auditor alles strukturiert und zentral. Die Vorbereitung dauert zwei Tage.
3 Wo
Vorbereitungszeit → 2 Tage
100 %
Nachweise zentral verknüpft
BSI
IT-Grundschutz direkt gemappt
Bundesbehörde · 4.500 Mitarbeiter · Deutschland · ServiceNow Audit Management & BSI-Control-Mapping
Vendor Risk war ein blinder Fleck — Lieferanten wurden einmal bewertet und nie wieder angeschaut. Jetzt kommt die Erinnerung automatisch, der Fragebogen geht raus, das Risiko landet direkt im Register. Ohne manuelle Arbeit.
120+
Lieferanten strukturiert bewertet
100%
Fragebogen-Prozess automatisiert
DSGVO
DSGVOVerarbeitungsverzeichnis integriert
DAX-Konzern · 12.000 Mitarbeiter · Deutschland · ServiceNow Vendor Risk Management
Fünf Schritte. Eine funktionierende GRC-Plattform.
Volle Transparenz von Anfang an — damit Sie wissen, was Sie erwartet, bevor wir starten. Kein Überraschungsmoment beim Budget oder beim Zeitplan.
30 Minuten, kostenlos. Wir klären Ihre GRC-Situation, den dringlichsten Bedarf und ob eine Zusammenarbeit sinnvoll ist. Kein Verkaufsgespräch.
Strukturierte Analyse Ihrer GRC-Maturity, bestehender Frameworks und Instanzkonfiguration. Ergebnis: konkreter Handlungsplan mit priorisierten Modulen. (5 Werktage)
Soll-Konzept mit Modul-Roadmap, Control-Mapping und Datenmodell — bevor die erste Konfiguration beginnt. Vollständige Kostentransparenz.
Iterative Konfiguration Modul für Modul — mit regelmäßigen Reviews, User Acceptance Tests und direktem Reporting an Sie. Keine Überraschungen.
Vollständige Dokumentation, Team-Schulung und optionaler Trusted Advisor Retainer für laufende GRC-Weiterentwicklung und Normänderungen.
Ihre Fragen. Direkte Antworten.
Was kostet eine ServiceNow GRC Implementierung?
Der Einstieg erfolgt über den ServiceNow GRC Fitness-Check (5 Werktage) — eine strukturierte Analyse Ihrer GRC-Maturity mit konkretem Handlungsplan. Einstiegsmodule wie Policy Management sind typischerweise in 4–8 Wochen produktiv. Der Fitness-Check gibt Ihnen vollständige Klarheit über Prioritäten und nächste Schritte.
Wie lange dauert eine ServiceNow GRC Implementierung?
Ein einzelnes GRC-Modul wie Policy & Compliance Management ist bei bestehender ServiceNow-Instanz in 4–8 Wochen produktiv. Eine Full-GRC-Plattform mit Risk, Audit und Vendor Risk wird in gestaffelten Sprints über 3–9 Monate eingeführt, ohne den laufenden Betrieb zu unterbrechen. Kein Big-Bang-Projekt — Sie sehen nach jedem Modul sofort messbare Ergebnisse.
Unterstützt ServiceNow GRC ISO 27001 und BSI IT-Grundschutz out of the box?
Ja. ServiceNow GRC enthält vordefinierte Control-Frameworks für ISO 27001, BSI IT-Grundschutz und DSGVO. Controls, Kategorien und Nachweisanforderungen sind bereits strukturiert hinterlegt — kein eigenes Framework aufbauen, kein Mapping von Null. Der entscheidende Unterschied: Sie konfigurieren, Sie entwickeln nicht. Das spart Monate und schützt Ihre Upgradefähigkeit.
Brauche ich Custom-Code für ServiceNow GRC?
Nein. Alle GRC-Workflows, Control-Frameworks und Berichtsstrukturen sind out of the box verfügbar. Bei Moch.IT erfolgen sämtliche Anpassungen ausschließlich über native Konfiguration — keine Skripte, keine Custom-Tables, kein technischer Schuldenaufbau. Ihre Instanz bleibt mit jedem ServiceNow-Release vollständig upgradefähig. Das ist nicht verhandelbar.
Funktioniert ServiceNow GRC für Bundesbehörden mit abgeschotteten Netzwerken?
Ja. GRC funktioniert vollständig über den MID Server — keine sensiblen Compliance-Daten verlassen das abgeschottete Netz. BSI IT-Grundschutz und KRITIS-Anforderungen sind strukturiert abbildbar. Moch.IT hat mehrere GRC-Projekte in Hochsicherheitsumgebungen bei Bundesbehörden in Deutschland erfolgreich umgesetzt — inklusive vollständiger Netzwerktrennung und revisionssicherer Dokumentation.
Mit welchem ServiceNow GRC Modul sollte ich anfangen?
Das hängt vom dringlichsten Bedarf ab. Policy & Compliance Management startet häufig zuerst — es bildet die Grundlage und liefert schnell sichtbare Ergebnisse. Steht ein externer Audit bevor, ist Audit Management der richtige Einstieg. Steht CISO-Reporting oder Vorstandsberichterstattung an, sollte Risk Management priorisiert werden. Der GRC Fitness-Check gibt darauf eine fundierte Antwort — basierend auf Ihrer tatsächlichen Situation, nicht auf Vertriebsinteressen.
30 Minuten. Ich analysiere Ihre Systemlandschaft — ich sage Ihnen, welcher Spoke passt, wie hoch der Aufwand ist und wann Ihre Integration produktiv gehen kann.
✓ Kostenlose Erstberatung — 30 Minuten
✓ Konkrete Spoke-Empfehlung für Ihre Systemlandschaft
✓ Ehrlicher technischer Austausch auf Augenhöhe
✓ Terminvereinbarung innerhalb von 48 Stunden
Ich melde mich innerhalb eines Werktages bei Ihnen.