ForumISM
ForumISM
Breadcrumbs

Version 2025.10.1


Versionsnummer

2025.10.1

Releasedatum

Hinweis: Das Release 2025.10.0 wurde nicht ausgeliefert.

In den nachfolgenden Abschnitten werden die wichtigsten Neuerungen und Anpassungen in ForumISM beschrieben.

Wie Sie an ein Update zu ForumISM gelangen.

Der verantwortliche Ansprechpartner in Ihrem Unternehmen wird per E-Mail informiert. In dieser E-Mail stellen wir das Update per Link zum Download zur Verfügung.

Falls Ihnen das Update nicht zur Verfügung steht, wenden Sie sich bitte an unseren technischen Support

Verbesserung in ForumISM

Ergänzung der Unternehmensdetails in den Stammdaten

Im Bereich der Stammdaten gibt es eine neue Seite Unternehmensdetails. Hier können Sie für die Nutzung in Berichten die relevanten Informationen zu Ihrem Unternehmen hinterlegen.

image-20251104-140650.png
image-20251104-135729.png
Abbildung: Unternehmensdetails


Risiko-Cockpit

zusätzliche Spalte in der Anzeige Risiko-Cockpit

Die Übersicht “Alle Risiken” und “Hohe Restrisiken” wurde im Risikocockpit ergänzt um die Spalte mit dem Zeitpunkt der letzten Bearbeitung.

Anpassung Filterung für Risiko-Report

Das Label zum dritten Auswahl-Button wurde geändert in "nur Risiken von kritischen IKT-Assets”.

image-20251106-095802.png
Abbildung: Risiko-Cockpit - Bedrohungscockpit

Risiko-Report: Erweiterung Excel-Auswertung

  • Ergänzung aller Auswertungen um die Art des Risikos (Einzel- oder Clusterrisiko)

  • Erweiterung des Excel-Exports zur Risikoauswertung um Cluster-Risiken und Risikovergleich Cluster-Risiken

Export OpRisk-Risiken in andere Anwendungen

Es wurde dem Risiko-Cockpit ein zusätzlicher Tab mit der Auswahl der Risikoklasse hinzugefügt. Der Tab "Export OpRisk-Risiken" im Risiko-Cockpit wird nur bei eingespielten ZAM-Vorschlägen angezeigt.

image-20251111-120011.png

Dieser Tab ist somit nur für ZAM-Kunden sichtbar.

Ändern / Entfernen von Verknüpfungen zu Cluster-Risiken und GAP-Cluster-Risiken

Cluster-Risiken sind in der Regel mit mehreren IKT-Assets verknüpft. Die Entfernung einer Verknüpfung erfolgt analog zu der beschriebenen Zuordnung des Cluster-Risikos durch die Abwahl des jeweiligen IKT-Assets.

image-20251118-084527.png
Abbildung: Cluster-Risiko

Der Button “Bezugsobjekt verknüpfen” verzweigt in die Übersicht der zuordenbaren IKT-Assets. Hier können Sie die bereits verknüpften IKT-Assets durch Anklicken des blauen Häkchens entknüpfen oder auch neue IKT-Assets zuordnen.

image-20251118-085004.png
Abbildung: zugeordnete IKT-Assets

Über die Schaltfläche “Übernehmen” speichern Sie Ihre Eingaben.

Ändern / Entfernen von verknüpften Cluster-Risiken an Sollmaßnahmen

Die Cluster-Risiken an Sollmaßnahmen sind mit Anwendungen verknüpft und können über die Bearbeitung der Anwendung analog zu der Bearbeitung der Cluster-Risiken an IKT-Assets ausgewählt ober abgewählt werden.

image-20251118-093654.png
Abbildung: Auswahl Cluster-Risiken im Beispiel einer Anwendung

Anschließend übernehmen Sie Ihre Auswahl über die Schaltfläche und speichern die Änderungen.


Cyberbedrohungen als neuer Objekttyp

Aktivitäten: Anlegen einer Cyberbedrohung

Cyberbedrohungen und zugehörige Maßnahmen können in einem neuen Kapitel bei Aktivitäten erfasst werden und bringen weitere Auswertungen im Risikomanagement

image-20251106-155929.png

Markierung als “Berichtsrelevant”

Cyberbedrohungen können als "Berichtsrelevant" markiert werden und fließen dann automatisch ins Berichtswesen ein.

Erweiterung Risikomanagement um Cyberrisiken

In dem neuen Kapitel im Risikomanagement werden die erfassten Cyberrisiken ausgewertet:

image-20251110-075955.png

Ergänzungen bei der Erfassung und Bearbeitung von Sicherheitsvorfällen:

Die Ansicht "Sicherheitsvorfälle" wurde um die Spalte "Betroffene Schutzziele" ergänzt.

image-20251118-103408.png

Umsetzung DORA Anforderungen bei der Anlage und Bearbeitung von Sicherheitsvorfällen

In der Maske der Sicherheitsvorfälle wurden zwei zusätzliche Reiter - Klassifizierung und Nachbereitung - angelegt.

Die neuen Reiter und neuen Felder dienen dazu, DORA Anforderungen zu einem Vorfall (Verknüpfung mit Geschäftsvorfällen und IKT-Assets, Ergänzung der Klassifizierung und erweiterte Angaben zur Nachbearbeitung) umzusetzen.

image-20251105-123720.png

Anpassung Schweregrad von 4 auf 2 Stufen inkl. Migration

An Sicherheitsvorfällen wurden die bestehenden 4 Schweregrade gemäß den Vorgaben aus DORA auf 2 Schweregrade reduziert.

Die neuen Schweregrade sind:

image-20251105-121215.png

Für die neuen Schweregradstufen gibt es eine Migrationsroutine für die Altdaten. Die bisher an Sicherheitsvorfällen erfassten 4 Schweregradstufen werden folgendermaßen umgestellt:

0 - keine Relevanz → bleibt bestehen

1 - Geringfügiger Informationssicherheitsvorfall → wird zu 0

2 - Wesentlicher Informationssicherheitsvorfall → wird zu 0

3 - Schwerwiegender Informationssicherheitsvorfall → wird zu 1

Automatische Ermittlung des Zeitraums

Für Sicherheitsrelevante Ereignisse wurde ein zweites Datums-Feld implementiert, so dass ein Zeitraum dokumentiert werden kann.

Markierung als “Berichtsrelevant”

Sicherheitsrelevante Ereignisse können als "Berichtsrelevant" markiert werden und fließen dann automatisch ins Berichtswesen ein.

Aktivitäten: Testmanagement

Test-Aktivitäten

Erweiterung der Test-Aktivitäten um das Feld "Test-Art" inkl. Migration der bisherigen Werte aus den Test-Rahmen

image-20251110-123103.png

Bei der Neuanlage einer Test-Aktivität wird der Inhalt des Feldes “Test-Art” aus dem Test-Rahmen übernommen.

Markierung “Berichtsrelevant”

Übernahme in das Berichtswesen, wenn das Feld angekreuzt ist.

Neue Auswertungen zu Test-Aktivitäten:

  • Getestete IKT-Assets

  • Nicht getestete IKT-Assets

  • Reporting > Auswertung > Aktivitäten > Test-Aktivitäten nach Testart

Berichte automatisiert generieren

Das folgende Kapitel “Berichte generieren” ist nur für ITR-Bundle Kunden relevant und steht anderen Kunden derzeit NICHT zur Verfügung.

image-20251111-124215.png
Abbildung: Berichte generieren

Der Verfahrenslieferant stellt Ihnen über die Vorschläge verschiedene vorbereitete Berichtstemplates zur Verfügung.

Über die Schaltfläche Bericht anlegen wählen Sie den gewünschten Bericht aus.

image-20251111-131307.png


ITR-Bundle: Bereitstellung von Vorschlägen für Cluster-Risiken und Cluster-Risiko-Maßnahmen

Von Seiten des Verfahrenslieferanten ist es vorgesehen für Cluster-Risiken und Cluster-Risiko-Maßnahmen Vorschläge inkl. Verknüpfungen zu IKT-Assets und Sollmaßnahmen zur Verfügung zu stellen.

image-20251118-085530.png


Ergänzungen in den Auswertungen

Reporting IKT-Assets

Kritische IKT-Assets und Dienstleistungen

In einer neuen Spalte werden die wichtigen oder kritischen Geschäftsprozesse aufgelistet für die das betreffende kritische IKT-Asset bzw. Dienstleistung gemäß den Einstellungen erforderlich ist. Damit ist die Vererbung der Kritikalität nachvollziehbar.

image-20251104-125727.png
Abbildung; Reporting Kritische IKT-Assets und Dienstleistungen

Reporting Maßnahmen

Neue Auswertung: Maßnahmen aus Cyberbedrohungen

image-20251110-081546.png

Die erfassten Maßnahmen au Cyberbedrohungen werden nach dem jeweiligen Status der Umsetzung (vorgesehen, in Bearbeitung, in Prüfung, implementiert und verworfen) in der neuen Auswertung dargestellt.

Neue Auswertung in Aktivitäten: Cyberbedrohungen Relevanz

Diese Auswertung zeigt die Cyberbedrohungen nach Relevanz. Des weiteren werden neben dem Datum, seit dem diese Bedrohung bekannt ist, auch der Status angezeigt und ob es einen Bezug zu kwF-Asset gibt. Sie sehen die Verantwortung und die Anzahl der mit der Cyberbedrohung verbundenen Risiken.

Neue Auswertung in Aktivitäten: Cyberbedrohungen nach IKT-Asset

Diese Auswertung zeigt die Cyberbedrohungen nach IKT-Assets gruppiert. Des weiteren werden neben dem Datum, seit dem diese Bedrohung bekannt ist, auch der Status angezeigt und ob es einen Bezug zu kwF-Asset gibt. Sie sehen die Verantwortung und die Anzahl der mit der Cyberbedrohung verbundenen Risiken.


Fehlerbehebungen in ForumISM

Folgende Fehler wurden in der Anwendung ForumISM behoben:

  • Beim PDF Export aus dem Bedrohungscockpit mit der Option "Daten als einzelne Dokumente in PDF anzeigen" wurden Risiken ohne aktive Benennung (Risiko (neu) ) im Inhaltsverzeichnis komplett ohne Bezeichnung aufgeführt.

  • An mehreren Stellen wurden beim PDF-Export mit der Option "Daten als einzelne Dokumente in PDF anzeigen" fehlerhafte Inhalte ausgegeben.

  • Kleine Fehlerkorrektur bei der PDF-Ausgabe von Anwendung/Dienstleistungen mit verknüpften Geschäftsprozessen: Die letzte Spalte "Kritische oder wichtige Funktion" hing außerhalb des Grids.

  • Ein optischer Fehler in den Auswertungen "Risiken nach Risikoklasse" und "Risiken nach Restrisikoklasse" wurde behoben.

  • Bei der PDF-Ausgabe einer Anwendungen wurden im Abschnitt ‘Schutzbedarf’ unnütze Felder ausgegeben.

  • Ein Problem bei der PDF-Ausgabe von Geschäftsprozessen im Bereich ‘Abweichende Bewertung’ wurde korrigiert.

  • Die Filterkriterien für den Excel-Risikoreport aus dem Bedrohungscockpit wurden an den aktuellen Stand angepasst

Neue Funktionen und Verbesserungen in der ForumSuite 2025.10.1

Folgende neue Funktionen und Versesserungen wurden in Release 2025.10.0 und mit dem Hotfix 2025.10.1 ausgeliefert

ForumSuite

  • NEUES PRODUKT: ForumOPR (OpRisk - Management)

  • Der Versand von E-Mails kann über die Microsoft Graph API erfolgen und stellt damit neben SMTP eine weitere Möglichkeit für den Mailversand dar. (Microsoft stellt im September 2025 die Unterstützung für SMTP-Authentifizierung ein. Der Versand von E-Mails ist künftig ausschließlich über OAuth2 bzw. die Microsoft Graph API möglich.)

  • Die Schaltfläche "Löschen" wurde in "Archivieren" umgewandelt, um Verständnisprobleme der Nutzer aufzulösen.

  • Für eine verbesserte Übersicht werden beim CSV-Export der Berechtigungen die generierten PDF-Dokumente nicht mit ausgegeben.

  • In RichText-Feldern können nun auch Anhänge hinterlegt werden, die größer als 10 MB sind.


Fehlerbehebungen in der ForumSuite 2025.10.1

Folgende Fehler wurden in Release 2025.10.0 und mit dem Hotfix 2025.10.1 behoben:

ForumSuite

  • Die Schaltfläche "Reset" in der Konfiguration wurde temporär ausgeblendet, um mögliche Nebenwirkungen eines nicht vollständigen Resets auszuschließen.

  • Bei der Information zu bestehenden Workflows wurde im Betreff ein "Bearbeiter" fälschlich als "Beobachter" informiert.

  • Auswertungen "vor xy Monaten freigegeben" wurden in den zugehörigen Anwendungen korrigiert.

  • App-Manager können auch den Status von Wiedervorlagen wieder ändern.

  • Optische Refresh-Probleme von einigen Werten in den Einstellungen wurden behoben.

  • Die Schaltflächen für "Löschen" und "Abgleich mit Vorschlag" werden in gesperrten Objekten verborgen.

  • Bei der Aktualisierung von Checklisten konnte die Aktualisierung nicht abgeschlossen werden.

  • In komplexen Situationen kam es beim CSV-Export der Benutzerberechtigungen zu Timeouts.

  • In der PDF-Ausgabe von Workflows und Aufgaben wurde eine fehlerhafte Überschrift ausgegeben.

  • Ein Problem bei der Aktualisierung von RT-Feldern wurde behoben.

  • Eine Korrektur bei der PDF-Ausgabe vom Optionswert "(nicht festgelegt)" wurde vorgenommen.