Cybersicherheits-Zertifizierungen sind für viele Unternehmen zur Daueraufgabe geworden: Standards wie ISO/IEC 27001, C5 oder EUCS müssen nicht nur erfüllt, sondern auch laufend dokumentiert und verteidigt werden - in einer zunehmend dynamischen Regulierungslandschaft. Das EU-Forschungsprojekt EMERALD will diese Herausforderung grundlegend neu denken: Im Zentrum steht eine digitale Plattform, die Audit- und Zertifizierungsprozesse vereinfacht und entlang realer Nutzerbedürfnisse gestaltet.

Das Grazer Know Center verantwortet dabei zentrale Teile der Entwicklungsarbeit: die Analyse der tatsächlichen Arbeitsabläufe, die Identifikation konkreter Benutzeranforderungen und das Design eines benutzerfreundlichen Interfaces. Das Ergebnis ist ein modularer, übertragbarer Blueprint für digitale Auditprozesse - sowie ein präzises Verständnis dafür, was Compliance in der Praxis bedeutet.

Vom Alltag zur Anforderung: Wie EMERALD echte Prozesse digital abbildet

Im Rahmen von EMERALD wurden in enger Zusammenarbeit mit Partnerunternehmen wie IONOS, Fabasoft, CaixaBank, CloudFerro sowie Auditoren von NIXU/DNV bestehende Auditprozesse umfassend analysiert. Interviews, Fokusgruppen und Workshops mit Compliance-Verantwortlichen, internen Prüfer:innen, IT-Sicherheitsbeauftragten und externen Auditor:innen zeigten: Zertifizierungen sind oft noch papierbasiert, auf Excel-Listen gestützt und geprägt von hohem Kommunikationsaufwand. Der gesamte Prozess ist arbeitsintensiv, schwer skalierbar und mit Unsicherheiten verbunden - insbesondere bei heterogenen IT-Umgebungen oder parallelen Zertifizierungspfaden.

Basierend auf diesen Erkenntnissen entwickelte das Know Center gemeinsam mit den Projektpartnern detaillierte Ist-Prozessmodelle. Darauf aufbauend entstand ein universeller Blueprint, der zeigt, wie dieselben Abläufe mithilfe der EMERALD-Plattform digital unterstützt werden können: von der Identifikation relevanter Anforderungen über das Mapping vorhandener Evidenzen bis zur Begleitung interner und externer Audits. Dieser Blueprint ist übertragbar und dient auch anderen Organisationen als Vorlage für durchgängige, digitale Compliance-Prozesse.

Personas als Designkompass: Compliance ist menschlich

Ein Kernelement des EMERALD-Ansatzes ist die konsequente Nutzerorientierung. In einem strukturierten Co-Design-Prozess wurden sieben exemplarische Personas entwickelt - fiktive, aber realitätsnahe Nutzer:innenprofile, die typische Rollen im Compliance-Kontext abbilden:

• Riley - Compliance Manager:in bei einem Cloud-Dienstleister

• Emerson - Verantwortliche:r für regulatorische Anforderungen in einer Bank

• Dylan - Internal Control Owner

• Morgan - Technische:r Implementierer:in

• Charlie - Interne:r Auditor:in

• Jarkko & Eero - Externe Auditoren

Jede Persona wurde mit konkreten Nutzungsszenarien ausgestattet - etwa zur Vorbereitung neuer Audit-Scopes, zur Pflege von Zertifizierungsnachweisen oder zur technischen Evidenzprüfung. Ergänzend wurden sogenannte "Personas-on-the-go" erstellt - kompakte visuelle Steckbriefe mit Aufgaben, Zielen und "Pain Points". Diese halfen nicht nur beim UI/UX-Design, sondern schärften auch das gemeinsame Verständnis aller Projektpartner dafür, für wen EMERALD eigentlich entwickelt wird.

Was die Praxis braucht: 25 Anforderungen an die Benutzeroberfläche

Aus den Analysen wurden 25 konkrete Anforderungen an die Benutzeroberfläche (UI/UX) abgeleitet. Darunter:

• Echtzeit-Dashboards für Audit-Fortschritt und Compliance-Status

• Intelligente Mapping-Funktionalitäten zwischen Controls, Evidenzen und Standards

• Rollenbasiertes Aufgabenmanagement

• Unterstützung von eigenen Certification-Schemes

• transparente Evidenzketten und automatisierte AI-basierte Vorschläge auf Basis vorhandener Daten

Ein klickbarer Prototyp der Oberfläche ist bereits in Entwicklung. Die Rückmeldungen der beteiligten Stakeholder fließen laufend in die Verfeinerung der Plattform ein - von der Menüstruktur bis zur Datenvisualisierung.

Ein europäischer Beitrag für skalierbare, vertrauenswürdige Compliance

Mit EMERALD entsteht eine durchgängige Lösung für "Compliance-as-a-Service", die regulatorische Anforderungen nicht länger als statische Checklisten versteht, sondern als dynamische Prozesse - mit klaren Zuständigkeiten, digitaler Transparenz und kontinuierlicher Unterstützung durch intelligente Systeme. Das Know Center trägt dabei entscheidend dazu bei, dass Technologie, Organisation und Mensch zusammenfinden.

"Compliance darf keine Bürde sein, sondern muss als gestaltbarer, strukturierter Prozess verstanden werden - getragen von klaren Zuständigkeiten, fundiertem Wissen und intelligenten Werkzeugen", erläutert Angela Fessl, Deputy Research Area Manager am Know Center. "Unsere Mission mit EMERALD ist es, genau diese Werkzeuge bereitzustellen - für eine digitale, durchgängige und menschenzentrierte Audit-Vorbereitung."

Über das Projekt:

EMERALD - Compliance-as-a-Service for Cloud and Edge ist ein Horizon-Europe-Forschungsprojekt (Fördernummer: 101120688, Laufzeit: 2023-2026) mit Beteiligung von Forschungseinrichtungen, Industrieunternehmen und Auditoren aus mehreren EU-Staaten. Das Projekt verfolgt das Ziel, Audit- und Zertifizierungsprozesse in der Cloud durchgängiger, automatisierter und menschzentrierter zu gestalten.

Mehr unter: EMERALD

Dipl.-Ing.in Maria Fellner, MBA
Strategic Manager Business & Transformation
Know Center Research GmbH
Sandgasse 34, 2nd floor, 8010 Graz, Austria
FN 199 685 f, Commercial register court: LGZ Graz 
Phone +43 664 6191735
mfellner@know-center.at | www.know-center.at 
KNOW-CENTER NEWS