GRC Onboarding Portal

Wähle dein Bereitstellungsziel und starte deine voll konfigurierte CISO GRC-Instanz in wenigen Minuten.

Option A: Managed Cloud Deployment

Provisioniere eine isolierte CISO-Instanz remote in der Oracle Cloud Infrastructure (OCI). Vollständig gewartet, hochverfügbar und ohne lokale Systemanforderungen.

⚡ Automatischer Ressourcenaufbau per OCI Terraform SDK
🔒 Zero-Port-Exposure: Zugriff gesichert über OCI Bastion
🇪🇺 Datenstandort in der EU (Region Deutschland/Irland)
🛠️ 23 vorinstallierte IT-Lösungen & 7 Dashboards

100% Datenkontrolle

💻

Option B: Lokale Client-Installation

Installiere die GRC-Plattform lokal auf deinem Windows 11 PC mittels Docker Desktop. Ideal für maximale Hoheit über deine Daten und Offline-Audits.

⚙️ Automatischer Check und Auto-Install von Git & Docker
📁 Alle Daten verbleiben vollständig auf deiner Festplatte
🔄 Einfaches Management über PowerShell-Skripte
⚡ Vorinstallierte Seed-Daten für DORA, NIS 2 & BSI GS

Remote OCI Cloud-Deployment & Credentials Helper

Die Cloud-Bereitstellung erfolgt vollautomatisch in deiner Oracle Cloud über eine GitHub Actions Pipeline. Dafür musst du zuerst unser GRC-Installationsrepository forken:

🍴 Schritt 0: Repository forken

Der GitHub Actions Workflow (deploy.yml) und die Terraform-Skripte müssen in deinem Account liegen, damit GitHub sie ausführen kann. Erstelle daher zuerst einen Fork:

Auf GitHub forken 🍴

API-Schlüssel in der OCI Console erstellen:

Melde dich in deiner Oracle Cloud Console an.
Klicke oben rechts auf dein Profil-Symbol und wähle "User Settings" (Benutzereinstellungen).
Scrolle links unten zu den Ressourcen und klicke auf "API Keys" (API-Schlüssel).
Klicke auf "Add API Key". Wähle "Generate API Key Pair" und lade den Private Key (.pem) herunter.
Klicke auf "Add". Kopiere die angezeigten Konfigurationsdaten (Tenancy OCID, User OCID, Fingerprint).

Mandanten-Parameter eingeben:

Tenancy OCID

User OCID

Fingerprint

Region

E-Mailadresse für Tunnel-Benachrichtigung

An diese Adresse wird nach der Installation und nach jedem Neustart die aktuelle Cloudflare-Tunnel-URL gesendet. In der Community-Version wird diese Adresse gleichzeitig als Absender- und Empfängeradresse verwendet.

Bereitstellungs-Strategie / Aktion

Wähle, ob eine neue VM provisioniert oder eine bestehende aktualisiert/neu gestartet werden soll.

Inhalt für deine .env Datei (Kopieren & Speichern):

# OCI Configuration Settings
OCI_TENANCY_OCID=ocid1.tenancy.oc1...
OCI_USER_OCID=ocid1.user.oc1...
OCI_FINGERPRINT=aa:bb:cc:dd...
OCI_REGION=eu-frankfurt-1
OCI_KEY_FILE=D:\_GRC_Agent\ciso-installation\oci_private_key.pem
OCI_COMPARTMENT_OCID=

Cloud-Bereitstellung auslösen (GitOps): Trage deinen heruntergeladenen OCI Private Key (.pem Inhalt) und deinen GitHub Personal Access Token (PAT) ein, um das OCI-Setup vollautomatisch über GitHub Actions in die Cloud zu deployen:

OCI Private Key (.pem Inhalt)

GitHub Username

Repository Name

GitHub Personal Access Token (PAT)

📢 WICHTIG: Status-Updates aktivieren (GH_PAT Secret) Damit die VM nach dem Booten ihren aktuellen Installationsstatus und die dynamische Cloudflare Tunnel-URL an dein Repository senden kann, musst du diesen GitHub Personal Access Token (PAT) auch als Actions-Secret in deinem Fork speichern:

Gehe in deinem Fork auf GitHub zu Settings > Secrets and variables > Actions.
Klicke auf "New repository secret".
Name: GH_PAT
Secret: Füge deinen GitHub PAT ein und klicke auf "Add secret".

🔑 Erforderliche PAT-Rechte (Fine-Grained oder Classic): Um die OCI-Schlüssel sicher in dein Repository zu übertragen und die Pipeline zu starten, muss dein Token folgende Berechtigungen besitzen:

• Actions (Secrets): Read & Write (um die verschlüsselten OCI-Keys anzulegen)
• Workflows: Read & Write (um die Actions-Pipeline per API zu triggern)
• Contents: Read & Write (um auf Repository-Ressourcen zuzugreifen)

⚡ Systemanforderung OCI Shape: Um CISO GRC fehlerfrei betreiben zu können, sind mindestens 4 GB RAM erforderlich. Das Setup wählt primär das kostenfreie VM.Standard.A1.Flex Shape (Ampere ARM, 2 OCPUs, 8 GB RAM). Sollte dieses in deiner Region vergriffen sein, wird automatisch das Standard-Flex Shape mit 4 GB RAM ausgewählt.

Deployment-Skript anzeigen

Lokale Client-Installation & Repository-Synchronisation

Um maximale Hoheit über deine Compliance-Daten zu behalten, wird das Setup in dein eigenes, privates GitHub-Repository übertragen und von dort aus lokal ausgeführt.

GitHub Username

Repository Name

Repository forken: Erstelle einen persönlichen Fork des Basis-Installationsrepositories in dein eigenes GitHub-Konto (z. B. als privates oder öffentliches Repository), um die volle Hoheit über deine Konfigurationsdateien zu haben:

Auf GitHub forken 🍴

Repository klonen: Öffne die PowerShell (als Administrator) und klone **deinen erstellten Fork** an den gewünschten Zielort auf deinem PC (z. B. D:\_GRC_Agent\ciso-installation):

Git Clone Befehl

git clone https://github.com/mein-username/ciso-installation.git D:\_GRC_Agent\ciso-installation

Installation ausführen: Navigiere in das geklonte Verzeichnis und starte das automatisierte Installationsskript:

PowerShell Befehl

Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12; cd D:\_GRC_Agent\ciso-installation; .\Install-LocalDocker.ps1

Hinweis zur Installation: Das PowerShell-Skript prüft automatisch die Prerequisites (Git, WSL2 und Docker Desktop), installiert diese bei Bedarf über den Paketmanager (winget) und startet deine lokale CISO GRC-Instanz vollautomatisch.

Systemarchitektur

Technischer Aufbau und Schnittstellen unseres GRC-Sicherheitsökosystems.

Visualisierte Systemarchitektur

Das Unified GRC Ecosystem verbindet Cloudflare (Frontend/Startseite) mit der GRC-Plattform (lokal oder remote OCI) und deinem Microsoft 365 Tenant.

1. Cloudflare Web Portal

Das Portal dient als Einstiegspunkt für Benutzer und CISOs. Es ermöglicht die Auswahl der Installationsumgebung, steuert spätere M365 REST Graph API-Scans und synchronisiert Ergebnisse per API-Token.

2. GRC Backend Engine (Django & SQLite)

Das Herzstück bildet die Python-basierte GRC Engine. Sie verwaltet Sicherheitskontrollen, Risikoszenarien, Metric-Datenströme und dokumentierte Nachweise (Evidence) mit granularen Berechtigungen.

3. Metrology Engine (Analytics)

Visualisiert 31 vordefinierte Key Performance Indicators (KPIs) auf 7 Dashboards (DORA, NIS 2, ISO 27001, BSI, M365, DSGVO, AI Act) in anpassbaren Rastern.

4. TPRM & Kontrakte

IKT-Drittdienstleister (z. B. Microsoft Ireland) und Managed Service Provider (MSP) werden inklusive DORA-Ausweichstrategien, Exit-Plänen und Verträgen als EntityAssessments verwaltet.

Sicherheit & Datenschutz

Maximale Absicherung deiner Compliance- und Tenant-Daten.

🔒

Zero Trust Cloudflare-Security

Sämtliche geheimen Schlüssel (Client Secrets, Zertifikate) für die Kommunikation mit deiner Microsoft Graph API verbleiben sicher verschlüsselt in den Cloudflare KV und Environment Secrets. Sie werden niemals an unbefugte Client-Systeme übertragen.

🇮🇪

Datenresidenz in der EU

Alle Microsoft 365 Dienste, die für deine Instanz genutzt werden, verbleiben unter europäischer Rechtsprechung und werden über Microsoft Ireland Operations Ltd. in europäischen Rechenzentren (Dublin/Frankfurt) betrieben. Das DORA-Zusatzabkommen ist standardmäßig hinterlegt.

🛰️

Netzwerkisolation (OCI Private Subnets)

Bei Cloud-Installationen wird deine CISO VM in einem privaten Subnetz ohne öffentliche IP-Adresse platziert. Die Verwaltung und API-Abfrage erfolgt isoliert über verschlüsselte Tunnel des OCI Bastion Service.

Lokale Offline-Sicherheit

Wenn du die lokale Windows-Bereitstellung wählst, werden 100% deiner Compliance-Daten lokal auf deinem PC gespeichert. Es erfolgt kein Datenexport an externe Cloud-Anbieter.

Eingehaltene Gesetzgebungen & Frameworks:

EU-DORA (Art. 30) EU-NIS 2 (Cybersicherheitshygiene) EU-DSGVO (Art. 32) BSI C5 & IT-Grundschutz ISO/IEC 27001:2022 NIST CSF 2.0 EU AI Act (Modellsicherheit)

Update-Historie & Systemwartung

Halte deine GRC-Plattform auf dem neuesten Stand und verwalte Updates für lokale und Cloud-Instanzen.

Lokale Instanz

💻

Lokales Update ausführen

Aktualisiere deine lokale Docker-basierte CISO-Instanz auf die neueste Version, um neue Features und Sicherheitsupdates zu erhalten.

Repository aktualisieren: Öffne die PowerShell und hole die neuesten Skripte aus dem Git-Repository:

Git Pull

cd D:\_GRC_Agent\ciso-installation
git pull

Option A: Automatisches Update (Empfohlen): Starte das Deployment-Skript neu. Es stoppt, aktualisiert und startet deine Instanz unter Beibehalt aller Daten:

PowerShell Befehl

.\Deploy-Local.ps1

Option B: Manuelles Update über Docker: Wenn du die Docker-Container direkt aktualisieren möchtest, wechsle in das Instanz-Verzeichnis und ziehe die neuesten Images:

Docker Compose Befehl

cd C:\_Docker\ciso-assistant-local
docker compose pull
docker compose up -d

Cloud Instanz

☁️

Cloud Instanz (OCI) aktualisieren

Die remote OCI-Instanz aktualisiert sich durch einen automatisierten 5-Minuten-Cronjob völlig geräuschlos im Hintergrund.

Automatischer Pull & Migrationen: Sobald Änderungen in deinem GitHub-Repository gepusht werden, lädt die OCI VM diese innerhalb von 5 Minuten herunter. Die systemd-Dienste führen neue Migrationsskripte (grc_update_*.py) im Docker-Container aus. Kein VM-Neustart erforderlich!

Sofortiges manuelles Cloud-Update: Falls du das Update nicht abwarten möchtest, kannst du dich per SSH-Tunnel verbinden und das Update manuell auf der VM triggern:

SSH Befehle

# Wechsle ins Repo-Verzeichnis auf der VM
cd /home/ubuntu/ciso-installation
# Pull die neuesten Änderungen
git pull
# Führe das Update-Skript aus
python3 scripts/patch-ciso-compose.py

📋 Update-Historie & Changelog

Eine Übersicht der letzten Verbesserungen und Releases des GRC-Assistenten.

v1.2.0 - Datenbank-Automigration & Approved Sender Bypass Aktuell 16. Juni 2026

Automatische GRC-Migrationen: `patch-ciso-compose.py` sucht auf der VM nach `grc_update_*.py` Migrationsskripten und wendet sie automatisch an.
Dynamisches OCI Approved Sender Management: Verhindert Terraform-Ressourcenkonflikte durch automatische Abfrage bereits registrierter E-Mail-Sender im Compartment.
IMDS Metadaten-Erfassung: Flexibler Abruf von Instanzdaten direkt über den Oracle Cloud IMDS-Dienst.
Erweiterte Setup-Fortschrittsanzeige: Live-Fortschrittsbalken und Log-Streaming im Onboarding-Portal während des OCI VM-Aufbaus.

v1.1.0 - SMTP & E-Mail GRC-Berichte 14. Juni 2026

SMTP & Vault Integration: Sichere Ablage und automatisches Laden des SMTP-Passworts über OCI-Vault Secrets.
Audit-Ready Systemberichte: Zusendung eines HTML-Berichts mit allen eingerichteten GRC-Frameworks, aktiven Entities und Tunnel-Informationen direkt nach dem Booten.
Lokaler Windows-Installer: Einführung von `Install-LocalDocker.ps1` zur vollautomatischen WSL2- und Docker-Bereitstellung auf Windows 11 PCs.

v1.0.0 - Initiales GRC Core Framework 12. Juni 2026

GRC Core Engine: Docker-basierte Bereitstellung der CISO Assistant-Plattform mit anpassbaren Portmappings.
Cloudflare Tunnel Integration: Zero-Port-Exposure über sichere Cloudflare Tunnels ohne eingehende Firewall-Ausnahmen.
Multi-Framework Support: Vorgefertigte Onboarding-Profile für DORA, NIS 2, ISO 27001, GDPR und SME Compliance.