Vom Excel-ISMS zum Tool: Migrationsleitfaden ohne Datenverlust

Warum der Wechsel fällig ist

Excel ist ein hervorragendes Werkzeug. Für Tabellenkalkulation, für schnelle Analysen, für Ad-hoc-Listen. Aber Excel ist kein ISMS-Tool, und irgendwann macht sich das schmerzhaft bemerkbar.

Die typischen Symptome kennst du wahrscheinlich: Die Risikoanalyse besteht aus einer Datei mit 15 Tabellenblättern und 200 Zeilen pro Blatt. Wenn der ISB im Urlaub ist, traut sich niemand an die Datei, weil die Formeln so komplex sind, dass ein falscher Klick die halbe Bewertung zerschießt. Die Maßnahmenverfolgung lebt in einer separaten Datei, die manuell mit der Risikoanalyse abgeglichen werden muss. Das Statement of Applicability ist ein weiteres Dokument, und die Verknüpfung zwischen SoA, Risiken und Maßnahmen existiert nur im Kopf des ISB.

Dazu kommen die strukturellen Probleme. Versionierung in Excel ist faktisch unmöglich: Wer hat wann welche Änderung vorgenommen? Gleichzeitiges Arbeiten führt zu Konflikten. Berechtigungen lassen sich nicht sinnvoll steuern. Und wenn ein Auditor fragt, wie der Risikobewertungsprozess nachvollziehbar dokumentiert ist, zeigst du auf eine Datei mit dem Namen "Risikoanalyse_v14_final_FINAL_neu.xlsx", und du weißt, dass das kein guter Moment ist.

Die Entscheidung für ein spezialisiertes Tool ist der richtige Schritt. Aber die Migration dorthin ist ein Projekt, das Vorbereitung braucht. Dieser Leitfaden führt dich durch den gesamten Prozess.

Phase 1: Bestandsaufnahme und Datenbereinigung

Alle Quellen identifizieren

Bevor du auch nur einen Datensatz migrierst, musst du wissen, was du hast. Und das ist in den meisten Fällen mehr als gedacht. Ein typisches Excel-ISMS besteht nicht aus einer Datei, sondern aus einem ganzen Ökosystem:

• Risikoanalyse (eine oder mehrere Excel-Dateien)
• Asset-Inventar (möglicherweise in der Risikoanalyse integriert, möglicherweise separat)
• Maßnahmenplan (eigene Datei oder Tabellenblatt)
• Statement of Applicability (eigenes Dokument)
• Richtlinien und Dokumente (Word-Dateien im Filesystem oder SharePoint)
• Audit-Berichte und Feststellungen (Word, PDF oder Excel)
• Schulungsnachweise (Excel-Liste oder HR-System)
• Vorfallsdokumentation (E-Mails, Tickets, Excel)

Erstelle eine vollständige Liste aller Quellen. Durchsuche Dateiablagen, SharePoint, E-Mail-Postfächer und lokale Festplatten. Frage die beteiligten Personen, ob sie eigene Kopien oder ergänzende Dokumente haben. Es ist nicht ungewöhnlich, dass der Systemadministrator eine eigene Asset-Liste pflegt, die mit der offiziellen nicht übereinstimmt.

Datenqualität prüfen

Wenn alle Quellen identifiziert sind, folgt die unangenehme Frage: Wie aktuell und vollständig sind die Daten? Gehe jede Quelle systematisch durch und bewerte:

Aktualität: Wann wurde die Datei zuletzt bearbeitet? Gibt es Einträge, die offensichtlich veraltet sind, etwa Assets, die nicht mehr existieren, oder Risiken, die sich auf abgelöste Systeme beziehen?

Vollständigkeit: Fehlen Pflichtfelder? Gibt es Risiken ohne Bewertung, Assets ohne Schutzbedarf, Maßnahmen ohne Verantwortlichen oder Frist?

Konsistenz: Stimmen die Daten zwischen den Dateien überein? Wenn ein Asset in der Risikoanalyse als "ERP-System" und im Asset-Inventar als "SAP S/4HANA" geführt wird, ist das ein Konsistenzproblem, das vor der Migration gelöst werden muss.

Duplikate: Gibt es doppelte Einträge? In gewachsenen Excel-Listen sind Duplikate fast unvermeidlich, besonders wenn mehrere Personen daran gearbeitet haben.

Bereinigung vor der Migration

Die Versuchung ist groß, alles so zu migrieren, wie es ist, und die Bereinigung auf "nach der Migration" zu verschieben. Tu das nicht. Schmutzige Daten in ein neues Tool zu importieren macht die Bereinigung nicht einfacher, sondern schwerer, weil die Daten jetzt in einem neuen Kontext stehen und die Zusammenhänge schwerer zu durchschauen sind.

Bereinige vor der Migration:

• Lösche offensichtlich veraltete Einträge (mit Dokumentation, was gelöscht wurde und warum)
• Führe Duplikate zusammen
• Ergänze fehlende Pflichtfelder, soweit möglich
• Vereinheitliche Bezeichnungen und Kategorien
• Markiere Einträge, bei denen die Aktualität unklar ist, für eine spätere Überprüfung

Dieser Schritt dauert in der Regel ein bis zwei Wochen, je nach Umfang des ISMS. Diese Zeit ist gut investiert, denn du sparst sie später mehrfach ein.

Phase 2: Feld-Mapping erstellen

Das Herzstück der Migration

Das Feld-Mapping definiert, welche Spalte oder welches Feld in deiner Excel-Tabelle welchem Feld im neuen Tool entspricht. Das klingt trivial, ist es aber nicht, denn die Datenmodelle stimmen selten eins zu eins überein.

Ein Beispiel aus der Praxis: In deiner Excel-Risikoanalyse hast du vielleicht eine Spalte "Risikobeschreibung", die sowohl die Bedrohung als auch die Schwachstelle als auch die potenzielle Auswirkung in einem Freitext enthält. Das neue Tool hat dafür drei separate Felder: "Bedrohung", "Schwachstelle" und "Auswirkung". Das bedeutet, dass du den Freitext aufteilen musst, was nicht automatisch möglich ist, sondern manuelle Arbeit erfordert.

Typische Mapping-Szenarien

1:1-Mapping: Excel-Spalte "Asset-Name" entspricht Tool-Feld "Bezeichnung". Das ist der einfache Fall.

1:n-Mapping: Eine Excel-Spalte muss auf mehrere Tool-Felder aufgeteilt werden. Typisch für Freitextfelder, die mehrere Informationen enthalten.

n:1-Mapping: Mehrere Excel-Spalten werden in einem Tool-Feld zusammengeführt. Weniger häufig, kommt aber vor, etwa wenn das Tool ein Kommentarfeld hat, in das mehrere Excel-Spalten einfließen.

Transformation: Der Wert muss umgewandelt werden. Zum Beispiel: In Excel steht die Eintrittswahrscheinlichkeit als Freitext ("selten", "gelegentlich", "häufig"), das Tool erwartet aber einen numerischen Wert (1-5). Oder: In Excel steht das Datum als "Q2/2026", das Tool braucht ein konkretes Datum.

Fehlende Felder: Das Tool hat Felder, die in Excel nicht existieren. In diesem Fall musst du entscheiden, ob du die Felder vor der Migration in Excel ergänzt oder nach der Migration im Tool nachpflegst.

Mapping dokumentieren

Erstelle eine Mapping-Tabelle, die für jeden Datenbereich (Assets, Risiken, Maßnahmen) jede Excel-Spalte dem entsprechenden Tool-Feld zuordnet und die Art der Zuordnung (1:1, 1:n, Transformation) dokumentiert. Diese Tabelle ist deine Referenz für den gesamten Import und wird auch für die Qualitätssicherung nach dem Import gebraucht.

Phase 3: Migrationsreihenfolge festlegen

Abhängigkeiten beachten

ISMS-Daten hängen zusammen. Ein Risiko bezieht sich auf ein Asset. Eine Maßnahme adressiert ein Risiko. Ein SoA-Eintrag verweist auf Maßnahmen. Diese Abhängigkeiten bestimmen die Reihenfolge der Migration:

Schritt 1: Stammdaten und Kataloge. Kategorien, Bewertungsskalen, Rollen, Standorte. Diese Daten bilden das Grundgerüst, auf das alles andere aufbaut.

Schritt 2: Assets. Die Basis für die Risikobewertung. Jedes Asset bekommt eine eindeutige Kennung im neuen Tool, die als Referenz für die folgenden Schritte dient.

Schritt 3: Risiken. Verknüpft mit den bereits importierten Assets. Die Risikobewertung (Eintrittswahrscheinlichkeit, Schadenshöhe, Risikowert) wird mit übernommen.

Schritt 4: Maßnahmen. Verknüpft mit Risiken und Assets. Status, Verantwortlicher, Frist und Nachweise werden übertragen.

Schritt 5: Statement of Applicability. Verknüpft mit Maßnahmen und Controls. Da die Controls im Tool in der Regel als Katalog hinterlegt sind, ist das SoA oft der einfachste Teil.

Schritt 6: Dokumente und Nachweise. Richtlinien, Audit-Berichte, Schulungsnachweise. Diese werden in der Regel als Dateien hochgeladen und den entsprechenden Bereichen zugeordnet.

Jeden Schritt verifizieren

Nach jedem Migrationsschritt prüfst du die importierten Daten im Tool:

• Stimmt die Anzahl der Datensätze? (Vergleich Excel-Zeilenanzahl mit Tool-Datensätzen)
• Sind die Verknüpfungen korrekt? (Stichprobenartig 10-20 Datensätze prüfen)
• Sind die Werte korrekt übertragen? (Besonders bei Transformationen)
• Sind Sonderzeichen, Umlaute und Formatierungen erhalten geblieben?

Erst wenn ein Schritt sauber verifiziert ist, beginnt der nächste. Das verhindert, dass sich Fehler durch die gesamte Migration durchziehen.

Phase 4: Import durchführen

Technische Importmöglichkeiten

Je nach Tool stehen dir verschiedene Importwege zur Verfügung:

CSV/Excel-Import: Die meisten ISMS-Tools bieten einen Import aus CSV- oder Excel-Dateien. Dabei lädst du eine Datei hoch und ordnest die Spalten den Tool-Feldern zu. Das funktioniert gut für einfache Datenstrukturen, stößt aber bei komplexen Verknüpfungen an Grenzen.

API-Import: Manche Tools bieten eine REST-API, über die Daten programmatisch importiert werden können. Das lohnt sich bei großen Datenmengen oder wenn du Transformationen automatisieren willst, erfordert aber Programmierkenntnisse.

Manueller Import: Bei kleinen Datenmengen oder komplexen Strukturen kann es effizienter sein, die Daten manuell einzugeben. Das klingt nach Rückschritt, hat aber den Vorteil, dass du jeden Datensatz beim Import nochmals prüfst und im Kontext des neuen Tools bewertest.

Hybrider Ansatz: In der Praxis hat sich ein Mittelweg bewährt. Massenhafte, strukturierte Daten wie Assets und Risikobewertungen werden per CSV importiert. Komplexe, verknüpfte Daten wie Maßnahmen mit Nachweisen und Dokumente werden manuell eingepflegt.

Häufige Import-Probleme und Lösungen

Zeichenkodierung: Excel speichert CSV-Dateien standardmäßig in der Kodierung des Betriebssystems, was bei deutschen Umlauten zu Problemen führen kann. Exportiere CSV-Dateien immer als UTF-8, und prüfe nach dem Import, ob Umlaute korrekt dargestellt werden.

Datumsformate: Excel und das Tool interpretieren Datumsangaben möglicherweise unterschiedlich (DD.MM.YYYY vs. YYYY-MM-DD). Vereinheitliche das Format vor dem Export.

Verknüpfungen: Wenn Risiken auf Assets verweisen, braucht der Import eine gemeinsame Referenz, etwa den Asset-Namen oder eine ID. Stelle sicher, dass diese Referenz in beiden Dateien exakt übereinstimmt, auch bei Groß-/Kleinschreibung und Leerzeichen.

Leere Felder: Kläre vorab, wie das Tool mit leeren Feldern umgeht. Manche Tools setzen Standardwerte ein, andere lehnen den Import ab.

Phase 5: Parallelbetrieb

Warum du nicht sofort umschalten solltest

Die Versuchung ist groß, nach dem erfolgreichen Import direkt auf das neue Tool umzusteigen und Excel abzuschalten. Widerstehe dieser Versuchung. Ein Parallelbetrieb von vier bis sechs Wochen gibt dir die Sicherheit, dass keine Daten verloren gegangen sind und das neue Tool im Alltag funktioniert.

Während des Parallelbetriebs führst du neue Einträge (neue Risiken, neue Maßnahmen, Statusänderungen) ausschließlich im neuen Tool. Die alten Excel-Dateien werden eingefroren, also nicht mehr bearbeitet, aber als Referenz aufbewahrt. So kannst du jederzeit vergleichen, ob die Daten im Tool mit dem letzten Stand der Excel-Dateien übereinstimmen.

Was du im Parallelbetrieb prüfst

Funktionalität: Können alle beteiligten Personen ihre Aufgaben im neuen Tool erledigen? Finden sie die benötigten Informationen? Sind die Workflows intuitiv oder brauchen sie Schulung?

Vollständigkeit: Tauchen bei der täglichen Arbeit Datensätze auf, die im Tool fehlen, aber in Excel vorhanden waren? Das ist ein Zeichen für einen unvollständigen Import.

Berichte: Lassen sich die Berichte, die du für Audits, Management Reviews und die Geschäftsführung brauchst, aus dem Tool generieren? Stimmen die Zahlen mit den erwarteten Werten überein?

Performance: Wie reagiert das Tool bei der Datenmenge deines ISMS? Gibt es Verzögerungen beim Laden oder Suchen?

Schulung während des Parallelbetriebs

Der Parallelbetrieb ist der ideale Zeitraum für Schulungen. Die Mitarbeiter können am neuen Tool arbeiten und bei Unsicherheiten noch auf die vertrauten Excel-Dateien zurückgreifen. Plane mindestens eine Schulung für jeden beteiligten Personenkreis:

• ISB und Kernteam: Vollständige Schulung aller Funktionen
• Risikoeigner und Maßnahmenverantwortliche: Schulung der Bereiche, die sie betreffen (Risiken bewerten, Maßnahmenstatus aktualisieren)
• Geschäftsführung: Kurzeinführung in die Berichts- und Dashboard-Funktionen

Phase 6: Abschaltung und Archivierung

Formale Abschaltung

Wenn der Parallelbetrieb erfolgreich abgeschlossen ist, folgt die formale Abschaltung des alten Systems. Das klingt trivial, ist aber ein wichtiger Schritt, denn solange die alten Dateien zugänglich und bearbeitbar sind, werden sie auch genutzt, und dann hast du zwei Datenquellen, die auseinanderlaufen.

Die Abschaltung umfasst:

1. Letzte Vergleichsprüfung zwischen Tool und Excel
2. Archivierung der Excel-Dateien mit Datumsstempel (schreibgeschützt, in einem Archivverzeichnis)
3. Kommunikation an alle Beteiligten: Ab Datum X ist das Tool die einzige Quelle für ISMS-Daten. Die Excel-Dateien werden nicht mehr gepflegt.
4. Entfernung der aktiven Excel-Dateien aus dem gemeinsamen Zugriff (nicht löschen, nur verschieben ins Archiv)

Archivierung für Compliance

Die archivierten Excel-Dateien solltest du mindestens für die Dauer eines Zertifizierungszyklus aufbewahren, also mindestens drei Jahre. Ein Auditor könnte nach der Historie fragen, und die Möglichkeit, den alten Stand nachzuweisen, ist wertvoll. Archiviere die Dateien als PDF-Export zusätzlich zur Excel-Datei, denn PDFs sind langzeitstabiler und können nicht versehentlich verändert werden.

Typische Fehler und wie du sie vermeidest

Fehler 1: Alles auf einmal migrieren

Wer alle Daten in einem großen Import überträgt, hat bei Problemen keine Möglichkeit, den Fehler einzugrenzen. Migriere Schritt für Schritt und verifiziere jeden Schritt einzeln.

Fehler 2: Bereinigung auf nach der Migration verschieben

Veraltete und fehlerhafte Daten werden durch den Import nicht besser. Sie werden nur schwerer zu identifizieren, weil sie jetzt in einem neuen Kontext stehen. Bereinige vor der Migration.

Fehler 3: Nur den ISB schulen

Wenn nur der ISB das neue Tool kennt, entsteht dasselbe Einpersonenrisiko wie bei Excel. Schule alle Personen, die mit dem Tool arbeiten, und dokumentiere die wichtigsten Abläufe in einer kurzen Anleitung.

Fehler 4: Keinen Parallelbetrieb einplanen

Ohne Parallelbetrieb gibt es kein Sicherheitsnetz. Wenn nach dem Import ein Datenverlust auffällt, ist die Wiederherstellung aus den Excel-Dateien aufwendig und fehleranfällig.

Fehler 5: Den alten Prozess eins zu eins abbilden

Die Migration ist eine Chance, Prozesse zu verbessern. Wenn du in Excel eine umständliche Maßnahmenverfolgung hattest, übernimm nicht den umständlichen Prozess ins Tool, sondern nutze die Funktionen des Tools, um den Prozess zu vereinfachen. Frage dich bei jedem Prozessschritt: Machen wir das, weil es sinnvoll ist, oder weil Excel nichts anderes zuließ?

Zeitplan: Realistische Planung für die Migration

Für ein ISMS mit rund 150 Assets, 80 Risiken und 60 Maßnahmen kannst du mit folgendem Zeitrahmen rechnen:

Woche 1-2: Bestandsaufnahme und Bereinigung. Alle Quellen identifizieren, Datenqualität prüfen, bereinigen. Aufwand: ca. 3-4 Personentage.

Woche 3: Feld-Mapping und Testvorbereitung. Mapping erstellen, Testdaten vorbereiten, Testimport mit einem kleinen Datensatz durchführen. Aufwand: ca. 2 Personentage.

Woche 4-5: Import in Schritten. Assets, Risiken, Maßnahmen, SoA, Dokumente. Jeweils mit Verifikation. Aufwand: ca. 4-5 Personentage.

Woche 6-9: Parallelbetrieb. Neue Daten nur im Tool, Schulungen, Berichte testen. Aufwand: ca. 1 Personentag pro Woche für Vergleich und Support.

Woche 10: Abschaltung und Archivierung. Letzte Prüfung, Archivierung, Kommunikation. Aufwand: ca. 1 Personentag.

Gesamtaufwand: rund 15-18 Personentage, verteilt über 10 Wochen. Das ist überschaubar, setzt aber voraus, dass die Datenqualität in Excel nicht katastrophal ist. Bei einem stark gewachsenen ISMS mit inkonsistenten Daten, fehlenden Feldern und vielen Duplikaten kann die Bereinigungsphase deutlich länger dauern.

Nach der Migration: Was sich ändert

Der Wechsel von Excel zu einem ISMS-Tool ist mehr als ein Werkzeugwechsel. Er verändert die Art, wie du mit deinem ISMS arbeitest. Übrigens: Wenn du nicht von Excel, sondern von einer bestehenden Cloud-Lösung migrierst, gelten teilweise andere Regeln, die im Leitfaden zur Migration von der Cloud zum eigenen Server beschrieben sind.

Verknüpfungen werden sichtbar. Im Tool siehst du auf einen Blick, welche Risiken sich auf ein Asset beziehen, welche Maßnahmen ein Risiko adressieren und wie der Umsetzungsstand ist. In Excel musstest du dafür zwischen Tabellenblättern springen und manuell suchen.

Nachverfolgung wird automatisch. Offene Maßnahmen, überfällige Fristen und unbewertete Risiken tauchen in Dashboards und Benachrichtigungen auf. Du musst nicht mehr aktiv danach suchen.

Zusammenarbeit wird möglich. Mehrere Personen können gleichzeitig im Tool arbeiten, ohne sich gegenseitig die Datei zu sperren oder Änderungen zu überschreiben.

Auditfähigkeit steigt. Änderungshistorie, Zeitstempel und Benutzer-Zuordnung sind automatisch dokumentiert. Im Audit kannst du nachweisen, wer wann welche Bewertung vorgenommen hat.

Der ISB wird entlastet. Statt als zentraler Flaschenhals alle Daten zu pflegen, kann der ISB Aufgaben delegieren und sich auf die Steuerung und Verbesserung des ISMS konzentrieren. ISMS Lite bietet einen strukturierten Importprozess, der das Feld-Mapping zwischen Excel-Spalten und Tool-Feldern vereinfacht und die Migrationszeit deutlich reduziert.

Der wichtigste Rat zum Schluss: Behandle die Migration nicht als rein technisches Projekt. Es ist ein Change-Management-Projekt, bei dem du Menschen mitnehmen musst, die sich an Excel gewöhnt haben. Erkläre das Warum, biete Schulungen an und sei geduldig. Die Umstellung braucht Zeit, aber sie lohnt sich.

Weiterführende Artikel

• ISMS-Software auswählen: Kriterien, Vergleich und Entscheidungshilfe
• Self-hosted vs. Cloud: Compliance-Aspekte bei ISMS-Tools
• ISMS in 6 Monaten: Ein realistischer Erfahrungsbericht
• IT-Asset-Management im ISMS: Von der Inventur zur Schutzbedarfsfeststellung
• ISMS-Dokumentation im Überblick: Was du wirklich brauchst