Compensating Control

[ˈkɒmpenseɪtɪŋ kənˈtrəʊl] · auch: Ersatzkontrolle, Ausgleichskontrolle

Eine Compensating Control ist eine alternative Sicherheitsmaßnahme, die eingesetzt wird, wenn eine primäre Kontrolle nicht implementiert werden kann – und die dasselbe Risikoniveau erreicht oder unterschreitet wie die ursprünglich geforderte Maßnahme.

Warum Compensating Control wichtig ist

In der Praxis ist nicht jede Standardkontrolle in jedem Umfeld umsetzbar – aus technischen, wirtschaftlichen oder organisatorischen Gründen. Compensating Controls ermöglichen Compliance ohne starre Standardanwendung, erfordern aber eine formale Begründung und Dokumentation.

Wo Compensating Control gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 6.1.3	Statement of Applicability: Nicht anwendbare Controls müssen begründet werden; Compensating Controls können diese ersetzen.
PCI DSS	Appendix B	Formales Verfahren für Compensating Controls mit Dokumentationspflicht.
NIS-2 / BSIG	§ 30 Abs. 2	Verhältnismäßigkeitsprinzip erlaubt alternative Maßnahmen bei nachgewiesener Gleichwertigkeit.

BAM-Objektreferenz

BAM-Objekt CROSS-CC-01

BeschreibungCompensating-Control-Dokumentation mit Begründung, Wirksamkeitsnachweis und Revisionsplan

GitHubBAM Core →

Häufige Audit-Fehler

Compensating Control nicht formal dokumentiert
Kein Nachweis gleichwertiger Schutzwirkung
Compensating Control wird dauerhaft statt temporär eingesetzt
Auditor wird nicht informiert

Praxisbeispiel

Ein mittelständisches Unternehmen mit 150 Mitarbeitenden steht vor seiner ersten NIS-2-Prüfung. Der Auditor fragt nach dem Nachweis. Was in den meisten Fällen fehlt: ein datiertes, vollständiges Evidence-Dokument zur Wirksamkeit. Genau diese Lücke schließt das BAM-Objekt durch ein strukturiertes Evidence-Feld, das definiert, was konkret vorliegen muss – bevor der Audit stattfindet, nicht danach.

Abgrenzung und Zusammenhang

Dieser Begriff ist nicht isoliert zu betrachten. Er steht in direkter Verbindung zu Evidence (Was muss nachgewiesen werden?), Gap Analysis (Wo liegt die Lücke?) und Remediation (Wie wird die Lücke geschlossen?). Im BAM-Objektmodell sind alle vier Dimensionen im selben Objekt verankert – Requirement, Gap-Check, Remediation und Evidence bilden eine zusammenhängende Einheit statt verteilter Dokumente.

Nächste Ebene

Compensating Controls dokumentieren: Formale Anforderungen

Wie Compensating Controls formal begründet, auf Gleichwertigkeit geprüft und als Audit-Nachweis dokumentiert werden.

Ebene 2 lesen → Stresstest starten →