IT-Sicherheitskonzept: Aufbau, Inhalte und Pflichten nach NIS-2, ISO 27001 und BSI-Grundschutz

Ein IT-Sicherheitskonzept ist die schriftliche Dokumentation der technischen und organisatorischen Maßnahmen, mit denen ein Unternehmen seine Informationssicherheit gewährleistet und gegenüber Aufsicht, Wirtschaftsprüfer und Kunden nachweist. Es ist Pflichtdokument nach Art. 32 DSGVO für alle Verarbeitungen personenbezogener Daten, integraler Bestandteil eines ISMS nach ISO/IEC 27001:2022 mit seinen 93 Controls und Voraussetzung für jede Zertifizierung nach BSI IT-Grundschutz. Mit dem NIS2UmsuCG und dem KRITIS-Dachgesetz steigen die Anforderungen für etwa 29.500 Unternehmen in Deutschland weiter, die als wesentliche oder wichtige Einrichtung nach NIS-2 reguliert sind und ihre Risikomanagementmaßnahmen schriftlich nachweisen müssen.

In der Praxis scheitern viele Sicherheitskonzepte daran, dass sie als statisches PDF verfasst werden, das nach der Erstellung in einer Ablage verstaubt und beim ersten Audit als nicht gelebt erkennbar ist. Die regulatorischen Erwartungen verlangen aber ein lebendes, regelmäßig überprüftes und im Audit nachvollziehbar gepflegtes Dokumentenwerk mit klar zugeordneten Verantwortlichkeiten. Dieser Artikel beschreibt den Aufbau eines audit-festen IT-Sicherheitskonzepts, die zwingenden Pflichtkapitel, die Verzahnung mit dem Informationssicherheitsbeauftragten, den 24/72-Meldepfad nach NIS-2 sowie die Lieferform durch CIVAC als Compliance-Plattform und Officer-as-a-Service mit einer SLA von zwei Werktagen statt der klassischen sechs Wochen externer Beratung.

Die Pflicht zur schriftlichen Dokumentation der Informationssicherheit ergibt sich aus mehreren Normen, die im Mittelstand häufig parallel greifen und in der Summe einen anspruchsvollen Dokumentationsstandard ergeben. Art. 32 DSGVO verlangt geeignete technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung personenbezogener Daten und macht deren schriftliche Dokumentation zur Nachweispflicht des Verantwortlichen gegenüber der Aufsichtsbehörde. § 8a BSIG verpflichtet KRITIS-Betreiber zu angemessenen organisatorischen und technischen Vorkehrungen, die alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik mit einem unabhängigen Auditnachweis vorzulegen sind.

Mit dem NIS2UmsuCG, das die EU-Richtlinie 2022/2555 in deutsches Recht überführt, wird der Adressatenkreis dramatisch erweitert. Rund 29.500 Unternehmen in Deutschland fallen als wesentliche oder wichtige Einrichtung unter NIS-2 und müssen schriftliche Risikomanagementmaßnahmen nach § 30 BSIG nachweisen, mit persönlicher Haftung der Geschäftsleitung nach § 38 BSIG. Hinzu kommen branchenspezifische Pflichten: TKG für Telekommunikationsanbieter, die DORA-Verordnung (EU) 2022/2554 für den Finanzsektor, MaRisk und BAIT der BaFin, das KRITIS-Dachgesetz, das Geschäftsgeheimnisgesetz für die Schutzpflicht über sensible Geschäftsdaten sowie der EU AI Act für KI-Systeme mit hohem Risiko.

Ein IT-Sicherheitskonzept erfüllt diese Pflichten gleichzeitig, wenn es entlang anerkannter Standards strukturiert ist und die Mehrfachpflichten in einer Dokumentationsschicht abbildet. ISO/IEC 27001:2022 und der BSI IT-Grundschutz bieten beide eine vollständige Methodik mit dem nötigen Reifegrad. Die Wahl hängt vom Geschäftsmodell, der Internationalität, den Anforderungen großer Kunden und der KRITIS-Betroffenheit ab. CIVAC liefert den Informationssicherheitsbeauftragten mit Bestellurkunde, Workspace und einem zugrundeliegenden ISO/IEC 27001:2022-ISMS mit 93 Controls. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Ein vollständiges IT-Sicherheitskonzept gliedert sich in zehn Kapitel, die sich unabhängig vom gewählten Standard wiederfinden und die jede prüfende Stelle in dieser oder vergleichbarer Reihenfolge erwartet. Kapitel eins definiert den Geltungsbereich: welche Standorte, Geschäftsprozesse, Systeme, Datenarten, Tochtergesellschaften und Cloud-Dienste unter das Konzept fallen. Eine zu enge Definition lädt zu Prüferfragen ein, eine zu weite Definition erzeugt unverhältnismäßige Dokumentationspflicht und Pflegeaufwand. Kapitel zwei beschreibt die Sicherheitsorganisation: Rollen, Verantwortlichkeiten, Berichtslinien zur Geschäftsleitung, Vertretungsregelungen und insbesondere die Stellung des Informationssicherheitsbeauftragten als unabhängige Funktion.

Kapitel drei dokumentiert die Schutzbedarfsfeststellung je Geschäftsprozess und je Informationskategorie nach den drei Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit, ergänzt um Authentizität, Verbindlichkeit und Nichtabstreitbarkeit, wo branchenspezifisch nötig. Kapitel vier behandelt die Risikoanalyse mit dokumentierter Methodik, Bewertungsmaßstab und priorisierten Maßnahmen zur Risikobehandlung. Kapitel fünf listet die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sowie die Controls nach Annex A der ISO/IEC 27001:2022, gemappt auf den ermittelten Schutzbedarf und auf die identifizierten Risiken.

Kapitel sechs bis acht decken Vorfallmanagement mit dem NIS-2-Meldepfad, Notfallvorsorge einschließlich Business-Continuity-Management und Lieferantensicherheit mit Vertragsanforderungen und Audit-Rechten ab. Kapitel neun beschreibt das Schulungs- und Awareness-Programm mit Pflichtmodulen pro Funktionsgruppe und einer dokumentierten Wiederholungslogik. Kapitel zehn definiert das Review-Verfahren: internes Audit mindestens jährlich, Management-Review mindestens halbjährlich, Anpassung nach jedem signifikanten Vorfall und nach jeder wesentlichen Geschäftsänderung. Audit-fest, dokumentiert, § 8a BSIG-fest. CIVAC liefert für jedes der zehn Kapitel eine Vorlage aus dem Bestand der 490 einsatzbereiten Audit-Vorlagen, ergänzt um die rollenspezifische Verantwortlichkeit im Workspace und die Kopplung an die Schulungs- und Vorfalldokumentation. Die Vorlagen sind sowohl für ISO/IEC 27001:2022 als auch für den BSI IT-Grundschutz kalibriert.

Die Schutzbedarfsfeststellung ist das analytische Herzstück jedes IT-Sicherheitskonzepts und der Punkt, an dem schlechte Konzepte am häufigsten scheitern. Sie bewertet je Informationskategorie und je System, wie hoch der Schaden bei Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit ausfällt und welche Geschäftsprozesse davon betroffen wären. Üblich ist eine dreistufige Skala normal, hoch, sehr hoch, mit dokumentierten Kriterien je Stufe in Form von Schadenshöhen, regulatorischen Konsequenzen, Reputationsfolgen und betrieblichen Auswirkungen. BSI-Grundschutz arbeitet mit konkreten Schadenshöhen in Euro, ISO/IEC 27001:2022 lässt mehr Methodenfreiheit, verlangt aber eine konsistente, nachvollziehbare Bewertung über alle Werte hinweg.

Die Risikoanalyse setzt auf der Schutzbedarfsfeststellung auf und führt sie in eine handhabbare Priorisierung über. Sie identifiziert konkrete Bedrohungen je Schutzziel, schätzt deren Eintrittswahrscheinlichkeit anhand von Erfahrungswerten und externer Bedrohungslage und kombiniert beides zu einer Risikobewertung. Anerkannte Methodiken sind ISO/IEC 27005:2022, die BSI-Standards 200-3 und 200-4, die NIST-SP 800-30-Methodik sowie die OWASP-Methodik für Anwendungsrisiken. Die Wahl der Methodik ist im Konzept zu dokumentieren und konsistent über alle Geschäftsprozesse durchzuziehen.

Ein häufiger Fehler im Mittelstand ist die Vermischung von Bedrohungen und Risiken oder die fehlende Dokumentation des Bewertungsmaßstabs in einer Statement of Applicability. Beides ist im Audit angreifbar und führt zu Mehraufwand in der Nachdokumentation. Der CIVAC-Workspace strukturiert die Schutzbedarfsfeststellung als Datenobjekt je System mit dokumentierten Begründungen je Schutzstufe und verbindet die Risikoanalyse direkt mit dem Maßnahmenkatalog. Jede Anpassung wird zeitgestempelt versioniert und ist für den Prüfer rückverfolgbar. Der Prüfer ruft an, der Nachweis liegt bereit. Der ISO 27001:2022-Übergang bringt zusätzliche Methodikanforderungen, die das Konzept abbilden muss.

Der Maßnahmenkatalog ist das umfangreichste Kapitel des Konzepts und gleichzeitig der häufigste Schwachpunkt im Audit, weil er sowohl technische Tiefe als auch organisatorische Disziplin verlangt. Art. 32 DSGVO nennt vier Schutzziele, die in jeder Bewertung berücksichtigt sein müssen: Pseudonymisierung und Verschlüsselung personenbezogener Daten, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit. ISO/IEC 27001:2022 ergänzt mit den 93 Controls aus Annex A, gegliedert in vier Themenfelder: organisatorische, personelle, physische und technische Maßnahmen, jeweils mit klarer Zielsetzung. Der BSI IT-Grundschutz strukturiert in Bausteinen mit knapp 100 Anforderungsblöcken je nach Profil von Basis über Standard bis Kern.

Die Maßnahmen müssen dem ermittelten Schutzbedarf angemessen sein und dürfen weder über- noch unterdimensioniert ausfallen. Eine bloße Standardliste reicht nicht; die Auswahl ist mit einer Statement of Applicability zu begründen, nicht angewandte Controls sind explizit als Ausnahme zu deklarieren und Lücken sind als akzeptierte Restrisiken durch die Geschäftsleitung schriftlich zu zeichnen. Pflichtthemen im Mittelstand 2026 sind unter anderem Multi-Faktor-Authentifizierung für sämtliche privilegierte Konten und Remote-Zugänge, eine dokumentierte Patch-Management-Policy mit Eskalationsregeln nach CVSS-Schwere, segmentierte Netzwerke mit Zero-Trust-Prinzipien, ein Backup-Konzept mit 3-2-1-Regel und regelmäßig getesteten Wiederherstellungspunkten, ein Kryptografie-Konzept mit nachvollziehbarem Schlüsselmanagement sowie eine Endpoint-Detection-and-Response-Lösung auf allen Endpunkten.

Lieferketten- und Drittparteienrisiken sind durch das Inkrafttreten von NIS-2 und der EBA-DORA-Standards 2026 wesentlich strenger zu dokumentieren als in der Vergangenheit. Jeder kritische Lieferant ist mit Vertragsabsicherungen, Sicherheitsanforderungen, dokumentierten Pflichten zur Vorfallmeldung und Audit-Rechten zu führen. CIVAC bündelt den Maßnahmenkatalog als Datenobjekt pro Kontrollziel und verbindet ihn mit der Schulungs-, Lieferanten- und Vorfalldokumentation. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Das Vorfallmanagement-Kapitel beschreibt, wie das Unternehmen sicherheitsrelevante Ereignisse erkennt, klassifiziert, eindämmt, behebt, dokumentiert und gegenüber Behörden meldet. § 32 BSIG verpflichtet wesentliche und wichtige Einrichtungen nach NIS-2 zu einer Frühwarnung binnen 24 Stunden ab Kenntnis eines erheblichen Sicherheitsvorfalls und zu einer Vorfallmeldung binnen 72 Stunden, ergänzt durch eine Abschlussmeldung binnen eines Monats nach Abschluss der Bewältigung. Frist läuft ab Kenntnis. Die Meldung erfolgt an das BSI über die NIS-2-Meldeplattform, parallel an die Bundesnetzagentur bei TK-Bezug oder an die BaFin bei Finanzdienstleistern.

Das Meldekonzept muss schriftlich definieren, was als erheblicher Vorfall gilt, wer die Klassifizierung anhand der NIS-2-Schwellen vornimmt, wer die Meldung autorisiert, wer sie technisch absetzt und wer im Anschluss die Kommunikation an betroffene Kunden und Geschäftspartner führt. Bei Datenpannen mit personenbezogenem Bezug greift parallel die 72-Stunden-Frist nach Art. 33 DSGVO an die Datenschutzaufsicht, bei besonders schweren Vorfällen die Benachrichtigungspflicht der Betroffenen nach Art. 34 DSGVO. Bei Finanzdienstleistern kommt die DORA-Meldepflicht hinzu. Mehrgleisige Meldepflichten sind die Regel, nicht die Ausnahme, und müssen synchronisiert betrieben werden.

Die Bußgelder sind erheblich: bis 10 Mio. Euro oder 2 Prozent des weltweiten Konzernumsatzes für wesentliche Einrichtungen, bis 7 Mio. Euro oder 1,4 Prozent für wichtige Einrichtungen. CIVAC operationalisiert den 24/72-Meldepfad im Workspace als getriggerten Workflow: Vorfall erfasst, Schwere bewertet, Frühwarnung erstellt, Geschäftsleitung freigibt, Meldung an BSI abgesetzt, Abschlussbericht geplant. Die Vorlagen sind je Aufsicht vorgehalten und in der jeweiligen Sprache hinterlegt, sodass weder bei der Frühwarnung noch bei der Vollmeldung wertvolle Stunden für Formatfragen verloren gehen. Jeder Schritt im Workflow ist zeitgestempelt, rollenbezogen verantwortlich und reproduzierbar für die Nachprüfung. Der Prüfer ruft an, der Nachweis liegt bereit.

Der Informationssicherheitsbeauftragte ist die operative Klammer um das IT-Sicherheitskonzept und der Adressat erster Wahl für jede Aufsicht. § 30 Abs. 2 Nr. 6 BSIG erwartet eine benannte Person mit eigenständiger Berichtslinie zur Geschäftsleitung und ausreichenden Ressourcen zur Aufgabenerfüllung. Die ISO/IEC 27001:2022 verlangt unter Klausel 5.3 die formale Zuweisung von Rollen und Verantwortlichkeiten innerhalb des ISMS. Der BSI IT-Grundschutz beschreibt die Rolle ausführlich in der Schicht ISMS.1 mit Aufgaben, Qualifikationsanforderungen und Stellungsanforderungen gegenüber der Geschäftsleitung.

Die Bestellung erfolgt schriftlich durch die Geschäftsleitung. Die Bestellurkunde beschreibt Aufgabenumfang, Berichtslinie, Vertretung im Abwesenheitsfall, Ressourcenausstattung, Bestellungsdauer und die Pflicht zur regelmäßigen Berichterstattung an die Leitungsebene. Eine fehlerhafte Bestellung führt im Audit dazu, dass das Konzept als nicht verantwortlich geführt gilt und Bußgeldrisiken steigen, weil die persönliche Haftung der Geschäftsleitung nach § 38 BSIG nicht durch eine ordnungsgemäße Delegation entlastet ist. Die Doppelbesetzung mit IT-Leitung oder Datenschutzbeauftragtem ist nach BSI-Vorgabe nur mit dokumentierter Konfliktauflösung zulässig.

Im Mittelstand fehlt regelmäßig die interne Kapazität, um die Rolle qualifiziert und unabhängig zu besetzen. Officer-as-a-Service löst dieses Problem: CIVAC bestellt einen externen Informationssicherheitsbeauftragten mit Bestellurkunde, Berichtslinie und Workspace innerhalb der SLA von zwei Werktagen. Der externe ISB führt die jährliche Risikoanalyse, betreut die laufende TOM-Pflege, koordiniert das Vorfallmanagement im 24/72-Meldepfad, organisiert das Schulungsprogramm und liefert Quartalsberichte an die Geschäftsleitung. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Pfade speisen denselben Audit-Export und liefern dieselbe Evidenzqualität gegenüber ISO-Zertifizierer, BSI-Auditor oder einer NIS-2-Aufsichtsbehörde. Der Wechsel zwischen den Modellen ist innerhalb der Vertragslaufzeit möglich, ohne dass Evidenz verloren geht.

Die Wahl des Standards ist eine strategische Entscheidung mit langfristigen Folgen für Auditkosten, Kundenanforderungen und interne Prozesse. ISO/IEC 27001:2022 ist international anerkannt, akkreditiert zertifizierbar und in Lieferanten-Onboardings großer Konzerne der De-facto-Standard, gerade in Automotive, Pharma, Finanzwesen und produzierender Industrie. Die 93 Controls aus Annex A decken den überwiegenden Teil der NIS-2-Anforderungen ab, sodass die Zertifizierung wesentliche Teile der NIS-2-Pflichten gleichzeitig erfüllt. Der Übergang von der 2013er- auf die 2022er-Version musste bis Oktober 2026 abgeschlossen sein, betroffene Unternehmen haben Re-Zertifizierungen in dieser Zeit absolviert und ihre Statement of Applicability angepasst.

Der BSI IT-Grundschutz ist der deutsche De-facto-Standard im öffentlichen Sektor, in KRITIS-Branchen und bei Ausschreibungen mit Bundesbeteiligung. Er ist detaillierter als ISO/IEC 27001:2022 und bringt vorbereitete Bausteine je System und Geschäftsprozess, was die Erstellung des Konzepts in der Anfangsphase deutlich beschleunigt. Die Zertifizierung erfolgt über vom BSI lizenzierte Auditoren. Eine Kombination beider Ansätze ist möglich und wird in regulierten Industrien zunehmend verlangt: das ISMS folgt der ISO/IEC 27001:2022 mit ihrer Managementlogik, die operative Umsetzung greift auf die BSI-Bausteine mit ihrer technischen Tiefe zurück.

Für den Mittelstand außerhalb von KRITIS ist ISO/IEC 27001:2022 in den meisten Fällen die richtige Wahl. Sie erlaubt eine schlankere Erstzertifizierung und bietet die internationale Anerkennung, die größere Kunden im Audit verlangen. Wer in Bundesausschreibungen geht oder konkrete KRITIS-Pflichten erfüllt, ergänzt um BSI IT-Grundschutz. CIVAC bildet beide Standards parallel im Workspace ab und stellt das ISMS mit 93 Controls als zertifizierte Plattform bereit. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Statistisch sind zwischen 70 und 90 Prozent aller erfolgreich angegriffenen Unternehmen über einen menschlichen Faktor kompromittiert worden, meist über Phishing, Social Engineering, versehentliche Konfigurationsfehler oder die unsachgemäße Nutzung von Cloud-Diensten. Ein IT-Sicherheitskonzept ohne tragfähiges Schulungs- und Awareness-Programm bleibt deshalb Papier und scheitert im ersten Audit. Das Schulungskapitel muss Pflichtmodule je Funktionsgruppe definieren, klare Wiederholungszyklen festlegen, Teilnahmenachweise je Mitarbeitendem speichern und die Wirksamkeit über Phishing-Simulationen oder Wissenstests messen.

Pflichtthemen im Mittelstand 2026 sind Phishing-Erkennung in einer für die Branche realistischen Form, Passwort- und MFA-Hygiene, der Umgang mit personenbezogenen Daten nach DSGVO, die Meldewege bei Verdacht auf einen Sicherheitsvorfall, die sichere Nutzung von Cloud-Diensten und KI-Tools sowie der Umgang mit mobilen Endgeräten und privaten Geräten im Bring-your-own-Device-Modell. Spezialgruppen wie Entwicklungsteams brauchen ergänzend Secure-Coding-Trainings mit OWASP-Bezug, das Vertriebsteam Trainings zu Sanktionen und Exportkontrolle, die Personalabteilung Schulungen zu Datenschutz und HinSchG, die Geschäftsleitung Trainings zu persönlicher Haftung und Cyber-Krisenmanagement.

Awareness ist die kontinuierliche Verstärkung zwischen den Pflichtschulungen und entscheidet, ob das Schulungswissen im Alltag wirksam wird. Realistische Phishing-Simulationen mit nachvollziehbaren Auswertungen, monatliche Mini-Briefings, sichtbare Plakate in Pausenräumen und gut sichtbare Erfolgsmeldungen nach abgewehrten Vorfällen tragen mehr zur Sicherheitskultur bei als jährliche Powerpoint-Pflichten. Der CIVAC-Workspace liefert vorgefertigte Schulungspfade je Beauftragten-Rolle, simuliert Phishing-Kampagnen, dokumentiert Teilnahmenachweise als Datenobjekt je Mitarbeitendem und exportiert auf Knopfdruck den vollständigen Schulungsstand pro Person für den Wirtschaftsprüfer, die Aufsicht oder den Großkunden im Vendor-Audit. Die Wiederholungslogik triggert automatisch Schulungserinnerungen vor Ablauf der Gültigkeit, sodass der Schulungsstand niemals als nicht aktuell ins Audit geht. Audit-fest, dokumentiert, § 32 DSGVO-fest.

CIVAC ist eine deutsche Compliance-Plattform und Officer-as-a-Service mit 25 live verfügbaren Beauftragten-Rollen, 93 Controls nach ISO/IEC 27001:2022, 490 einsatzbereiten Audit-Vorlagen und EU-Datenresidenz für alle gespeicherten Daten. Der Informationssicherheitsbeauftragte wird inklusive Bestellurkunde, Berichtslinie zur Geschäftsleitung, Schutzbedarfsfeststellung, Risikoanalyse, Maßnahmenkatalog, Schulungsprogramm, Vorfallmanagement und 24/72-Meldepfad nach NIS-2 über den Workspace betrieben. Die SLA für Standardanfragen beträgt zwei Werktage statt der klassischen zwei bis sechs Wochen externer Beratungsleistung.

Das IT-Sicherheitskonzept wird im CIVAC-Workspace nicht als statisches PDF, sondern als lebendes Set verbundener Datenobjekte geführt: Geltungsbereich, Sicherheitsorganisation, Schutzbedarfsfeststellung, Risikoanalyse, Maßnahmenkatalog, Lieferantenakte, Vorfälle, Schulungen und Reviews bilden ein vernetztes Modell. Jede Änderung wird zeitgestempelt versioniert, jede Verantwortlichkeit ist einer Person zugeordnet, jeder Audit-Export liefert exakt das Format, das ISO-Zertifizierer, BSI-Auditor oder die zuständige Aufsicht erwarten. Konzernstrukturen werden über ein einziges ISMS mit gesellschaftsspezifischer Evidenz abgebildet, was Mehrfacharbeit eliminiert.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Pfade liefern dieselbe Evidenzqualität, weil die Daten im gleichen System leben und denselben Audit-Export speisen. Die Wahl hängt von der vorhandenen internen Kapazität, dem regulatorischen Profil, der gewünschten Risikoverteilung und der Geschwindigkeit ab, mit der das Konzept im Markt zertifizierungsreif sein muss. Bei akutem Bedarf, etwa vor einem Kunden-Audit, einer NIS-2-Inspektion oder einer M&A-Due-Diligence, ist die externe Bestellung der schnellere Weg.

Aus dem Lesen einen Auftrag machen. Unternehmen mit konkretem Bedarf erreichen das CIVAC-Delivery-Team unter info@civac.de oder über das Kontaktformular auf civac.de. Das Erstgespräch klärt den NIS-2-Anwendungsbereich, den Reifegrad bestehender Dokumentation, die Standardwahl zwischen ISO/IEC 27001:2022 und BSI IT-Grundschutz, die Schulungslandschaft sowie den Migrationspfad in den Workspace. Eine indikative Aufwandsschätzung steht innerhalb eines Werktags fest, die Bestellurkunde des ISB innerhalb von 48 Stunden nach Vertragsschluss.