Audits
Wenn der Prüfer dreimal klingelt
Fortsetzung des Artikels von Teil 1
Branchenspezifika
Zu diesen drei großen Gruppen gesellen sich branchenspezifische Prüfer und Prüfprozesse. Am bekanntesten sind icherlich die Kontrollpflichten der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) im Bereich der Finanz- und Versicherungswirtschaft. In der Automobilindustrie zeigt sich ein weiterer Trend: Durch die Vernetzung von Wertschöpfungs- und Lieferketten und die dafür erforderlichen Datenübertragungen fordern viele Hersteller inzwischen Kontrollrechte bei ihren Zulieferern – Stichwort Prototypen- und Entwicklungsschutz. So kann es sein, dass sich im Auftrag des Herstellers ein externer Prüfer beim Lieferanten meldet und sehen will, wie die Daten des Herstellers nach der Übernahme geschützt werden. Diese Kategorie von Prüfungen wird wachsen, weil solche Bestimmungen zur IT- und Datensicherheit zunehmend Eingang in die Lieferantenverträge finden werden.
Zertifizierungen helfen
Ausführungsbestimmungen zum Datenschutzgesetz legen fest, dass auf eine detaillierte Prüfung verzichtet werden kann, wenn das Unternehmen oder der Dienstleister „adäquate Zertifikate“ vorlegen kann. Eine gesonderte Prüfung durch Datenschutzbeauftragte kann also mit einer Zertifizierung des Dienstleisters für die Auftragsdatenverarbeitung nach BDSG vermieden werden.
Ähnlich, aber weiter interpretierbar, verhält es sich bei Prüfungen durch externe oder interne IT-Sicherheitsbeauftragte. Als Minimum gilt hier eine international gültige Zertifizierung nach ISO 27001 und ISO20000-1. Damit sind Grundstandards bei der IT-Sicherheit und im Qualitätsmanagement von IT-Services nachgewiesen.
Allerdings: Bei der Umsetzung bleiben diese ISO-Normen vage und unpräzise. Mehr Aussagekraft hat speziell in Deutschland die Zertifizierung nach BSI-IT-Grundschutz. Hier ist der Prüfkatalog deutlich detaillierter und es wird bis in die Umsetzung hinein geprüft und zertifiziert. Die externen Auditoren sind meist mindestens eine Woche pro Jahr zu Prüfungen bei
den zertifizierten Unternehmen. Eine regelmäßige Zertifizierung nach BSI-IT-Grundschutz wird daher von den IT-Sicherheitsbeauftragten als ausreichend anerkannt, auf eigene Prüfungen wird dann meist verzichtet.
Geltungsbereich der Zertifizierungen
Wer aufwändige Prüfungen und damit verbundene Risiken zuverlässig vermeiden will, sollte sich die vom Dienstleister vorgelegten Zertifizierungen allerdings genauer anschauen. Entscheidend ist eben nicht nur die Zertifizierung, sondern auch der „Scope“ oder Geltungsbereich für den sie erteilt wurde. So gibt es Dienstleister, die in Werbung und Vertrieb großzügig mit einer Zertifizierung arbeiten, die nur für eng begrenzte Teile des Unternehmens ausgestellt wurden – beispielsweise nur für einzelne Rechenzentren oder nur für die rechenzentrumsnahen Unternehmensbereiche, aber nicht für das gesamte Unternehmen. Professionelle Prüfer kennen das. Und so kann es bei Nichtbeachtung zum bösen Erwachen kommen, wenn genau das vom Unternehmen genutzte Rechenzentrum des Dienstleisters nicht von der Zertifizierung erfasst ist.
Wirtschaftsprüfer oder branchenspezifische Prüfer wie die BaFin haben noch weitergehende Anforderungen beziehungsweise einen etwas anderen, weniger technischen Blick auf Systeme, Prozesse und Services. Diese Prüfungen lassen sich in aller Regel nicht einfach durch klassische Zertifizierungen nachweisen. So sind oft die Zugriffsregeln (Aggregation of Duty), Autorisierungsprozesse rund um das Active-Directory, Backup und Notfallszenarien bei umfassenden Systemausfällen oder auch die physikalischen Zutrittsbarrieren im Rechenzentrum wichtige Prüfungsbestandteile. Für IT-Dienstleister, die umfassend zertifiziert sind, sind aber auch dies meist keine Hürden. Zum einen sind diese Themen teilweise Bestandteil von Zertifizierungen, zum anderen kennt man sich in der Arbeit mit externen Prüfern und Auditoren, in der Qualitätssicherung, der Weiterbildung interner Mitarbeiter und in Dokumentation und Kommunikation aus.
- Wenn der Prüfer dreimal klingelt
- Branchenspezifika
- Treiber oder Getriebener
Lesen Sie mehr zum Thema
