Audit-Jungle

Shownotes

Auditierung- und Zertifizierungswebsite von HiSolutions^

Effiziente Auditierungen im Rahmen der ISO 27001-Zertifizierung auf der Basis nach IT-Grundschutz

Transkript anzeigen

00:00:00: Wunsch wäre natürlich, das One-Fits-All-Audit. Einmal im Jahr geht der Auditor durch und prüft

00:00:06: alle Ecken ab, aber das wird es, ich sag mal, in absehbarer Zeit nicht geben, weil die Standards

00:00:11: halt so unterschiedlich sind.

00:00:12: HiWay, dein Wegweiser für Digitalisierung und Sicherheit. Präsentiert von HiSolutions.

00:00:24: Hi und herzlich willkommen zu einer neuen Folge von HiWay, dem Podcast von HiSolutions.

00:00:35: Mein Name ist Valerie Knapp und in der heutigen Folge sprechen wir über das Thema Auditierung.

00:00:40: Auditierung oder Audits für diejenigen, die nicht genau wissen, was das ist, das sind Überprüfungen

00:00:46: von beispielsweise Prozessen oder Produkten nach bestimmten Kriterien. Und es ist besonders wichtig

00:00:53: zum Beispiel für Qualitätsmanagement, aber auch für die IT-Sicherheit. Und wie in jeder Folge stellen

00:00:58: wir drei Fragen und dafür habe ich hier einen Experten an meiner Seite und zwar meinen Kollegen

00:01:03: Robert. Robert ist Principal bei der HiSolutions und er arbeitet seit 20 Jahren in der Informationssicherheit

00:01:12: und ist seit zehn Jahren auch Auditor und deshalb sprechen wir heute mit Robert über das Thema.

00:01:17: Hallo Robert.

00:01:19: Hi.

00:01:20: Ja, also ich hoffe, ich habe nichts vergessen in der Vorstellung.

00:01:24: Über 20 Jahre sogar und über zehn Jahre, die ich jetzt auditiere. Ansonsten nichts. Nein, ich glaube,

00:01:30: das stellt mich ganz gut dar.

00:01:32: Frage 1.

00:01:35: Welche Herausforderungen gibt es denn bei Audits?

00:01:39: Also grundsätzlich muss man sagen, Audits sind wichtig. Also Audits und Zertifizierung sind grundsätzlich wichtig.

00:01:46: Jedes Unternehmen, jede Organisation sollte die Prozesse, die ihnen wichtig sind, insbesondere in der Informationssicherheit

00:01:52: auditieren lassen, am besten auch also mindestens unabhängig prüfen lassen.

00:01:59: Herausforderungen geben sich jetzt aktuell dadurch, dass aus ganz, ganz vielen unterschiedlichen Anforderungen

00:02:06: Audits heraus gefordert werden. Audits und Überprüfungen.

00:02:10: Das kann sein, dass ein Unternehmen natürlich Eigenantrieb hat, sich auditieren zu lassen.

00:02:17: Dass einfach der eigene Anspruch da ist, das mal gegen zu checken, das, was ich eben gesagt habe, jedes Unternehmen sollte das tun.

00:02:23: Sich zertifizieren zu lassen, kann aber auch, da kann ein Grund für sein, dass man Kundenanforderungen hat

00:02:30: bzw. vermeiden möchte, dass sämtliche Kunden einem die Tür einrennen und sagen, wir möchten dich auditieren,

00:02:36: sodass man sagen kann: hey, ich habe hier ein Zertifikat.

00:02:38: Das Dritte, was man sonst so macht, ist, dass es gesetzliche Anforderungen gibt.

00:02:44: Gesetzliche Anforderungen, die erfordern, dass man sich prüfen lässt von einer unabhängigen Stelle, gesetzliche und regulatorische Anforderungen.

00:02:55: Die Herausforderung ist aktuell, dass die Anforderungen gerade in die Höhe schießen.

00:03:01: Es kommt aus unterschiedlichen Bereichen, wird gefordert, dass man sich auditieren lässt, überprüfen lässt.

00:03:06: Und da ist es auch so, dass oftmals Zertifikate gar nicht ausreichen und dass die Standards, die geprüft werden, nicht immer deckungsgleich sind.

00:03:16: Also sie prüfen grundsätzlich, kochen alle Standards mit Wasser, aber sie prüfen aus unterschiedlichen Perspektiven,

00:03:22: sie prüfen aus unterschiedlichen Antrieben her und unterschiedliche Prüf-Scopes.

00:03:31: Frage 2: Daraus ergeben sich ja bestimmt dann auch aus den verschiedenen Blickwinkeln eben unterschiedliche Herausforderungen.

00:03:37: Welche gibt es denn da aus Unternehmenssicht?

00:03:40: Aus Unternehmenssicht ist es genau das, dass ich mehreren Standards unterliege oder mehreren Anforderungen unterliegen kann.

00:03:47: Was bedeutet, dass ich mehrere Audits, also sowohl gesetzliche oder regulatorische Audits im Jahr habe

00:03:56: oder eben die eigenen Audits, die ich mir vorgenommen habe, sowie dann eben auch Kundenaudits.

00:04:02: Dass Kunden die Zertifikate, die ich habe, vielleicht gar nicht als angemessen sehen oder ihren spezifischen Scope abprüfen wollen,

00:04:09: wie gesagt die gesetzlichen Anforderungen, die dann auch noch mal individuell geprüft werden.

00:04:13: Da diese Themen, die prüfen Scopes und auch die Herangehensweisen oftmals unterschiedlich sind,

00:04:19: gibt es die große Herausforderung, dass es immer mehrere Audits dann sind.

00:04:24: Wir haben viele Kunden, die ständig damit beschäftigt sind Auditoren, durch die Organisation zu führen.

00:04:31: führen und

00:04:34: ja, also diese Scopes lassen sich halt nicht übereinanderlegen. Wunsch wäre natürlich das One-Fits-All-Audit.

00:04:39: Einmal im Jahr geht der Auditor durch und prüft alle Ecken ab. Aber das wird es, ich sag mal, in absehbarer Zeit nicht geben, weil die Standards halt so unterschiedlich sind.

00:04:48: Mal wird in die Tiefe geprüft, mal wird aus einem unterschiedlichen Anlass, aus unterschiedlichem Anspruch geprüft.

00:04:53: Nimm jetzt mal KRITIS als Beispiel, KRITIS setzt mit den Standards zwar auf ähnlichen Anforderungen auf, wie die Standards, die Informationssicherheitsstandards, die etabliert sind, schaut sich das andere aber aus einer ganz anderen Perspektive an,

00:05:08: nämlich aus der Betroffenenperspektive, die jetzt auch noch ergänzt werden muss. Und dann kommt natürlich ein Auditor und soll das insbesondere aus dieser Perspektive prüfen, während der, ich sag mal, ISO 27001 Auditor oder IT-Grundschutz Auditor, der dort kommt,

00:05:21: es aus der Unternehmensperspektive, aus dem Unternehmensbedarf, halt her prüft.

00:05:25: Frage 3: Aus deiner Sicht als Auditor bzw. aus Sicht der Prüfstelle gibt es ja bestimmt auch dann nochmal andere Herausforderungen, oder?

00:05:34: Die Prüfstellen haben mit diesen, sag ich mal, sich erweiternen oder immer vergrößernen Anforderungen auch Herausforderungen.

00:05:43: Insbesondere sind das organisatorische Herausforderungen. Also grundsätzlich ist es so, dass eine Prüfstelle sich natürlich oder prüfende Stelle,

00:05:49: sich darüber freut, je mehr Audits, je mehr Standards es gibt, weil tatsächlich, also sie leben ja davon, dass das geprüft wird.

00:05:58: Auf der anderen Seite stellt jeder neue Standard natürlich eine organisatorische Herausforderung dar.

00:06:03: Organisatorisch dahingehend, dass man diese Standards natürlich nachhalten muss. Also man muss dann schauen, dass man sich da bei den jeweiligen verantwortlichen Stellen,

00:06:13: Akkreditierungsstellen oder eben verantwortlichen staatlichen oder regulatorischen Stellen anmeldet, die Prüfanforderungen, also um prüfende Stelle zu werden,

00:06:23: erfüllt, nachweist und nachhält. Also da kommt auch oftmals ein Prüfer vorbei, der einen selber prüft.

00:06:32: Das nachzuhalten ist halt sehr, sehr aufwendig. Das bedeutet auch, dass Auditoren gesucht werden müssen, ausgebildet werden müssen, diese Qualifikation erfüllen müssen.

00:06:42: Das heißt, dass die prüfenden Stellen quasi so was wie Akten oder Qualifikationsprofile über ihre Auditoren halten müssen

00:06:50: und diese immer wieder nachhalten müssen und immer wieder darauf achten müssen, dass die Auditoren diesen Standard kontinuierlich erfüllen.

00:06:58: Plus, dass sie natürlich nachhalten müssen, dass sie sich auch an die Standards immer wieder anpassen.

00:07:03: Das ist eine große Herausforderung für die prüfenden Stellen, so dass auch dort natürlich so ein One-Fits-All-Ansatz einfach zu sagen:

00:07:11: Ich habe ein Audit, was ich den Kunden anbieten kann und kann es durch die Qualifikation und durch Perspektivwechsel, durch Scope-Wechsel so erweitern,

00:07:20: dass der Kunde eigentlich einmal im Jahr einen Auditor hat, der da durchgeht und alle Ecken anprüft oder einen Audit-Team

00:07:28: dort durchführt, der alles abprüft, was notwendig ist, um dann hinterher ein Zertifikat zu haben, um nachzuweisen,

00:07:35: dass sich für alle Eventualitäten gerüstet werden. Das wäre natürlich der Wunsch und sicherlich auch für Prüfende Stellen eine super Möglichkeit, das anzubieten.

00:07:46: Ja, das klingt nach sehr, sehr viel Input. Ich glaube, wir können das ganz gut zusammenfassen, indem wir sagen,

00:07:54: es gibt schon einige Herausforderungen, die sich vor allem aus der Vielzahl an Audits bzw. an Anforderungskatalogen ergeben,

00:08:02: sowohl auf Unternehmensseite als auch auf Seite der Prüfstellen bzw. Auditor. Natürlich ist es schön, wenn es viele Audits gibt,

00:08:09: weil man dann eben das ja auch entsprechend verrechnen kann, aber es macht ja doch auch dann viel Arbeit, sich auf jeden Anforderungskatalogen

00:08:17: nochmal einzeln vorbereiten zu müssen. Und ich denke trotzdem, dass wir hier ganz gut aufgestellt sind. Also falls Sie Unterstützung brauchen

00:08:24: bei Audits und Zertifizierungen, können Sie sich gerne an Robert und unsere anderen Kollegen wenden. Infos dazu finden Sie auf jeden Fall in der

00:08:31: Folgenbeschreibung. Und ich bedanke mich bei dir, Robert, dass du heute dabei warst, dass du mit uns über das Thema gesprochen hast.

00:08:38: Und danke auch fürs Zuhören bzw. zu sehen und vergessen Sie nicht, uns zu abonnieren, um keine weiteren Folgen zu vergessen.

00:08:46: Auf Wiedersehen!

00:08:47: Dankeschön.

00:08:50: HiWay, der Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:08:58: Hat dir diese Episode gefallen? Dann abonniere den Podcast und empfehle unsere Folgen weiter.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.