Sind ISMS-Audits vergleichbar mit IT-Revisionen?

Die eklatanten Unterschiede des Prüfungsaufwandes zwischen ISMS-Audits und IT-/Informa­tionssicherheits-Revisionen mit vergleichbarem Scope lassen sich eigentlich kaum erklären.

Artikel erschienen in Swiss IT Magazine 2022/03

     

Als ich 2002 als Fachexperte des METAS das erste Mal einen ISO27001-Zertifizierungsaudit beaufsichtigen musste, war ich leicht verwirrt: Der externe ISMS-Auditor schaffte es, die rund 130 Kontrollen (Sicherheitsmassnahmen) der damaligen Version BS7799 sowie das zugehörige Managementsystem innert weniger Tage zu prüfen und ein gültiges Zertifikat abzugeben. Da ich damals bereits mehrfach für Finanzdienstleister und IT-Provider Revisionen von IT- und Informationssicherheit mit ähnlichem Scope mit einem Budget von jeweils rund 30–70 Tagen durchgeführt hatte, fand ich die kurze Zeitdauer doch recht sportlich.

2005 durfte ich in an der IT Service Management Konferenz in Dresden die Keynote halten zum Thema «Prozessreifebeurteilung mit moderiertem Self Assessment» – auch hier war ich aufgrund des Feedbacks erneut ziemlich irritiert. Ich erläuterte in meinem Referat, wie man Prozesse und Schlüsselkontrollen eines ISMS anhand der Maturität der wichtigsten Kontrollaktivitäten beurteilen könnte. So würden die Beurteilungen verschiedener Spezialisten erstaunlich gut miteinander übereinstimmen – ohne eine klare Vorgabe würden aber die Ergebnisse auch von eigentlichen Audits sich nur wenig ähneln.


Um die Maturität einer bestimmten Kontrolle beurteilen zu können, sollten eigentlich die folgenden Faktoren z.B. auf einem Massstab von - - bis + + bewertet werden:
- Zuständigkeiten (Kontroll-Owner, Kontroll-Ausführender)
- Vorgaben (Weisungen, Richtlinien, Prozesse, Templates oder andere Vorgaben)
- Umgang mit Ausnahmen (formale Genehmigung, zeitliche Befristung, Über­wachung der Erledigung)
- Abdeckungsgrad (Anteil der abgedeckten Organisationseinheiten, Prozesse, ­Systeme, Anwendungen, …)
- Verifikation (Art, Häufigkeit einer unabhängigen Überprüfung)

Nun – bei einigen der Teilnehmenden stiessen diese Aussagen auf keine grosse Begeisterung, ging ich doch z.B. für eine solche Bewertung der ISO27001-Kontrollen von einem Gesamtaufwand von einigen Wochen aus – im Bereich Qualitäts- und Servicemanagement (ISO9000, ISO20000, usw.) waren wie im Sicherheitsumfeld Zertifizierungs-Audits mit einem Gesamtaufwand von wenigen Tagen üblich. Die anderen Tagungsteilnehmer hielten mich wohl für einen Alien von einem anderen Stern ;-)

Erst mit der Zeit habe ich realisiert, dass sich die grossen Unterschiede zwischen einem ISO-Zertifizierungsaudit und einer Prüfung sowie Beurteilung desselben Bereichs (ein ISMS inkl. allen Sicherheitsmassnahmen) – so wie ich das in der internen und externen IT-Revision gelernt hatte – nicht nur mit den anzuwendenden Prüfungsstandards erklären lassen. Der für ISO27001-Zertifizierungen verbindliche Auditstandard ISO27006 umfasst zwar mit gut 30 Seiten nur einen Bruchteil der entsprechenden Standards der Finanzprüfer. Aber sogar der ISO27006 enthält klare Mindestanforderungen an die Planung, Vorbereitung und Durchführung von ­ISMS-Audits sowie z.B. an die interne Organisation des Audit-Unternehmens oder an die benötigten Fachkenntnisse der Auditoren. Und dennoch werden je nach kulturellem Hintergrund der Auditoren (Arbeitgeber, Branche des Kunden, Land usw.) diese wenigen Vorgaben höchst unterschiedlich interpretiert, so dass sich die Prüfungsaufwände sehr stark unterscheiden. Erst aufgrund unserer Intervention aus der Schweiz hat sich sogar die ISO-Organisation im Jahr 2007 aufgerafft, minimale Auditzeiten vorzugeben, damit die Ergebnisse vergleichbarer würden. Eine weitere Schweizer «Erfindung» war eine Tabelle mit Hinweisen, ob die aufgeführten Kontrollen eher organisatorischer oder technischer Natur waren und wie sie daher geprüft werden können.


Um die Qualität der ISMS-Audits weiter zu verbessern, haben in den letzten Monaten einige Schweizer ISMS-Experten unter der Leitung von Peter Weiss eine neue Hilfestellung erarbeitet: Für jede der Kontrollen (Sicherheitsmassnahmen) sind ein paar Beispiele typischer Nachweise aufgeführt, welche dann beim Audit überprüft werden könnten (siehe Tabelle auf Rückseite). Die Idee haben wir aus der Finanzprüfung übernommen, wo zur Harmonisierung von jährlich mehreren Hundert Prüfungen der generellen IT-Kontrollen in den Prüfprogrammen der IT-Prüfer jeweils die erforderlichen typischen Nachweise aufgeführt wurden. Dank dieser sehr hilfreichen Vorgaben erhöhte sich die Qualität der Prüfungsergebnisse – und die entsprechenden Prüfungsaufwände nahmen sogar ab!

Noch ist nicht klar, ob unsere Anpassung in die laufende Aktualisierung der ISO-Norm wirklich einfliessen wird. Verschiedene Akteure machen sich grosse Sorgen, die eher bescheidenen Prüfungsaufwände weiter zu erhöhen, da sonst die meist jährlichen Zertifierungsaudits die Wirtschaftlichkeit der zertifizierten Unternehmen stark beeinträchtigen könnten. Zumal werden schon seit einigen Jahren bereits kleinste Lieferanten zu einer aus ihrer Optik wohl unnötigen Zertifizierung gezwungen, deren Aufwände man nicht weiter erhöhen möchte. Dies kann skurrile Auswirkungen haben: Mein diesbezüglich extremstes Beispiel ist eine konkrete Anfrage eines Autositzheizungslieferanten aus dem Ausland, ob ich für ihn einen ISO27001-­Zertifizierungsaudit für € 2000 durchführen würde.

Trotz grossem Verständnis für die Sorgen der kleinen Unternehmen – eigentlich ist der Auftrag klar: Der Zertifizierungsauditor muss im sogenannten Stage 1 Audit die gesamte ISMS-Dokumentation wie Scope und SoA, ISMS-Politik, Risikobericht, Risikobehandlung sowie die Kernelemente des ISMS überprüfen. Für diesen Vor-Audit wird oft ein Budget von maximal einem Tag eingesetzt. Spannend ist dann der Stage 2 Audit: Beim eigentlichen Zertifizierungsaudit sollte der Auditor das Unternehmen besichtigen und dabei die Einhaltung aller Sicherheitsrichtlinien, der Sicherheitsziele und aller Verfahren bestätigen sowie das eigentliche ISMS auf die Konformität mit der ISO-Norm 27001 untersuchen. Zudem muss der Auditor bestätigen, dass das Unternehmen die rund 130 Sicherheitsziele (Control Objectives) wirklich erreicht. Auch wenn man in vielen Fällen von sehr erfahrenen Auditoren ausgehen kann, welche die ISO-Norm sowie ihre Kunden sehr gut kennen: Auch nach 40 Jahren im Revisions-Business finde ich die Erledigung dieser Aufgabe innert der erwähnt kurzen Zeit immer noch erstaunlich.


Ein weiterer – nicht unerheblicher Unterschied – ist die Form der Berichterstattung. Bei einem Zertifizierungsaudit öffentlich ist nur das einseitige Zertifikat. Setzen Kunden ihre zertifizierten Lieferanten oder Provider unter Druck, erhalten sie manchmal unter der Hand den aus wenigen Seiten bestehenden Audit-Bericht – obwohl dies in den meisten Fällen ausdrücklich verboten wäre. Ganz anders bei den ISAE- oder SOC-Prüfungen: Die Kunden erhalten in aller Regel (manchmal nach Zahlung eines Kostenanteils) den gesamten Bericht – darin ist der jeweilige Scope in aller Regel detailliert beschrieben; zudem sind alle Kontrollen sowie die vom Revisoren durchgeführten Prüfungshandlungen klar ersichtlich aufgeführt. Und wo die Prüfungsergebnisse nicht einwandfrei waren, wird dies transparent aufgeführt. Bei den SOC-Prüfungen müssen allfällige Abweichungen sogar im Detail erläutert werden. Die detailliertere Berichtsform ist wohl der offensichtlichste Unterschied zu den ­ISMS-Audits. Auch in Fällen, wo die Prüfungen nur nach schweizerischen oder firmenspezifischen Standards erstellt werden, unterscheidet sich der Umfang und Aussagegehalt eines «klassischen» Revisionsberichtes wesentlich von einem Zertifizierungsaudit.

Zurück zur einleitenden Frage: ­ISMS-Zertifizierungsaudits sind sehr wohl vergleichbar mit eigentlichen IT-Prüfungen: In aller Regel werden Zertifizierungsaudits einen Faktor von 5–10 «schlanker» ausgeführt, und die Prüfungshandlungen sowie Prüfungsergebnisse sind für die Berichtsempfänger nicht verfügbar. Der grosse Kostenvorteil ist wohl ein Grund, warum sich das Top-Management der Lieferanten eher für eine Zertifizierung entscheidet als für eine klassische Prüfung. Und durch die geschickte Wahl des öffentlich bekannten Scope und des SoA (möglicher Ausschluss zahlreicher Kontrollen) kann man die Kosten weiter herunterbringen. Mein Lieblingsbeispiel ist der effektiv durchgeführte ISMS-Audit mit dem Scope «Ganzes Unternehmen – ohne Informationen»; ich habe bis heute nicht verstanden, wie ein Zertifizierungsauditor ein Zertifikat für ein Informations­sicherheitsmanagementsystem (ISMS) ausstellen konnte, wenn alle Informationen im Scope explizit ausgeschlossen wurden.

Nun: letztlich muss jedem Unternehmen – ob auf der Lieferanten- oder Empfängerseite – selber klar werden, für welche Zwecke es welche Art von Audits oder Prüfungen einsetzt.

Der Autor

Peter R. Bitterli,
CISA, CISM, CGEIT, CRISC, CDPSE


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER