Salta al contenuto
PL Consulting
IT DE
Mit einem Berater sprechen

← Alle News

News

IT-Sicherheitsaudit für Technologiepartner: Methoden und Pflichten

16. Juni 2026

Quelle Cybersecurity360 ↗

Auf einen Blick

Das IT-Sicherheitsaudit ist ein wesentliches Instrument, um die Sicherheitshaltung von Technologiepartnern objektiv zu überprüfen und über vertragliche Erklärungen hinauszugehen. Vorschriften wie NIS2, die DSGVO und DORA schreiben diese Audits für die Sicherheit der Lieferkette vor und sehen Sanktionen bei Nichteinhaltung vor. Es ist entscheidend, das Audit durch die Definition von Umfang und Methodik zu planen und dabei zwischen internen, externen oder hybriden Ansätzen zu wählen. Ziel ist es, reale Lücken zu identifizieren, die durch eine reine Dokumentenanalyse nicht erkennbar wären.

Hintergrund

Das IT-Sicherheitsaudit von Partnersystemen ist ein strukturierter operativer Prozess zur objektiven Überprüfung der Sicherheitshaltung eines IT-Anbieters, der über vertragliche Erklärungen (SLA) und Bewertungsfragebögen hinausgeht. Es handelt sich nicht um einen Fragebogen zur Selbsteinschätzung, eine Dokumentenprüfung oder ein einfaches Gespräch, sondern um eine objektive und messbare Überprüfung, die mit anerkannten Methoden durchgeführt wird und konkrete Nachweise liefert. Ziel ist es, signifikante Lücken in auch zertifizierten Systemen aufzudecken, wie z.B. nicht operative Kontrollen oder nicht angewandte Richtlinien, die aus der bloßen Dokumentenanalyse nicht hervorgehen.

Die Notwendigkeit solcher Audits ist explizit und gesetzlich vorgeschrieben. Die NIS2-Richtlinie schreibt in Art. 21 die Sicherheit der Lieferkette vor, und die ENISA-Leitlinien empfehlen regelmäßige Audits für kritische Anbieter. DORA sieht das Recht auf Zugang, Inspektion und Audit bei kritischen IKT-Anbietern als obligatorisches Vertragsbestandteil vor. Die DSGVO verlangt in Art. 28 Abs. 3 Buchst. h), dass Verträge mit Auftragsverarbeitern die Möglichkeit für den Verantwortlichen vorsehen, Audits und Inspektionen durchzuführen. Die Nichteinhaltung dieser Pflichten kann zu Sanktionen führen.

Die Auditplanung ist entscheidend und umfasst die Definition des Umfangs (basierend auf der Klassifizierung des Anbieters und den für den Kunden verwalteten Diensten) sowie die Wahl der Methodik (intern, extern oder hybrid). Der Umfang kann beispielsweise für einen CSP die Verwaltung von Identitäten und Zugängen zum Tenant, die Netzwerkkonfiguration, Backups, Protokollierung und Incident-Management umfassen. Für einen MSP/MSSP erstreckt er sich auf Fernzugriffstools und Patch-Management, während er sich bei On-Premise-Software auf den sicheren Entwicklungsprozess und das Schwachstellenmanagement konzentriert. Die interne Methodik ist schneller und für mittlere Risiken geeignet, während die externe, von unabhängigen Auditoren durchgeführte Methode, eine höhere Objektivität bietet und für kritische Anbieter sowie spezifische regulatorische Anforderungen wie DORA empfohlen wird.

Warum es wichtig ist

Das IT-Sicherheitsaudit ist von grundlegender Bedeutung, da es eine unvermeidliche gesetzliche Verpflichtung darstellt, die durch Schlüsselvorschriften wie die NIS2-Richtlinie, welche die Sicherheit der Lieferkette fordert, die DSGVO, welche in Art. 28 dem Verantwortlichen die Überprüfung der Zuverlässigkeit des Auftragsverarbeiters auferlegt, und DORA, welche spezifische Auditrechte für Finanzunternehmen bei kritischen IKT-Anbietern vorsieht, auferlegt wird. Die Nichtdurchführung solcher Überprüfungen kann zu erheblichen Sanktionen führen.

Diese Audits ermöglichen es, reale Risiken zu identifizieren und zu mindern, die aus der Abhängigkeit von Technologiepartnern entstehen, indem sie Schwachstellen und Sicherheitslücken aufdecken, die Zertifizierungen und Selbsterklärungen nicht erkennen können. Sie stellen sicher, dass die deklarierten Sicherheitskontrollen tatsächlich implementiert und betriebsbereit sind, wodurch ein konkreter Schutz von Daten und Systemen gewährleistet wird. Sie tragen zur Einhaltung von Standards wie ISO 27001 bei, indem sie ein strukturiertes Lieferantensicherheitsmanagement erfordern und die gesamte Haltung der Organisation gegen Cyberbedrohungen stärken.

Was zu tun ist

  • Objektive und systematische IT-Sicherheitsaudits bei Technologiepartnern durchführen.
  • Jedes Audit sorgfältig planen, den Umfang definieren und den Anbieter basierend auf den verwalteten Systemen, Prozessen und Daten klassifizieren.
  • Die am besten geeignete Auditmethodik (intern, extern oder hybrid) basierend auf dem Anbieterrisiko und den spezifischen Zielen auswählen.
  • Sicherstellen, dass Verträge mit Auftragsverarbeitern Klauseln enthalten, die dem Verantwortlichen das Recht einräumen, Audits und Inspektionen durchzuführen.
  • Einen operativen Zyklus implementieren, der einen detaillierten Bericht, einen Sanierungsplan und ein Follow-up mit konkreten Nachweisen umfasst.

Was zu vermeiden ist

  • Sich ausschließlich auf Selbsteinschätzungsfragebögen oder die Dokumentenprüfung von Zertifizierungen (z.B. ISO 27001, SOC 2, SIG) verlassen.
  • Die Durchführung regelmäßiger Audits bei kritischen Anbietern vernachlässigen und damit den NIS2-, DSGVO- und DORA-Pflichten nicht nachkommen.
  • Einen zu breiten und zerstreuten oder zu engen Audit-Umfang definieren, wodurch exponierte Bereiche übersehen werden.
  • Audits als bloße Empfehlungen betrachten und die Sanktionsfolgen bei Nichteinhaltung ignorieren.

Praktische Auswirkungen

Organisationen müssen eine erhöhte Komplexität im Lieferkettenmanagement bewältigen, wobei die Überprüfung von Partnern von einer bewährten Praxis zu einer strengen gesetzlichen Verpflichtung wird. Dies impliziert die Notwendigkeit, spezifische Ressourcen, Kompetenzen und Budgets für die Planung und Durchführung von IT-Sicherheitsaudits bereitzustellen. Es ist entscheidend, Verträge mit Anbietern, insbesondere mit Auftragsverarbeitern und kritischen IKT-Anbietern, zu überprüfen, um die Aufnahme der von der DSGVO und DORA vorgesehenen Auditklauseln sicherzustellen. Das Fehlen eines strukturierten Auditprogramms setzt die Organisation erheblichen Betriebsrisiken und potenziellen Sanktionen wegen Nichteinhaltung gesetzlicher Vorschriften aus.

Zu vermeidende Fehler

  • Die Auswirkungen von Vorschriften wie NIS2 und DORA auf das Lieferantenmanagement und die Notwendigkeit obligatorischer Audits unterschätzen.
  • Eine Zertifizierung (z.B. ISO 27001) oder einen Bericht (z.B. SOC 2) mit einer direkten und objektiven Betriebsüberprüfung verwechseln.
  • Kein ausreichendes Budget und keine spezialisierten Ressourcen für die Durchführung von IT-Sicherheitsaudits bereitstellen.
  • Den Auditprozess, die Ergebnisse, die Sanierungspläne und die Follow-up-Nachweise nicht dokumentieren.

Fragen zur Selbsteinschätzung

  • Haben wir ein strukturiertes Programm zur Durchführung von IT-Sicherheitsaudits bei unseren Technologiepartnern, das den geltenden Vorschriften entspricht?
  • Enthalten unsere Verträge mit IT-Dienstleistern, insbesondere solchen, die personenbezogene Daten verarbeiten, Klauseln, die uns die Durchführung von Audits und Inspektionen ermöglichen?
  • Wie klassifizieren wir unsere Anbieter nach Sicherheitsrisiko und Servicekritikalität, um Überprüfungen zu priorisieren?
  • Verfügen wir über die internen Kompetenzen und Ressourcen, um objektive IT-Sicherheitsaudits durchzuführen, oder müssen wir uns auf unabhängige externe Fachleute verlassen?
  • Wie verwalten und überprüfen wir die Umsetzung der Sanierungspläne und die Korrekturmaßnahmen, die sich aus den Auditergebnissen ergeben?

Verweise

Nationales Recht: GDPR art. 28 comma 3 lettera h · Direttiva NIS2 art. 21 · DORA · ISO/IEC 27001 · Linee guida ENISA sul rischio supply chain

Zum Originalartikel auf Cybersecurity360 ↗