Auf einen Blick
Das IT-Sicherheitsaudit ist ein wesentliches Instrument, um die Sicherheitsposition von Technologiepartnern objektiv zu überprüfen und über vertragliche Erklärungen hinauszugehen. Vorschriften wie NIS2, die DSGVO und DORA schreiben diese Audits für die Sicherheit der Lieferkette vor und sehen Sanktionen bei Nichteinhaltung vor. Es ist entscheidend, das Audit zu planen, indem Umfang und Methodik definiert werden, wobei zwischen internen, externen oder hybriden Ansätzen gewählt wird. Ziel ist es, reale Lücken zu identifizieren, die allein durch die Dokumentenanalyse nicht erkennbar wären.
Hintergrund
Das IT-Sicherheitsaudit von Partnersystemen ist ein strukturierter operativer Prozess zur objektiven Überprüfung der Sicherheitsposition eines IT-Anbieters, der über vertragliche Erklärungen (SLA) und Bewertungsfragebögen hinausgeht. Es handelt sich nicht um einen Selbsteinschätzungsfragebogen, eine Dokumentenprüfung oder ein einfaches Gespräch, sondern um eine objektive und messbare Überprüfung, die mit anerkannten Methoden durchgeführt wird und konkrete Nachweise liefert. Ziel ist es, signifikante Lücken in selbst zertifizierten Systemen aufzudecken, wie z.B. nicht operative Kontrollen oder nicht angewendete Richtlinien, die allein aus der Dokumentenanalyse nicht hervorgehen.
Die Notwendigkeit solcher Audits ist explizit und gesetzlich vorgeschrieben. Die NIS2-Richtlinie, in Art. 21, schreibt die Sicherheit der Lieferkette vor, und die ENISA-Leitlinien empfehlen regelmäßige Audits für kritische Anbieter. DORA sieht das Recht auf Zugang, Inspektion und Audit bei kritischen IKT-Anbietern als obligatorischen Vertragsbestandteil vor. Die DSGVO, in Art. 28 Abs. 3 Buchstabe h), verlangt, dass Verträge mit Auftragsverarbeitern die Möglichkeit für den Verantwortlichen enthalten, Audits und Inspektionen durchzuführen. Die Nichteinhaltung dieser Pflichten kann zu Sanktionen führen.
Die Planung des Audits ist entscheidend und umfasst die Definition des Umfangs (basierend auf der Klassifizierung des Anbieters und den für den Kunden verwalteten Diensten) sowie die Wahl der Methodik (intern, extern oder hybrid). Der Umfang kann beispielsweise für einen CSP die Verwaltung von Identitäten und Zugängen zum Tenant, die Netzwerkkonfiguration, Backups, Logging und Incident Management umfassen. Für einen MSP/MSSP erstreckt er sich auf Remote-Zugriffstools und Patch-Management, während sich bei On-Premise-Software der Fokus auf den sicheren Entwicklungsprozess und das Schwachstellenmanagement richtet. Die interne Methodik ist schneller und für mittlere Risiken geeignet, während die externe, von unabhängigen Prüfern durchgeführte, eine größere Objektivität bietet und für kritische Anbieter sowie spezifische regulatorische Anforderungen wie DORA empfohlen wird.
Warum es wichtig ist
Das IT-Sicherheitsaudit ist von grundlegender Bedeutung, da es eine unumgängliche gesetzliche Pflicht darstellt, die von Schlüsselvorschriften wie der NIS2-Richtlinie (die die Sicherheit der Lieferkette erfordert), der DSGVO (die in Art. 28 dem Verantwortlichen auferlegt, die Zuverlässigkeit des Auftragsverarbeiters zu überprüfen) und DORA (die spezifische Auditrechte für Finanzunternehmen gegenüber kritischen IKT-Anbietern vorsieht) auferlegt wird. Die Nichtdurchführung solcher Überprüfungen kann zu erheblichen Sanktionen führen.
Diese Audits ermöglichen es, reale Risiken, die aus der Abhängigkeit von Technologiepartnern entstehen, zu identifizieren und zu mindern, indem sie Schwachstellen und Sicherheitslücken aufdecken, die Zertifizierungen und Selbstzertifizierungen nicht erkennen können. Sie stellen sicher, dass die deklarierten Sicherheitskontrollen tatsächlich implementiert und operativ sind und einen konkreten Schutz von Daten und Systemen gewährleisten. Sie tragen zur Einhaltung von Standards wie ISO 27001 bei, indem sie ein strukturiertes Lieferantensicherheitsmanagement erfordern und die allgemeine Position der Organisation gegenüber Cyberbedrohungen stärken.
Was zu tun ist
- Objektive und systematische IT-Sicherheitsaudits bei Technologiepartnern durchführen.
- Jedes Audit sorgfältig planen, den Umfang definieren und den Anbieter nach den verwalteten Systemen, Prozessen und Daten klassifizieren.
- Die am besten geeignete Audit-Methodik (intern, extern oder hybrid) entsprechend dem Anbieterrisiko und den spezifischen Zielen auswählen.
- Sicherstellen, dass die Verträge mit den Auftragsverarbeitern Klauseln enthalten, die dem Verantwortlichen das Recht zur Durchführung von Audits und Inspektionen einräumen.
- Einen operativen Zyklus implementieren, der einen detaillierten Bericht, einen Sanierungsplan und ein Follow-up mit konkreten Nachweisen umfasst.
Was zu vermeiden ist
- Sich ausschließlich auf Selbsteinschätzungsfragebögen oder die Dokumentenprüfung von Zertifizierungen (z.B. ISO 27001, SOC 2, SIG) verlassen.
- Die Durchführung regelmäßiger Audits bei kritischen Anbietern vernachlässigen und damit die NIS2-, DSGVO- und DORA-Pflichten nicht einhalten.
- Einen zu breiten und unübersichtlichen oder zu engen Audit-Umfang definieren, der exponierte Bereiche außer Acht lässt.
- Audits als bloße Empfehlungen betrachten und die Sanktionsfolgen bei Nichteinhaltung ignorieren.
Praktische Auswirkungen
Organisationen müssen sich einer erhöhten Komplexität im Lieferkettenmanagement stellen, wobei die Überprüfung von Partnern von einer bewährten Praxis zu einer strengen rechtlichen Verpflichtung wird. Dies impliziert die Notwendigkeit, spezifische Ressourcen, Kompetenzen und Budgets für die Planung und Durchführung von IT-Sicherheitsaudits bereitzustellen. Es ist unerlässlich, die Verträge mit Lieferanten, insbesondere mit Auftragsverarbeitern und kritischen IKT-Anbietern, zu überprüfen, um die Aufnahme der von der DSGVO und DORA vorgesehenen Auditklauseln sicherzustellen. Das Fehlen eines strukturierten Auditprogramms setzt die Organisation erheblichen Betriebsrisiken und potenziellen Sanktionen wegen Nichteinhaltung der Vorschriften aus.
Zu vermeidende Fehler
- Die Auswirkungen von Vorschriften wie NIS2 und DORA auf das Lieferantenmanagement und die Notwendigkeit obligatorischer Audits unterschätzen.
- Eine Zertifizierung (z.B. ISO 27001) oder einen Bericht (z.B. SOC 2) mit einer direkten und objektiven Betriebsüberprüfung verwechseln.
- Kein angemessenes Budget und keine spezialisierten Ressourcen für die Durchführung von IT-Sicherheitsaudits bereitstellen.
- Den Auditprozess, die Ergebnisse, die Sanierungspläne und die Follow-up-Nachweise nicht dokumentieren.
Fragen zur Selbsteinschätzung
- Haben wir ein strukturiertes Programm zur Durchführung von IT-Sicherheitsaudits bei unseren Technologiepartnern, das den geltenden Vorschriften entspricht?
- Enthalten unsere Verträge mit IT-Dienstleistern, insbesondere jenen, die personenbezogene Daten verarbeiten, Klauseln, die uns die Durchführung von Audits und Inspektionen ermöglichen?
- Wie klassifizieren wir unsere Anbieter nach Sicherheitsrisiko und Servicekritikalität, um die Überprüfungen zu priorisieren?
- Verfügen wir über die internen Kompetenzen und Ressourcen, um objektive IT-Sicherheitsaudits durchzuführen, oder müssen wir uns auf externe, unabhängige Fachleute verlassen?
- Wie verwalten und überprüfen wir die Umsetzung von Sanierungsplänen und Korrekturmaßnahmen, die sich aus den Auditergebnissen ergeben?
Verweise
Nationales Recht: GDPR art. 28 comma 3 lettera h · Direttiva NIS2 art. 21 · DORA · ISO/IEC 27001 · Linee guida ENISA sul rischio supply chain
Zum Originalartikel auf Cybersecurity360 ↗
Lesen Sie auch
- PL Consulting und Studio Pfeifer & Partners: Pioniererfolg mit ISO 9001 und BIM 11 Jul 2026
- Die Rolle des DSB: Wann er Pflicht ist und warum er strategisch für Ihr Unternehmen ist 11 Jul 2026
- Chatkontrolle in Europa: Vorschlag, Debatte und Implikationen für Datenschutz und Cybersicherheit 10 Jul 2026
