goSecurity BLOG

Das berühmte erste Mal ist auch bei den Audits nicht einfach

Das allererste interne ISO 27001 [1] Audit ist für jedes Unternehmen, das sich zertifizieren lassen möchte, etwas Spezielles. Grosse Teile der Dokumentation sind neu, genau so wie die Rollen, welche durch die Beteiligten wahrgenommen werden, und es ist gut möglich, dass beim einen oder anderen Thema während des Aufbau-Projektes gar nicht so klar war, was denn da überhaupt gefordert wird.

Und jetzt ist er da, der erste Audit Tag. Der Auditor sitzt am Tisch, man ist nervös und angespannt, was da nun passiert.

Als erfahrener Auditor kann ich das Abbild der obigen Situation jeweils in den Gesichtern der Kunden lesen. Und da ich eine hohe Dienstleistungsmentalität besitze, bin ich oft gleich von Beginn weg in Versuchung, in einem sanften „Consulting-Modus“ durch das Audit zu führen. Aber darf ich das überhaupt? Was sagt die Norm selbst dazu? Mit dieser Frage wollen wir uns nachfolgend kurz befassen.

Theorie: Was die Norm eigentlich verlangt (Faktenbasis)

Die ISO 27001 fordert in Kapitel 9.2 regelmässige interne Audits. Die Audits haben das Ziel, zu prüfen, ob:

• das ISMS die Anforderungen der eigenen Organisation erfüllt,

• das ISMS die Anforderungen der Norm (ISO 27001) erfüllt,

• das ISMS wirksam ist (in Bezug auf die definierten Vorgaben und deren Umsetzung),

• das ISMS „aufrechterhalten“ wird, was z. B. als kontinuierliche Verbesserung sichtbar ist.

Soweit die Anforderungen aus ISO 27001. Nun gibt es aber auch Anforderungen, die an den Auditor gestellt werden, und diese finden wir im „Leitfaden zur Auditierung von Managementsystemen“, der ISO Norm 19011 [2]. Bereits bei der Begriffsdefinition zu „Audit“ ist klar, wie der Kurs in einem Audit aussehen sollte. Diese lautet: „Prozess zum Erlangen von objektiven Nachweisen und zu deren objektiver Auswertung, um zu bestimmen, inwieweit Auditkriterien erfüllt sind.“

In Kapitel 4 von ISO 19011 werden denn auch gleich als erstes verschiedene Auditprinzipien aufgelistet, an denen sich ein Auditor orientieren sollte:

• Auditoren sollten integer sein, also unparteiisch, sachlich, aber auch sensibel gegenüber jeglichen Einflüssen, die auf ihr Urteilsvermögen einwirken können.

• Auditoren haben die Pflicht, Feststellungen, Beobachtungen und Schlussfolgerungen wahrheitsgemäss und genau zu berichten.

• Auditoren müssen Sorgfalt walten lassen in Bezug auf die Informationen, auf welche sie während eines Audits Zugriff erhalten.

• Auditoren müssen einen ordnungsgemässen Umgang mit sensiblen oder vertraulichen Informationen pflegen.

• Auditoren sollten möglichst unabhängig sein von der Tätigkeit – und im Idealfall sogar von der
  Organisation – die auditiert wird.

• Auditoren müssen sich an verifizierbaren Fakten (z. B. Stichproben) orientieren.

• Auditoren dürfen risikobasiert vorgehen, um je nach Situation gezielt Themen zu auditieren, welche für den Auditauftraggeber wichtig sind.

Langer Rede kurzer Sinn: Unabhängigkeit und Objektivität sind die Stichworte, die obige Anforderungen kurz und prägnant zusammenfassen.

Wie alle Leser wissen, die sich mit ISO-Normen befassen – die Theorie ist in der Regel schnell verstanden. Aber wie sieht es nun mit der Umsetzung in der Praxis aus? Nun, das ist oft ein ganz anderes Thema.

Realität: Das erste interne Audit ist kein „klassisches Audit“

Die Realität besteht beim ersten internen Audit darin, dass man oft schon in Kapitel 4 der Norm ISO 27001 (dieses Kapitel trägt den Titel “Kontext der Organisation”) zuerst einige Begriffe nochmals erklären muss, damit sie von den Teilnehmern (hier ja meist Mitglieder der obersten Leitung, z. B. CEO oder auch CFO) korrekt verstanden werden. Wird ein Begriff missverstanden, sind die Antworten dazu meist falsch. Und das will man als Auditor ja vermeiden.

Da muss man dann vielleicht erklären, dass es auch innerhalb einer Organisation interessierte Parteien gibt, warum es in einem Anwendungsbereich Schnittstellen gibt und warum in den Rollenbeschreibungen auch das HR vertreten sein muss. Und je nachdem, wie gut der Auditor das erklärt und wie viel Zeit das Management mit dem Aufbau des ISMS verbracht hat, können solche Erklärungen ganz schön viel Zeit in Anspruch nehmen. Der Auditor sieht dann schon am ersten Morgen seinen Audit-Zeitplan davonrennen.

Dazu kommt, dass vielerorts fleissig an der notwendigen Dokumentation gearbeitet wird, sich aber niemand Gedanken dazu macht, wie denn eigentlich der Prozess aussehen muss, damit die Vorgaben in der Dokumentation überhaupt angewendet werden können. Ein Beispiel dazu sind die beiden Controls A.5.7 (Informationen über die Bedrohungslage) und A.8.8 (Handhabung von technischen Schwachstellen), welche beide prozesstechnisch ineinandergreifen. Versucht man, das beim Aufbau eines ISMS mit zwei unterschiedlichen Richtlinien abzubilden, kann zwischen den beiden Controls eine gefährliche Lücke entstehen und wertvolle Informationen gehen womöglich verloren.

Oft stellt man auch fest, dass der Zeitpunkt für das erste Audit zu früh angesetzt wurde. Das erkennt der Auditor meist daran, dass zahlreiche Dokumente weder freigegeben noch fertiggestellt sind, Risiken nicht bewertet wurden, die Erklärung der Anwendbarkeit unvollständig ist usw. Dies kann die Folge eines engen Zeitplans sein, der vielleicht von der obersten Leitung (oder von externen, interessierten Parteien) vorgegeben wurde, oder – im schlechtesten Fall – die Folge eines nicht seriös durchgeführten Projekts.

„Zart“ auditieren – Argumente, die dafür sprechen

Begegnet man also als Auditor der obigen Realität, so merkt man schnell, welcher Reifegrad in dieser Organisation vorhanden ist. Diesen Reifegrad gilt es unbedingt zu berücksichtigen, denn das Auditresultat soll ja dem Auftraggeber helfen, sein ISMS weiter zu verbessern. Und auch der Leitfaden ISO 19011 betont immer wieder, dass das Vorgehen während des Audits stets der Organisation und der Komplexität angemessen sein sollte.

Eine ganz wichtige Anforderung finden wir nicht zuletzt in Kapitel 6.4.10 e) der ISO 19011, denn dort heisst es: „Darstellung der Auditfeststellungen und -schlussfolgerungen derart, dass sie verstanden und von der Leitung der auditierten Organisation anerkannt werden.“ Dieses Verständnis kann ich als Auditor nur erreichen, wenn ich von Beginn weg darauf achte, dass die Fragen und die Beurteilung der Nachweise bereits während des Audits verstanden werden. Auch das Aussprechen von Empfehlungen oder Nichtkonformitäten sollte bereits während des Audits verstanden werden.

Wenn der Auditor es schafft, seine Moderation durch das Audit entsprechend mit Erklärungen z. B. zum Gesamtkontext oder auch zu vernetzten Themen anzureichern, wird er von den Teilnehmern eine viel höhere Akzeptanz erhalten, als wenn er dieses als „Frage- + Antwortorgie“ absolviert. Ausserdem kann er allen Teilnehmern so den tieferen Sinn des Audits vermitteln, und das Interview-Klima wird während des Audits ein viel angenehmeres sein.

Nicht zuletzt will ein Auditor auf jeden Fall vermeiden, dass eine Angstkultur während des Audits entsteht. Dann wird er nämlich keine offenen Antworten mehr erhalten. Im Gegenteil, es besteht sogar die Gefahr, dass die Teilnehmer bewusst Antworten verfälschen, um ja kein negatives Feedback des Auditors zu erhalten. Der Nutzen eines solchen Audits wäre dann am Ende mehr als fraglich.

Die rote („harte“) Linie: Was ein Auditor NICHT darf

Bei allem Verständnis für die Teilnehmer und bei aller Mühe, die man in Erklärungen investiert – es gibt eine rote Linie, die ein Auditor niemals überschreiten darf. Das würde dann geschehen, wenn er seine Objektivität und seine Unabhängigkeit aufgeben würde. Das könnte wie folgt passieren:

• Wenn der Auditor beginnt, Lösungen vorzugeben („Ihr müsst die Richtlinie so schreiben”, “Diesen Prozess müsst Ihr so definieren”, etc.)

• Wenn der Auditor selbst aktiv wird („Ich sende Euch nachher die passende Checkliste”, „Ich erledige den Task für Euch“, etc.)

Es ist nur verständlich, wenn in einem angenehmen Audit-Klima die Teilnehmer den Auditor immer wieder fragen: „Wie machen wir denn das am besten?” oder „Was für ein Dokument brauchen wir dafür?“. Hier muss sich der Auditor dann an seine Grenzen erinnern, und er sollte dies den Fragestellern entsprechend erklären.

Darf man die Grenze „verschieben“?

Bleiben wir gleich beim Thema. Wie oben beschrieben können Erklärungen bei Bedarf wesentlich zum Nutzen eines Audits beitragen. Was mache ich denn nun als Auditor, wenn Fragen wie im obigen Kapitel erwähnt auftauchen? Patzige Antworten wie „Das findet ihr schon selbst heraus” oder „Lest halt die Norm richtig“ wären nicht nur respektlos, sondern würden in Sekunden das gute Klima in sich zusammenfallen lassen. Was habe ich also für Möglichkeiten? Ganz einfach: gute Fragen stellen, deren Antwort den Teilnehmern leichtfällt oder bei denen schnell „der Groschen fällt“, ohne dass man eine Lösung vorgeben muss.

Vergessen wir nicht – oft gibt es bei der Implementierung von Prozessen oder beim Schreiben von Richtlinien kein explizites Richtig oder Falsch. Mit Fragen verhindere ich also nicht nur, dass die Teilnehmer meine Antwort als Auditor als Gesetz nehmen, sondern ich rege auch den Denkprozess an, wodurch eine echte Chance besteht, dass die Teilnehmer selber auf eine Lösung kommen, die perfekt auf ihre Organisation passt. Das können mitunter ganz einfache Fragen sein, wie z. B.:

• „Denkt Ihr, dass Eure Mitarbeiter Eure Vorgaben verstehen, wenn hier nur zwei Bullet Points notiert sind?“

• „Seid Ihr sicher, dass der SiBe (der Sicherheits-Beauftragte) anhand dieser wenigen Vorgaben versteht, wie er den Incident bewerten muss, wenn der CISO in den Ferien ist?“

• „Wisst Ihr beim nächsten Risiko-Workshop noch, was Ihr zu diesem Risiko diskutiert habt, wenn Ihr das nicht kommentiert?“

Die Antworten bei diesen Beispielen dürften naheliegend sein, und wahrscheinlich ist den Teilnehmern auch schnell klar, was sie ergänzen oder korrigieren müssen.

Eine andere Variante der Hilfestellung wäre das Anbringen von Beispielen. Ein Auditor könnte zu einem schwierigen Thema ein oder zwei Beispiele aus anderen Audits anführen, die er dort vorgefunden hat. Beispiele können für die Ideenfindung sehr unterstützend sein. Dies ist allerdings mit etwas Vorsicht zu geniessen, denn falsch gewählte Beispiele könnten mehr verwirren als nützlich sein.

Fazit – „Hart oder zart?“

Mein persönliches Fazit lautet: Ja, man darf als Auditor „zart“ mit den Teilnehmern umgehen. Man darf erklären, man darf zusätzliche Fragen stellen, man darf nachhaken, wenn etwas nicht verstanden wird.
Aber man muss „hart“ (oder eben objektiv und unabhängig) sein, wenn es um den eigentlichen Prüfvorgang geht. Ist eine Nichtkonformität offensichtlich, muss man sie deklarieren und aussprechen – und erklären.

Ich habe schon Kunden erlebt, die wollten unbedingt das erste Audit ohne Nichtkonformität bestehen, und waren dementsprechend enttäuscht, als sie das nicht geschafft haben. Dies ist leider ein Fehler, der immer wieder in ISMS-Aufbauprojekten zu beobachten ist. Es geht nicht darum, gleich von Beginn weg 100 % perfekt zu sein (was ehrlicherweise in der Realität ohnehin nicht möglich ist aufgrund der vielen Unbekannten, die während eines solchen Projekts überall lauern). Sondern es geht darum, die letzten Schwachstellen zu entdecken, die womöglich im ISMS noch nicht abgedeckt wurden, und es geht auch darum, die eigene Auditfähigkeit zu erlernen. Ich erkläre meinen Teilnehmern am Ende eines Audits immer: Jede Nichtkonformität ist eine ausgezeichnete Chance zur Verbesserung!

Und zuletzt könnte man sogar sagen: „Ein gutes erstes Audit erkennt man nicht an wenigen Findings – sondern daran, dass die Organisation danach weiss, was zu tun ist.“

Quellen

[1] ISO 27001: Standard für den Aufbau und Betrieb eines ISMS zur Steuerung von Informationssicherheit,
Cybersicherheit und Datenschutz

[2] ISO 19011: Leitfaden zur Auditierung von Managementsystemen