Strukturierter
NIS-Prüfungsansatz

Im Vorfeld des Auftrags werden verschiedene, wesentliche Eckpunkte mit dem potentiellen Auftraggeber definiert und schriftlich festgehalten. Zu diesen Eckpunkten gehören benötigte Dokumente (z.B. Vertraulichkeitsvereinbarung), die Definition eines Single Point of Contact (SPOC), die Festlegung der Kommunikationswege, sowie die Definition der Verschlüsselungsparameter.

Grobplanung und Scoping

In diesem Schritt stellt der potentielle Auftraggeber Detailinformationen zu Anzahl und Größe der NIS-betroffenen Unternehmensstandorte und –teile zur Verfügung. In Abstimmung mit dem potentiellen Kunden wird ein detailliertes Scoping des Audits vorgenommen. Das beinhaltet u.a. eine Plausibilitätssprüfung, Berücksichtigung des Vollständigkeitsansatzes, sowie eine Aufwandsverteilung. Die zeitliche Ausdehnung, Termine und Milestones werden grob definiert und festgehalten. In diesem Zusammenhang wird auch festgelegt, ob ein Kombinationsaudit mit unserem harmonisierten Prüfansatz durchgeführt werden soll. Zusätzlich zur NIS-Prüfung durch uns als qualifizierte Stelle können wir Ihnen eine ISO-27001-Zertifizierung Ihres ISMS anbieten.

Anhand der Hintergrund- und Scope-Informationen aus dem vorigen Prozessschritt wird ein detailliertes, verbindliches Angebot erstellt. Bei Angebotsannahme durch den Auftraggeber wird der nächste Prozessschritt eingeleitet.

Anhand von Information aus früheren Schritten wird ein detailliertes Prüfprogramm ausgearbeitet und ein Prüferteam festgelegt, wobei individuelle Schwerpunkte der Prüfer berücksichtigt werden. In der Vorbereitungsphase wird eine Detailplanung inklusive eines genauen Zeitplans erstellt. Diese wird seitens des Auftraggebers abgenommen, um eine fristgerechte Erfüllung der Prüfung gewährleisten zu können. Zudem werden neben der Beauftragung erforderliche Zusatzerlaubnisse eingeholt (z.B. Permission to Attack – PTA).

Organisatorische Sicherheitsprüfung

ISMS/CSMS (Cyber Security Management System im OT-Bereich) werden anhand der Erkenntnisse aus früheren Stufen geprüft. Die Prüfmethode berücksichtigt dabei die Domänen gemäß NIS-Verordnung und orientiert sich an etablierten Standards wie ISO 27001 und IEC 62443, sofern bei der jeweiligen Prüfung zutreffend.

Die folgende Aufstellung zeigt einen gängigen Ansatz zur Prüfung von Information Security Management Systems (ISMS) gemäß ISO 27001 (Stage 1/Stage 2 Audit):

• Stage 1: Dokumentenaudit (Sichtung der verpflichtenden Dokumente)
• Stage 2: Konformitätsaudit (Überprüfung der Effektivität des ISMS mittels Interviews und Stichproben) 

Technische Sicherheitsprüfung

Für technische Sicherheitsprüfungen orientieren wir uns an gängigen Standards und Best Practice Guidelines wie zum Beispiel dem OWASP Testing Guide des Open Web Application Security Projects.

Auditdauer und Stichproben

Für die Auditdauer und den Umfang von Stichproben orientieren wir uns an ISO/IEC 27006.

Gefahr im Verzug

Sollte Gefahr im Verzug vorliegen, werden wir unverzüglich über unsere Erkenntnisse berichten, damit nicht auf den Bericht gewartet, sondern umgehend etwaige Maßnahmen ergriffen werden können.

Risikobewertung

Sowohl die organisatorischen, als auch die technischen Risiken, die sich aus den Findings ergeben, werden bewertet und in geeigneter Form dargestellt.

Unsere Empfehlungen werden in Form eines schriftlichen Berichts mit Management Summary, Risikobewertung, Priorisierung und möglichen Gegenmaßnahmen dargelegt und gerne auch vor Ort präsentiert und durchgesprochen. Der Finalbericht wird an die zuständige Stelle übermittelt.

• Archivierung: Berichte und gegebenenfalls Evidenzen werden revisionssicher archiviert, wozu eine zusätzliche Container-Verschlüsselungslösung genutzt wird.
• Datenlöschung: Zu löschende Daten werden durch Überschreiben/„Wiping“ sicher gelöscht.
• Feedback-Bogen: Zur laufenden Qualitätssteigerung wird der Auftraggeber um das Ausfüllen eines Feedback-Bogens ersucht. Hierbei wird der Auftraggeber um Rückmeldung hinsichtlich der Prüfungsleistung gebeten, die zur internen Qualitätssteigerung und laufenden Verbesserung herangezogen wird.
• Lessons Learned: Im Zuge der Prüfung gewonnene Informationen werden zur internen Verbesserung und Qualitätssteigerung genutzt. Neben dem Feedback vom Auftraggeber werden dazu auch Rückmeldung unserer Prüfer sowie allenfalls sonstige im Rahmen der Prüfung gewonnene Erkenntnisse zur Verbesserung unserer Leistung einbezogen und gegebenenfalls entsprechende Verbesserungsmaßnahmen eingeleitet.