Schutz von Informationssystemen während der Auditprüfung
Was fordert dieses Control?
A.8.34 erfordert, dass Informationssysteme während einer Auditprüfung angemessen geschützt werden. Dies bedeutet, dass jeglicher Zugriff auf Systeme und Daten streng kontrolliert wird, um Manipulationen oder unautorisierten Zugang während der Überprüfung zu vermeiden. Typische betroffene Assets sind Server, Datenbanken und Netzwerkinfrastruktur. Es müssen technische und organisatorische Maßnahmen vorhanden sein, um die Integrität und Vertraulichkeit der Daten während des Audits sicherzustellen. Kopexa unterstützt Dich dabei, indem es automatische Gap-Analysen durchführt, Maßnahmen mit Deadlines und Verantwortlichen trackt und Dir einen klaren Überblick über den Umsetzungsfortschritt bietet.
Cross-Standard Mapping
Eine Maßnahme — mehrere Standards gleichzeitig erfüllt
| Standard | Control-ID | Titel | Relevanz | Vergleich |
|---|---|---|---|---|
| BSI IT-Grundschutz | DER.3.1 | Audits und Revisionen | Direkt | Vergleich |
Warum ist das wichtig?
Ignorierst Du A.8.34, riskierst Du, dass sensible Informationen manipuliert oder unbefugt eingesehen werden, was nicht nur die Audit-Ergebnisse verfälscht, sondern auch zu schwerwiegenden Sicherheitsvorfällen führen kann. Dies kann zu rechtlichen Konsequenzen und einem Vertrauensverlust bei Kunden führen. Durch die Einhaltung dieser Kontrolle werden gleichzeitig Anforderungen aus dem BSI IT-Grundschutz (DER.3.1) erfüllt, was Deine Compliance-Last reduziert und das Risiko von Auditfehlern minimiert.
Was der Auditor sehen will
- 1
Protokollierte Zugriffsrechte
Der Auditor erwartet, dass Zugriffsrechte auf alle betroffenen Systeme dokumentiert und protokolliert sind. Dies umfasst auch die Aufzeichnung von Änderungen.
- 2
Richtlinie zur Audit-Sicherheit
Eine dokumentierte Richtlinie, die beschreibt, wie Systeme während Audits abgesichert werden, ist erforderlich. Diese sollte regelmäßig aktualisiert werden.
- 3
Nachweis der Maßnahmenumsetzung
Belege, dass die vorgeschlagenen Schutzmaßnahmen tatsächlich implementiert wurden, z. B. durch Change-Logs oder Sicherheitsberichte.
- 4
Vertraulichkeitsvereinbarungen
Bestätigungen, dass alle Beteiligten an der Auditprüfung eine Vertraulichkeitsvereinbarung unterzeichnet haben.
Praxis-Tipps zur Umsetzung
Starte mit einem Policy-Template
Verwende ein bestehendes Template für Sicherheitsrichtlinien, um Zeit zu sparen. Passen es an die spezifischen Anforderungen Deiner Organisation an.
Nutze Zugriffsmanagement-Tools
Implementiere Tools wie AWS IAM oder Azure AD, um Zugriffsrechte während des Audits effizient zu verwalten und zu überwachen.
Trainiere Dein Audit-Team
Schule alle Beteiligten regelmäßig in den Sicherheitsanforderungen und Prozeduren während eines Audits, um menschliche Fehler zu minimieren.
Automatisiere Protokollierung und Monitoring
Setze auf Lösungen wie Kopexa, um Protokolle und Monitoring zu automatisieren, damit keine manuellen Fehler passieren und alles revisionssicher dokumentiert ist.
Häufige Fehler
Fehlende Aktualisierung der Richtlinien
Oft werden Sicherheitsrichtlinien nicht regelmäßig aktualisiert, was zu veralteten Praktiken führen kann. Stelle sicher, dass Du einen festen Aktualisierungszyklus hast.
Unzureichende Zugriffskontrollen
Unternehmen vernachlässigen oft die Kontrolle der Zugriffsrechte während des Audits. Nutze Tools, um Zugriffskontrollen effizient umzusetzen.
Keine klare Verantwortlichkeiten
Ohne zugewiesene Verantwortlichkeiten für die Durchführung der Maßnahmen kann es zu Verzögerungen und Fehlern kommen. Verwende Maßnahmen-Tracking-Tools, um Verantwortlichkeiten klar zu definieren.
Häufig gestellte Fragen
Der Hauptzweck ist der Schutz von Informationssystemen vor unbefugtem Zugriff und Manipulation während einer Auditprüfung.
Nutze automatisierte Tools wie Kopexa zur Protokollierung und zum Zugriffsmanagement, um die Anforderungen effizient zu erfüllen.
Server, Datenbanken und Netzwerkinfrastruktur sind die Hauptsysteme, die während einer Auditprüfung geschützt werden müssen.
A.8.34 deckt auch Anforderungen von DER.3.1 im BSI IT-Grundschutz ab und reduziert somit die Anzahl der erforderlichen spezifischen Maßnahmen.
Werkzeuge wie AWS IAM, Azure AD und Kopexa helfen, Zugriffsrechte zu verwalten und die Umsetzung zu dokumentieren.
Control A.8.34 effizient umsetzen
Nutze die Cross-Framework-Mapping-Features von Kopexa, um Anforderungen aus mehreren Standards gleichzeitig zu erfüllen.