Compliance Audit Vorbereitung: Ihr 90-Tage-Countdown

Tage 90–60: Bewertung und Abgrenzung

Woche 1: Überprüfen Sie Ihre Framework-Anforderungen und identifizieren Sie fehlende Nachweise. Woche 2: Definieren Sie den Umfang Ihres Penetration Tests, um ihn an Ihre Compliance-Grenze anzupassen (Systembeschreibung für SOC 2, CDE für PCI DSS, ISMS-Geltungsbereich für ISO 27001). Woche 3: Beauftragen Sie Ihren Testanbieter und planen Sie das Engagement. Woche 4: Bereiten Sie die Testumgebung vor, erstellen Sie Testkonten und benachrichtigen Sie die zuständigen Teams. Beginnen Sie mit der Sammlung von Nachweisen, die nicht mit Tests zusammenhängen (Richtlinien, Verfahren, Zugriffskontrollen).

Tage 60–30: Testen und Behebung

Wochen 5–6: Penetration Testing und Schwachstellenscans werden durchgeführt. Ergebnisse werden in Echtzeit angezeigt, wenn Sie eine TaaS-Plattform wie Penetrify verwenden. Beginnen Sie sofort mit der Behebung kritischer und hoher Schwachstellen. Wochen 7–8: Schließen Sie die Behebung aller kritischen und hohen Schwachstellen ab. Fordern Sie Nachtests für abgeschlossene Korrekturen an. Stellen Sie Nachweise für die Nachtests zusammen, die die Behebung bestätigen.

Tage 30–0: Dokumentation und Überprüfung

Wochen 9–10: Finalisieren Sie den Compliance-Bericht mit Methodik, Ergebnissen, Behebung und Nachweisen für die Nachtests. Stellen Sie sicher, dass alle Framework-Kontrollzuordnungen vollständig sind. Wochen 11–12: Führen Sie eine interne Überprüfung aller Nachweise durch. Vergewissern Sie sich, dass die Penetration Test-Daten innerhalb des Prüfungszeitraums liegen. Bestätigen Sie, dass die Umfangsabstimmung mit der Framework-Grenze übereinstimmt. Bereiten Sie sich auf Fragen des Auditors zu Ergebnissen und Behebungen vor.

Gründe für das Scheitern von Audits

Zu später Beginn des Penetration Testing (keine Zeit für die Behebung vor dem Audit). Der Umfang des Penetration Tests stimmt nicht mit der Compliance-Grenze überein. Fehlende Nachweise für Nachtests behobener Schwachstellen. Nachweise, die außerhalb des Prüfungszeitraums datiert sind. Generische Berichte ohne Framework-spezifische Kontrollzuordnung.

Das Fazit

Die Auditvorbereitung ist ein 90-Tage-Projekt, keine 90-Minuten-Aufgabe. Beginnen Sie frühzeitig, stimmen Sie Ihren Penetration Test-Umfang mit Ihrer Compliance-Grenze ab und arbeiten Sie mit einem Anbieter – wie Penetrify – zusammen, der Compliance-gerechte Berichte mit integrierten Nachtests erstellt, damit Sie in den letzten Wochen nicht nach Nachweisen suchen müssen.

Häufig gestellte Fragen

Wie lange im Voraus sollte ich mit der Auditvorbereitung beginnen?

Mindestens 90 Tage. Dies lässt Zeit für Penetration Testing (Wochen 1–6), Behebung und Nachtests (Wochen 5–10) sowie die Zusammenstellung der Dokumentation (Wochen 9–12).

Was ist der häufigste Grund für das Scheitern von Audits?

Zu später Beginn des Penetration Testing – so bleibt keine Zeit, um Schwachstellen zu beheben und Nachweise für Nachtests zu erstellen, bevor der Auditor die Nachweise prüft.