Bundesamt für Sicherheit in der Informationstechnik

DER.3.1 Audits und Revisionen

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Audits und Revisionen sind grundlegend für jedes erfolgreiche Informationssicherheits- Managementsystem (ISMS). Nur wenn etablierte Sicherheitsmaßnahmen und -prozesse regelmäßig überprüft werden, ob sie wirksam, vollständig, angemessen und noch aktuell sind, lässt sich der Gesamtzustand der Informationssicherheit beurteilen. Audits und Revisionen sind somit ein Werkzeug, um ein angemessenes Sicherheitsniveau festzustellen, zu erreichen und aufrechtzuerhalten. Durch sie ist es möglich, Fehlentwicklungen und bestehende Sicherheitsmängel zu erkennen und entsprechende Gegenmaßnahmen einzuleiten.

Als Audit (lat. audire = hören, zuhören) wird eine systematische, unabhängige Prüfung von Aktivitäten und deren Ergebnissen bezüglich der Einhaltung von definierten Anforderungen (zum Beispiel Normen, Standards oder Richtlinien) verstanden. In einer Revision (revidieren = kontrollieren, prüfen) wird geprüft, ob Dokumente, Zustände, Gegenstände oder Vorgehensweisen korrekt, wirksam und angemessen sind. Im Gegensatz zum Audit muss die Revision nicht unbedingt unabhängig erfolgen. Zudem kann die Revision im Sinne einer Wartung auch bereits die Berichtigung beinhalten.

1.2 Zielsetzung

Der Baustein definiert Anforderungen an Audits und Revision mit dem Ziel, die Informationssicherheit in einer Institution zu verbessern, Fehlentwicklungen auf diesem Gebiet zu vermeiden und Sicherheitsmaßnahmen und -prozesse zu optimieren.

1.3 Abgrenzung

Der Baustein beschreibt, wie sich Audits und Revisionen aus Sicht des ISMS planen, durchführen und nachbereiten lassen. Das betrifft demnach interne Audits (sogenannte Erstparteien-Audits) und Revisionen sowie Audits bei Dienstleistern und Partnern (sogenannte Zweitparteien-Audits) der Institution. Zertifizierungsaudits (sogenannte Drittparteien-Audits) werden in diesem Baustein nicht berücksichtigt.

Ebenso wird die für Bundesbehörden verpflichtende IS-Revision nicht betrachtet. Diese wird im Baustein DER 3.2: IS-Revision behandelt. Weiterhin wird nicht berücksichtigt, wie Audits und Revisionen in eine eventuell existierende, übergeordnete Prüforganisation einer Institution integriert werden können.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Audit und Revision von besonderer Bedeutung:

2 1 Unzureichende oder nicht planmäßige Umsetzung von Sicherheitsmaßnahmen

Das Schutzniveau einer Institution hängt davon ab, dass Sicherheitsmaßnahmen vollständig und korrekt umgesetzt werden. Insbesondere in der kritischen Phase von Projekten oder unter bestimmten Rahmenbedingungen kann es vorkommen, dass Sicherheitsmaßnahmen temporär ausgesetzt werden. Teilweise wird jedoch vergessen, sie wieder zu reaktivieren, sodass ein zu niedriges Sicherheitsniveau entsteht.

2 2 Wirkungslose oder nicht wirtschaftliche Umsetzung von Sicherheitsmaßnahmen

Werden Sicherheitsmaßnahmen umgesetzt, ohne dabei bestimmte Praxisaspekte zu berücksichtigen, sind die Maßnahmen eventuell wirkungslos. Beispielsweise ist es sinnlos, den Eingangsbereich mit Drehkreuzen abzusperren, wenn die Mitarbeiter das Gebäude einfach durch einen offenen Seiteneingang betreten können.

Ebenso können Einzelmaßnahmen ergriffen werden, die wirtschaftlich nicht sinnvoll sind. So ist für den Schutz von Informationen mit einer normalen Vertraulichkeit ein sauber implementiertes Rechte- und Rollenkonzept sinnvoller und wirtschaftlicher als eine Certificate Authority und die anschließende zertifikatsbasierte Verschlüsselung des Fileservers aufzubauen.

2 3 Unzureichende Umsetzung des ISMS

In vielen Institutionen überprüft der Informationssicherheitsbeauftragten selbst, ob Sicherheitsmaßnahmen umgesetzt wurden. Oft wird darüber die Prüfung des eigentlichen ISMS vergessen. Insbesondere da dies durch einen unabhängigen Dritten erfolgen sollte. Hierdurch könnten die Prozesse eines ISMS ineffizient oder nicht angemessen umgesetzt sein. In der Folge kann das Sicherheitsniveau der Institution beeinträchtigt sein.

2 4 Unzureichende Qualifikation des Prüfers

Ist ein Auditor oder ein Revisor nicht ausreichend qualifiziert oder bereitet er sich ungenügend auf die Prüfungen vor, schätzt er während des Audits bzw. der Revision eventuell den Sicherheitszustand einer Institution falsch ein. Dadurch veranlasst er in seinem Prüfbericht nicht die nötigen oder sogar die falschen Korrekturmaßnahmen. Im schlimmsten Fall hat das eine zu hohe und damit nicht wirtschaftliche bzw. zu niedrige und damit sehr risikobehaftete Absicherung von Informationen zur Folge.

2 5 Fehlende langfristige Planung

Werden Audits und Revisionen nicht langfristig und zentral geplant, kann es passieren, dass einzelne Bereiche sehr häufig und andere überhaupt nicht geprüft werden. Dadurch ist es nur sehr schwer oder gar nicht möglich, den Sicherheitszustand des Informationsverbunds einzuschätzen.

2 6 Fehlende Planung und Abstimmung bei der Durchführung eines Audits

Wenn ein Audit mangelhaft geplant und nicht mit allen betroffenen Mitarbeitern der Institution abgestimmt wurde, sind während der Vor-Ort-Prüfung eventuell nicht die benötigten oder die falschen Ansprechpartner verfügbar. Dadurch lassen sich dann möglicherweise einzelne Bereiche überhaupt nicht auditieren. Auch wenn der Auditor die Termine für die einzelnen Bereiche zu eng gesetzt hat, könnte die geplante Untersuchung nur oberflächlich durchgeführt wird, wenn zu wenig Zeit verfügbar ist.

2 7 Fehlende Abstimmung mit der Personalvertretung

In Audits und Revisionen können auch Aspekte geprüft werden, aus denen sich Rückschlüsse auf die Leistung von Mitarbeitern ziehen lassen. Somit könnten diese Prüfungen als Leistungsbeurteilung gewertet werden. Wird die Personalvertretung nicht beteiligt, kann dies zu Verstößen gegen das geltende Mitbestimmungsrecht führen.

2 8 Absichtliches Verschweigen von Abweichungen

Mitarbeiter könnten befürchten, dass bei der Prüfung Fehler aufgedeckt werden, und darum versuchen, Sicherheitsprobleme zu kaschieren. Hierdurch könnte ein falsches Bild über den tatsächlichen Status Quo vermittelt werden.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Bereich Audit und Revision aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) dafür zuständig, die Anforderungen zu erfüllen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

BausteinverantwortlicherInformationssicherheitsbeauftragter (ISB)
Weitere VerantwortlicheAuditteam, Auditteamleiter, Institutionsleitung

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

DER.3.1.A1 Definition von Verantwortlichkeiten [Institutionsleitung]

Die Institutionsleitung MUSS einen Mitarbeiter benennen, der dafür verantwortlich ist, Audits bzw. Revisionen zu planen und zu initiieren. Dabei MUSS darauf geachtet werden, dass keine Interessenskonflikte entstehen, z. B. wenn die eigene Abteilung überprüft werden soll. Der Verantwortliche MUSS überwachen, dass die Ergebnisse der Audits und Revisionen bearbeitet werden.

DER.3.1.A2 Vorbereitung eines Audits oder einer Revision

Vor einem Audit oder einer Revision MÜSSEN der Prüfgegenstand und die Prüfungsziele festgelegt werden. Auch MÜSSEN die betroffenen Ansprechpartner unterrichtet werden. Abhängig vom Untersuchungsgegenstand MUSS die Personalvertretung über das geplante Audit oder die geplante Revision informiert werden.

DER.3.1.A3 Durchführung eines Audits

Bei einem Audit MUSS geprüft werden, ob die Anforderungen aus Richtlinien, Normen, Standards etc. erfüllt sind. Die Anforderungen MÜSSEN der geprüften Institution bekannt sein.

Ein Audit MUSS eine Dokumentenprüfung sowie eine Vor-Ort-Prüfung beinhalten. Beim Vor-Ort-Audit MUSS sichergestellt werden, dass die Auditoren niemals selbst aktiv in IT-Systeme eingreifen und auch keine Handlungsanweisungen zu Änderungen am Prüfgegenstand erteilen.

Sämtliche Ergebnisse eines Audits MÜSSEN schriftlich dokumentiert und in einem Auditbericht zusammengefasst werden. Der Auditbericht MUSS dem Ansprechpartner der Institution zeitnah übermittelt werden.

DER.3.1.A4 Durchführung einer Revision

Bei einer Revision MUSS geprüft werden, ob die Anforderungen vollständig, korrekt, angemessen und aktuell umgesetzt sind. Festgestellte Abweichungen MÜSSEN, wenn das möglich ist, sofort korrigiert werden. Die jeweiligen Revisionen MÜSSEN mit einer Änderungsverfolgung dokumentiert werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Audits und Revisionen. Sie SOLLTEN grundsätzlich umgesetzt werden.

DER.3.1.A5 Integration in den Informationssicherheitsprozess

Es SOLLTEN eine Richtlinie zur internen ISMS-Auditierung und eine Richtlinie zur Lenkung von Korrekturmaßnahmen erstellt werden. Die Richtlinien SOLLTEN vorgeben, dass regelmäßige Audits und Revisionen ein Teil des Sicherheitsprozesses sind und durch diesen initiiert werden.

Außerdem SOLLTE sichergestellt werden, dass die Ergebnisse der Audits und Revisionen in das ISMS zurückfließen und zu dessen Verbesserung beitragen. Weiter SOLLTEN die durchgeführten Audits und Revisionen, die Ergebnisse sowie die Aktivitäten zur Mängelbeseitigung und Qualitätsverbesserung in den regelmäßigen Bericht des Informationssicherheitsbeauftragten an die Institutionsleitung aufgenommen werden.

DER.3.1.A6 Definition der Prüfungsgrundlage und eines einheitlichen Bewertungsschemas

Es SOLLTE eine einheitliche Prüfgrundlage für Audits festgelegt werden. Für die Bewertung der Umsetzung von Anforderungen SOLLTE ein einheitliches Bewertungsschema festgelegt und dokumentiert sein.

DER.3.1.A7 Erstellung eines Auditprogramms

Es SOLLTE ein Auditprogramm für mehrere Jahre aufgestellt werden, das alle durchzuführenden Audits und Revisionen erfasst. Für das Auditprogramm SOLLTEN Ziele definiert werden, die sich insbesondere aus den Institutionszielen sowie den Informationssicherheitszielen ableiten.

Für unvorhergesehene Ereignisse SOLLTEN Reserven in der jährlichen Ressourcenplanung vorgesehen werden. Das Auditprogramm SOLLTE einem eigenen kontinuierlichen Verbesserungsprozess unterliegen.

DER.3.1.A8 Erstellung einer Revisionsliste

Es SOLLTEN ein oder mehrere Revisionslisten gepflegt werden, die den aktuellen Stand der Revisionsobjekte sowie die geplanten Revisionen dokumentieren.

DER.3.1.A9 Auswahl eines geeigneten Audit- oder Revionsteams

Es SOLLTE für jedes Audit bzw. für jede Revision ein geeignetes Team zusammengestellt werden. Es SOLLTE ein leitender Auditor (Auditteamleiter) bzw. leitender Revisor benannt werden, der die Gesamtverantwortung für die Durchführung der Audits bzw. der Revisionen trägt.

Die Größe des Audit- bzw. Revisionsteams SOLLTE dem Prüfbereich entsprechen. Hierbei SOLLTEN insbesondere die Kompetenzanforderungen der Prüfthemen sowie die Größe und örtliche Verteilung des Prüfbereichs berücksichtigt werden. Die Mitglieder des Audit- bzw. Revisionsteams SOLLTEN angemessen qualifiziert sein.

Die Neutralität des Auditteams SOLLTE sichergestellt werden. Darüber hinaus SOLLTEN auch die Revisoren unabhängig sein. Werden externe Dienstleister als Auditoren oder Revisoren eingesetzt, SOLLTEN diese auf ihre Unabhängigkeit überprüft und zur Verschwiegenheit verpflichtet werden.

DER.3.1.A10 Erstellung eines Audit- oder Revisionsplans [Auditteamleiter]

Vor einem Audit oder einer größeren Revision SOLLTE der Auditteamleiter bzw. leitende Revisor einen Audit- bzw. Revisionplan erstellen. Bei Audits SOLLTE der Auditplan Teil des abschließenden Auditberichts sein. Der Auditplan SOLLTE während des gesamten Audits fortgeschrieben und bei Bedarf angepasst werden. Kleinere Revisionen SOLLTEN anhand der Revisionsliste geplant werden.

Es SOLLTEN genügend Ressourcen für das Audit- bzw. Revisionsteam vorgesehen werden.

DER.3.1.A11 Kommunikation und Verhalten während der Prüfungen [Auditteamleiter]

Es SOLLTEN klare Regelungen dafür aufgestellt werden, wie das Audit- bzw. Revisionsteam und die Mitarbeiter der zu prüfenden Institution bzw. Abteilung miteinander Informationen austauschen dürfen. So SOLLTE durch geeignete Maßnahmen sichergestellt werden, dass die bei einem Audit ausgetauschten Informationen auch vertraulich und integer bleiben.

Personen, die das Audit begleiten, SOLLTEN NICHT die Prüfungen beeinflussen. Zudem SOLLTEN sie zur Vertraulichkeit verpflichtet werden.

DER.3.1.A12 Durchführung eines Auftaktgesprächs [Auditteamleiter]

Es SOLLTE ein Auftaktgespräch zwischen dem Auditteam bzw. dem Revisionsteam und den betroffenen Ansprechpartnern durchgeführt werden. Dabei SOLLTEN das Audit- bzw. Revisionsverfahren erläutert und die Rahmenbedingungen der Vor-Ort-Prüfung abgestimmt und durch die jeweiligen Verantwortlichen bestätigt werden.

DER.3.1.A13 Sichtung und Prüfung der Dokumente [Auditteam]

Die Dokumentenprüfung im Rahmen von Audits SOLLTE anhand der im Prüfplan festgelegten Anforderungen erfolgen. Alle relevanten Dokumente SOLLTEN daraufhin geprüft werden, ob sie aktuell, vollständig und nachvollziehbar sind. Die Ergebnisse der Dokumentenprüfung SOLLTEN dokumentiert werden. Diese SOLLTEN in die Vor-Ort-Prüfung einfließen, soweit das sinnvoll ist.

DER.3.1.A14 Auswahl von Stichproben [Auditteam]

Das Auditteam SOLLTE die Stichproben für die Vor-Ort-Prüfung risikoorientiert auswählen und nachvollziehbar begründen sowie dokumentieren. Wird das Audit auf der Basis von Baustein-Zielobjekten und Maßnahmen durchgeführt, SOLLTEN diese anhand eines vorher definierten Verfahrens ausgewählt werden. Bei der Auswahl von Stichproben SOLLTEN auch die Ergebnisse vorangegangener Audits berücksichtigt werden.

DER.3.1.A15 Auswahl von geeigneten Prüfmethoden [Auditteam]

Das Auditteam SOLLTE für die jeweils zu prüfenden Sachverhalte geeignete Methoden benutzen, z. B. Interviews (siehe DER.3.1.A8 Durchführung von Interviews) oder Dokumentenprüfungen. Außerdem SOLLTE darauf geachtet werden, dass alle Prüfungen verhältnismäßig sind.

DER.3.1.A16 Ablaufplan der Vor-Ort-Prüfung [Auditteam]

Gemeinsam mit den Ansprechpartnern SOLLTE das Auditteam den Ablaufplan für die Vor-Ort-Prüfung erarbeiten. Die Ergebnisse SOLLTEN im Auditplan dokumentiert werden.

DER.3.1.A17 Durchführung der Vor-Ort-Prüfung [Auditteam]

Zu Beginn der Vor-Ort-Prüfung SOLLTE das Auditteam ein Eröffnungsgespräch mit den Verantwortlichen der betroffenen Institution führen. Danach SOLLTEN alle im Prüfplan festgelegten Anforderungen mit den vorgesehenen Prüfmethoden überprüft werden. Weicht eine ausgewählte Stichprobe vom dokumentierten Status ab, SOLLTE die Stichprobe bedarfsorientiert erweitert werden bis der Sachverhalt geklärt ist. Nach der Prüfung SOLLTE das Auditteam ein Abschlussgespräch führen, in dem kurz die Ergebnisse ohne Bewertung sowie die weitere Vorgehensweise dargestellt werden. Das Gespräch SOLLTE protokolliert werden.

DER.3.1.A18 Durchführung von Interviews [Auditteam]

Interviews SOLLTEN strukturiert erfolgen. Fragen SOLLTEN knapp, präzise und leicht verständlich formuliert werden. Zudem SOLLTEN geeignete Fragetechniken eingesetzt werden.

DER.3.1.A19 Überprüfung des Risikobehandlungsplans [Auditteam]

Das Auditorteam SOLLTE prüfen, ob die verbleibenden Restrisiken für den Informationsverbund angemessen und tragbar sind. Er SOLLTE außerdem prüfen, ob sie verbindlich durch die Geschäftsführung getragen werden. Maßnahmen, die grundlegend zur Informationssicherheit der gesamten Institution beitragen, DÜRFEN NICHT in die Risikoübernahme einfließen.

Der Auditor SOLLTE stichprobenartig verifizieren, ob bzw. wie weit die im Risikobehandlungsplan festgelegten Maßnahmen umgesetzt sind.

DER.3.1.A20 Abschlussbesprechung [Auditteam]

Das Auditteam SOLLTE mit den jeweiligen Verantwortlichen der auditierten Institution eine Abschlussbesprechung durchführen. Darin SOLLTEN die vorläufigen Auditergebnisse dargelegt und die weiteren Tätigkeiten vorgestellt werden.

DER.3.1.A21 Auswertung der Prüfungen [Auditteam]

Nach der Vor-Ort-Prüfung SOLLTEN die erhobenen Informationen weiter konsolidiert und ausgewertet werden. Nachdem die eventuell nachgeforderten Dokumentationen und zusätzlichen Informationen ausgewertet wurden, SOLLTEN die geprüften Maßnahmen endgültig bewertet werden. Um die nachgeforderten Dokumentationen bereitzustellen, SOLLTE ein ausreichendes Zeitfenster gewährt werden. Dokumente, die bis zum vereinbarten Enddatum nicht eingegangen sind, SOLLTEN als nicht existent gewertet werden.

DER.3.1.A22 Erstellung eines Auditberichts [Auditteam]

Das Auditteam SOLLTE die gewonnenen Ergebnisse in einen Auditbericht überführen und dort nachvollziehbar dokumentieren. Die Ergebnisse des Audits SOLLTEN den Verantwortlichen in einer Präsentation erläutert werden.

Die geprüfte Institution SOLLTE sicherstellen, dass alle betroffenen Stellen innerhalb einer angemessenen Frist die für sie wichtigen und notwendigen Passagen des Auditberichts erhalten.

DER.3.1.A23 Dokumentation der Revisionsergebnisse

Die Ergebnisse einer Revision SOLLTEN einheitlich dokumentiert werden.

DER.3.1.A24 Abschluss des Audits oder der Revision [Auditteam]

Nach dem Audit bzw. der Revision SOLLTEN alle relevanten Dokumente, Datenträger und IT-Systeme zurückgegeben oder vernichtet werden. Das SOLLTE mit der geprüften Institution abgestimmt werden. Aufbewahrungspflichten aus gesetzlichen oder anderen verbindlichen Anforderungen SOLLTEN hierbei entsprechend berücksichtigt werden. Weiter SOLLTE der ISB alle für das Audit- oder Revisionsteam genehmigten Zugriffe wieder deaktivieren oder löschen lassen.

Mit den Auditoren bzw. Revisoren SOLLTE vereinbart werden, wie mit den Ergebnissen umzugehen ist. Hierbei SOLLTE auch festgelegt werden, dass die Auditergebnisse nicht ohne Genehmigung der geprüften Institution an andere Institutionen weitergeleitet werden dürfen.

DER.3.1.A25 Nachbereitung und Einleitung des Follow-up

Die im Auditbericht oder bei einer Revision festgestellten Abweichungen oder Mängel SOLLTEN in einer angemessenen Zeit abgestellt werden. Damit sich der Umsetzungsstatus leicht nachvollziehen lässt, SOLLTEN die durchzuführenden Korrekturmaßnahmen inklusive Zeitpunkt und Zuständigkeiten dokumentiert werden. Auch abgeschlossene Korrekturmaßnahmen SOLLTEN dokumentiert werden. Dafür SOLLTE im ISMS bereits ein etabliertes Verfahren existieren, das zu benutzen ist.

Gab es schwerwiegende Abweichungen oder Mängel, SOLLTE das Audit- bzw. Revisionsteam überprüfen, ob die Korrekturmaßnahmen durchgeführt wurden.

DER.3.1.A26 Überwachen und Anpassen des Auditprogramms

Das Auditprogramm SOLLTE kontinuierlich überwacht und angepasst werden, sodass Termine, Auditziele, Auditinhalte und die Auditqualität eingehalten werden.

Mithilfe der bestehenden Anforderungen an das Auditprogramm und mit den Ergebnissen der durchgeführten Audits SOLLTE überprüft werden, ob das Auditprogramm angemessen ist. Eventuell sollte es angepasst werden.

DER.3.1.A27 Aufbewahrung und Archivierung von Unterlagen zu Audits und Revisionen

Auditprogramme sowie Unterlagen zu Audits und Revisionen SOLLTEN entsprechend den gesetzlichen oder weiteren regulatorischen Anforderungen nachvollziehbar und revisionssicher abgelegt und aufbewahrt werden. Dabei SOLLTE sichergestellt werden, dass lediglich berechtigte Personen auf Auditprogramme und Unterlagen (insbesondere Auditberichte) zugreifen können. Nach Ablauf der Archivierungsfristen SOLLTEN die Auditprogramme und Unterlagen sicher vernichtet werden.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

DER.3.1.A28 Sicherheitsüberprüfung der Auditoren(CI)

Sofern Auditoren auf besonders schützenswerte Informationen zugreifen müssen, SOLLTEN Nachweise über ihre Integrität und Reputation eingefordert werden. Handelt es sich dabei um nach Geheimschutz klassifizierte Verschlusssachen, SOLLTEN sich die Mitglieder des Auditteams einer Sicherheitsüberprüfung nach Sicherheitsüberprüfungsgesetz (SÜG) unterziehen. Diesbezüglich SOLLTE der ISB den Geheimschutzbeauftragten bzw. Sicherheitsbevollmächtigten der Institution einbeziehen.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Audits und Revisionen" finden sich unter anderem in folgenden Veröffentlichungen:

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Audits und Revisionen" von Bedeutung.

  • G 0.18 Fehlplanung oder fehlende Anpassung
  • G 0.19 Offenlegung schützenswerter Informationen
  • G 0.27 Ressourcenmangel
  • G 0.29 Verstoß gegen Gesetze oder Regelungen
  • G 0.46 Integritätsverlust schützenswerter Informationen

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK