Und um einen Erfahrungsbericht, ein "Pest-Beispiel" aus einer anderern Branche (IT) zu geben:
Die Wirtschaftsprüfer eines größeren Kunden kamen auf die glorreiche Idee, auch die IT prüfen zu wollen. Man wolle ja schliesslich genau wissen, ob die ganzen schönen Zahlen korrekt aus der IT ausgeworfen werden. Das wäre jetzt neu und verpflichtend. Das Audit solle 5 Tage lang dauern und man hätte (so ein Zufall aber auch) auch direkt jemanden an der Hand, der sich da auskenne und IT Spezialist sei. Tagessatz natürlich vierstellig.
Der Kunde war alles andere als erfreut vor allem vor dem Hintergrund, da erst Ende des letzten Jahres im Rahmen der DSGVO alle Prozesse und komplette IT frisch auditiert und dokumentiert wurden. Mit den frischen Unterlagen konnte der Auditor natürlich nichts anfangen, er hätte eine "eigene" Dokumentation.
Zeit, Gegenmaßnahmen zu ergreifen: Er möge doch bitte vorab seinen Katalog zukommen lassen, damit man etwaige Ansprechpartner rechtzeitig terminieren und hinzuziehen könne und Informationen vorbereiten könne. Als der "Katalog" kam erfolgt das erste Lachen da dort noch von "Bandlaufwerken", OS/2 und NT4 die Rede war und Begrifflichkeiten wie z.B. IDS, IPS gänzlich fehlten.
Nun dann ziehen wir mal die Daumenschrauben an: "Ob er denn PGP oder S/MIME nutze, damit man die benötigten Unterlagen vorab per Email zusenden könne. Auf seiner Website (Note F bei SSL Labs und Mozilla Observatory) konnte man leider keine Informationen nach sicherer, verschlüsselter Kontaktaufnahme finden." Treffer, versenkt. Ein IT Spezialist ohne Möglichkeit sicher zu kommunizieren. Aber es geht weiter:
"Der verantwortliche kaufmännische Leiter würde leider nur an 3 von den angesezten 5 Tagen können, ob man das Programm "straffen" könne". Vermutlich zähnknirschend wurde dem zugestimmt. "Ach zufällig ist am ersten Tag auch unser externer IT Security Fachmann vor Ort. Wir haben ihn mal mit hinzugenommen, es kann ja nicht schaden."
Das "Audit" war an einem Vormittag erledigt (die Zeit, in der er am Parkplatz telefonierte, rechne ich jetzt nicht zur Arbeitszeit). Selbstverständlich wurde nur nach "Aktenlage" bewertet. Kein einziger Pen-Test, kein Arbeitsplatz oder Server-System wurde "in Augenschein" genommen. Der zentrale Serverraum wurde "angeschaut", dort hätten aber anstelle Server auch wichtig aussehende, blinkende Kisten stehen können. Noch nicht einmal die Buchhaltungssoftware, ERP-Software oder die zentralen Datenbanken hat er sich angeschaut. Wie es denn so mit Zugangskontrollen, oder der Datenintegrität mit Prüfsummen oder Verschlüsselung aussieht. Wären ja mal spannende Fragen gewesen. Ich habe ihn gefragt, welche Profession er so hat und aus welcher Ecke er kommt: Buchhalter.