Control Testing

[kənˈtrəʊl ˈtestɪŋ] · auch: Kontrollprüfung, Wirksamkeitstests

Control Testing bezeichnet die systematische Prüfung, ob implementierte Kontrollen wie vorgesehen funktionieren und die angestrebten Sicherheits- und Compliance-Ziele tatsächlich erreichen – durch Inspektion, Befragung, Beobachtung oder Nachprüfung von Testfällen.

Warum Control Testing zentral ist

Eine Kontrolle zu dokumentieren und eine Kontrolle zu betreiben sind zwei verschiedene Dinge. Control Testing schließt die Lücke: Es prüft, ob implementierte Kontrollen im Alltag tatsächlich funktionieren – nicht nur auf dem Papier. Auditoren unterscheiden explizit zwischen Design-Wirksamkeit (ist die Kontrolle richtig konzipiert?) und operativer Wirksamkeit (wird sie korrekt durchgeführt?).

Wo Control Testing gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	Kap. 9.1	Die Organisation muss die Wirksamkeit der Informationssicherheitsmaßnahmen regelmäßig bewerten.
NIS-2 / BSIG	§ 30 Abs. 3	Wirksamkeitsprüfung der implementierten Sicherheitsmaßnahmen ist explizit gefordert.
DORA	Art. 25	Finanzunternehmen müssen regelmäßig Tests durchführen, um die Wirksamkeit ihrer IKT-Kontrollen zu prüfen.
SOC 2	AICPA TSC	Testing of controls ist Kernelement jeder SOC-2-Prüfung; der Prüfer bewertet Design und operative Wirksamkeit.

BAM-Objektreferenz

BAM-Objekt CROSS-CT-01

BeschreibungControl-Testing-Programm mit Testplan, Ergebnisdokumentation und Nachverfolgung von Maßnahmen

GitHubBAM Core →

Häufige Audit-Fehler

Kontrollen werden nicht getestet, nur dokumentiert
Tests werden nur vor Audits durchgeführt, nicht kontinuierlich
Testprotokolle fehlen oder sind nicht datiert
Findings aus Tests werden nicht nachverfolgt

Testmethoden im Control Testing

Inspektion: Dokumente, Konfigurationen und Logs werden auf Übereinstimmung mit der Kontrolle geprüft. Befragung: Mitarbeiter werden nach ihrer Kenntnis und Umsetzung der Kontrolle befragt. Beobachtung: Der Testende beobachtet die Durchführung einer Kontrolle direkt. Wiederholung: Der Testende führt die Kontrolle selbst durch, um die Richtigkeit zu verifizieren. Alle vier Methoden haben unterschiedliche Beweiswerte – Wiederholung und Inspektion gelten als belastbarer als Befragung.

Nächste Ebene

Control Testing in der Praxis: Testplan, Protokolle, Findings

Wie ein Testprogramm strukturiert wird, welche Testmethoden Auditoren bevorzugen und wie Findings dokumentiert werden.

Ebene 2 lesen → NIS-2-Stresstest starten →