Compliance-Lexikon · Praxis
CVSS – Praxis
CVSS ist im Audit ein technischer Pruefpunkt mit klaren Erwartungen: Konfiguration dokumentiert, Abdeckung vollständig, Wirksamkeit nachweisbar. Was Auditoren konkret pruefen, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Prüfung von CVSS prüft der Auditor Konfigurationsnachweis, Abdeckungsnachweis und Wirksamkeitsnachweis. Das BAM-Objekt TECH-CV-01 definiert, was konkret vorgelegt werden muss.
Häufige Fehler
- Konfigurationsdokumentation fehlt oder ist veraltet
- Abdeckung unklar – kein Inventar der erfassten Systeme
- Keine regelmässige Wirksamkeitspruefung (z.B. Test, Scan, Audit)
- Ausnahmen nicht dokumentiert und nicht risikoakzeptiert
Praxis-Tipp
Für CVSS gilt: Der Auditor prueft Konfiguration gegen Wirklichkeit. Konfigurationsnachweise aus Systemauszuegen sind stärker als Richtlinien. Ein Screenshot oder Export der Systemkonfiguration mit Zeitstempel ist die stärkste technische Evidence.
Umsetzung Schritt für Schritt
Erster Schritt: Vollständiges Inventar der betroffenen Systeme erstellen. Zweiter Schritt: Konfigurationsstandard dokumentieren und implementieren. Dritter Schritt: Abdeckungsnachweis erzeugen (wer ist einbezogen, wer nicht und warum). Vierter Schritt: Regelmässige Wirksamkeitspruefung einrichten. Fünfter Schritt: Evidence automatisiert archivieren.
Evidence-Anforderungen im Audit
Der Auditor erwartet: datierte Konfigurationsdokumentation, Abdeckungsnachweis fuer alle relevanten Systeme, Ausnahmeliste mit Begruendung, letzter Wirksamkeitspruef-Report und Nachweis des regelmässigen Pruefzyklus.
Nächster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2 und ISO 27001 in 20 Minuten.
Die strategische Einordnung findet sich auf Ebene 3.