FAQ: Durchführung von Remote Audits

Im Folgenden haben wir für Sie wichtige Informationen zu Remote-Audits zusammengefasst. Sollten dennoch Fragen offenbleiben, melden Sie sich gerne bei den Projektbetreuern oder der Leitung unserer Zertifizierungsstelle:

Andreas Lemke
Leitung der Zertifizierungsstelle
andreas.lemke@gut-cert.de, Tel. 030 2332021-41

Sindy Prommnitz
stv. Leitung der Zertifizierungsstelle
sindy.prommnitz@gut-cert.de, Tel. 030 2332021-45

Welche Voraussetzungen muss ich mitbringen, um Remote-Audits für die GUTcert durchführen zu dürfen?

Der Auditor muss über ausreichende Kenntnisse verfügen, um Aspekte der Informationssicherheit bei Remote-Audits beurteilen und anwenden zu können. Dafür ist i.d.R. der Abschluss des entsprechenden e-learning-Kurses der GUTcert notwendig. Auditoren, die eine Berufung für ISO 9001 EAC 31/2 oder 33 bzw. ISO/IEC 20000-1 oder ISO/IEC 27001 haben, benötigen keinen gesonderten Nachweis ihrer Kompetenz.

Falls der Auditor Remote-Audits von seinem Homeoffice aus durchführen möchte, muss er über die entsprechende technische Ausstattung verfügen. Für Video-Webkonferenzen ist dafür ein Computer mit Mikrofon, Lautsprecher und Webcam notwendig, der Internetanschluss sollte wenigstens 1 Mbit/s in beide Richtungen liefern.

Besondere Software ist i.d.R. nicht notwendig, die meisten Webkonferenztools lassen sich über einen normalen Internetbrowser bedienen oder bieten eine spezielle Software zum Download an, die jeder Benutzer leicht starten kann.

Welches Tool soll ich für Remote-Audits nutzen?

Es gibt eine Vielzahl verschiedener Methoden und dafür geeignete Tools. Das beginnt bspw. mit einem normalen Telefoninterview, bei dem parallel vorher übermittelte Dateien eingesehen und diskutiert werden. Häufig werden sicherlich sogenannte Webkonferenz-Tools benutzt, bei denen die Teilnehmer gemeinsam einen Bildschirm teilen (zum Einsehen von Dokumenten, Datenbanken etc.) und dabei über Audio und ggf. auch Video verbunden sind. Zu den bekanntesten Tools gehören Microsoft Teams, GoToMeeting, Zoom, Adobe Connect, WebEx, Skype und Google Hangout.

Mein Kunde schlägt mir die Nutzung seines eigenen Webkonferenz-Tools vor, darf ich das annehmen?

Ja – das sollten Sie sogar. In diesem Fall ist davon auszugehen, dass der Kunde eine Analyse durchgeführt hat und dieses Tool seine Anforderungen an Informations-Sicherheit und Datenschutz erfüllt. Testen Sie rechtzeitig vor dem Audit, ob Sie einen Zugang zum Tool bekommen und dieses entsprechend Ihren Anforderungen funktioniert.

Kann ich denn auch Rundgänge remote durchführen? Und womit mache ich das am besten?

Es können auch Rundgänge an Standorten durch Remote-Auditierung begutachtet werden. Dabei sind die spezifischen Anforderungen zu beachten – für einige Audits ist das nicht zulässig, bei anderen entgehen Ihnen durch Remote-Tools wichtige Informationen, die entscheidend für die Beurteilung der Auditfeststellungen sein können.

Es lassen sich alle Webkonferenz-Tools nutzen, die eine Videoverbindung unterstützen und auf einem transportablen Gerät (vorzugsweise Smartphone) laufen. Darüber hinaus können auch die allseits bekannten Videochat-Apps benutzt werden: WhatsApp, FaceTime (nur iPhone), Google Duo, Facebook Messenger, WeChat, Discord etc. Aber bei vielen dieser Anbieter sind bezüglich der Sicherheit der Daten (und erst recht in Bezug auf die EU-DSGVO) deutliche Zweifel angebracht (siehe unten).

Bei Rundgängen sollte das Smartphone am besten mit einem Headset genutzt werden. Auch eine Powerbank kann sinnvoll sein, um einen plötzlichen Abbruch wegen leerem Akku zu verhindern. Falls es Bereiche ohne entsprechende Funknetze gibt, sind dort Rundgänge mit LiveÜbertragung natürlich nicht möglich. Die GUTcert ist gerade an einem Projekt mit der Telekom beteiligt, in dem eine sichere Lösung für die Durchführung derartiger Videoübertragungen erprobt wird. Dazu werden wir in Kürze weitere Informationen veröffentlichen.

Als Auditor muss ich Informationen vom Kunden vertraulich behandeln. Wie mache ich das bei Remote-Audits?

Leider muss konstatiert werden, dass vollständige Sicherheit praktisch nicht möglich ist. Allerdings machen die meisten Webkonferenz-Tools für Businessanwendungen in diesem Punkt einen guten Eindruck – auch wenn deren Server z.B. in den USA stehen. Von den oben genannten, eher für den privaten Bereich gedachten Videochat-Tools kann bzgl. Datenschutz eigentlich nur abgeraten werden.

Kommen Remote-Audits in einem Verfahren zum Einsatz kommen Ist grundsätzlich der Kontakt zum Kunden zu suchen und eine dokumentierte Genehmigung zum Einsatz der geplanten Werkzeuge einzuholen. Dies kann bspw. durch Auflistung im Auditplan geschehen, den der Kunde rechtzeitig vor dem Audit erhält und den er inhaltlich bestätigt. Weitere Informationen sind bspw. unter: datenschutz-generator.de/dsgvo-videokonferenzen-online-meeting/ zu finden.

Für mich ist das ganze Thema noch sehr neu, wie gehe ich da am besten ran?

Suchen Sie sich zuerst ein Tool aus, mit dem Sie gut zurechtkommen. Im Prinzip gibt es nicht wirklich schlechte Tools – jedes hat seine Vor- und Nachteile. Häufig können Sie ein Tool auch kostenlos nutzen – zumindest mit wenigen Gesprächspartnern, wie im Audit allgemein üblich. Achten Sie aber auf die Lizenzbedingungen – manchmal ist eine kommerzielle Nutzung nur bei Bezahlversionen zulässig.

Probieren Sie ruhig mehrere Tools aus – mit Familienmitgliedern oder Freunden. Ein Test- Account ist schnell eingerichtet. Achten Sie darauf, dass alle Funktionen, die Sie benötigen, in der benutzten Version auch verfügbar sind.

Wenn Sie dann Ihr Tool gefunden haben, machen Sie sich vor dem ersten Einsatz intensiv mit der Steuerung vertraut. Vielleicht machen Sie ein kleines Übungsaudit mit Ihrer Familie? Dabei lernen Sie auch die Bedienung auf der Gegenseite kennen – das hilft Ihnen, falls Ihr Kunde Fragen dazu hat.

Welche typischen Anfängerfehler können auftreten – und wie vermeide ich die am besten?

Für die Nutzung von Webkonferenz-Tools sollten Sie ein Headset nutzen, damit haben Sie eine deutlich bessere Audioqualität. Und achten Sie darauf, dass Sie Mikrofon und Kamera für das gewählte Tool freigeben. Es kann in Konferenzen manchmal zu Rückkopplungen oder Halleffekten kommen. Das liegt häufig an nicht optimaler Hardware. Probieren Sie dann, alle nicht benötigten Mikrofone stumm zu schalten. Das hilft übrigens auch bei Konferenzen mit vielen Personen, um den „akustischen Überblick“ zu behalten.

Achten Sie bei einer Videokonferenz auch auf den Raum hinter Ihnen. Je weniger Details dort gezeigt werden, desto weniger Ablenkung tritt auf. Seien Sie besonders achtsam, wenn Sie Bildschirminhalte für die Webkonferenz freigegeben. Mitunter reichen schon Popups von anderen Programmen (z.B. Outlook), um unerwünscht Informationen freizugeben. Beschränken Sie deshalb die Bildschirmfreigabe auf einzelne Fenster, statt den gesamten Desktop freizugeben.

Welches Webkonferenz-Tool nutzt die GUTcert?

Wir haben in unserem Büro Office365 im Einsatz – dazu gehört auch Microsoft Teams. In Teams haben wir die Möglichkeit, unsere interne Kommunikation in verschiedenen Kanälen zu separieren und so übersichtlicher zu gestalten. In der Corona-Krise ist Teams unser Mittel, um mit den Kollegen im Homeoffice in Kontakt zu bleiben und gemeinsam Meetings durchzuführen. In Teams können wir auch externe Personen in Video-Chats einladen. Probieren Sie das einmal aus – vielleicht machen wir das nächste Auditoren-Jahresgespräch dann auch in Teams mit Video.

Für die Anwendung in unserer Akademie nutzen wir darüber hinaus GoToMeeting. Hier sind die Planung und Verwaltung der Teilnehmer deutlich einfacher (das ist die Mehrkosten definitiv wert). Vor allem bei Webinaren haben wir sehr gute Erfahrungen mit GoToMeeting gemacht. Entsprechende Informationen zu diesen Tools finden Sie im Internet (Teams, GoToMeeting)

Wie gehe ich die Planung von Remote-Audits an?

Die AA162 beschreibt diese Vorgehensweise detailliert. Die wichtigsten Punkte dabei sind:

  1. Abstimmung mit der Zertifizierungsstelle zur Vorgehensweise
  2. Abstimmung mit dem Kunden zu Terminen und Remote-Audit-Tools (einschließlich Einholung seiner dokumentierten Zustimmung)
  3. Erstellung Auditplan (siehe FAQ zum Auditplan)

Welche Besonderheiten sind bei der Erstellung eines Auditplans für ein Remote-Audit zu beachten?

Bei Remote-Audits kann es sinnvoll sein, kleinere Sessions über mehrere Tage zu verteilen, anstatt eine große 8-Stunden-Session zu planen. Auch kleinere Pausen zwischen einzelnen Meetings haben sich bewährt.

Wenn mehrere Auditoren in einem Remote-Audit zusammenarbeiten, werden analog zu vor-Ort- Audits gemeinsame sowie getrennte Audit-Sessions geplant. Aber auch hier ist es empfehlenswert, eher kleinere Sessions über mehrere Tage zu verteilen. Allerdings wird in der Regel keine Tageszusammenfassung geplant – stattdessen sollte jede einzelne Session mit einer kurzen Zusammenfassung der Ergebnisse enden. Bei umfangreicheren Audits können auch zwischendurch gemeinsame Sessions geplant werden, bei denen der aktuelle Stand der Begutachtung mit dem Beauftragten des Kunden besprochen wird.

Und natürlich ist in geeigneten Abständen eine Abstimmung zwischen den Auditoren vorzusehen. Auch wenn diese ohne Anwesenheit des Kunden erfolgt, muss sie trotzdem in den Auditplan aufgenommen werden.

Muss ich die Anwesenheit der Teilnehmer in Remote-Audits erfassen? Und wenn ja wie?

Bei Remote-Audits ist die Erfassung der Anwesenheit der Teilnehmer ein wichtiger Punkt. Das kann z.B. durch eine kurze Vorstellung der angeschlossenen Teilnehmer erfolgen, die der Auditor im Auditplan im Audimaxx dokumentiert. Falls für die Session ein Raum beim Kunden verwendet wird, in dem alle Beteiligten physisch anwesend sind, ist es möglich, den Kunden zu bitten, eine Anwesenheitsliste anzufertigen und an den Auditor (z.B. als Foto oder Scan) zu übermitteln.

Falls eine Anwesenheitserfassung durch einen Screenshot oder eine andere Art der Aufzeichnung mit dem Meeting-Tool erfolgt, muss vorher eine Einverständniserklärung der Teilnehmer eingeholt werden.

Was muss ich bei der Erstellung des Berichtes beachten, wenn Teile des Audits Remote durchgeführt wurden?

Zunächst wird der Bericht wie jeder andere erstellt. Es ist lediglich unter 1.2 auf die Durchführung als Remote Audits zu verweisen. Die dafür verwendete Infrastruktur sollte aus dem Auditplan hervorgehen. Der Auditleiter muss nur noch eine Bewertung ergänzen, ob in den Remote-Audits die Wirksamkeit bei der Sammlung von Auditnachweisen gegeben war.