Wenn ein DORA- oder NIS2-Audit ansteht, greifen viele Unternehmen reflexartig zu Dokumenten: Richtlinien werden geschrieben, Organigramme erstellt, Prozessbeschreibungen formatiert. Das ist verständlich. Aber es verfehlt den Punkt.
Auditoren prüfen nicht, ob Sie Dokumente haben. Sie prüfen, ob Ihre Maßnahmen wirksam sind.
Ein erfahrener Auditor arbeitet sich durch fünf Ebenen. Wenn auf einer Ebene die Substanz fehlt, helfen die darunterliegenden nicht weiter.
Der Auditor will verstehen, welchen Geltungsbereich Sie für Ihr Risikomanagement festgelegt haben. Bei Open-Source-Komponenten bedeutet das: Kennen Sie Ihre SBOM? Wissen Sie, welche Projekte in Ihrer Lieferkette stecken? Haben Sie bewusst entschieden, was im Geltungsbereich liegt - und dokumentiert, warum etwas außerhalb liegt?
Nicht jede Schwachstelle ist gleich kritisch. Der Auditor prüft, ob Sie eine nachvollziehbare Methodik haben: Wie bewerten Sie die Kritikalität einer Komponente? Welche Faktoren fließen ein - Erreichbarkeit, Exploit-Wahrscheinlichkeit, Geschäftsrelevanz? Ist diese Logik dokumentiert und wird sie konsistent angewendet?
Hier wird es operativ. Der Auditor will nicht lesen, dass Sie "Schwachstellen managen". Er will sehen: Welche konkreten Maßnahmen wurden bei welcher Schwachstelle ergriffen? Wurde ein Patch eingespielt, ein Workaround implementiert, ein Risiko akzeptiert? Und warum?
Ein zentraler Prüfpunkt: Gibt es eine klare Schnittstelle zwischen operativer Arbeit und Entscheidungsebene? Wer bewertet ein Risiko? Wer entscheidet über die Maßnahme? Wer genehmigt eine Risikoakzeptanz? Der Auditor sucht nach dem Nachweis, dass das Leitungsorgan eingebunden ist - nicht nur formal, sondern inhaltlich.
Alles, was Sie behaupten, muss belegbar sein. Das Evidenzpaket umfasst: SBOM mit Zeitstempel, Schwachstellenbewertungen, Maßnahmenprotokolle, Entscheidungslogs, Abschlussberichte. Ein Auditor muss den Zyklus nachvollziehen können: Problem erkannt, bewertet, entschieden, Maßnahme ergriffen, Ergebnis dokumentiert.
Im Kern prüft jeder Auditor, ob folgender Kreislauf funktioniert:
Wenn Sie diesen Zyklus für Ihre Open-Source-Komponenten nachweisen können, haben Sie die wesentliche Hürde genommen.
Eine Formulierung, die Auditoren erwarten und akzeptieren:
*"Für das Management der Risiken aus Open-Source-Komponenten in der Software-Lieferkette wurde OTTRIA als spezialisierter Dienstleister beauftragt. OTTRIA überwacht kontinuierlich alle Komponenten der SBOM, bewertet identifizierte Schwachstellen und liefert Maßnahmenprotokolle mit dokumentierten Ergebnissen. Die Entscheidung über die Umsetzung der empfohlenen Maßnahmen verbleibt beim Leitungsorgan. Der Zyklus aus Erkennung, Bewertung, Entscheidung, Maßnahme und Ergebnisdokumentation ist durchgängig nachweisbar."*
OTTRIA liefert:
Sie ergänzen:
Zusammen ergibt das ein Evidenzpaket, das einem Auditor zeigt: Die Organisation hat nicht nur Prozesse beschrieben, sondern sie lebt.
Sie möchten wissen, wie ein audit-fertiges Evidenzpaket für Ihre Open-Source-Lieferkette aussieht? Vereinbaren Sie ein Erstgespräch mit OTTRIA.