Das große IT-Security-Glossar

Was ist Qualitätssicherung / Review?

Qualitätssicherung in IT-Security-Projekten bezeichnet den strukturierten Überprüfungsprozess technischer Berichte – insbesondere Schlussberichte – auf Vollständigkeit, Richtigkeit, Nachvollziehbarkeit und Konsistenz. Dabei steht nicht nur die sprachliche Korrektur im Vordergrund, sondern auch die fachlich-methodische Prüfung durch erfahrene Reviewer. Ziel ist es, ein durchgehend hohes Qualitätsniveau sicherzustellen – sowohl für interne Nachvollziehbarkeit als auch für Kundentransparenz und Prüfungsresistenz.

Wichtige Qualitätssicherungs-Ressourcen

• CIS Benchmarks
  → Sicherheitskonfigurationen und Best Practices für Betriebssysteme, Netzwerke und Anwendungen.

• BSI-Grundschutz
  → Deutscher Standard für Basis-Absicherung und strukturierte Sicherheitsbewertungen.

• CVSS (Common Vulnerability Scoring System)
  → Bewertungsmethode zur Einschätzung der Schwere von Schwachstellen.

• NIST-Klassifikationen
  → Standards des National Institute of Standards and Technology zur Kategorisierung von Risiken, Bedrohungen und Kontrollen.

Anwendung in der Praxis

• Vier-Augen-Prinzip: Alle Schlussberichte durchlaufen eine unabhängige Review-Instanz vor Freigabe.

• Technische Validierung: Überprüfung von PoC-Schritten, Testmethodik und Risikobewertung auf Reproduzierbarkeit.

• Terminologie-Abgleich: Einheitliche Verwendung von Fachbegriffen, z. B. CVSS-Werte oder NIST-Taxonomien.

• Compliance-Fokus: Sicherstellung, dass Datenschutz-, Audit- und regulatorische Anforderungen berücksichtigt werden.

• Priorisierung: Handlungsempfehlungen werden hinsichtlich Umsetzbarkeit und Kritikalität eingeordnet.

Verwandte Begriffe

• Schlussbericht

• CIS Benchmarks

• BSI-Grundschutz

• Informationssicherheit

• Incident Management

Beispiel aus der Praxis

Nach Abschluss eines Penetrationstests erstellt das Security-Team einen Schlussbericht mit allen Findings, CVSS-Bewertungen und empfohlenen Maßnahmen. Vor der Übergabe an den Kunden durchläuft der Bericht ein Review durch einen Senior Consultant. Dieser überprüft die technische Nachvollziehbarkeit der Exploits, die Stringenz der Argumentation, die Formulierungen der Risiken sowie die Angemessenheit der vorgeschlagenen Maßnahmen. Erst nach Freigabe durch das Review-Team wird der Bericht finalisiert und übergeben.