Gemeinsame Audits: Das Erfolgsmodell der ccTLD-Registrys

Seit rund 10 Jahren auditieren sich europäische Country Code Top Level Domain Registrierungsstellen (ccTLD Registry) gegenseitig zur Norm ISO/IEC 27001. Eine Erfolgsgeschichte, die mehr als nur Normanforderungen erfüllt.

Text: Patrick Leu, publiziert am 05. September 2025

Stock photo showing the review of ISO certification standards with digital icons representing quality control
Photo: Adobe Stock | Bird Photographer TH

Switch verwaltet im Auftrag des BAKOM und des liechtensteinischen Amts für Kommunikation die Länderdomänen «.ch» und «.li.» In der Funktion als ccTLD-Registry betreibt Switch für diese beiden Länder eine kritische Infrastruktur. Um dieser Verantwortung gerecht zu werden, setzt Switch bei der Informationssicherheit unter anderem auf ISO/IEC 27001. Ein Aspekt dieser Norm ist es, die Wirksamkeit seines Managementsystems regelmässig zu prüfen und bei Bedarf anzupassen. Switch organisiert sich diesbezüglich mit anderen europäischen Registrierungsstellen. Das nachfolgend beschriebene Vorgehen erfüllt verschiedene Normanforderungen allein schon, indem es durchgeführt wird, und zwar unabhängig davon, welchen Fokus das jeweilige Audit hat. Für Interessierte steht in Klammern eine Referenz zum Normabschnitt.

Von der Norm zur gelebten Praxis

Das Durchführen von internen Audits zum Informationssicherheits-Managementsystem (ISMS) ist eine Normanforderung (9.2), die in geplanten Abständen (9.2.1) stattfinden muss. Diese Audits sollen objektiv und unabhängig erfolgen (9.2.2.b). Das schliesst ein Selbstaudit zum eigenen ISMS grundsätzlich aus. Teil der zu definierenden Auditkriterien (9.2.2.a) ist die Sicherstellung, dass die Auditoren das dafür erforderliche Wissen und die Erfahrungen mitbringen. Das ist in unserem Kreis gegeben, da alle Informationssicherheit praktizieren und viele davon auch entsprechende Diplome und Zertifizierungen vorweisen können (7.2).

Nun kann man entweder auf qualifizierte Beratungs- und Auditunternehmen zurückgreifen, was sehr kostenintensiv sein kann, oder man organisiert sich selbst. Das Problem beim Beizug externer Auditunternehmen ist bekanntlich der fehlende Kontext. Sie prüfen zwar Dinge, die sie möglicherweise fachlich verstehen, aber nicht korrekt dem Unternehmenskontext zuordnen können. Die Audit-Findings sind dann entweder generisch oder benötigen viel Fantasie, um die eigentliche Abweichung erkennen zu können. Registrys beschäftigen hochqualifizierte Security- und Audit-Spezialisten. Es lag also auf der Hand, dass die ccTLD-Registrys aus den Niederlanden, Deutschland, Österreich und der Schweiz/Liechtenstein eine Interessengruppe gründeten (4.2, A.5.6), um sich gegenseitig zu auditieren.

Mehr Informationssicherheit für alle Registrys

Alle vier Organisationen betrieben damals ein ISMS nach ISO/IEC 27001:2013. Die Zusammensetzung der Auditrunde wechselte in den vergangenen Jahren mehrfach. Slowenien war zeitweise dabei und die Niederlande brachten sich über mehrere Jahre massgeblich in die Runde ein, bis sie sich 2024 entschieden, die Runde zu verlassen. Wichtigstes Merkmal der Runde ist, dass der Austausch auf Deutsch stattfindet. Dabei kann die Dokumentation in einer anderen Sprache verfasst sein; es braucht dann einfach die entsprechende Zeit während des Audits, die Texte zu übersetzen. Die Gründer der Auditrunde verfolgten mit der Interessengruppe gleich mehrere Ziele: 

  • Wechselnde Rollen: Jede Registry übernimmt mindestens einmal pro Jahr den Audit-Lead bei einer anderen Registry. Jede Registry wird einmal pro Jahr auditiert. Das stärkt die Auditfähigkeit der Personen, die die Rolle des Lead-Auditors übernehmen. Zudem stellt die Rotation sicher, dass regelmässig andere Personen auf das jeweilige ISMS schauen.
  • Gezielte Weiterentwicklung des eigenen ISMS: Die zu auditierende Registry schickt den Auditplan (9.2) an die auditierenden Registrys. Die Lead-Auditoren bereiten sich vor, indem sie sich entsprechende Fragen überlegen und dabei möglicherweise das eigene ISMS reflektieren. Während des Audits werden mittels Stichproben die Umsetzungen (7.5) geprüft. Typischerweise stellt die Auditrunde weitere Fragen zur Umsetzung oder bringt ihre Erfahrungen mit ein (A.5.36). Dies hilft einerseits dem Lead-Auditor (yes, endlich ein Finding!) und andererseits allen anderen Beteiligten, damit ihre eigenen ISMS-Umsetzungen zu prüfen.
  • Erfahrungsaustausch zur Umsetzung der Annex-Controls: Beim mehrtägigen Audit-Event startet am zweiten Tag die Prüfung der zuvor geplanten Controls gemäss Anwendungsbereich (6.1.3.d) der betroffenen Registry. Hier können sich die Nerds unter den Anwesenden auch schon mal in Diskussionen verlieren. Es ist dann Sache des Lead-Auditors, die zwar spannenden Diskussionen zugunsten des Auditplanes auf das Mittagsgespräch oder Abendessen zu verschieben.
  • Gezielte How-tos: Bei der Auditplanung kann jede Registry Themen einbringen, die am letzten Audit-Tag vertieft diskutiert werden sollen. Dazu gehören Demonstrationen von Tools, Beispiele von Weisungen oder Tipps zur Implementierung von Prozessen. In den vergangenen Jahren richtete sich das Augenmerk besonders auf die Veränderungen, die aus der Normüberarbeitung ISO/IEC 27001:2022 resultieren. Nicht selten werden auch gleich konkrete Entwürfe erarbeitet.
  • Kosteneffiziente und normgerechte Audits: Die Kosten für Reisen und Übernachtungen sind um ein Vielfaches tiefer, als wenn externe Beratungsfirmen engagiert werden. Der Nutzen ist dabei viel höher und die Ergebnisse, beispielsweise Verbesserungsvorschläge, sind branchenspezifisch und dadurch gezielter. Das spart im Vergleich viel Zeit bei der Entwicklung und Implementierung von Massnahmen, als wenn man diese auf Basis eines weissen Papiers oder einer leeren Confluence-Seite erstellen müsste. Bisher haben alle akkreditierten ISO-Zertifizierungsstellen diese Art von internen Audits vorbehaltlos akzeptiert.

Bestandteil jedes Audits ist selbstverständlich, den anstrengenden Tag beim Genuss einer lokalen Spezialität noch einmal zu reflektieren. Diejenigen, die noch mögen, vertiefen sich dann wieder in Detaildiskussionen.

Praxisrelevante Findings statt Standardlösungen

Die Reifegrade der ISMS unterschieden sich damals stärker als heute. Die individuelle ISMS-Entwicklung (10.1) hat sich dank der gemeinsamen Audits beschleunigt. Massnahmen sind gezielter platziert, effizienter umgesetzt und zeigen deutlich früher die gewünschte Wirksamkeit (9.3.1). Die Risiken schwerwiegender Nichtkonformitäten eines externen ISO-Audits reduzieren sich, weil die Findings aus der Auditrunde (9.2.2) während des externen Audits höchstens als geringfügige Nichtkonformitäten (10.2) festgestellt werden dürfen. 

Registry
Portrait photo of Patrick Leu, Information Security Officer at Switch

Patrick Leu

Information Security Officer

Switch

Alle Beiträge ansehen

Insights aus unserem Alltag

Portrait photo of Michael Hausding
Cyber Security

Michael Hausding bleibt im Vorstand von FIRST

Portrait photo of Visho Jesudasan, Head of Sourcing, Architecture & Operations at Switch
Cloud Services

Switch Cloud: Digitale Souveränität für die Hochschulen

Swiss FEGA Logo
Innovation

Switch Cloud für Schweizer Genomdaten-Forschung

EOSC Logo
Innovation

Brücken bauen in der EOSC Federation

A white Swiss cross on red background with a protective network around it.
Cyber Security

Im Einsatz für ein sicheres Schweizer Internet

Tom Kleiber, Managing Director, Switch.
Corporate

Tom Kleiber verlässt Switch