ISO 27001 Internes Audit: Planung, Durchführung und Berichterstattung

Interne Audits sind einer der wichtigsten Mechanismen im ISO 27001-Rahmenwerk. Sie liefern eine unabhängige Bewertung, ob Ihr Information Security Management System (ISMS) den Anforderungen der Norm und Ihren eigenen dokumentierten Richtlinien entspricht und ob das ISMS wirksam umgesetzt und aufrechterhalten wird. Ohne interne Audits arbeitet Ihr ISMS im blinden Fleck — Sie haben keinen objektiven Nachweis dafür, dass das, was Sie geplant haben, auch tatsächlich umgesetzt wird.

Viele SaaS-Unternehmen behandeln interne Audits als reine Pflichtübung — ein jährlicher Schnelldurchlauf durch eine generische Checkliste, der einen Bericht produziert, den niemand liest. Das verfehlt den Zweck vollkommen. Ein gut durchgeführtes internes Audit ist das wirksamste Instrument, um Schwachstellen zu identifizieren, bevor Ihr Zertifizierungsauditor sie findet, um die kontinuierliche Verbesserung voranzutreiben und um dem Management die Informationen zu liefern, die es für fundierte Entscheidungen über Sicherheitsinvestitionen benötigt.

Dieser Leitfaden behandelt alles, was SaaS-Teams über interne Audits nach ISO 27001 wissen müssen: die Anforderungen nach Klausel 9.2, den Unterschied zwischen internen Audits und Zertifizierungsaudits, wie man ein Auditprogramm plant, wie man einzelne Audits durchführt, wie man Feststellungen klassifiziert und berichtet und wie man Korrekturmaßnahmen bis zum Abschluss steuert.

Was Klausel 9.2 verlangt

Klausel 9.2 ist die normative Anforderung für interne Audits. Sie ist nicht umfangreich, aber jedes Wort zählt.

Klausel 9.2.1 — Allgemeines

Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber zu erhalten, ob das ISMS:

a) Den eigenen Anforderungen der Organisation an ihr ISMS entspricht b) Den Anforderungen der ISO 27001 entspricht c) Wirksam umgesetzt und aufrechterhalten wird

Dies legt zwei Dimensionen der Auditbewertung fest. Erstens, Konformität — stimmt das ISMS mit dem überein, was die Norm verlangt und was Sie dokumentiert haben? Zweitens, Wirksamkeit — erreicht das ISMS tatsächlich seine beabsichtigten Ergebnisse? Eine Richtlinie mag existieren (Konformität), aber wenn sich niemand daran hält (Unwirksamkeit), muss das Audit dies erfassen.

Klausel 9.2.2 — Internes Auditprogramm

Die Organisation muss:

a) Ein Auditprogramm planen, einrichten, umsetzen und aufrechterhalten, einschließlich Häufigkeit, Methoden, Verantwortlichkeiten, Planungsanforderungen und Berichterstattung b) Die Auditkriterien und den Auditumfang für jedes Audit festlegen c) Auditoren auswählen und Audits so durchführen, dass Objektivität und Unparteilichkeit des Auditprozesses gewährleistet sind d) Sicherstellen, dass die Auditergebnisse dem zuständigen Management berichtet werden e) Dokumentierte Informationen als Nachweis des Auditprogramms und der Auditergebnisse aufbewahren

Diese Klausel begründet mehrere konkrete Anforderungen:

Sie benötigen ein Auditprogramm (nicht nur einzelne Audits), das das gesamte ISMS über einen definierten Zyklus abdeckt
Jedes Audit benötigt definierte Kriterien (wogegen Sie auditieren) und einen definierten Umfang (was Sie auditieren)
Auditoren müssen objektiv und unparteiisch sein — sie dürfen ihre eigene Arbeit nicht auditieren
Ergebnisse müssen dem Management berichtet werden
Sie müssen Nachweise über das Programm und die Ergebnisse aufbewahren

Internes Audit vs. Zertifizierungsaudit

Das Verständnis des Unterschieds zwischen internen Audits und Zertifizierungsaudits hilft SaaS-Teams, jeden Typ korrekt anzugehen.

Internes Audit

Wird von oder im Auftrag der Organisation selbst durchgeführt
Zweck: Bewertung der Konformität und Wirksamkeit des ISMS, Identifizierung von Verbesserungsmöglichkeiten
Häufigkeit: In geplanten Abständen, die von der Organisation festgelegt werden (typischerweise jährlich, wobei alle ISMS-Bereiche innerhalb eines 12-Monats-Zyklus abgedeckt werden)
Auditoren: Interne Mitarbeiter, beauftragte Berater oder eine Kombination — müssen vom auditierten Bereich unabhängig sein
Ergebnis: Interner Auditbericht mit Feststellungen und Empfehlungen
Konsequenzen: Feststellungen treiben Korrekturmaßnahmen und Verbesserungen durch die Managementbewertung voran

Stufe-1-Zertifizierungsaudit (Dokumentenprüfung)

Wird von einer akkreditierten Zertifizierungsstelle durchgeführt
Zweck: Bewertung, ob die ISMS-Dokumentation angemessen ist und ob die Organisation für das Stufe-2-Audit bereit ist
Häufigkeit: Einmal bei der Erstzertifizierung, dann im Rahmen von Überwachungs- oder Rezertifizierungszyklen
Auditoren: Leitende Auditoren der Zertifizierungsstelle
Ergebnis: Stufe-1-Bericht mit identifizierten Dokumentationslücken und Problembereichen
Konsequenzen: Wesentliche Lücken müssen vor dem Übergang zu Stufe 2 behoben werden

Stufe-2-Zertifizierungsaudit (Umsetzungsaudit)

Wird von derselben Zertifizierungsstelle durchgeführt
Zweck: Bewertung, ob das ISMS umgesetzt ist und wirksam funktioniert
Häufigkeit: Einmal bei der Erstzertifizierung, jährlich bei Überwachungsaudits, alle drei Jahre bei der Rezertifizierung
Auditoren: Leitende Auditoren der Zertifizierungsstelle
Ergebnis: Auditbericht mit Nichtkonformitäten und der Zertifizierungsentscheidung
Konsequenzen: Wesentliche Nichtkonformitäten müssen behoben werden, bevor das Zertifikat ausgestellt wird

Wie interne Audits die Zertifizierung unterstützen

Ihr internes Audit ist Ihre Generalprobe für das Zertifizierungsaudit. Es prüft dieselben Dinge, die der Zertifizierungsauditor prüfen wird, mit ähnlichen Methoden. Die Feststellungen aus Ihrem internen Audit geben Ihnen Zeit, Probleme zu beheben, bevor der Zertifizierungsauditor sie entdeckt.

Zertifizierungsauditoren werden auch Ihr internes Auditprogramm und dessen Ergebnisse im Rahmen ihrer Bewertung prüfen. Sie überprüfen, dass:

Sie ein aktives internes Auditprogramm haben
Es den vollständigen Umfang des ISMS abdeckt
Auditoren kompetent und unabhängig waren
Feststellungen identifiziert und durch Korrekturmaßnahmen bearbeitet wurden
Ergebnisse dem Management berichtet wurden

Wenn Ihr internes Auditprogramm schwach, oberflächlich oder nicht vorhanden ist, werden Zertifizierungsauditoren dies als wesentliche Nichtkonformität kennzeichnen, da es darauf hinweist, dass Klausel 9.2 nicht erfüllt wird.

Planung des Auditprogramms

Ein Auditprogramm ist der übergeordnete Plan, der sicherstellt, dass jeder Teil Ihres ISMS innerhalb eines definierten Zyklus auditiert wird. Einzelne Audits sind geplante Ereignisse innerhalb dieses Programms.

Definition des Auditzyklus

Die meisten Organisationen verwenden einen 12-monatigen Auditzyklus, der auf ihre jährliche ISMS-Überprüfung abgestimmt ist. Innerhalb dieses Zyklus muss jede Klausel der ISO 27001 (Klauseln 4-10) und jede anwendbare Annex A-Maßnahme mindestens einmal auditiert werden.

Ansatz 1: Einzelnes umfassendes Audit. Auditierung des gesamten ISMS in einem Ereignis, typischerweise über 3-5 Tage. Dies funktioniert gut für kleinere SaaS-Unternehmen (unter 100 Mitarbeitern) mit einem eng gefassten ISMS.

Vorteile: Einfach zu planen, liefert ein vollständiges Bild zu einem einzigen Zeitpunkt. Nachteile: Ressourcenintensiv, störend, Feststellungen kommen alle auf einmal, was den Korrekturmaßnahmenprozess überfordern kann.

Ansatz 2: Rollirendes Auditprogramm. Unterteilen Sie das ISMS in Auditbereiche und planen Sie separate Audits über das Jahr verteilt. Zum Beispiel:

Q1: Zugriffskontrolle (A.5.15-A.5.18, A.8.2-A.8.5), Personalsicherheit (A.6.1-A.6.5)
Q2: Vorfallmanagement (A.5.24-A.5.28), Betriebskontinuität (A.5.29-A.5.30)
Q3: Betriebssicherheit (A.8.6-A.8.16), Kryptographie (A.8.24), Netzwerksicherheit (A.8.20-A.8.23)
Q4: Governance (Klauseln 4-7), Risikomanagement (Klausel 6, A.5.1-A.5.8), Lieferantenmanagement (A.5.19-A.5.23)

Vorteile: Verteilt den Aufwand und die Störung über das Jahr, ermöglicht die laufende Bearbeitung von Korrekturmaßnahmen, liefert aktuellere Nachweise. Nachteile: Mehr Planungskomplexität, erfordert konstante Verfügbarkeit der Auditoren über das gesamte Jahr.

Ansatz 3: Risikobasiertes Auditprogramm. Priorisieren Sie Auditbereiche nach Risiko: Bereiche mit höherem Risiko, jüngsten Änderungen oder früheren Nichtkonformitäten erhalten mehr Auditaufmerksamkeit (höhere Häufigkeit, tieferer Umfang). Bereiche mit niedrigerem Risiko können weniger häufig auditiert werden, aber dennoch innerhalb des Zyklus.

SaaS-Empfehlung: Für die meisten SaaS-Unternehmen, die eine Erstzertifizierung anstreben, beginnen Sie mit einem einzelnen umfassenden Audit, das 2-3 Monate vor Ihrem Stufe-2-Zertifizierungsaudit geplant wird. Dies gibt Ihnen genug Zeit, Feststellungen zu beheben, bevor der Zertifizierungsauditor kommt. Nach der Erstzertifizierung wechseln Sie zu einem rollierenden Programm, das die Arbeitslast über das Jahr verteilt.

Risikobasierte Priorisierung

Nicht alle ISMS-Bereiche tragen das gleiche Risiko. Ihr Auditprogramm sollte dies widerspiegeln, indem mehr Auditzeit und -tiefe den Bereichen mit höherem Risiko zugewiesen wird.

Bereiche mit höherem Risiko (mehr Auditzeit und -tiefe):

Zugriffskontrolle — Die häufigste Quelle von Auditfeststellungen
Vorfallmanagement — Wirkt sich direkt auf das Kundenvertrauen und regulatorische Verpflichtungen aus
Risikobewertung und -behandlung — Das Fundament des ISMS; Schwächen hier untergraben alles
Lieferantenmanagement — Zunehmende Prüfung aufgrund von Lieferkettenangriffen
Bereiche, die sich seit dem letzten Audit wesentlich geändert haben
Bereiche, in denen frühere Audits Nichtkonformitäten identifiziert haben

Bereiche mit niedrigerem Risiko (Standard-Auditabdeckung):

Physische Sicherheit (für reine Cloud-SaaS-Unternehmen mit minimaler physischer Infrastruktur)
Dokumentenlenkung (wichtig, aber typischerweise stabil, wenn einmal eingerichtet)
Bereiche, die sich nicht geändert haben und keine früheren Feststellungen hatten

Dokumentation des Auditprogramms

Dokumentieren Sie Ihr Auditprogramm als formalen Plan. Es sollte enthalten:

Den Auditzykluszeitraum (z.B. Januar 2026 bis Dezember 2026)
Alle geplanten Audits mit Zieldaten
Den Umfang (ISMS-Bereiche/Maßnahmen), der von jedem Audit abgedeckt wird
Die Auditkriterien für jedes Audit
Zugewiesene Auditoren
Das übergeordnete Ziel des Programms
Verweis auf die Ergebnisse des vorherigen Zyklus und wie diese die aktuellen Prioritäten beeinflusst haben

Dieses Dokument ist ein Nachweis dafür, dass Sie Klausel 9.2.2(a) erfüllen. Zertifizierungsauditoren werden es anfordern.

Kompetenz und Unabhängigkeit der Auditoren

Wer kann interne Audits durchführen?

ISO 27001 verlangt, dass Auditoren objektiv, unparteiisch und kompetent sind. Es wird nicht verlangt, dass Auditoren bestimmte Zertifizierungen oder Qualifikationen besitzen. Sie müssen jedoch über ausreichende Kenntnisse verfügen in:

Anforderungen der ISO 27001 (Klauseln 4-10 und Annex A)
Auditprinzipien und -techniken
Dem ISMS der Organisation und seinem Kontext
Informationssicherheitskonzepten, die für die auditierten Bereiche relevant sind

Unabhängigkeit und Unparteilichkeit

Die Kernregel: Auditoren dürfen ihre eigene Arbeit nicht auditieren. Die Person, die eine Maßnahme entworfen, eine Richtlinie geschrieben oder einen Prozess verwaltet hat, darf diese Maßnahme, Richtlinie oder diesen Prozess nicht auditieren. Dies bedeutet nicht, dass Auditoren vollständig organisationsextern sein müssen — es bedeutet, dass sie vom spezifisch auditierten Bereich unabhängig sein müssen.

Möglichkeiten zur Erreichung der Unabhängigkeit in SaaS-Unternehmen:

Internes Kreuzauditieren. Teammitglieder auditieren Bereiche außerhalb ihrer Verantwortung. Der Engineering-Leiter auditiert die Personalsicherheit. Der Betriebsleiter auditiert die Zugriffskontrolle. Der Compliance-Manager auditiert die Vorfallreaktion (sofern er den Vorfallreaktionsprozess nicht selbst gestaltet hat).

Vorteile: Keine externen Kosten, Auditoren verstehen die Organisation, Feststellungen sind umsetzbar. Herausforderungen: Erfordert mehrere Personen mit Audit-Fähigkeiten, Potenzial für unbewusste Voreingenommenheit unter Kollegen.

Beauftragter Berater oder Auditfirma. Beauftragen Sie einen externen Berater mit der Durchführung oder Leitung des internen Audits. Dies bietet klare Unabhängigkeit und bringt typischerweise erfahrene Audit-Fähigkeiten mit.

Vorteile: Unbestreitbare Unabhängigkeit, professionelle Auditmethodik, Benchmarking gegen andere Organisationen. Herausforderungen: Kosten (5.000-20.000 €+ je nach Umfang und Komplexität), weniger organisatorischer Kontext, erfordert Koordination.

Hybridansatz. Ein externer leitender Auditor führt das Audit durch, wobei internes Personal als Co-Auditoren oder Begleiter dient. Dies kombiniert Unabhängigkeit mit organisatorischem Wissen.

SaaS-Empfehlung: Für die Erstzertifizierung sollten Sie einen externen Berater zumindest für das erste interne Audit in Betracht ziehen. Er bringt Expertise in Auditmethodik mit und kann interne Mitarbeiter anleiten, die zukünftige Audits durchführen werden. In den Folgejahren wechseln Sie zu einem internen Kreuzauditmodell, ergänzt durch externe Ressourcen für Hochrisikobereiche.

Auditorenausbildung

Wenn Sie planen, interne Mitarbeiter für Audits einzusetzen, investieren Sie in deren Entwicklung:

Schulungskurs zum internen Auditor nach ISO 27001 (typischerweise 2 Tage, erhältlich bei BSI, PECB, IRCA-zertifizierten Anbietern) — Dies ist die häufigste Schulungsinvestition und deckt Auditplanung, Nachweiserhebung, Klassifizierung von Feststellungen und Berichterstattung ab
ISO 19011-Schulung — Die Norm für die Auditierung von Managementsystemen, die umfassende Anleitung zu Auditprinzipien und -methodik bietet
Hospitation bei erfahrenen Auditoren während externer oder Zertifizierungsaudits, um Technik und Vorgehensweise zu erlernen

Bewahren Sie Schulungsnachweise als Beleg für die Kompetenz der Auditoren auf. Zertifizierungsauditoren werden überprüfen, ob Ihre internen Auditoren kompetent waren.

Planung eines einzelnen Audits

Jedes Audit innerhalb Ihres Programms erfordert eine eigene Planungsphase. Gründliche Planung ist der Unterschied zwischen einem Audit, das umsetzbare Feststellungen produziert, und einem, das allen Beteiligten Zeit verschwendet.

Definition des Auditumfangs

Der Auditumfang legt genau fest, was untersucht wird. Seien Sie präzise:

Welche ISMS-Bereiche/Klauseln/Maßnahmen auditiert werden
Welche Abteilungen, Teams oder Funktionen einbezogen werden
Welche Systeme, Anwendungen oder Infrastruktur-Komponenten im Umfang liegen
Welche Standorte (für verteilte Organisationen)
Welchen Zeitraum das Audit abdeckt (Nachweise von wann bis wann)

Beispiel für eine Umfangsbeschreibung: “Dieses Audit deckt die Umsetzung und Wirksamkeit der Zugriffskontrolle (Annex A-Maßnahmen A.5.15 bis A.5.18 und A.8.2 bis A.8.5) über alle Produktionssysteme, Cloud-Infrastruktur und Unternehmensanwendungen innerhalb des ISMS-Umfangs ab. Der Auditzeitraum ist 1. Januar 2026 bis 31. März 2026. Die Engineering-, IT-Betriebs- und Personalteams sind im Umfang enthalten.”

Definition der Auditkriterien

Auditkriterien sind die Referenzen, gegen die Sie die Konformität bewerten. Sie umfassen typischerweise:

Anforderungen der ISO 27001:2022 (spezifische Klauseln)
Die ISMS-Dokumentation der Organisation (Richtlinien, Verfahren, Standards)
Die Erklärung zur Anwendbarkeit
Geltende gesetzliche, regulatorische oder vertragliche Anforderungen
Frühere Auditfeststellungen und Korrekturmaßnahmen

Entwicklung des Auditplans

Der Auditplan ist das operative Dokument, das die Auditdurchführung strukturiert:

Auditziele: Was das Audit ermitteln soll. Beispiel: “Feststellen, ob Zugriffskontrollrichtlinien und -verfahren den Anforderungen des Annex A der ISO 27001 entsprechen und über alle Produktionssysteme wirksam umgesetzt sind.”

Auditplan: Datum/Daten, Uhrzeit(en) und Standorte. Für ein fokussiertes Audit (einzelner ISMS-Bereich) kann dies ein einzelner Tag sein. Für ein umfassendes Audit 3-5 Tage.

Auditteam: Leitender Auditor und etwaige Co-Auditoren oder technische Spezialisten.

Ansprechpartner der auditierten Stelle: Die Personen, die an Interviews teilnehmen und Nachweise bereitstellen werden. Benachrichtigen Sie sie rechtzeitig, damit sie sich vorbereiten können.

Nachweisanforderungsliste: Eine vorläufige Liste der Dokumente, Aufzeichnungen und Systemzugriffe, die Sie benötigen werden. Das vorherige Versenden dieser Liste reduziert Verzögerungen während des Audits. Beispielanforderungen für ein Zugriffskontrollaudit:

Aktuelle Zugriffskontrollrichtlinie (und Nachweis der Genehmigung und Bekanntmachung)
Benutzerzugriffslisten für alle Produktionssysteme
Listen privilegierter Zugriffe
Zugriffsprüfungsaufzeichnungen für den Auditzeitraum
Bereitstellungs- und Deprovisionierungsaufzeichnungen (Stichprobe von 10-15 aus dem Auditzeitraum)
Liste der ausgeschiedenen Mitarbeiter für den Auditzeitraum
MFA-Durchsetzungskonfigurationen
Zugriffsbezogene Vorfallaufzeichnungen

Audit-Checkliste: Eine detaillierte Liste von Fragen und Prüfungen, geordnet nach Maßnahme oder Klausel. Dies ist Ihr Arbeitswerkzeug während des Audits — es stellt sicher, dass Sie jede Anforderung systematisch abdecken.

Vorbereitung der Audit-Checkliste

Eine wirksame Audit-Checkliste übersetzt jede Anforderung in spezifische, überprüfbare Fragen. Für jede Maßnahme oder Klausel enthalten:

Die zu prüfende Anforderung (Verweis auf die spezifische Klausel, Maßnahme oder Richtlinienaussage)
Die Auditfrage(n) — was Sie fragen oder überprüfen werden
Der erwartete Nachweis — wie Konformität aussieht
Platz für die Notizen des Auditors, Nachweisreferenzen und vorläufige Feststellungen

Beispiel für einen Checklisteneintrag:

Referenz	Anforderung	Auditfrage	Erwarteter Nachweis
A.5.15 / Zugriffskontrollrichtlinie Abschnitt 4.2	Zugriff wird nach dem Prinzip der minimalen Berechtigung gewährt	Wie stellt die Organisation sicher, dass Benutzer nur den für ihre Rolle notwendigen Zugriff erhalten? Können Sie mir das RBAC-Modell und seine Anwendung zeigen?	Dokumentiertes RBAC-Modell. Benutzerzugriffsaufzeichnungen, die den Rollendefinitionen entsprechen. Keine Benutzer mit übermäßigen Berechtigungen.
A.5.18 / Zugriffskontrollrichtlinie Abschnitt 6.1	Zugriffsrechte werden in definierten Abständen überprüft	Wurden Zugriffsüberprüfungen gemäß dem Richtlinienplan durchgeführt? Zeigen Sie mir die Überprüfungsaufzeichnungen.	Abgeschlossene Zugriffsüberprüfungsaufzeichnungen für jeden geplanten Überprüfungszeitraum. Dokumentierte Feststellungen und Behebung.
A.8.2 / Zugriffskontrollrichtlinie Abschnitt 5	Privilegierter Zugriff wird eingeschränkt und kontrolliert	Wer hat privilegierten Zugriff? Wie wird dieser autorisiert und überwacht?	Dokumentierte Liste privilegierter Zugriffe. Autorisierungsaufzeichnungen. Aktivitätsprotokolle für privilegierte Sitzungen. Vierteljährliche Überprüfungsaufzeichnungen.

Durchführung des Audits

Eröffnungsbesprechung

Jedes Audit beginnt mit einer Eröffnungsbesprechung. Diese setzt den Ton und die Erwartungen.

Teilnehmer: Das Auditteam, der ISMS-Manager oder Beauftragte und die wichtigsten Stakeholder für die auditierten Bereiche (Abteilungsleiter, Systemverantwortliche).

Tagesordnung:

Bestätigung des Auditumfangs, der Ziele und Kriterien
Überprüfung des Auditplans und der Logistik
Bestätigung der Hauptansprechpartner und Verfügbarkeit für Interviews
Erläuterung der Auditmethodik (Interviews, Dokumentenprüfung, Systembeobachtung, Stichproben)
Erläuterung, wie Feststellungen klassifiziert und kommuniziert werden
Beantwortung von Fragen des auditierten Teams
Bestätigung der Vertraulichkeit der Auditinformationen

SaaS-Tipp: Halten Sie die Eröffnungsbesprechung knapp — 20-30 Minuten. Engineering- und Betriebsteams schätzen Effizienz. Stellen Sie klar, dass das Audit eine konstruktive Übung ist, die auf die Identifizierung von Verbesserungsmöglichkeiten abzielt, nicht eine strafende Überprüfung.

Methoden der Nachweiserhebung

Auditoren erheben Nachweise durch vier primäre Methoden:

1. Dokumentenprüfung

Überprüfung dokumentierter Informationen (Richtlinien, Verfahren, Aufzeichnungen, Protokolle) gegen die Auditkriterien. Dies ist die Grundlage jedes Audits.

Was zu prüfen ist:

Richtlinien und Verfahren: Sind sie aktuell, genehmigt, kommuniziert und an den ISO 27001-Anforderungen ausgerichtet?
Aufzeichnungen: Belegen sie, dass Prozesse wie dokumentiert befolgt werden?
Protokolle: Bestätigen Systemprotokolle, dass technische Maßnahmen funktionieren?
Frühere Auditberichte und Korrekturmaßnahmenaufzeichnungen: Wurden frühere Feststellungen bearbeitet?

Worauf zu achten ist:

Dokumente, die auf andere Dokumente verweisen, die nicht existieren (fehlerhafte Verweise)
Richtlinien, die Prozesse anders beschreiben als sie tatsächlich ablaufen
Fehlende Aufzeichnungen für erforderliche Aktivitäten (Zugriffsüberprüfungen, Risikobewertungen, Managementbewertungen)
Veraltete Dokumente, die nicht innerhalb ihres Überprüfungszeitraums geprüft wurden
Fehlende oder unvollständige Genehmigungsaufzeichnungen

2. Interviews

Sprechen Sie mit Personal, das sicherheitsrelevante Tätigkeiten ausführt, um zu überprüfen, ob es dokumentierte Verfahren versteht und befolgt.

Interview-Tipps:

Stellen Sie offene Fragen: “Gehen Sie mit mir durch, was passiert, wenn ein neuer Mitarbeiter anfängt” statt “Befolgen Sie das Onboarding-Verfahren?”
Fragen Sie nach konkreten Beispielen: “Können Sie mir die letzte Zugriffsüberprüfung zeigen, die Sie durchgeführt haben?”
Führen Sie Interviews auf mehreren Ebenen: Manager (Strategie und Aufsicht), Fachkräfte (Tagesbetrieb) und allgemeine Mitarbeiter (Bewusstsein und Einhaltung)
Achten Sie auf Widersprüche zwischen dem, was verschiedene Personen beschreiben — diese weisen oft auf Prozesslücken hin

Beispiel-Interviewfragen nach Rolle:

Für den ISMS-Manager:

Wie verfolgen Sie die ISMS-Leistung anhand der Sicherheitsziele?
Gehen Sie mit mir durch die letzte Managementbewertung — was wurde besprochen und welche Maßnahmen ergaben sich daraus?
Wie stellen Sie sicher, dass alle anwendbaren Annex A-Maßnahmen umgesetzt und funktionsfähig sind?

Für Engineering-Leiter:

Wie wird der Produktionszugriff für Ihr Team verwaltet?
Was passiert, wenn ein Teammitglied das Unternehmen verlässt — gehen Sie mit mir durch den Deprovisionierungsprozess
Wie gehen Sie mit Notfalländerungen in der Produktion um?

Für allgemeine Mitarbeiter:

Wo würden Sie die Informationssicherheitsrichtlinie finden?
Was würden Sie tun, wenn Sie einen Sicherheitsvorfall vermuten würden?
Wann haben Sie zuletzt eine Sicherheitsschulung abgeschlossen?

3. Systembeobachtung

Überprüfen oder verifizieren Sie technische Maßnahmen direkt durch Prüfung von Systemkonfigurationen, Dashboards und Ausgaben.

Beispiele:

Überprüfung der IAM-Konfigurationen in AWS/Azure/GCP zur Verifizierung der MFA-Durchsetzung
Überprüfung der Identity-Provider-Einstellungen zur Bestätigung der SSO-Konfiguration und Richtlinien für bedingten Zugriff
Überprüfung der SIEM-Dashboards zur Verifizierung, dass das Sicherheitsmonitoring aktiv ist
Überprüfung der Backup-Konfigurationen und der letzten Backup-Abschluss-Protokolle
Überprüfung der Code-Repository-Einstellungen zur Bestätigung von Branch-Schutzregeln
Überprüfung der Schwachstellenscanner-Konfigurationen und aktueller Scan-Ergebnisse

SaaS-Vorteil: Die meisten SaaS-Infrastrukturkonfigurationen können über Konsolenzugriff oder CLI-Befehle verifiziert werden. Dies macht die Systembeobachtung schneller und umfassender als in traditionellen Umgebungen, in denen Auditoren möglicherweise Rechenzentren physisch inspizieren müssen.

4. Stichprobenverfahren

Wenn eine vollständige Überprüfung aller Aufzeichnungen unpraktisch ist, wählen Sie eine repräsentative Stichprobe. Die Stichprobenziehung muss definiert und begründet werden.

Leitlinien zur Stichprobenziehung:

Für Grundgesamtheiten unter 10 prüfen Sie alle Elemente
Für Grundgesamtheiten von 10-50 prüfen Sie mindestens 10 Elemente oder 25% (je nachdem, was höher ist)
Für Grundgesamtheiten über 50 verwenden Sie statistische Stichproben (typischerweise 25-30 Elemente) oder risikobasierte Auswahl
Dokumentieren Sie Ihre Stichprobenmethodik und Begründung
Schließen Sie sowohl aktuelle als auch ältere Elemente in den Stichprobenzeitraum ein, um Trends zu erkennen

Häufige Stichprobenszenarien:

Benutzerbereitstellungsaufzeichnungen: Stichprobe von 15-20 Zugriffsbereitstellungsereignissen für neue Mitarbeiter über den Auditzeitraum
Deprovisionierungsaufzeichnungen: Stichprobe aller Austritte bei weniger als 10; andernfalls Stichprobe von 15-20 und Abgleich mit den Listen aktiver Konten
Change-Management-Aufzeichnungen: Stichprobe von 15-20 Produktionsbereitstellungen und Überprüfung, ob jede dem dokumentierten Change-Prozess folgte
Zugriffsüberprüfungsaufzeichnungen: Überprüfung aller geplanten Zugriffsüberprüfungen (da es bei vierteljährlichen Überprüfungen nur 4 pro Jahr sein sollten)

Dokumentation der Nachweise

Für jeden Punkt auf Ihrer Audit-Checkliste dokumentieren Sie:

Was Sie untersucht haben (spezifisches Dokument, Aufzeichnung, System oder Interview)
Was Sie festgestellt haben (sachliche Beobachtung, keine Interpretation)
Die Nachweisreferenz (Dokumentname und -version, Screenshot-Dateiname, Interviewname und -datum, Protokolleintrags-Zeitstempel)
Ihre vorläufige Bewertung (konform, nicht konform, Beobachtung oder erfordert weitere Untersuchung)

Führen Sie eine Nachweisdatei, die jede Feststellung stützt. Wenn Sie eine Nichtkonformität identifizieren, muss der Nachweis so spezifisch sein, dass jemand, der nicht beim Audit anwesend war, die Lücke verstehen kann.

Klassifizierung von Feststellungen

Feststellungen sind das Ergebnis des Audits — die Lücken, Schwächen und Stärken, die durch die Nachweiserhebung identifiziert werden. Die Art und Weise, wie Sie Feststellungen klassifizieren, beeinflusst direkt, wie sie priorisiert und bearbeitet werden.

Wesentliche Nichtkonformität

Eine wesentliche Nichtkonformität liegt vor, wenn:

Ein erforderlicher ISMS-Prozess vollständig fehlt (z.B. es wurde keine Risikobewertung durchgeführt)
Eine Maßnahme, die in der Erklärung zur Anwendbarkeit als anwendbar deklariert ist, überhaupt nicht umgesetzt ist
Ein systematisches Versagen einer Maßnahme oder eines Prozesses die Fähigkeit des ISMS beeinträchtigt, seine beabsichtigten Ergebnisse zu erzielen
Mehrere zusammenhängende geringfügige Nichtkonformitäten, die insgesamt auf ein systemisches Versagen hinweisen
Eine Klausel der ISO 27001 nicht erfüllt wird und die Lücke erheblich ist

Beispiel: Die Zugriffskontrollrichtlinie der Organisation erfordert vierteljährliche Zugriffsüberprüfungen, aber in den letzten 12 Monaten wurde keine Zugriffsüberprüfung durchgeführt. Zugriffslisten zeigen mehrere aktive Konten von ausgeschiedenen Mitarbeitern.

Bedeutung: Bei einem Zertifizierungsaudit muss eine wesentliche Nichtkonformität behoben werden, bevor das Zertifikat ausgestellt wird. Bei einem internen Audit erfordert eine wesentliche Nichtkonformität sofortige Korrekturmaßnahmen mit vorrangiger Aufmerksamkeit des Managements.

Geringfügige Nichtkonformität

Eine geringfügige Nichtkonformität liegt vor, wenn:

Eine Maßnahme oder ein Prozess umgesetzt ist, aber isolierte Lücken oder Inkonsistenzen aufweist
Ein einzelner Fall der Nichteinhaltung, der nicht auf ein systemisches Versagen hinweist
Ein Verfahrensschritt gelegentlich, aber nicht durchgehend übersprungen wird
Dokumentation existiert, aber geringfügige Ungenauigkeiten enthält oder leicht veraltet ist

Beispiel: Die Zugriffskontrollrichtlinie erfordert die Deprovisionierung innerhalb von 24 Stunden nach Austritt. Von 15 untersuchten Austritten wurden 13 innerhalb von 24 Stunden deprovisioniert, aber 2 wurden nach 48 Stunden deprovisioniert aufgrund von Lücken bei der Feiertagsvertretung.

Bedeutung: Bei einem Zertifizierungsaudit müssen geringfügige Nichtkonformitäten mit einem Korrekturmaßnahmenplan anerkannt werden, blockieren aber nicht die Zertifizierung. Bei einem internen Audit sollten sie innerhalb eines definierten Zeitrahmens bearbeitet werden (typischerweise 30-90 Tage).

Beobachtungen

Eine Beobachtung ist eine sachliche Feststellung, die keine Nichtkonformität darstellt, aber Aufmerksamkeit verdient. Arten von Beobachtungen umfassen:

Verbesserungsmöglichkeit (OFI): Ein konformer Bereich, in dem die Organisation die Wirksamkeit verbessern könnte. Beispiel: “Zugriffsüberprüfungen werden wie gefordert durchgeführt, aber der Überprüfungsprozess ist manuell und arbeitsintensiv. Die Automatisierung des Überprüfungsworkflows könnte die Konsistenz verbessern und die Belastung für die Prüfer reduzieren.”
Positive Beobachtung: Eine bemerkenswerte Stärke oder bewährte Praxis. Beispiel: “Die Organisation hat Just-in-Time-privilegierten Zugriff mit automatischem Widerruf implementiert, was die Anforderungen des Annex A übertrifft und das Risiko dauerhaften privilegierten Zugriffs erheblich reduziert.”
Risiko- oder Trendindikator: Etwas, das derzeit konform ist, aber zu einer Nichtkonformität tendiert. Beispiel: “Die letzten beiden Zugriffsüberprüfungen wurden in der letzten Woche des Überprüfungszeitraums abgeschlossen. Wenn sich dieser Trend fortsetzt, könnte eine Überprüfung verpasst werden.”

Beobachtungen sind wertvoll für die kontinuierliche Verbesserung und sollten dem Management neben Nichtkonformitäten berichtet werden. Sie zeigen, dass das Audit über einfache Bestanden/Nicht-bestanden-Prüfungen hinausging.

Struktur des Auditberichts

Der Auditbericht ist das formale dokumentierte Ergebnis des internen Audits. Er muss klar, sachlich und umsetzbar sein. Zertifizierungsauditoren werden Ihre internen Auditberichte als Nachweis prüfen, dass Klausel 9.2 erfüllt wird.

Empfohlene Berichtsabschnitte

1. Zusammenfassung für die Geschäftsleitung

Eine einseitige Übersicht für das Management. Enthält:

Auditumfang und -ziele
Auditdaten und -team
Gesamtbewertung (konform mit Beobachtungen, geringfügige Nichtkonformitäten identifiziert, wesentliche Nichtkonformität identifiziert)
Anzahl der Feststellungen nach Klassifizierung
Schlüsselthemen oder systemische Probleme

2. Auditdetails

Auditkriterien (Standards, Richtlinien und Dokumente, gegen die auditiert wurde)
Auditmethodik (Dokumentenprüfung, Interviews, Systembeobachtung, Stichprobenansatz)
Beteiligte Abteilungen und Personen
Einschränkungen oder Ausschlüsse (alles im Umfang, das nicht auditiert werden konnte und warum)

3. Feststellungen

Jede Feststellung sollte enthalten:

Feststellungsnummer (zur Nachverfolgung und Referenz)
Klassifizierung (wesentliche Nichtkonformität, geringfügige Nichtkonformität, Beobachtung/OFI)
Referenz (die spezifische Klausel, Maßnahme oder Richtlinienanforderung, die nicht erfüllt wird)
Beschreibung (sachliche Darstellung der Feststellung, einschließlich Nachweisreferenzen)
Auswirkung (warum diese Feststellung wichtig ist — welches Risiko sie verursacht oder welches ISMS-Ziel sie betrifft)
Empfohlene Korrekturmaßnahme (Vorschlag des Auditors — die auditierte Stelle entscheidet über die tatsächliche Maßnahme)

Beispiel einer Feststellung:

Feststellung Nr. 3 — Geringfügige Nichtkonformität

Referenz: A.8.2 (Privilegierte Zugriffsrechte), Zugriffskontrollrichtlinie v2.1 Abschnitt 5.3

Beschreibung: Die Zugriffskontrollrichtlinie erfordert vierteljährliche Überprüfungen aller privilegierten Konten. Während des Auditzeitraums (Januar-März 2026) war eine vierteljährliche Überprüfung fällig. Die Überprüfung wurde am 28. März 2026 abgeschlossen und umfasste AWS IAM-, Azure AD- und Okta-Administratorkonten. Die Überprüfung umfasste jedoch nicht die Datenbankadministratorkonten in PostgreSQL (RDS) oder die CI/CD-Pipeline-Dienstkonten in GitHub Actions. Diese Konten haben Zugriff auf Produktionsebene und fallen in den Geltungsbereich der Richtlinie.

Nachweis: Zugriffsüberprüfungsaufzeichnung vom 28. März 2026 (AR-2026-Q1). Inventar privilegierter Zugriffe (PAI-2026-03). Der Vergleich zeigt 12 privilegierte Konten im Inventar, die nicht in die Überprüfung einbezogen wurden.

Auswirkung: Privilegierte Datenbank- und CI/CD-Konten werden nicht gemäß der Richtlinie überprüft, was ein Risiko darstellt, dass übermäßiger oder veralteter privilegierter Zugriff unentdeckt bleibt.

Empfohlene Maßnahme: Den Umfang der Zugriffsüberprüfung auf alle privilegierten Konten aus dem Inventar privilegierter Zugriffe erweitern. Das Überprüfungsverfahren aktualisieren, um eine Vollständigkeitsprüfung gegen das Inventar aufzunehmen, bevor die Überprüfung abgeschlossen wird.

4. Positive Beobachtungen

Dokumentieren Sie Stärken und bewährte Praktiken. Dies sorgt für Ausgewogenheit, würdigt die Teams, die gute Arbeit leisten, und gibt dem Management ein vollständiges Bild.

5. Korrekturmaßnahmen-Tracker

Eine Übersichtstabelle aller Nichtkonformitäten mit Spalten für:

Feststellungsnummer
Klassifizierung
Beschreibung (kurz)
Zugewiesener Verantwortlicher
Ziel-Lösungsdatum
Status (offen/in Bearbeitung/geschlossen)

Dieser Tracker wird zum Arbeitsdokument für die Nachverfolgung von Korrekturmaßnahmen.

6. Nachverfolgung früherer Audits

Überprüfen Sie den Status der Feststellungen aus dem vorherigen internen Audit. Verifizieren Sie, dass Korrekturmaßnahmen umgesetzt und wirksam waren. Wenn eine frühere Feststellung noch offen ist, stufen Sie deren Klassifizierung herauf oder kennzeichnen Sie sie als wiederkehrendes Problem.

Korrekturmaßnahmen und Nachverfolgung

Die Identifizierung von Feststellungen ist nur die Hälfte des Wertes eines internen Audits. Die andere Hälfte besteht darin, Korrekturmaßnahmen voranzutreiben, die die zugrunde liegenden Probleme tatsächlich lösen.

Der Korrekturmaßnahmenprozess

ISO 27001 Klausel 10.1 verlangt, dass die Organisation bei Auftreten einer Nichtkonformität:

a) Auf die Nichtkonformität reagiert — sofortige Maßnahmen ergreift, um sie zu kontrollieren und zu korrigieren b) Die Notwendigkeit von Maßnahmen zur Beseitigung der Ursache bewertet — Ursachenanalyse durchführt und entscheidet, ob Korrekturmaßnahmen erforderlich sind c) Erforderliche Maßnahmen umsetzt d) Die Wirksamkeit der ergriffenen Korrekturmaßnahmen überprüft e) Änderungen am ISMS vornimmt, falls erforderlich

Dies ist ein strukturierter Problemlösungsprozess, nicht nur eine Aufgabenliste.

Schritt 1: Sofortige Korrektur. Behandeln Sie das unmittelbare Symptom. Wenn verwaiste Konten gefunden wurden, deaktivieren Sie sie sofort. Wenn eine fehlende Zugriffsüberprüfung identifiziert wurde, führen Sie die Überprüfung sofort durch. Dies stoppt die Blutung.

Schritt 2: Ursachenanalyse. Bestimmen Sie, warum die Nichtkonformität aufgetreten ist. Die verwaisten Konten existieren, weil das Deprovisionierungsverfahren keine Checkliste aller Systeme enthält und Systeme außerhalb des Identity Providers übersehen werden. Die Zugriffsüberprüfung war unvollständig, weil das Überprüfungsverfahren nicht auf das Inventar privilegierter Zugriffe verweist.

Techniken der Ursachenanalyse:

5-Warum-Methode: Fragen Sie wiederholt “Warum”, bis Sie die systemische Ursache erreichen. Warum waren Konten verwaist? Weil die Deprovisionierung unvollständig war. Warum war sie unvollständig? Weil es keine Checkliste gibt. Warum gibt es keine Checkliste? Weil das Verfahren geschrieben wurde, bevor die aktuelle Systemlandschaft etabliert war.
Ishikawa-Diagramm: Kategorisieren Sie mögliche Ursachen (Mensch, Prozess, Technologie, Richtlinie) und analysieren Sie jede Kategorie.

Schritt 3: Korrekturmaßnahmenplan. Definieren Sie spezifische Maßnahmen, die die Ursache adressieren, nicht nur das Symptom. Weisen Sie für jede Maßnahme einen Verantwortlichen und ein Zieldatum zu.

Korrektur (sofort): Die 5 identifizierten verwaisten Konten deaktivieren — Verantwortlich: IT-Betrieb — Fällig: Innerhalb von 48 Stunden
Korrekturmaßnahme: Das Deprovisionierungsverfahren aktualisieren, um eine umfassende Systemcheckliste aufzunehmen — Verantwortlich: Sicherheitsmanager — Fällig: 30 Tage
Korrekturmaßnahme: Eine automatisierte Deprovisionierungsverifizierungsprüfung implementieren, die monatlich die HR-Austrittsaufzeichnungen mit allen im Umfang befindlichen Systembenutzerlisten vergleicht — Verantwortlich: IT-Betrieb — Fällig: 60 Tage
Präventivmaßnahme: Die Vollständigkeit der Deprovisionierung in den Umfang der vierteljährlichen Zugriffsüberprüfung aufnehmen — Verantwortlich: Sicherheitsmanager — Fällig: Nächste vierteljährliche Überprüfung

Schritt 4: Umsetzung. Führen Sie die Korrekturmaßnahmen aus. Dokumentieren Sie, was getan wurde, wann und von wem.

Schritt 5: Wirksamkeitsüberprüfung. Verifizieren Sie nach der Umsetzung, dass die Korrekturmaßnahme das Problem tatsächlich gelöst hat. Dies könnte bedeuten:

Den ursprünglichen Audittest nach Umsetzung der Korrekturmaßnahme erneut durchzuführen
Die Überwachung auf Wiederholung über einen definierten Zeitraum (typischerweise einen Zyklus)
Den Feststellungsbereich mit gezielter Prüfung in den nächsten Auditumfang aufzunehmen

Die Wirksamkeitsüberprüfung ist der Schritt, den die meisten Organisationen überspringen, und es ist der Schritt, den Zertifizierungsauditoren speziell überprüfen. Wenn Sie eine Nichtkonformität identifiziert, eine Korrekturmaßnahme umgesetzt, aber nie verifiziert haben, dass die Maßnahme wirksam war, wird der Auditor in Frage stellen, ob der Korrekturmaßnahmenprozess wirklich funktioniert.

Zeitrahmen für Korrekturmaßnahmen

Definieren Sie Standardzeitrahmen in Ihrem Korrekturmaßnahmenverfahren:

Wesentliche Nichtkonformität: Ursachenanalyse innerhalb von 2 Wochen, Korrekturmaßnahmenplan innerhalb von 30 Tagen, Umsetzung innerhalb von 60-90 Tagen, Wirksamkeitsüberprüfung innerhalb von 6 Monaten
Geringfügige Nichtkonformität: Ursachenanalyse innerhalb von 30 Tagen, Umsetzung der Korrekturmaßnahme innerhalb von 60 Tagen, Wirksamkeitsüberprüfung innerhalb von 6 Monaten
Beobachtungen/OFIs: Werden in der Managementbewertung berücksichtigt, Maßnahmen basierend auf Priorität und Ressourcenverfügbarkeit

Berichterstattung an das Management

Klausel 9.2.2(d) verlangt, dass Auditergebnisse dem zuständigen Management berichtet werden. Dies fließt in den Managementbewertungsprozess (Klausel 9.3) ein, in dem das Management die ISMS-Leistung bewertet und Entscheidungen über Ressourcen, Prioritäten und Verbesserungen trifft.

Was zu berichten ist:

Zusammenfassung der Feststellungen (Anzahl und Klassifizierung)
Schlüsselthemen und systemische Probleme
Status der Korrekturmaßnahmen (offen, in Bearbeitung, überfällig, geschlossen)
Trends im Vergleich zu früheren Audits (sich verbessernd, stabil, rückläufig)
Ressourcenbedarf für Korrekturmaßnahmen
Empfehlungen für ISMS-Verbesserungen

Wie zu berichten: Nehmen Sie Auditergebnisse als ständigen Tagesordnungspunkt in Ihre Managementbewertung auf. Geben Sie bei bedeutenden Feststellungen eine Zwischenbewertung an das Management, anstatt auf die nächste geplante Überprüfung zu warten.

Lead Auditor vs. Lead Implementer Zertifizierungen

SaaS-Teams fragen häufig, welche professionellen Zertifizierungen für ISO 27001-Audits relevant sind. Das Verständnis der Unterscheidung hilft Ihnen, die richtigen Personen einzustellen und in die richtige Ausbildung zu investieren.

ISO 27001 Lead Auditor

Was es abdeckt: Auditprinzipien, Auditprogrammmanagement, Auditplanung und -durchführung, Nachweiserhebung, Klassifizierung von Feststellungen, Auditberichterstattung und Nachverfolgung von Korrekturmaßnahmen. Basiert auf ISO 19011 (Auditierung von Managementsystemen) und ISO 27001.

Wer sollte es erwerben: Jeder, der interne Audits leiten oder verwalten wird. Externe Berater, die in Ihrem Auftrag interne Audits durchführen.

Schlüsselkompetenzen: Verständnis der Auditmethodik, Objektivität und Unparteilichkeit, Interviewfähigkeiten, Nachweisbewertung, risikobasiertes Auditieren, Berichterstellung.

Zertifizierungsstellen: IRCA (International Register of Certificated Auditors), PECB, BSI und andere bieten akkreditierte Lead-Auditor-Kurse an (typischerweise 5 Tage).

ISO 27001 Lead Implementer

Was es abdeckt: ISMS-Design, Risikobewertungsmethodik, Maßnahmenimplementierung, Richtlinienentwicklung, Projektmanagement für die ISMS-Implementierung und Vorbereitung auf die Zertifizierung.

Wer sollte es erwerben: Die Person, die für den Aufbau und die Pflege des ISMS verantwortlich ist. Compliance-Manager, Sicherheitsmanager oder der Projektleiter für die ISO 27001-Implementierung.

Schlüsselkompetenzen: Verständnis aller ISO 27001-Klauseln und Annex A-Maßnahmen, Risikomanagementmethodik, Richtlinien- und Verfahrensentwicklung, Projektmanagement, Änderungsmanagement.

Wichtige Unterscheidung: Ein Lead Implementer sollte das ISMS, das er implementiert hat, nicht auditieren — das verletzt die Unabhängigkeitsanforderung. Lead-Implementer-Wissen ist jedoch wertvoll für die Auditplanung und um sicherzustellen, dass das Auditteam den ISMS-Kontext versteht.

ISO 27001 Interner Auditor

Was es abdeckt: Eine Teilmenge des Lead-Auditor-Inhalts, die speziell auf die Anforderungen interner Audits ausgerichtet ist. Deckt Auditplanung, Durchführungsgrundlagen, Nachweiserhebung und Berichterstattung ab, jedoch mit weniger Tiefe bei Auditprogrammmanagement und Spezifika des Zertifizierungsaudits.

Wer sollte es erwerben: Teammitglieder, die als Co-Auditoren an internen Audits teilnehmen oder bestimmte ISMS-Bereiche innerhalb ihrer Kompetenz auditieren werden.

Dauer: Typischerweise 2 Tage, verglichen mit 5 Tagen für Lead Auditor.

SaaS-Empfehlung: Bei begrenztem Budget bilden Sie eine Person als Lead Auditor und 2-3 weitere als interne Auditoren aus. Der Lead Auditor verwaltet das Programm und leitet Audits. Interne Auditoren unterstützen, indem sie Bereiche außerhalb ihrer eigenen Verantwortung auditieren.

Häufige Fehler bei internen Audits

Fehler 1: Das Audit als Pflichtübung behandeln

Das Problem: Der Auditor geht eine Checkliste durch, bestätigt, dass Richtlinien existieren, und markiert alles als konform, ohne zu prüfen, ob die Richtlinien tatsächlich befolgt oder wirksam sind.

Die Konsequenz: Echte Probleme bleiben unentdeckt. Der Zertifizierungsauditor findet sie stattdessen, was möglicherweise zu Nichtkonformitäten führt, die hätten verhindert werden können.

Die Lösung: Prüfen Sie für jede Richtlinie oder Maßnahme die Umsetzung und Wirksamkeit. Bestätigen Sie nicht nur, dass die Richtlinie existiert — überprüfen Sie, dass sie befolgt wird. Überprüfen Sie nicht nur, dass sie befolgt wird — bewerten Sie, ob sie ihr beabsichtigtes Ergebnis erzielt. Fragen Sie “Zeigen Sie mir” statt “Erzählen Sie mir.”

Fehler 2: Unzureichende Nachweise

Das Problem: Feststellungen werden als allgemeine Beobachtungen ohne spezifische Nachweisreferenzen dokumentiert. “Die Zugriffskontrolle könnte verbessert werden” ist keine Feststellung — es ist eine Meinung.

Die Konsequenz: Korrekturmaßnahmen sind unfokussiert. Das Management kann die Schwere des Problems nicht bewerten. Zertifizierungsauditoren können nicht verifizieren, dass das interne Audit gründlich war.

Die Lösung: Jede Feststellung muss auf spezifische Nachweise verweisen — Dokumentnamen, Aufzeichnungsdaten, Systemkonfigurationen, Interviewaussagen. Eine wirksame Feststellung ist sachlich, spezifisch und verifizierbar.

Fehler 3: Audit nur auf Compliance, nicht auf Wirksamkeit

Das Problem: Das Audit überprüft, dass Prozesse den dokumentierten Anforderungen entsprechen, bewertet aber nicht, ob diese Prozesse tatsächlich ihre Sicherheitsziele erreichen.

Die Konsequenz: Eine Organisation kann vollständig konform mit einer Reihe von Richtlinien sein, die unzureichend sind. Wenn der Zugriffsüberprüfungsprozess existiert und befolgt wird, aber tatsächlich keinen übermäßigen Zugriff erkennt, ist der Prozess konform, aber nicht wirksam.

Die Lösung: Nehmen Sie Fragen zur Wirksamkeit in Ihre Audit-Checkliste auf. “Wird der Prozess befolgt?” UND “Erzielt der Prozess sein beabsichtigtes Ergebnis?” Wenn Zugriffsüberprüfungen vierteljährlich durchgeführt werden, aber nie etwas finden, sind entweder die Überprüfungen nicht gründlich genug oder der Bereitstellungsprozess ist außergewöhnlich gut. Untersuchen Sie, was davon zutrifft.

Fehler 4: Mangelnde Unabhängigkeit der Auditoren

Das Problem: Die Person, die das ISMS aufgebaut hat, auditiert das ISMS. Der Sicherheitsmanager, der die Zugriffskontrollrichtlinie geschrieben hat, auditiert die Einhaltung der Zugriffskontrolle.

Die Konsequenz: Unbewusste (oder bewusste) Voreingenommenheit. Der Auditor identifiziert weniger wahrscheinlich Schwächen in seiner eigenen Arbeit. Zertifizierungsauditoren werden die Gültigkeit des internen Audits in Frage stellen.

Die Lösung: Erzwingen Sie strikte Unabhängigkeit für jeden Auditbereich. Verwenden Sie Kreuzauditierung zwischen Teams oder beauftragen Sie externe Ressourcen für Bereiche, in denen interne Unabhängigkeit nicht erreichbar ist.

Fehler 5: Keine Nachverfolgung von Korrekturmaßnahmen

Das Problem: Feststellungen werden identifiziert und Korrekturmaßnahmen definiert, aber niemand verfolgt sie bis zum Abschluss. Dieselben Feststellungen erscheinen von Audit zu Audit.

Die Konsequenz: Das ISMS verbessert sich nicht. Wiederkehrende Feststellungen signalisieren den Zertifizierungsauditoren, dass der Korrekturmaßnahmenprozess (Klausel 10.1) nicht wirksam ist.

Die Lösung: Weisen Sie jedem Korrekturmaßnahme eine klare Verantwortlichkeit zu. Setzen Sie Zieldaten. Verfolgen Sie den Status in einem zentralen System. Nehmen Sie die Überprüfung von Korrekturmaßnahmen als ständigen Tagesordnungspunkt in Managementbesprechungen auf. Führen Sie Wirksamkeitsüberprüfungen durch, um zu verifizieren, dass Maßnahmen die Probleme tatsächlich gelöst haben.

Fehler 6: Schlechte Umfangsbestimmung

Das Problem: Der Auditumfang ist zu breit (Versuch, alles oberflächlich zu auditieren) oder zu eng (wichtige ISMS-Bereiche werden übersehen).

Die Konsequenz: Breite Audits produzieren oberflächliche Feststellungen ohne Tiefe. Enge Audits lassen Lücken, die Zertifizierungsauditoren prüfen werden.

Die Lösung: Verwenden Sie risikobasierte Umfangsbestimmung, um die Audittiefe dort zu fokussieren, wo es am wichtigsten ist. Stellen Sie sicher, dass das gesamte Auditprogramm alle ISMS-Bereiche über den Zyklus abdeckt, auch wenn einzelne Audits fokussiert sind.

Fehler 7: Ergebnisse nicht mit dem Management teilen

Das Problem: Der Auditbericht wird abgelegt und nie besprochen. Das Management ist sich der Feststellungen, Trends oder Ressourcenbedarfe nicht bewusst.

Die Konsequenz: Klausel 9.2.2(d) wird nicht erfüllt. Das Management kann seinen Klausel-9.3-Managementbewertungspflichten nicht nachkommen. Korrekturmaßnahmen fehlt es an Managementunterstützung und Ressourcen.

Die Lösung: Präsentieren Sie Auditergebnisse bei jeder Managementbewertung. Geben Sie Zwischenbewertungen für bedeutende Feststellungen. Formulieren Sie Feststellungen in Bezug auf Risiko und Geschäftsauswirkungen, nicht nur Compliance-Lücken.

Häufig gestellte Fragen

Wie oft müssen interne Audits durchgeführt werden?

ISO 27001 verlangt Audits “in geplanten Abständen” — eine Mindesthäufigkeit wird nicht festgelegt. Das gesamte ISMS muss jedoch mindestens einmal pro Zertifizierungszyklus auditiert werden (typischerweise jährlich für Überwachungsaudits, alle drei Jahre für die Rezertifizierung). Die meisten Organisationen führen interne Audits jährlich durch. Einige verwenden ein rollierendes Programm mit mehreren kleineren Audits über das Jahr verteilt.

Können wir dieselbe Firma für internes Audit und Zertifizierungsaudit nutzen?

Nein. Die Nutzung derselben Firma für internes Auditieren und Zertifizierung würde die Unabhängigkeit der Zertifizierungsstelle gefährden. Ihre Zertifizierungsstelle darf keine Beratungs- oder internen Auditdienstleistungen für das ISMS erbringen, das sie zertifiziert. Sie können eine andere externe Firma für interne Audits nutzen oder interne Audits mit Ihren eigenen Mitarbeitern durchführen.

Was passiert, wenn das interne Audit eine wesentliche Nichtkonformität kurz vor dem Zertifizierungsaudit findet?

Das ist tatsächlich ein gutes Ergebnis — besser, es selbst zu finden, als es den Zertifizierungsauditor finden zu lassen. Beheben Sie das unmittelbare Problem (Korrektur), entwickeln Sie einen Korrekturmaßnahmenplan mit Ursachenanalyse und beginnen Sie mit der Umsetzung vor dem Zertifizierungsaudit. Der Zertifizierungsauditor wird sehen, dass Sie das Problem identifiziert, Maßnahmen ergriffen und es durch Ihren Korrekturmaßnahmenprozess steuern. Dies demonstriert ISMS-Reife. Das Verbergen oder Ignorieren der Feststellung ist weitaus schlimmer.

Müssen wir jede Annex A-Maßnahme jedes Jahr auditieren?

Ihr Auditprogramm sollte alle anwendbaren Annex A-Maßnahmen über den Auditzyklus abdecken, aber Sie müssen nicht jede Maßnahme in einem einzelnen Audit auditieren. Ein risikobasiertes Programm weist Maßnahmen mit höherem Risiko mehr Auditzeit zu und kann Maßnahmen mit niedrigerem Risiko weniger häufig auditieren (aber mindestens einmal pro Zyklus). Siehe unseren ISO 27001 Annex A-Maßnahmen-Leitfaden für eine vollständige Liste.

Wie verhält sich das interne Audit zum SOC 2-Auditprozess?

Interne Audits und SOC 2-Audits dienen unterschiedlichen Zwecken, überschneiden sich aber in der Praxis. Das interne Audit nach ISO 27001 ist eine interne Prüfungsaktivität, die Konformität und Wirksamkeit des ISMS bewertet. Das SOC 2-Audit ist ein externes Prüfungsengagement einer Wirtschaftsprüfungsgesellschaft. Wenn Ihr SaaS-Unternehmen beide Zertifizierungen besitzt, koordinieren Sie die beiden Auditaktivitäten, um Nachweise zu teilen, Doppelarbeit zu reduzieren und die Nachverfolgung von Korrekturmaßnahmen abzustimmen.

Welche Aufzeichnungen müssen wir vom internen Audit aufbewahren?

Bewahren Sie das Auditprogramm (Jahresplan), einzelne Auditpläne, Audit-Checklisten und Arbeitspapiere, erhobene Nachweise, den Auditbericht, Korrekturmaßnahmenaufzeichnungen (einschließlich Ursachenanalyse, Maßnahmenpläne, Umsetzungsnachweise und Wirksamkeitsüberprüfungen) und Managementbewertungsprotokolle auf, in denen Auditergebnisse besprochen wurden. Bewahren Sie diese Aufzeichnungen mindestens für den aktuellen und vorherigen Zertifizierungszyklus auf (typischerweise 3-6 Jahre). Ihre Zertifizierungscheckliste sollte eine Erinnerung zur Überprüfung der Aufbewahrung von Auditaufzeichnungen enthalten.

Wie GRCTrail hilft

GRCTrail vereinfacht die Planung, Durchführung und Nachverfolgung interner Audits nach ISO 27001 für SaaS-Teams:

Auditprogrammmanagement mit vorgefertigten Auditvorlagen, die jeder ISO 27001-Klausel und Annex A-Maßnahme zugeordnet sind, automatisierter Planung und risikobasierter Priorisierung, die den Auditaufwand dort konzentriert, wo er am wichtigsten ist
Integration der Nachweiserhebung, die Auditnachweise direkt aus Ihren verbundenen Systemen (Cloud-Plattformen, Identity Provider, Code-Repositories) bezieht, manuelle Screenshot-Sammlung eliminiert und die Nachweiserhebung beschleunigt
Nachverfolgung von Korrekturmaßnahmen mit zugewiesener Verantwortlichkeit, Zieldaten, automatisierten Erinnerungen und Workflows zur Wirksamkeitsüberprüfung, die sicherstellen, dass Feststellungen gelöst statt vergessen werden

Starten Sie mit GRCTrail

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours