Audit

Internes ISMS-Audit durchführen: Planung, Checkliste und Bericht

14 Min. Lesezeit
TL;DR
  • ISO 27001 fordert in Kapitel 9.2 regelmäßige interne Audits. Ohne sie ist eine Zertifizierung ausgeschlossen.
  • Ein Audit-Programm legt Frequenz, Scope und Methodik für einen mehrjährigen Zeitraum fest und stellt sicher, dass alle ISMS-Bereiche systematisch geprüft werden.
  • Auditoren müssen unabhängig von den geprüften Prozessen sein. In kleinen Unternehmen lässt sich das durch Cross-Audits oder externe Auditoren lösen.
  • Die Checkliste sollte sowohl die Normkapitel 4-10 als auch die relevanten Annex-A-Controls abdecken und auf objektiven Nachweisen basieren.
  • Feststellungen werden in vier Kategorien eingeteilt: konform, Beobachtung, Minor Nonconformity und Major Nonconformity. Jede Kategorie erfordert unterschiedliche Reaktionen.

Warum interne Audits keine Kür, sondern Pflicht sind

Kapitel 9.2 der ISO 27001 lässt keinen Interpretationsspielraum: Du musst in geplanten Abständen interne Audits durchführen, um festzustellen, ob dein ISMS die Anforderungen der Norm und deine eigenen Vorgaben erfüllt. Ohne interne Audits gibt es keine Zertifizierung. Und ohne Zertifizierung fehlt der formale Nachweis, den immer mehr Kunden, Partner und Regulierungsbehörden verlangen.

Aber das Pflichtargument greift zu kurz. Ein gut durchgeführtes internes Audit liefert dir etwas, das kein anderer Prozess in dieser Form bieten kann: einen unabhängigen, systematischen Blick auf den tatsächlichen Zustand deines ISMS. Nicht auf den geplanten Zustand, nicht auf den dokumentierten Zustand, sondern auf das, was in der Praxis wirklich passiert.

Die Lücke zwischen Dokumentation und Realität ist in fast jedem Unternehmen größer, als die Beteiligten glauben. Richtlinien existieren, die niemand gelesen hat - ein Zeichen für fehlendes Richtlinien-Lifecycle-Management. Prozesse sind definiert, die niemand befolgt. Kontrollen sind implementiert, deren Wirksamkeit nie geprüft wurde. Das interne Audit macht diese Lücken sichtbar, bevor sie zum Problem werden.

Das Audit-Programm: Planung über den Einzelaudit hinaus

Bevor du dein erstes Audit planst, brauchst du ein Audit-Programm. Das klingt bürokratischer als es ist. Ein Audit-Programm beantwortet vier grundlegende Fragen: Was wird geprüft? Wie oft? Von wem? Und nach welcher Methodik?

Frequenz festlegen

ISO 27001 gibt keine feste Audit-Frequenz vor. Die Norm spricht von "geplanten Abständen", was dir Flexibilität lässt. In der Praxis haben sich drei Modelle bewährt:

Jährliches Vollaudit: Einmal pro Jahr wird das gesamte ISMS geprüft. Das ist der einfachste Ansatz und für Unternehmen mit weniger als 200 Mitarbeitern oft die praktikabelste Lösung. Ein Vollaudit dauert je nach Scope typischerweise drei bis fünf Tage.

Rollierendes Audit: Du teilst das ISMS in Bereiche auf und prüfst in jedem Quartal einen anderen Bereich. Über einen Zeitraum von zwölf Monaten ist alles einmal geprüft. Dieses Modell verteilt die Belastung gleichmäßiger und eignet sich gut für Unternehmen, die nicht eine ganze Woche für ein Audit blockieren können.

Risikobasiertes Audit: Bereiche mit höherem Risiko oder bekannten Schwächen werden häufiger geprüft, stabile Bereiche seltener. Das ist der effizienteste Ansatz, erfordert aber eine fundierte Risikoeinschätzung als Grundlage.

Welches Modell du auch wählst: Dokumentiere die Entscheidung und die Begründung. Ein externer Auditor wird genau danach fragen.

Scope definieren

Der Audit-Scope kann das gesamte ISMS umfassen oder sich auf bestimmte Bereiche konzentrieren. In jedem Fall muss sichergestellt sein, dass innerhalb eines angemessenen Zeitraums alle Bereiche mindestens einmal geprüft werden.

Ein sinnvoller Audit-Scope umfasst typischerweise:

  • Normkapitel 4 bis 10: Das Managementsystem selbst, also Kontext, Führung, Planung, Unterstützung, Betrieb, Leistungsbewertung und Verbesserung.
  • Annex-A-Controls: Die in der Anwendbarkeitserklärung (SoA) als anwendbar gekennzeichneten Maßnahmen.
  • Standorte und Abteilungen: Bei mehreren Standorten oder organisatorisch getrennten Bereichen muss der Scope geografisch und organisatorisch definiert werden.

Tipp: Orientiere dich am Geltungsbereich deines ISMS. Was im Scope des ISMS liegt, muss auch im Scope des Audits liegen. Ausnahmen sind nur zulässig, wenn du sie im Audit-Programm begründest und in einem absehbaren Zeitraum nachholt.

Audit-Programm dokumentieren

Ein Audit-Programm muss nicht zwanzig Seiten lang sein. Für ein mittelständisches Unternehmen reicht oft eine Tabelle mit den folgenden Spalten:

Audit-Bereich Geplanter Zeitraum Auditor Methode Letztes Audit Risikobewertung
Zugriffskontrolle (A.5.15-A.5.18, A.8.2-A.8.5) Q2 2026 M. Schneider Interview + Stichprobe Q2 2025 Hoch
Incident Management (A.5.24-A.5.28) Q2 2026 K. Weber Interview + Dokumentenprüfung Q3 2025 Mittel
Physische Sicherheit (A.7.1-A.7.14) Q3 2026 M. Schneider Begehung + Dokumentenprüfung Q3 2025 Niedrig

Diese Übersicht zeigt auf einen Blick, was wann von wem geprüft wird, und macht die Planung für das Management und die betroffenen Abteilungen transparent. In ISMS Lite lässt sich das Audit-Programm direkt mit den Controls aus der SoA verknüpfen, sodass du jederzeit siehst, welche Bereiche wann zuletzt geprüft wurden. Das Tool deckt Audit-Planung, Feststellungen und Maßnahmentracking 500 Euro pro Jahr ab, ohne Seat-Lizenzen.

Das Auditteam zusammenstellen

Die wichtigste Anforderung an interne Auditoren lautet: Unabhängigkeit. Ein Auditor darf nicht seine eigene Arbeit prüfen. Das klingt trivial, ist in kleinen Organisationen aber eine echte Herausforderung.

Anforderungen an Auditoren

ISO 27001 verlangt, dass Auditoren objektiv und unparteiisch sind. Darüber hinaus sollten sie über folgende Kompetenzen verfügen:

  • Kenntnis der ISO 27001: Der Auditor muss die Normforderungen kennen, die er prüft. Das bedeutet nicht, dass er die Norm auswendig können muss, aber er muss verstehen, was gefordert wird und wie Konformität aussieht.
  • Audit-Methodik: Interviewführung, Stichprobenverfahren, Bewertung von Nachweisen, Formulierung von Feststellungen. Diese Fähigkeiten kann man erlernen, etwa durch eine Schulung nach ISO 19011 (Leitfaden für Audits von Managementsystemen).
  • Branchenverständnis: Ein Auditor, der die Geschäftsprozesse und IT-Systeme des Unternehmens nicht versteht, wird oberflächliche Feststellungen treffen. Fachliche Kompetenz im auditierten Bereich ist daher wichtig.

Lösungen für kleine Unternehmen

In einem Unternehmen mit 80 Mitarbeitern und einem dreiköpfigen IT-Team ist es schwierig, jemanden zu finden, der unabhängig prüfen kann und gleichzeitig die nötige Kompetenz mitbringt. Dafür gibt es pragmatische Lösungen:

Cross-Audits: Mitarbeiter aus einer Abteilung prüfen die Prozesse einer anderen Abteilung. Der Personaler prüft die Dokumentenlenkung, die Qualitätsmanagerin prüft das Risikomanagement. Das funktioniert, wenn beide ausreichend geschult sind.

Externe Auditoren: Du beauftragst einen externen Berater oder Auditor, der das interne Audit durchführt. Das kostet Geld, liefert aber oft die besten Ergebnisse, weil ein Externer unbefangen an die Sache herangeht und Erfahrung aus vielen Audits mitbringt.

Gemischtes Team: Ein interner Mitarbeiter mit Prozesswissen und ein externer Auditor mit Normenkenntnis bilden ein Team. Der Interne liefert den Kontext, der Externe die Methodik und Unabhängigkeit.

Für welches Modell du dich auch entscheidest: Dokumentiere die Kompetenz und Unabhängigkeit deiner Auditoren. Ein externer Zertifizierungsauditor wird genau das prüfen.

Die Audit-Checkliste: Struktur und Inhalte

Eine gute Audit-Checkliste ist das Rückgrat jedes Audits. Sie stellt sicher, dass nichts vergessen wird, ermöglicht eine strukturierte Durchführung und dient als Nachweis für den Audit-Umfang. Gleichzeitig darf die Checkliste kein starres Korsett sein. Ein guter Auditor nutzt sie als Leitfaden, nicht als Skript.

Aufbau der Checkliste

Eine praxistaugliche Checkliste enthält für jeden Prüfpunkt diese Informationen:

  • Referenz: Normkapitel oder Annex-A-Control (z.B. "9.1 Überwachung, Messung, Analyse und Bewertung" oder "A.8.9 Konfigurationsmanagement")
  • Prüffrage: Eine konkrete, offene Frage, die nicht mit Ja oder Nein beantwortet werden kann.
  • Erwarteter Nachweis: Welche Dokumente, Aufzeichnungen oder Beobachtungen belegen die Konformität?
  • Tatsächlicher Nachweis: Was wurde im Audit tatsächlich vorgefunden?
  • Bewertung: Konform, Beobachtung, Minor NC, Major NC.
  • Bemerkung: Zusätzliche Informationen, Verbesserungspotenziale, positive Feststellungen.

Prüffragen für die Normkapitel (Auszug)

Die folgenden Prüffragen geben dir einen Startpunkt. Sie decken nicht den gesamten Normumfang ab, fokussieren sich aber auf die Bereiche, in denen interne Audits am häufigsten Abweichungen finden.

Kapitel 4 - Kontext der Organisation:

  • Wie wurde der Geltungsbereich des ISMS festgelegt? Welche internen und externen Themen wurden berücksichtigt?
  • Welche interessierten Parteien wurden identifiziert und welche Anforderungen stellen sie an die Informationssicherheit?
  • Ist der dokumentierte Geltungsbereich aktuell und spiegelt er die tatsächliche Organisationsstruktur wider?

Kapitel 5 - Führung:

  • Wie demonstriert die oberste Leitung ihre Verpflichtung zur Informationssicherheit? Gibt es dokumentierte Nachweise?
  • Ist die Informationssicherheitspolitik aktuell, kommuniziert und den Mitarbeitern bekannt?
  • Sind Rollen, Verantwortlichkeiten und Befugnisse für die Informationssicherheit klar definiert und zugewiesen?

Kapitel 6 - Planung:

  • Wurden Risiken und Chancen für das ISMS identifiziert und bewertet?
  • Existiert ein Risikobehandlungsplan mit konkreten Maßnahmen, Verantwortlichen und Terminen?
  • Sind die Informationssicherheitsziele messbar, konsistent mit der Politik und den Mitarbeitern kommuniziert?

Kapitel 7 - Unterstützung:

  • Sind ausreichende Ressourcen für den Betrieb des ISMS bereitgestellt?
  • Gibt es Nachweise für Schulungen und Sensibilisierungsmaßnahmen? Wie wird die Wirksamkeit gemessen?
  • Ist die dokumentierte Information angemessen gelenkt (Versionen, Freigaben, Zugriff)?

Kapitel 8 - Betrieb:

  • Werden die Risikobewertungen in geplanten Abständen oder bei signifikanten Änderungen aktualisiert?
  • Werden die Maßnahmen aus dem Risikobehandlungsplan tatsächlich umgesetzt?
  • Wie wird mit Änderungen an Prozessen, Systemen und Infrastruktur umgegangen?

Kapitel 9 - Leistungsbewertung:

  • Welche KPIs werden zur Bewertung der ISMS-Leistung erhoben? Wie werden sie ausgewertet?
  • Wurden die internen Audits wie geplant durchgeführt? Wurden Feststellungen nachverfolgt?
  • Wurde das Management Review durchgeführt und dokumentiert?

Kapitel 10 - Verbesserung:

  • Wie werden Nonconformities behandelt? Gibt es dokumentierte Korrekturmaßnahmen?
  • Gibt es Nachweise für die kontinuierliche Verbesserung des ISMS?

Prüffragen für Annex-A-Controls (Auszug)

Für die Annex-A-Controls orientierst du dich an der Anwendbarkeitserklärung (SoA). Nur was dort als anwendbar gekennzeichnet ist, muss geprüft werden. Hier einige Beispiele für häufig geprüfte Controls:

A.5.15 Zugriffskontrolle:

  • Gibt es eine dokumentierte Zugriffskontrollrichtlinie? Wann wurde sie zuletzt überprüft?
  • Wie werden Zugriffsrechte beantragt, genehmigt und entzogen? Zeig mir den Prozess anhand eines konkreten Beispiels aus den letzten drei Monaten.
  • Werden Zugriffsrechte regelmäßig überprüft? Wann war die letzte Überprüfung? Was wurde dabei gefunden?

A.5.24 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen:

  • Ist der Incident-Response-Prozess dokumentiert? Wann wurde er zuletzt aktualisiert?
  • Wie werden Sicherheitsvorfälle klassifiziert? Welche Eskalationsstufen gibt es?
  • Gab es in den letzten zwölf Monaten Sicherheitsvorfälle? Wie wurden sie behandelt?

A.8.8 Management von technischen Schwachstellen:

  • Wie werden technische Schwachstellen identifiziert? Welche Quellen werden genutzt?
  • Was ist der Prozess für die Bewertung und Behebung von Schwachstellen? Gibt es definierte Fristen nach Kritikalität?
  • Zeig mir die letzten fünf kritischen Schwachstellen und wie sie behandelt wurden.

A.8.13 Sicherung von Informationen (Backup):

  • Gibt es eine dokumentierte Backup-Richtlinie? Welche Systeme werden gesichert, in welcher Frequenz?
  • Werden Backup-Restores regelmäßig getestet? Wann war der letzte Test? Was war das Ergebnis?
  • Gibt es Offline-Backups oder anderweitig geschützte Kopien für den Fall eines Ransomware-Angriffs?

Du merkst: Gute Prüffragen sind offen formuliert und fordern konkrete Nachweise. "Haben Sie ein Backup?" ist eine schlechte Frage, weil sie mit Ja beantwortet werden kann, ohne dass du etwas erfährst. "Zeigen Sie mir den letzten Backup-Restore-Test und sein Ergebnis" ist eine gute Frage, weil sie einen objektiven Nachweis verlangt.

Durchführung des Audits

Die Vorbereitung steht, die Checkliste ist fertig, das Auditteam ist benannt. Jetzt geht es in die Durchführung. Ein internes Audit besteht typischerweise aus vier Phasen: Eröffnung, Informationssammlung, Analyse und Abschluss.

Eröffnungsbesprechung

Auch bei internen Audits ist eine kurze Eröffnungsbesprechung sinnvoll. Nicht weil die Norm es formal verlangt, sondern weil sie Transparenz schafft und Widerstände abbaut. Erkläre den Beteiligten den Zweck des Audits (Verbesserung finden, nicht Schuldige suchen), den geplanten Ablauf und die Vertraulichkeit der Ergebnisse.

Nimm dir fünf bis zehn Minuten dafür. Es macht einen großen Unterschied, ob die Beteiligten das Audit als Kontrolle oder als Unterstützung wahrnehmen.

Informationssammlung

Die Informationssammlung ist das Herzstück des Audits. Du nutzt drei Methoden, die du je nach Prüfpunkt kombinierst:

Interviews: Das wichtigste Werkzeug. Du sprichst mit den Personen, die einen Prozess verantworten oder ausführen. Stelle offene Fragen: "Beschreibe mir, wie du vorgehst, wenn..." statt "Machst du X?". Höre aktiv zu und frage nach, wenn etwas unklar ist oder im Widerspruch zur Dokumentation steht.

Gute Interviewtechniken für Auditoren:

  • Beginne mit allgemeinen Fragen und werde dann spezifischer.
  • Bitte den Befragten, dir den Prozess direkt am System zu zeigen. Bildschirm teilen oder gemeinsam vor Ort anschauen.
  • Nutze die "Zeig mir"-Technik: "Zeig mir die letzte Änderung im Berechtigungssystem" liefert mehr Erkenntnisse als "Wie funktioniert euer Berechtigungssystem?".
  • Mache dir Notizen mit Datum, Name des Befragten und konkreten Aussagen. Vage Erinnerungen sind kein guter Audit-Nachweis.
  • Halte Augenkontakt und schaffe eine offene Atmosphäre. Wenn der Befragte sich wie in einem Verhör fühlt, wirst du nicht die ehrlichsten Antworten bekommen.

Dokumentenprüfung: Du prüfst, ob die geforderten Dokumente existieren, aktuell und freigegeben sind und ob sie die Normforderungen inhaltlich abdecken. Typische Prüfdokumente sind Richtlinien, Verfahrensanweisungen, Risikoregister, Schulungsnachweise, Protokolle und Berichte.

Achte besonders auf:

  • Versionierung und Freigabestatus. Ein Dokument ohne Datum und Freigabevermerk ist kein gelenktes Dokument.
  • Konsistenz zwischen Dokumenten. Wenn die Zugriffsrichtlinie alle sechs Monate eine Überprüfung fordert, muss es Nachweise für diese Überprüfung geben.
  • Aktualität. Eine Richtlinie, die seit drei Jahren nicht überprüft wurde, ist vermutlich nicht mehr aktuell.

Stichproben: Du prüfst an konkreten Beispielen, ob ein Prozess wie beschrieben funktioniert. Bei der Zugriffskontrolle schaust du dir drei bis fünf kürzliche Zugriffs-Änderungen an und prüfst, ob der definierte Prozess eingehalten wurde. Beim Schwachstellenmanagement nimmst du die letzten kritischen Patches und prüfst Reaktionszeiten.

Die Stichprobengröße hängt vom Risiko und der Häufigkeit des Prozesses ab. Für einen monatlichen Prozess sind drei bis fünf Stichproben über die letzten zwölf Monate angemessen. Für einen täglichen Prozess (z.B. Backup-Monitoring) reicht ein Blick auf die Aufzeichnungen der letzten zwei Wochen.

Typische Audit-Situationen und wie du damit umgehst

"Das machen wir, aber es ist nicht dokumentiert." Das ist eine der häufigsten Aussagen in internen Audits. Wenn ein Prozess funktioniert, aber nicht dokumentiert ist, liegt eine Abweichung vor, denn ISO 27001 fordert dokumentierte Informationen für bestimmte Prozesse. Prüfe, ob die Norm für diesen spezifischen Punkt eine Dokumentation fordert. Falls ja, ist es mindestens eine Minor Nonconformity. Falls die Norm keine explizite Dokumentation fordert, kann es als Beobachtung formuliert werden.

"Das war früher anders, wir haben das geändert." Frag nach dem Änderungsmanagement. Wurde die Dokumentation aktualisiert? Wurden betroffene Mitarbeiter informiert? Wurde die Änderung genehmigt? Nicht jede Änderung ist ein Problem, aber fehlende Nachverfolgung von Änderungen deutet auf ein schwaches Änderungsmanagement hin.

"Dafür ist jemand anderes zuständig." Wenn niemand sich zuständig fühlt, hast du vermutlich ein Problem mit den definierten Verantwortlichkeiten gefunden. Geh der Spur nach und kläre, wer tatsächlich verantwortlich ist. Wenn sich zeigt, dass die Verantwortlichkeit unklar oder undokumentiert ist, notiere das als Feststellung.

"Das System zeigt etwas anderes als die Richtlinie beschreibt." Bingo. Das ist der klassische Fall einer Diskrepanz zwischen Soll und Ist. Dokumentiere beide Zustände sorgfältig, denn genau dafür ist das Audit da.

Abschlussbesprechung

Am Ende des Audit-Tages oder der Audit-Woche führst du eine Abschlussbesprechung durch. Dabei stellst du die vorläufigen Feststellungen vor, gibst den Auditierten die Möglichkeit, Missverständnisse zu klären, und vereinbarst den Zeitplan für den Audit-Bericht und die Maßnahmennachverfolgung.

Wichtig: Vorläufig bedeutet vorläufig. Manchmal stellt sich nach dem Audit heraus, dass ein vermeintliches Problem auf einem Missverständnis beruht oder dass Nachweise existieren, die im Audit nicht vorgelegt wurden. Gib den Auditierten die Möglichkeit, innerhalb einer definierten Frist (typischerweise fünf Arbeitstage) zusätzliche Nachweise beizubringen.

Feststellungen bewerten

Die Bewertung von Feststellungen ist der heikelste Teil des Audits, denn hier trennt sich die subjektive Wahrnehmung von der objektiven Bewertung. Eine saubere Kategorisierung ist entscheidend, weil sie bestimmt, welche Reaktion erforderlich ist.

Die vier Kategorien

Konform: Die Anforderung ist vollständig umgesetzt. Dokumentation und Praxis stimmen überein. Nachweise sind vorhanden und aktuell. Das bedeutet nicht, dass es nichts zu verbessern gibt, aber es gibt keine Abweichung von den Normforderungen.

Beobachtung (Observation): Ein Bereich, der zwar konform ist, aber Verbesserungspotenzial bietet. Oder ein Trend, der ohne Korrektur mittelfristig zu einer Abweichung führen könnte. Beobachtungen erfordern keine formale Korrekturmaßnahme, sollten aber dokumentiert und bei der nächsten Prüfung erneut betrachtet werden.

Beispiel: "Die Zugriffskontrollrichtlinie fordert eine halbjährliche Überprüfung der Zugriffsrechte. Die letzte Überprüfung fand vor fünf Monaten statt und ist damit noch fristgerecht. Allerdings fehlt ein definierter Prozess für die Durchführung, was die Konsistenz zukünftiger Überprüfungen gefährden könnte."

Minor Nonconformity (geringfügige Abweichung): Eine Anforderung der Norm ist teilweise nicht erfüllt, aber das Gesamtsystem ist nicht gefährdet. Die Abweichung betrifft einen isolierten Bereich und hat keine weitreichenden Auswirkungen auf die Informationssicherheit.

Beispiel: "Für drei von zwölf geprüften Zugriffsänderungen im Zeitraum Januar bis März 2026 fehlt die dokumentierte Genehmigung durch den Vorgesetzten, wie in der Zugriffskontrollrichtlinie gefordert. Der Prozess funktioniert grundsätzlich, wird aber nicht durchgängig eingehalten."

Major Nonconformity (schwerwiegende Abweichung): Eine Anforderung der Norm ist vollständig nicht erfüllt, oder mehrere zusammenhängende Minor NCs deuten auf ein systemisches Problem hin. Eine Major NC gefährdet die Wirksamkeit des ISMS oder eines wesentlichen Teils davon.

Beispiel: "Es existiert kein dokumentierter Risikobehandlungsplan. Risiken wurden zwar identifiziert und bewertet, aber es gibt keine formale Zuordnung von Maßnahmen, Verantwortlichen und Terminen. Die Anforderungen aus Kapitel 6.1.3 und 8.3 sind damit nicht erfüllt."

Bewertungskriterien

Um die Kategorisierung nachvollziehbar zu machen, helfen klare Kriterien:

Kriterium Minor NC Major NC
Umfang Einzelne Instanz oder isolierter Bereich Systemisch oder mehrere Bereiche betroffen
Normforderung Teilweise nicht erfüllt Vollständig nicht erfüllt
Auswirkung auf ISMS Gering, lokale Schwäche Gefährdet Wirksamkeit des ISMS
Wiederholbarkeit Einmaliger Ausrutscher möglich Deutet auf strukturelles Problem hin
Nachweislage Teilweise Nachweise vorhanden Keine oder unzureichende Nachweise

Eine Faustregel, die sich in der Praxis bewährt hat: Wenn du dir nicht sicher bist, ob etwas eine Minor oder Major NC ist, schau auf die Ursache. Wenn das Problem durch eine einfache Korrektur behoben werden kann (fehlende Freigabe nachtragen, Dokument aktualisieren), ist es eher eine Minor NC. Wenn das Problem auf ein fehlendes oder dysfunktionales System hindeutet, tendiere zur Major NC.

Den Audit-Bericht schreiben

Der Audit-Bericht ist das greifbare Ergebnis des Audits. Er dient drei Zwecken: Er dokumentiert die Prüfung (für die Norm), er kommuniziert die Ergebnisse (an das Management) und er bildet die Grundlage für Korrekturmaßnahmen (für die Fachabteilungen).

Struktur des Audit-Berichts

Ein vollständiger Audit-Bericht enthält diese Bestandteile:

1. Deckblatt und Verwaltungsinformationen:

  • Audit-Bezeichnung und Berichtsnummer
  • Datum des Audits
  • Audit-Scope
  • Auditteam (Namen und Rollen)
  • Auditierte Bereiche und Ansprechpartner
  • Verteilerliste
  • Klassifizierung (typischerweise "Vertraulich")

2. Zusammenfassung für das Management (Executive Summary): Maximal eine Seite. Gesamtbewertung des ISMS-Zustands, Anzahl der Feststellungen nach Kategorie, die wichtigsten Stärken und die kritischsten Schwächen. Diese Seite liest die Geschäftsführung. Schreibe sie so, dass jemand ohne technischen Hintergrund versteht, wie es um das ISMS steht.

3. Audit-Umfang und Methodik: Was wurde geprüft, was nicht? Welche Methoden wurden angewandt (Interviews, Dokumentenprüfung, Stichproben, Begehungen)? Welche Einschränkungen gab es (z.B. Schlüsselpersonen nicht verfügbar, Systeme nicht zugänglich)?

4. Detaillierte Feststellungen: Jede Feststellung wird einzeln dokumentiert mit:

  • Eindeutige Nummer (z.B. AUD-2026-001)
  • Referenz zur Normforderung (z.B. "ISO 27001, Kapitel 7.2" oder "Annex A, A.8.8")
  • Beschreibung der Feststellung (Was wurde festgestellt? Was ist der Soll-Zustand? Was ist der Ist-Zustand?)
  • Kategorie (Konform, Beobachtung, Minor NC, Major NC)
  • Objektiver Nachweis (Was belegt die Feststellung?)

5. Positive Feststellungen: Vergiss nicht, auch zu dokumentieren, was gut läuft. Das motiviert die Beteiligten und zeigt dem Management, dass die bisherigen Investitionen in Informationssicherheit Wirkung zeigen.

6. Empfehlungen: Hier kannst du als Auditor Verbesserungsvorschläge machen. Wichtig: Empfehlungen sind keine verbindlichen Korrekturmaßnahmen. Die Entscheidung über die konkrete Maßnahme liegt bei den Fachabteilungen. Der Auditor stellt fest, was nicht konform ist, und die Organisation entscheidet, wie sie das Problem löst.

7. Anhänge: Audit-Checkliste, Teilnehmerlisten, Interviewprotokolle, Screenshots oder Kopien relevanter Dokumente.

Sprache und Formulierung

Die Qualität eines Audit-Berichts hängt maßgeblich von der Sprache ab. Gute Feststellungen sind:

  • Objektiv: Beschreibe, was du gesehen hast, nicht was du vermutest. "Es fehlt eine dokumentierte Genehmigung" statt "Vermutlich wurde die Genehmigung vergessen".
  • Nachvollziehbar: Jede Feststellung muss durch einen objektiven Nachweis gestützt sein. "Im System XY wurde festgestellt, dass..." statt "Es scheint, als ob...".
  • Spezifisch: "Drei von zehn geprüften Zugriffsänderungen..." statt "Einige Zugriffsänderungen...".
  • Neutral: Der Bericht bewertet Prozesse und Zustände, nicht Personen. Nenne keine Namen im Zusammenhang mit Feststellungen.

Follow-up: Vom Bericht zur Verbesserung

Ein Audit-Bericht, der in einer Schublade verschwindet, ist vergeudete Zeit. Das Follow-up ist der Teil, der aus dem Audit tatsächlich einen Verbesserungsprozess macht.

Maßnahmenplanung

Für jede Nonconformity (Minor und Major) muss die auditierte Stelle innerhalb einer definierten Frist einen Maßnahmenplan vorlegen. Dieser Plan enthält:

  • Sofortmaßnahme: Was wird getan, um das unmittelbare Problem zu beheben?
  • Ursachenanalyse: Warum ist die Abweichung aufgetreten?
  • Korrekturmaßnahme: Was wird getan, um die Ursache zu beseitigen und ein Wiederauftreten zu verhindern?
  • Verantwortlicher: Wer setzt die Maßnahme um?
  • Termin: Bis wann soll die Maßnahme umgesetzt sein?

Typische Fristen: Major NCs sollten innerhalb von 30 Tagen mit einem Maßnahmenplan beantwortet und innerhalb von 90 Tagen umgesetzt werden. Minor NCs haben typischerweise 90 Tage für die Umsetzung. Diese Fristen sind nicht in der Norm festgeschrieben, haben sich aber als praktikabel erwiesen.

Wirksamkeitsprüfung

Eine Korrekturmaßnahme ist erst dann abgeschlossen, wenn ihre Wirksamkeit geprüft wurde. Das bedeutet: Du prüfst nicht nur, ob die Maßnahme umgesetzt wurde, sondern ob sie das Problem tatsächlich gelöst hat. Bei einer fehlenden Genehmigung im Zugriffsänderungsprozess prüfst du nach der Maßnahmenumsetzung erneut eine Stichprobe von Zugriffsänderungen und schaust, ob jetzt alle Genehmigungen vorliegen.

Die Wirksamkeitsprüfung kann Teil des nächsten regulären Audits sein oder als separater Nachaudit durchgeführt werden. Bei Major NCs empfiehlt sich ein separater Nachaudit, um sicherzustellen, dass das Problem zeitnah behoben wird.

Eingabe ins Management Review

Die Audit-Ergebnisse sind ein Pflicht-Input für das Management Review nach Kapitel 9.3. Bereite eine kompakte Zusammenfassung auf, die dem Management folgende Informationen liefert:

  • Gesamtzahl der Feststellungen nach Kategorie
  • Trend im Vergleich zum letzten Audit (mehr oder weniger Feststellungen?)
  • Status der offenen Maßnahmen aus vorherigen Audits
  • Bereiche, die besondere Aufmerksamkeit oder zusätzliche Ressourcen benötigen

Häufige Fehler bei internen Audits

Zum Schluss noch ein Blick auf die Fallstricke, die interne Audits häufig weniger wirksam machen als sie sein könnten:

Zu oberflächlich prüfen. Ein Audit, das nur prüft, ob Dokumente existieren, ohne in die Praxis zu schauen, findet die wichtigsten Probleme nicht. Die Diskrepanz zwischen Papier und Realität ist das, wonach du suchst.

Zu nett sein. In vielen Organisationen scheuen sich interne Auditoren, klare Feststellungen zu formulieren, weil sie mit den Kollegen weiterarbeiten müssen. Das ist verständlich, aber kontraproduktiv. Ein internes Audit, das keine Feststellungen produziert, ist entweder nicht gründlich genug oder das ISMS ist perfekt. Letzteres ist unwahrscheinlich.

Keine Stichproben nehmen. "Ja, wir haben einen Prozess dafür" reicht nicht. Lass dir Beispiele zeigen. Prüfe konkrete Fälle. Drei Stichproben sind besser als null.

Den Kontext ignorieren. Ein ISMS für 50 Mitarbeiter sieht anders aus als eines für 5.000. Wenn du die gleiche Checkliste anlegst, die für ein Großunternehmen entwickelt wurde, wirst du unrealistische Feststellungen treffen. Passe den Prüfungsmaßstab an die Größe und Komplexität der Organisation an.

Feststellungen ohne Nachverfolgung. Wenn die gleichen Feststellungen Audit für Audit auftauchen, ohne dass sich etwas ändert, verliert das Audit seine Glaubwürdigkeit. Ein konsequentes Follow-up ist genauso wichtig wie die Durchführung des Audits selbst.

Weiterführende Artikel

Das interne Audit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der dein ISMS am Leben hält und stetig verbessert. Mit einer soliden Planung, einer durchdachten Checkliste und einem konsequenten Follow-up wird es zu deinem wichtigsten Werkzeug für Informationssicherheit, das über die bloße Erfüllung einer Normforderung weit hinausgeht.

Audit ISO 27001 ISMS Compliance Internes Audit

Audit-Management leicht gemacht

ISMS Lite unterstützt dich bei der Planung interner Audits, der Dokumentation von Feststellungen und dem Tracking von Korrekturmaßnahmen. Alles an einem Ort, alles nachvollziehbar.

Jetzt installieren