- ISO 27001 fordert in Kapitel 9.3, dass die oberste Leitung das ISMS in geplanten Abständen bewertet. Ohne dokumentiertes Management Review keine Zertifizierung.
- Die Norm definiert neun Pflicht-Inputs, darunter Audit-Ergebnisse, Risikobehandlungsstatus, Leistungskennzahlen und Feedback von interessierten Parteien.
- Sinnvolle KPIs messen nicht nur Technik (Patchquote, Backup-Erfolgsrate), sondern auch Prozessqualität und Mitarbeiterbewusstsein.
- Der wichtigste Output des Reviews sind konkrete Entscheidungen und Arbeitsaufträge mit Verantwortlichen und Fristen, nicht allgemeine Absichtserklärungen.
- Die meisten Unternehmen führen ein bis zwei Reviews pro Jahr durch. Bei dynamischen Risikolagen oder im ersten Jahr nach Einführung des ISMS kann eine höhere Frequenz sinnvoll sein.
Warum das Management Review mehr als eine Formalie ist
Kapitel 9.3 der ISO 27001 ist kurz - kaum zwei Seiten in der Norm. Trotzdem gehört das Management Review zu den Anforderungen, an denen Zertifizierungsaudits am häufigsten scheitern. Nicht weil die Anforderungen besonders komplex wären, sondern weil viele Unternehmen das Review als bürokratische Pflichtübung behandeln. Eine Stunde im Kalender blockieren, eine Präsentation durchklicken, ein Protokoll unterschreiben. Erledigt, Haken dran, nächstes Thema.
Das Problem dabei: Ein Management Review, das so abläuft, verfehlt seinen Zweck. Die Idee hinter dem Review ist, dass die Geschäftsführung regelmäßig prüft, ob das ISMS seinen Zweck erfüllt, ob es angemessen ausgestattet ist und ob die strategische Ausrichtung noch stimmt. Es ist der Ort, an dem operative Daten auf strategische Entscheidungen treffen. Und es ist der einzige Prozess im ISMS, bei dem die oberste Leitung nicht delegieren kann.
Das ist der entscheidende Punkt: Die Norm spricht ausdrücklich von der "obersten Leitung". Der Informationssicherheitsbeauftragte kann das Review vorbereiten, moderieren und nachbereiten. Aber die Bewertung und die daraus resultierenden Entscheidungen müssen von der Geschäftsführung kommen. Wenn der Geschäftsführer beim Review nicht im Raum sitzt, hast du ein Problem - sowohl normativ als auch praktisch.
Wer nimmt teil?
Die Teilnehmerliste hängt von der Größe und Struktur deiner Organisation ab, aber einige Rollen sind unverzichtbar:
Oberste Leitung (Pflicht): Geschäftsführung, Vorstand oder die Personen, die die strategische Richtung des Unternehmens bestimmen und Ressourcen freigeben können. Ohne sie ist das Review kein Management Review im Sinne der Norm.
Informationssicherheitsbeauftragter (ISB): Bereitet das Review vor, liefert die Daten und moderiert die Sitzung. Der ISB ist typischerweise die Person, die den tiefsten Einblick in den ISMS-Status hat und die operative Perspektive einbringt.
IT-Leitung: Bringt die technische Perspektive ein. Welche Systeme sind kritisch? Welche technischen Risiken bestehen? Welche Investitionen sind nötig? Gerade bei Entscheidungen über technische Maßnahmen oder Ressourcen ist die IT-Leitung unverzichtbar.
Datenschutzbeauftragter: Falls vorhanden, bringt die Datenschutzperspektive ein. Viele Informationssicherheitsmaßnahmen überschneiden sich mit Datenschutzanforderungen, und eine integrierte Betrachtung vermeidet Doppelarbeit.
Weitere Teilnehmer je nach Agenda: Abteilungsleiter, die von konkreten Audit-Feststellungen betroffen sind, der Leiter des Risikomanagements, der Qualitätsmanager (falls ein integriertes Managementsystem existiert), oder externe Berater bei spezifischen Themen.
In einem Unternehmen mit 100 Mitarbeitern besteht die Review-Runde typischerweise aus vier bis sechs Personen: Geschäftsführung, ISB, IT-Leitung und je nach Bedarf ein oder zwei weitere Fachverantwortliche. Das reicht, um fundierte Entscheidungen zu treffen, ohne in einer Großveranstaltung zu enden, bei der niemand wirklich zu Wort kommt.
Die neun Pflicht-Inputs nach ISO 27001
Kapitel 9.3 der Norm definiert explizit, welche Informationen in das Management Review einfließen müssen. Diese Inputs sind keine Empfehlung, sondern Pflicht. Ein Zertifizierungsauditor wird prüfen, ob jeder einzelne Punkt in deinem Review adressiert wurde.
1. Status von Maßnahmen aus vorherigen Management Reviews
Was wurde beim letzten Mal entschieden? Wurden die Arbeitsaufträge umgesetzt? Wenn nicht, warum nicht? Dieser Punkt stellt sicher, dass das Management Review kein Ritual ohne Konsequenz wird. Wenn Entscheidungen getroffen, aber nie umgesetzt werden, ist das ein systemisches Problem, das adressiert werden muss.
Bereite eine Übersicht vor, die jeden Arbeitsauftrag aus dem letzten Review zeigt: Was war der Auftrag? Wer war verantwortlich? Was ist der aktuelle Status? Markiere offene Punkte deutlich, damit sie in der Sitzung besprochen werden können.
2. Veränderungen bei externen und internen Themen
Der Kontext deiner Organisation verändert sich kontinuierlich. Neue Gesetze (NIS2, DORA), veränderte Bedrohungslagen, organisatorische Veränderungen (Fusionen, neue Standorte, Personalwechsel), technologische Entwicklungen (Cloud-Migration, KI-Einsatz). All das beeinflusst dein ISMS und muss in die Bewertung einfließen.
Typische Fragen, die unter diesen Punkt fallen:
- Haben sich die regulatorischen Anforderungen verändert?
- Gab es organisatorische Veränderungen, die den ISMS-Scope betreffen?
- Hat sich die Bedrohungslage in unserer Branche verändert?
- Gibt es neue Geschäftsbeziehungen oder Partnerschaften, die Auswirkungen auf die Informationssicherheit haben?
3. Feedback zur Informationssicherheitsleistung
Die Norm fordert explizit Informationen über die Leistung des ISMS in folgenden Bereichen:
a) Nonconformities und Korrekturmaßnahmen: Wie viele Abweichungen wurden im Berichtszeitraum festgestellt? Wie viele wurden geschlossen? Wie ist der Trend im Vergleich zum Vorjahr? Gibt es wiederkehrende Muster, die auf systemische Schwächen hindeuten?
b) Überwachungs- und Messergebnisse: Die KPIs deines ISMS (dazu im nächsten Abschnitt mehr). Erreichen wir unsere Ziele? Wo liegen wir unter den Erwartungen? Wo haben wir uns verbessert?
c) Audit-Ergebnisse: Was haben die internen Audits ergeben? Welche Feststellungen gab es? Welche Bereiche waren besonders stark, welche besonders schwach? Falls ein Zertifizierungsaudit stattgefunden hat, welche Ergebnisse hatte es?
d) Erreichung der Informationssicherheitsziele: Du hast (hoffentlich) messbare Ziele für die Informationssicherheit definiert. Das Management Review ist der Ort, an dem geprüft wird, ob diese Ziele erreicht wurden. Falls nicht, muss diskutiert werden, ob die Ziele unrealistisch waren oder ob die Maßnahmen unzureichend sind.
4. Feedback von interessierten Parteien
Was sagen Kunden, Partner, Lieferanten oder Behörden zur Informationssicherheit? Gab es Beschwerden? Gab es Anfragen nach Sicherheitsnachweisen? Haben Kunden neue Anforderungen gestellt (etwa eine ISO-27001-Zertifizierung als Vertragsvoraussetzung)?
Auch positive Rückmeldungen gehören hierher: Wenn ein großer Kunde explizit die gute Sicherheitsdokumentation gelobt hat oder wenn die Zertifizierung eine Ausschreibung gewonnen hat, ist das relevant für die strategische Bewertung.
5. Ergebnisse der Risikobewertung und Status des Risikobehandlungsplans
Welche Risiken stehen aktuell im Risikoregister? Haben sich Risikobewertungen verändert? Gibt es neue Risiken, die im letzten Review noch nicht existierten? Wie ist der Umsetzungsstatus des Risikobehandlungsplans?
Bereite eine kompakte Risiko-Übersicht vor: Die fünf bis zehn größten Risiken, ihre aktuelle Risikobewertung, der Status der Behandlungsmaßnahmen und eine Einschätzung, ob sich die Risikolage insgesamt verbessert oder verschlechtert hat.
6. Möglichkeiten zur fortlaufenden Verbesserung
Welche Verbesserungsmöglichkeiten wurden identifiziert? Das können Vorschläge aus internen Audits sein, Erkenntnisse aus Sicherheitsvorfällen, Ideen von Mitarbeitern oder Best Practices aus der Branche. Dieser Input macht das Management Review zukunftsgerichtet: nicht nur rückblickend bewerten, sondern aktiv nach Verbesserungen suchen.
KPIs, die auf die Agenda gehören
Die Norm fordert die Überwachung und Messung der ISMS-Leistung, gibt aber keine konkreten KPIs vor. Das ist Absicht, denn sinnvolle Kennzahlen hängen von der Größe, Branche und Reife des ISMS ab. Ein frisch eingeführtes ISMS braucht andere KPIs als eines, das seit fünf Jahren läuft.
Trotzdem gibt es Kennzahlen, die in fast jedem Management Review Sinn ergeben. Eine umfassende Sammlung bietet der Artikel zu ISMS-Kennzahlen und KPIs. Hier eine Auswahl, gegliedert nach Kategorien:
Technische KPIs
| KPI | Messgröße | Zielwert (Beispiel) |
|---|---|---|
| Patchquote kritischer Systeme | Anteil der Systeme, die innerhalb von 30 Tagen nach Verfügbarkeit eines kritischen Patches gepatcht wurden | > 95 % |
| Backup-Erfolgsrate | Anteil der erfolgreichen Backups an geplanten Backups | > 99 % |
| Backup-Restore-Tests | Anzahl der durchgeführten Restore-Tests im Berichtszeitraum | ≥ 4/Jahr |
| MFA-Abdeckung | Anteil der Benutzerkonten mit aktivierter Multi-Faktor-Authentifizierung | > 90 % |
| Schwachstellen-Behebungszeit | Durchschnittliche Zeit von der Identifikation bis zur Behebung einer kritischen Schwachstelle | < 14 Tage |
| Verfügbarkeit kritischer Systeme | Uptime der geschäftskritischen IT-Systeme | > 99,5 % |
Prozess-KPIs
| KPI | Messgröße | Zielwert (Beispiel) |
|---|---|---|
| Incident-Response-Zeit | Durchschnittliche Zeit von der Erkennung bis zur ersten Reaktion | < 4 Stunden |
| Offene Korrekturmaßnahmen | Anzahl der offenen Korrekturmaßnahmen, deren Frist überschritten ist | 0 |
| Audit-Abdeckung | Anteil der ISMS-Bereiche, die im letzten Jahr auditiert wurden | 100 % |
| Richtlinien-Aktualität | Anteil der Richtlinien, die innerhalb des definierten Überprüfungszyklus überprüft wurden | 100 % |
| Änderungsmanagement | Anteil der IT-Änderungen, die den definierten Genehmigungsprozess durchlaufen haben | > 95 % |
Menschen-KPIs
| KPI | Messgröße | Zielwert (Beispiel) |
|---|---|---|
| Schulungsquote | Anteil der Mitarbeiter, die die jährliche Awareness-Schulung absolviert haben | > 95 % |
| Phishing-Simulationen | Klickrate bei simulierten Phishing-E-Mails | < 10 % |
| Vorfallsmeldungen durch Mitarbeiter | Anzahl der von Mitarbeitern gemeldeten Sicherheitsvorfälle oder -verdachtsfälle | Steigend (Trend) |
| Schulung Geschäftsleitung | Durchgeführte Schulung der obersten Leitung im Berichtszeitraum | Ja/Nein |
KPIs richtig präsentieren
Ein häufiger Fehler bei der KPI-Präsentation im Management Review: Zu viele Zahlen, zu wenig Kontext. Die Geschäftsführung will nicht zwanzig Kennzahlen einzeln durchgehen. Sie will verstehen, ob das ISMS in guter Verfassung ist, wo die größten Risiken liegen und wo Handlungsbedarf besteht.
Bewährt hat sich folgendes Format:
- Ampeldarstellung: Jeder KPI bekommt eine Ampelfarbe (grün = Ziel erreicht, gelb = knapp daneben, rot = deutlich verfehlt). Die Geschäftsführung sieht auf einen Blick, wo es gut läuft und wo nicht.
- Trenddarstellung: Zeige nicht nur den aktuellen Wert, sondern auch die Entwicklung über die letzten drei bis vier Berichtszeiträume. Ein KPI, der bei 92 % steht und stetig steigt, erfordert eine andere Reaktion als einer, der bei 92 % steht und fällt.
- Kontextinformation: Zu jedem gelben oder roten KPI gehört eine kurze Erklärung: Was ist die Ursache? Was wird bereits getan? Was wird empfohlen?
Beschränke die Präsentation auf zehn bis fünfzehn KPIs. Mehr verliert die Aufmerksamkeit der Geschäftsführung. Wenn du tiefer einsteigen willst, stelle die detaillierten Daten als Anhang zur Verfügung.
Entscheidungen und Arbeitsaufträge dokumentieren
Der wichtigste Output des Management Reviews sind Entscheidungen. Die Norm fordert in Kapitel 9.3 explizit, dass das Review zu Entscheidungen und Maßnahmen führt in Bezug auf:
- Möglichkeiten zur fortlaufenden Verbesserung: Was soll besser werden? Welche Verbesserungsprojekte werden genehmigt?
- Notwendigkeit von Änderungen am ISMS: Muss der Scope angepasst werden? Müssen neue Richtlinien erstellt werden? Muss die Risikobewertung aktualisiert werden?
- Ressourcenbedarf: Werden zusätzliche Mitarbeiter, Budget oder Werkzeuge benötigt? Die Geschäftsführung muss bereit sein, die nötigen Ressourcen freizugeben.
Gute vs. schlechte Entscheidungen im Protokoll
Die Art, wie Entscheidungen formuliert werden, entscheidet über ihre Umsetzbarkeit. Hier ein Vergleich:
Schlecht: "Die Geschäftsführung nimmt die Audit-Ergebnisse zur Kenntnis und beauftragt die IT-Abteilung, die identifizierten Schwachstellen zu beheben."
Warum schlecht? Kein konkreter Auftrag, kein Verantwortlicher, keine Frist, keine Messbarkeit. Diese Formulierung wird zu nichts führen.
Gut: "Die Geschäftsführung beauftragt Herrn Schneider (IT-Leitung), bis zum 30.06.2026 ein Konzept für die Einführung eines automatisierten Schwachstellenmanagements vorzulegen. Das Konzept soll Toolauswahl, Ressourcenbedarf und Zeitplan für die Einführung enthalten. Budget für das Tool bis 15.000 EUR wird vorab genehmigt."
Warum gut? Konkreter Auftrag, benannter Verantwortlicher, Frist, definiertes Ergebnis, bereits genehmigte Ressourcen. Diese Entscheidung kann nachverfolgt und beim nächsten Review geprüft werden.
Arbeitsaufträge tracken
Jeder Arbeitsauftrag aus dem Management Review braucht:
| Feld | Beschreibung |
|---|---|
| Nummer | Eindeutige Kennung (z.B. MR-2026-001) |
| Auftrag | Konkrete Beschreibung der Aufgabe |
| Verantwortlich | Name der verantwortlichen Person |
| Frist | Datum, bis wann der Auftrag erledigt sein muss |
| Status | Offen / In Bearbeitung / Erledigt / Überfällig |
| Ergebnis | Was wurde tatsächlich geliefert? |
Diese Tabelle wird zum ersten Agendapunkt des nächsten Management Reviews. So schließt sich der Kreislauf.
Das Protokoll: Struktur und Muster
Das Management-Review-Protokoll ist ein dokumentierter Nachweis nach ISO 27001. Es muss als gelenkte dokumentierte Information behandelt werden, das heißt mit Versionierung, Datum, Freigabe und kontrolliertem Zugriff.
Protokollstruktur
1. Formale Angaben:
- Datum und Uhrzeit der Sitzung
- Teilnehmer (Namen und Rollen)
- Protokollführer
- Versionsnummer und Freigabestatus
2. Status der Aktionen aus dem letzten Review: Für jede offene Aktion: Was war der Auftrag? Was ist der aktuelle Status? Bewertung durch die Geschäftsführung (akzeptiert, weiterer Handlungsbedarf, Frist verlängert).
3. Veränderungen im Kontext: Welche externen und internen Veränderungen wurden diskutiert? Welche Auswirkungen auf das ISMS wurden identifiziert? Welche Maßnahmen werden daraus abgeleitet?
4. ISMS-Leistung: Zusammenfassung der KPIs mit Bewertung. Hervorhebung von Bereichen, die besondere Aufmerksamkeit erfordern. Diskussion über Ursachen von Zielabweichungen.
5. Audit-Ergebnisse: Zusammenfassung der internen Audit-Ergebnisse. Anzahl und Art der Feststellungen. Status der Korrekturmaßnahmen. Bewertung durch die Geschäftsführung.
6. Risikostatus: Aktuelle Risikosituation. Neue oder veränderte Risiken. Status des Risikobehandlungsplans. Entscheidung über die Akzeptanz von Restrisiken.
7. Feedback interessierter Parteien: Rückmeldungen von Kunden, Partnern, Behörden. Neue Anforderungen oder Erwartungen.
8. Verbesserungsmöglichkeiten: Identifizierte Verbesserungspotenziale. Genehmigte Verbesserungsprojekte.
9. Entscheidungen und Arbeitsaufträge: Alle Entscheidungen und Arbeitsaufträge mit Verantwortlichen und Fristen. Dieser Abschnitt ist der wichtigste Teil des Protokolls und wird beim nächsten Review als erstes geprüft.
10. Nächstes Review: Geplanter Termin für das nächste Management Review.
Protokoll-Muster (Auszug)
So könnte ein konkreter Protokolleintrag aussehen:
Management Review ISMS - Protokoll Datum: 15.03.2026, 10:00-12:00 Uhr Teilnehmer: J. Fischer (GF), M. Schneider (IT-Leitung), K. Weber (ISB), L. Braun (DSB) Protokoll: K. Weber Version: 1.0 | Status: Freigegeben
TOP 1: Status Aktionen aus MR-2025-02
| Nr. | Aktion | Verantw. | Frist | Status |
|---|---|---|---|---|
| MR-2025-007 | MFA für alle Remote-Zugänge einführen | Schneider | 31.01.2026 | Erledigt. MFA über Microsoft Authenticator für alle VPN- und Cloud-Zugänge aktiv. Abdeckung: 98 % (2 Dienstkonten ausgenommen, dokumentiert). |
| MR-2025-008 | Lieferantenbewertung für Top-5-IT-Dienstleister | Weber | 28.02.2026 | Erledigt. 4 von 5 Bewertungen abgeschlossen. Bewertung für Cloud-Provider X steht aus (Fragebogen nicht beantwortet). GF entscheidet: Eskalation über Account Manager bis 15.04.2026. |
| MR-2025-009 | Budget für Security-Awareness-Plattform | Fischer | 31.12.2025 | Erledigt. Budget 8.000 EUR genehmigt. Plattform seit 01.02.2026 im Einsatz. |
TOP 4: ISMS-Leistung (KPIs Q4/2025 und Q1/2026)
Patchquote kritischer Systeme: 94 % (Ziel: 95 %). Ursache: Zwei Legacy-Systeme in der Produktion können nicht zeitnah gepatcht werden. Diskussion: GF genehmigt Projekt zur Ablösung der Legacy-Systeme (siehe Arbeitsauftrag MR-2026-003).
Schulungsquote: 97 % (Ziel: 95 %). Positiv: Alle neuen Mitarbeiter haben Onboarding-Schulung innerhalb der ersten Woche absolviert.
Phishing-Klickrate: 8 % (Ziel: < 10 %). Verbesserung gegenüber Vorquartal (12 %). Trend positiv.
TOP 9: Entscheidungen und Arbeitsaufträge
| Nr. | Auftrag | Verantw. | Frist |
|---|---|---|---|
| MR-2026-001 | Eskalation Lieferantenbewertung Cloud-Provider X über Account Manager | Weber | 15.04.2026 |
| MR-2026-002 | ISMS-Scope-Erweiterung auf neuen Standort München vorbereiten (Scope-Analyse, Risikoidentifikation) | Weber | 30.06.2026 |
| MR-2026-003 | Konzept für Ablösung der zwei Legacy-Produktionssysteme vorlegen | Schneider | 30.06.2026 |
| MR-2026-004 | Business-Continuity-Plan für Ransomware-Szenario testen (Tabletop-Übung) | Weber, Schneider | 31.05.2026 |
Nächstes Management Review: 15.09.2026, 10:00 Uhr
Dieses Muster zeigt die wesentlichen Elemente: Klare Struktur, nachvollziehbare Entscheidungen, konkrete Arbeitsaufträge mit Verantwortlichen und Fristen. Es muss nicht hübsch sein, aber es muss vollständig und nachvollziehbar sein.
Typische Frequenz und Zeitpunkt
Die Norm schreibt keine feste Frequenz vor, sondern spricht von "geplanten Abständen". In der Praxis haben sich folgende Modelle etabliert:
Jährlich: Das Minimum, das die meisten Zertifizierungsstellen akzeptieren. Ein Management Review pro Jahr reicht für Organisationen mit stabilem ISMS und geringer Änderungsdynamik. Der typische Zeitpunkt: vier bis sechs Wochen nach dem internen Audit, damit die Audit-Ergebnisse einfließen können.
Halbjährlich: Empfehlenswert für Unternehmen, die ihr ISMS gerade aufgebaut haben oder sich auf die Erstzertifizierung vorbereiten. Die höhere Frequenz ermöglicht schnelleres Nachsteuern und zeigt dem Zertifizierungsauditor, dass das Management aktiv eingebunden ist.
Quartalsweise: Sinnvoll in hochregulierten Branchen (Finanzsektor, Gesundheitswesen) oder bei Organisationen mit hoher Änderungsdynamik. Allerdings steigt der Aufwand für Vorbereitung und Durchführung erheblich. Ein Kompromiss: Quartalsweise ein kurzes Status-Update (30 Minuten) und halbjährlich ein vollständiges Review (zwei Stunden).
Anlassbezogen: Zusätzlich zu den regelmäßigen Reviews kann ein außerordentliches Review nötig werden, etwa nach einem schwerwiegenden Sicherheitsvorfall, einer grundlegenden organisatorischen Veränderung oder einer signifikanten Änderung der Bedrohungslage. Diese anlassbezogenen Reviews müssen nicht den vollen Umfang haben, sollten aber den relevanten Kontext bewerten und Entscheidungen dokumentieren.
Zeitplanung in der Praxis
Für ein jährliches Management Review empfiehlt sich folgender Zeitplan:
| Wann | Was | Wer |
|---|---|---|
| T minus 8 Wochen | Internes Audit abschließen | Auditteam |
| T minus 4 Wochen | KPI-Daten sammeln und aufbereiten | ISB |
| T minus 3 Wochen | Risikobericht aktualisieren | ISB / Risikoverantwortliche |
| T minus 2 Wochen | Status der offenen Maßnahmen aktualisieren | Alle Verantwortlichen |
| T minus 1 Woche | Review-Unterlagen an Teilnehmer versenden | ISB |
| T | Management Review durchführen | Alle Teilnehmer |
| T plus 1 Woche | Protokoll erstellen und zur Freigabe vorlegen | ISB |
| T plus 2 Wochen | Protokoll freigegeben und verteilt | GF / ISB |
Plane für die Vorbereitung insgesamt drei bis fünf Arbeitstage ein. Das klingt viel, aber die Daten zu sammeln, aufzubereiten und in eine verständliche Form zu bringen, braucht Zeit. ISMS Lite aggregiert Risikostatus, Audit-Ergebnisse, offene Maßnahmen und KPIs automatisch, sodass du die Review-Unterlagen in Stunden statt Wochen zusammenstellen kannst. 500 Euro pro Jahr erhältst du alle Module inklusive KPI-Dashboards und Audit-Dokumentation, ohne Benutzerlimits.
Häufige Fehler beim Management Review
Zum Abschluss die Fehler, die am häufigsten dazu führen, dass ein Management Review beim Zertifizierungsaudit beanstandet wird:
Geschäftsführung nicht anwesend. Wenn der Geschäftsführer beim Review fehlt und stattdessen der IT-Leiter das Protokoll unterschreibt, ist das eine Nonconformity. Die oberste Leitung muss persönlich teilnehmen. Es gibt keine Vertretungsregelung dafür.
Pflicht-Inputs fehlen. Ein Review, das nur den Risikostatus und die Audit-Ergebnisse bespricht, ist unvollständig. Alle neun Pflicht-Inputs müssen adressiert sein. Das heißt nicht, dass zu jedem Punkt seitenlange Analysen nötig sind. Wenn es kein relevantes Feedback von interessierten Parteien gab, reicht ein Satz: "Im Berichtszeitraum gab es keine relevanten Rückmeldungen von interessierten Parteien." Aber der Punkt muss im Protokoll stehen.
Keine konkreten Entscheidungen. "Die Geschäftsführung nimmt den Bericht zur Kenntnis" ist keine Entscheidung. Das Management Review muss zu konkreten Maßnahmen führen. Wenn tatsächlich alles in bester Ordnung ist, kann die Entscheidung lauten: "Das ISMS wird in der aktuellen Form fortgeführt. Die Informationssicherheitsziele für 2027 werden bestätigt." Aber selbst das ist eine bewusste Entscheidung, die dokumentiert wird.
Ergebnisse werden nicht nachverfolgt. Der häufigste Fehler überhaupt. Arbeitsaufträge werden verteilt, aber beim nächsten Review fragt niemand nach dem Status. Ein Zertifizierungsauditor wird die Arbeitsaufträge aus dem letzten Review nehmen und nach dem Umsetzungsstatus fragen. Wenn dann verlegenes Schweigen herrscht, ist das ein klares Zeichen für ein nicht funktionierendes ISMS.
Protokoll zu vage. Ein Protokoll, das nur "Die Risikosituation wurde besprochen" enthält, ist wertlos. Was wurde besprochen? Was war das Ergebnis? Welche Entscheidung wurde getroffen? Das Protokoll muss nachvollziehbar machen, dass eine echte Bewertung stattgefunden hat, nicht nur ein Informationsaustausch.
Review als Frontalvortrag. Wenn der ISB 90 Minuten präsentiert und die Geschäftsführung nur nickt, ist kein echtes Review passiert. Die Geschäftsführung muss Fragen stellen, Bewertungen abgeben und Entscheidungen treffen. Das erfordert, dass die Unterlagen vorab versendet werden und die Sitzung als Diskussion, nicht als Präsentation gestaltet wird.
Weiterführende Artikel
- Internes ISMS-Audit durchführen: Planung, Checkliste und Bericht
- Audit-Feststellungen bewerten und Maßnahmen ableiten
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
- Die wichtigsten ISMS-Rollen: ISB, CISO, Risikoeigner – wer macht was?
- Risikobewertung im ISMS: Methodik, Matrix und Praxisbeispiel
Das Management Review ist im Grunde ein einfacher Prozess: Daten sammeln, gemeinsam bewerten, Entscheidungen treffen, dokumentieren, nachverfolgen. Die Herausforderung liegt nicht in der Komplexität, sondern in der Disziplin. Wenn du diesen Prozess ernst nimmst und konsequent durchführst, wird er zu einem der wertvollsten Instrumente deines ISMS. Er zwingt die Geschäftsführung, sich regelmäßig mit Informationssicherheit zu befassen, und er zwingt das ISMS-Team, seine Arbeit messbar und nachvollziehbar zu machen. Beide Seiten profitieren davon.