Informationssicherheit ist für Unternehmen in Zeiten von Click & Collect sowie der digitalen Übermittlung und Verarbeitung von Auftrags- und Kundendaten ein Top-Thema. Viele haben daher längst ein internes Managementsystem für die Informationssicherheit aufgebaut. Bleibt die Frage, ob es die eigenen Anforderungen auch erfüllt und den internationalen Standards entspricht. Antworten darauf sowie gegebenenfalls entsprechende Nachweise liefert ein ISMS-Audit – ein Audit des Informationssicherheits-Managementsystems (ISMS).
Das Wichtigste in Kürze
- Ein Informationssicherheits-Managementsystem sollte regelmäßig auditiert werden, um seine Wirksamkeit sicherzustellen.
- Es gibt verschiedene Anlässe und Arten von Audits: interne, um die Effektivität der Maßnahmen im Hinblick auf die eigenen Ziele zu überprüfen, und externe, die beispielsweise der Zertifizierung nach einem internationalen Standard dienen.
- ISMS-Audits folgen einer planmäßigen und strukturierten Prüfroutine.
- Ein erfolgreiches Audit bestätigt die Informationssicherheit im Unternehmen und verbessert dessen Wettbewerbssituation nachhaltig.
In diesem Beitrag
- Was ist ein Informationssicherheitsaudit, was wird geprüft?
- Welche Arten von ISMS-Audits gibt es?
- Es gibt also nicht das eine typische ISMS-Audit, sondern verschiedene Audittypen und Fragestellungen?
- Wie läuft so ein Audit üblicherweise ab?
- Gibt es typische Schwachstellen, die ein Audit aufzeigt?
- Wer darf ein Audit durchführen?
- Gibt es eine rechtliche Verpflichtung zur Durchführung eines ISMS-Audits?
- Wann ist ein ISMS-Audit empfehlenswert, gibt es dafür Indikatoren?
- Wie bereiten sich Unternehmen optimal auf das Audit vor?
- Mit welchen Kosten ist ein Audit verbunden?
- Müssen Unternehmen ohne ISMS-Auditierung mit Strafen oder Sanktionen rechnen?
- Welches sind die drei zentralen Vorteile einer Auditierung?
- Erhalten Unternehmen nach dem Audit einen Bericht mit Handlungsempfehlungen?
- Fazit: Das ISMS-Audit ist ein zentrales Instrument für mehr Informationssicherheit!
Was ist ein Informationssicherheitsaudit, was wird geprüft?
Bei einem Informationssicherheitsaudit wird überprüft, ob und wie effektiv das in einem Unternehmen etablierte Managementsystem für Informationssicherheit funktioniert. Der Maßstab dafür sind die jeweils gesteckten Ziele und die Vorgaben zum Erreichen derselben.
Ein Leitfaden zu Informationssicherheit in der Due Diligence
Warum die Informationssicherheit eine so große Rolle in der Due Diligence spielt und was die Normen ISO 27001 und TISAX® besagen und was Sie sich unter dem risikobasierten Ansatz beider Normen vorstellen können.
Jetzt kostenlos herunterladenKomplexer wird die Sache, wenn ein Unternehmen ein Managementsystem etwa mit dem Ziel aufbaut, das initiale Audit nach ISO 27001 zu bestehen und ein entsprechendes Zertifikat zu erhalten. Im Rahmen eines Zertifizierungsaudits wird dann geprüft, ob das etablierte Informationssicherheits-Managementsystem den Anforderungen der internationalen Norm ISO 27001 entspricht.
Welche Arten von ISMS-Audits gibt es?
Unterschieden wird im Wesentlichen zwischen internen und externen Audits. Interne Audits werden innerhalb eines Unternehmens regelmäßig durchgeführt, um die Wirksamkeit des jeweiligen ISMS zu gewährleisten und gegebenenfalls Verbesserungen durchzuführen. Solche Audits können von eigenen Fachkräften durchgeführt werden, die das Unternehmen dann unabhängig agieren lassen muss, oder von beauftragten Auditoren. Noch entscheidender für ein Unternehmen sind externe Audits. Diese finden beispielsweise statt, um eine Zertifizierung nach ISO 27001 zu erhalten. In diesen Fällen handelt es sich um sogenannte Zertifizierungsaudits durch unabhängige Dritte. Hinzu kommen sogenannte 2nd-Party-Audits. Davon spricht man beispielsweise, wenn ein Fahrzeughersteller das Managementsystem für Informationssicherheit bei einem seiner Zulieferer überprüft.
Es gibt also nicht das eine typische ISMS-Audit, sondern verschiedene Audittypen und Fragestellungen?
Genauso ist es. Geprüft und auditiert wird je nach Anforderung bzw. gemäß der zugrunde gelegten Norm, die das ISMS erfüllen soll. Der gängige ISMS-Standard ist die ISO 27001. In einigen Branchen und stark regulierten Wirtschaftszweigen gelten abweichend davon jedoch eigene Normen. Zum Beispiel in der Automobilbranche: maßgeblich für eine Auditierung ist hier der TISAX®-Standard (Trusted Information Security Assessment Exchange).
Wie läuft so ein Audit üblicherweise ab?
Voraussetzung für erfolgreiche Audits ist ein planmäßiges und strukturiertes Vorgehen. Wer wie DataGuard regelmäßig Audits durchführt, folgt definierten Abläufen. So müssen zunächst alle ISMS-relevanten Dokumente eines Unternehmens gesichtet und begutachtet werden. Anschließend wird der Auditor einen Plan aufstellen, wann bestimmte Prüfbereiche auditiert werden sollen – zum Beispiel das Zugriffsmanagement – und wer dafür wann zur Verfügung stehen muss. Dies kann beispielsweise der IT-Leiter sein, dessen Stellvertretung und das für die Informationssicherheit zuständige Mitglied der Geschäftsführung. Mit diesen wird der Auditor dann die zentralen Punkte der zugrunde gelegten Norm besprechen und überprüfen, wie diese im Unternehmen konkret umgesetzt und dokumentiert sind. Am Ende des Audits findet ein ausführliches Abschlussgespräch mit den ISMS-Verantwortlichen im Unternehmen statt. Dabei werden die Audit-Ergebnisse präsentiert und erläutert.
Sie haben weitere Fragen um das Audit in der Informationssicherheit oder brauchen Unterstützung in der Vorbereitung auf einen bevorstehenden Audit? Dann buchen Sie jetzt ein kostenloses Erstgespräch mit einem unserer Experten.
Kostenloses Erstgespräch vereinbaren
Gibt es typische Schwachstellen, die ein Audit aufzeigt?
Es gibt Schwachstellen, die häufiger als andere auftreten. So wird beispielsweise regelmäßig unterschätzt, dass Informationssicherheit im Unternehmen nicht nur behauptet, sondern in der Praxis auch nachgewiesen werden muss. Häufig wähnen sich Unternehmen, die eine Erstauditierung durchlaufen, auf der sicheren Seite. Schließlich haben sie im Vorfeld diverse Richtlinien erstellt und im Rahmen des ISMS-Aufbaus geeignete Prozesse definiert. Beim Audit stellt sich dann jedoch nicht selten heraus, dass die selbst auferlegten Policies in der Praxis nicht umgesetzt werden und die geforderten Nachweise daher nicht erbracht werden können. Das ist ein Klassiker.
Noch ein Klassiker ist der Bereich „Benutzerzugriffe“. Gerade bei ISMS-Audits nach ISO 27001 wird er regelmäßig unterschätzt. Beispielsweise beim Management von zentralen Passwortverzeichnissen: So verwalten viele Unternehmen unzählige Zugangs-Passwörter zu 20, 30 oder manchmal auch mehr als 40 unterschiedlichen Systemen. Werden diese zentral in einem Excel-Sheet verzeichnet, ausgedruckt und für den schnellen Zugriff in der IT-Abteilung physisch abgelegt, ist dies eine eklatante und keineswegs seltene Schwachstelle.
Wer darf ein Audit durchführen?
Zertifizierungsaudits dürfen nur von unabhängigen Fachkräften einer akkreditierten Prüforganisation durchgeführt werden. Dazu gehören in Deutschland beispielsweise TÜV und DEKRA, neben derzeit rund drei Dutzend weiteren Unternehmen, die eine Zertifizierung gemäß ISO 27001 vornehmen dürfen. Die Auditoren dieser Organisationen müssen über einen Fachkundenachweis in Form eines Zertifikats verfügen. Eine solche Qualifikation sollten auch Mitarbeiter externer Dienstleister vorweisen können, die von einem Unternehmen mit dem Aufbau eines ISMS beauftragt werden.
Ist das ISMS einmal etabliert, können die regelmäßigen internen Audits auch von unternehmenseigenen Kräften durchgeführt werden. Für diese ist eine Ausbildung zum zertifizierten Auditor nicht vorgeschrieben. Auch gibt es keine rechtlich bindenden Vorgaben für die Durchführung interner Audits.
Ein Leitfaden zu Informationssicherheit in der Due Diligence
Warum die Informationssicherheit eine so große Rolle in der Due Diligence spielt und was die Normen ISO 27001 und TISAX® besagen und was Sie sich unter dem risikobasierten Ansatz beider Normen vorstellen können.
Jetzt kostenlos herunterladen
Gibt es eine rechtliche Verpflichtung zur Durchführung eines ISMS-Audits?
Nein, es gibt für Unternehmen keine allgemeine gesetzliche Verpflichtung zur Auditierung. Aber: Wer sein Unternehmen nach internationalen Normen zertifizieren lassen möchte, muss sich an die Vorgaben des jeweiligen Standards halten. Darüber hinaus gelten in einzelnen Branchen spezifische Vorgaben. Zum Beispiel in der Automobilbranche mit dem TISAX®-Standard. Dieser ist zwar nicht legal verankert, aber so weit etabliert, dass ihn de facto jeder erfüllen muss, der in der Automobilbranche tätig sein möchte.
In einigen, besonders regulierten Branchen – darunter etwa im Gesundheitswesen und in der Finanz- und Versicherungsindustrie – gibt es sogar gesetzlich verankerte Pflichten zur ISMS-Auditierung. Formuliert sind diese etwa in Form strenger Compliance-Vorgaben, die unter anderem die Informationssicherheit adressieren.
Wann ist ein ISMS-Audit empfehlenswert, gibt es dafür Indikatoren?
Generell profitiert jedes Unternehmen von einem zertifizierten Managementsystem für Informationssicherheit, unabhängig von seiner Größe, Komplexität oder Mitarbeiteranzahl. Es strukturiert die eigenen Prozesse und ist schon allein deshalb ein Gewinn. Unabhängig davon gibt es auch objektive Kriterien, die für die Einführung eines ISMS und für eine entsprechende Auditierung sprechen. Zu den wichtigsten Indikatoren gehört die Menge an Kunden- und Auftragsdaten, oder das Vorhandensein eigener Software-Entwicklung. Unternehmen mit einem sehr hohen oder sich dynamisch verändernden Datenaufkommen fahren mit einem regelmäßig auditierten Informationssicherheits-Managementsystem sicher besser als ohne!
Wie bereiten sich Unternehmen optimal auf das Audit vor?
Die beste Vorbereitung besteht in der fachkundigen Einführung eines strukturierten Managementsystems – entweder mit Hilfe externer Fachleute, also zum Beispiel durch DataGuard, oder indem das Unternehmen eine volle interne Stelle für die ISMS-Einführung schafft und diese entsprechend besetzt. Denn gerade in der Einführungsphase erfordert das ISMS hohe Aufmerksamkeit und gegebenenfalls den Willen, eingefahrene Prozesse entscheidend zu modernisieren. Die Einführung kostet anfangs Zeit, Kraft und auch Geld. Die Mühe lohnt sich aber, zumal die ISMS-Prozesse irgendwann zur Selbstverständlichkeit werden und kaum noch Aufwand verursachen.
Mit welchen Kosten ist ein Audit verbunden?
Das hängt von Art und Umfang des Audits ab. Klar ist: Wer als Unternehmen ein Zertifizierungsaudit bei einer unabhängigen Prüfstelle einkauft, muss für diese Leistung zahlen. Die Kosten bewegen sich im marktüblichen Rahmen. Deutlicher ins Gewicht fällt allerdings die Investition in den Aufbau eines Managementsystems und der nötigen Prozesse. Hierin besteht ja die eigentliche Arbeit. Diese anzugehen, lohnt sich aber in jedem Fall und für jedes Unternehmen. Denn früher oder später muss sich jeder Betrieb mit dem Thema auseinandersetzen. Wer sich bis dahin mit provisorischen, kaum dokumentierten und nicht systematisch strukturierten Prozessen behilft, könnte am Ende vor sehr viel mehr Aufwand und noch höheren Kosten stehen.
Müssen Unternehmen ohne ISMS-Auditierung mit Strafen oder Sanktionen rechnen?
Im strafrechtlichen Sinne drohen keine generellen Strafen oder Sanktionen. Entscheidend ist der Nutzen: Wer eine ISMS-Auditierung erfolgreich absolviert hat und zertifiziert ist, profitiert von effektiveren Prozessen und genießt im Markt klare Wettbewerbsvorteile.
Zudem gibt es Branchen mit steigenden Informationssicherheitserwartungen wie etwa die Automobilbranche. Wer hier als Zulieferer weiterhin ohne ISMS tätig ist, wird sukzessive Marktanteile verlieren. In anderen, stark regulierten Branchen ist eine Geschäftstätigkeit ohne Nachweis eines anforderungsgerechten ISMS gar nicht erst zulässig.
Welches sind die drei zentralen Vorteile einer Auditierung?
- Die Auditierung ist der Schlüssel zu vorhersagbarer Qualität durch vorhersagbare Informationssicherheit.
- Dadurch reduziert sich der Aufwand für den Vertrieb.
- Vom sinkenden Aufwand profitiert auch das Management.
Auf den Punkt gebracht bedeutet dies: Unternehmen, die ihre Informationssicherheit zertifiziert haben, haben nicht die perfekte Sicherheit, aber die bestmöglichen Prozesse. Dies erhöht die Sicherheit systematisch und nachweisbar. Verbesserungsprozesse können bei Bedarf schnell eingeleitet und umgesetzt werden. Sicherheit und Vertrauen steigen.
Erhalten Unternehmen nach dem Audit einen Bericht mit Handlungsempfehlungen?
Nach einem erfolgreichen externen Audit wird nicht nur das Zertifikat erteilt. Die ISMS-Verantwortlichen erhalten immer auch einen Prüfbericht. Darin wird sehr genau beschrieben, welche Prozesse auditiert wurden und bei welchen es womöglich noch Potenzial für Verbesserungen gibt. Konkrete Handlungsempfehlungen gibt der Auditor nicht, dies würde gegen seine Rolle als unabhängige Prüfinstanz verstoßen. In der Regel ist aber klar ersichtlich, was optimiert werden sollte. Die Handlungsempfehlungen lassen sich aus dem Prüfbericht ganz einfach ableiten.
Fazit: Das ISMS-Audit ist ein zentrales Instrument für mehr Informationssicherheit!
Managementsysteme für Informationssicherheit sind in einer digitalisierten Wirtschaft ein Muss. Immer mehr Firmen etablieren intern solche Systeme und lassen sie auditieren. Aus guten Gründen, denn dies sorgt für effektive Prozesse, erhöht die Informationssicherheit im Unternehmen und damit das Vertrauen der Partner und Kunden – mit längst spürbaren und zunehmen relevanten Auswirkungen auf die eigene Wettbewerbsfähigkeit.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.