Informationssicherheit: Was bringt ein Audit des ISMS?

Informationssicherheit ist für Unternehmen in Zeiten von Click & Collect sowie der digitalen Übermittlung und Verarbeitung von Auftrags- und Kundendaten ein Top-Thema. Viele haben daher längst ein internes Managementsystem für die Informationssicherheit aufgebaut. Bleibt die Frage, ob es die eigenen Anforderungen auch erfüllt und den internationalen Standards entspricht. Antworten darauf sowie gegebenenfalls entsprechende Nachweise liefert ein ISMS-Audit – ein Audit des Informationssicherheits-Managementsystems (ISMS).

 

Das Wichtigste in Kürze

  • Ein Informationssicherheits-Managementsystem sollte regelmäßig auditiert werden, um seine Wirksamkeit sicherzustellen.
  • Es gibt verschiedene Anlässe und Arten von Audits: interne, um die Effektivität der Maßnahmen im Hinblick auf die eigenen Ziele zu überprüfen, und externe, die beispielsweise der Zertifizierung nach einem internationalen Standard dienen.
  • ISMS-Audits folgen einer planmäßigen und strukturierten Prüfroutine.
  • Ein erfolgreiches Audit bestätigt die Informationssicherheit im Unternehmen und verbessert dessen Wettbewerbssituation nachhaltig.

In diesem Beitrag

Was ist ein Informationssicherheitsaudit, was wird geprüft?

Bei einem Informationssicherheitsaudit wird überprüft, ob und wie effektiv das in einem Unternehmen etablierte Managementsystem für Informationssicherheit funktioniert. Der Maßstab dafür sind die jeweils gesteckten Ziele und die Vorgaben zum Erreichen derselben.

ISO 27001 and TISAX due diligence guide ISO 27001 and TISAX due diligence guide

Ein Leitfaden zu Informationssicherheit in der Due Diligence

Warum die Informationssicherheit eine so große Rolle in der Due Diligence spielt und was die Normen ISO 27001 und TISAX® besagen und was Sie sich unter dem risikobasierten Ansatz beider Normen vorstellen können.

Jetzt kostenlos herunterladen

Komplexer wird die Sache, wenn ein Unternehmen ein Managementsystem etwa mit dem Ziel aufbaut, das initiale Audit nach ISO 27001 zu bestehen und ein entsprechendes Zertifikat zu erhalten. Im Rahmen eines Zertifizierungsaudits wird dann geprüft, ob das etablierte Informationssicherheits-Managementsystem den Anforderungen der internationalen Norm ISO 27001 entspricht.

Welche Arten von ISMS-Audits gibt es?

Unterschieden wird im Wesentlichen zwischen internen und externen Audits. Interne Audits werden innerhalb eines Unternehmens regelmäßig durchgeführt, um die Wirksamkeit des jeweiligen ISMS zu gewährleisten und gegebenenfalls Verbesserungen durchzuführen. Solche Audits können von eigenen Fachkräften durchgeführt werden, die das Unternehmen dann unabhängig agieren lassen muss, oder von beauftragten Auditoren. Noch entscheidender für ein Unternehmen sind externe Audits. Diese finden beispielsweise statt, um eine Zertifizierung nach ISO 27001 zu erhalten. In diesen Fällen handelt es sich um sogenannte Zertifizierungsaudits durch unabhängige Dritte. Hinzu kommen sogenannte 2nd-Party-Audits. Davon spricht man beispielsweise, wenn ein Fahrzeughersteller das Managementsystem für Informationssicherheit bei einem seiner Zulieferer überprüft.

Es gibt also nicht das eine typische ISMS-Audit, sondern verschiedene Audittypen und Fragestellungen?

Genauso ist es. Geprüft und auditiert wird je nach Anforderung bzw. gemäß der zugrunde gelegten Norm, die das ISMS erfüllen soll. Der gängige ISMS-Standard ist die ISO 27001. In einigen Branchen und stark regulierten Wirtschaftszweigen gelten abweichend davon jedoch eigene Normen. Zum Beispiel in der Automobilbranche: maßgeblich für eine Auditierung ist hier der TISAX®-Standard (Trusted Information Security Assessment Exchange).

Wie läuft so ein Audit üblicherweise ab?

Voraussetzung für erfolgreiche Audits ist ein planmäßiges und strukturiertes Vorgehen. Wer wie DataGuard regelmäßig Audits durchführt, folgt definierten Abläufen. So müssen zunächst alle ISMS-relevanten Dokumente eines Unternehmens gesichtet und begutachtet werden. Anschließend wird der Auditor einen Plan aufstellen, wann bestimmte Prüfbereiche auditiert werden sollen – zum Beispiel das Zugriffsmanagement – und wer dafür wann zur Verfügung stehen muss. Dies kann beispielsweise der IT-Leiter sein, dessen Stellvertretung und das für die Informationssicherheit zuständige Mitglied der Geschäftsführung. Mit diesen wird der Auditor dann die zentralen Punkte der zugrunde gelegten Norm besprechen und überprüfen, wie diese im Unternehmen konkret umgesetzt und dokumentiert sind. Am Ende des Audits findet ein ausführliches Abschlussgespräch mit den ISMS-Verantwortlichen im Unternehmen statt. Dabei werden die Audit-Ergebnisse präsentiert und erläutert.

Sie haben weitere Fragen um das Audit in der Informationssicherheit oder brauchen Unterstützung in der Vorbereitung auf einen bevorstehenden Audit? Dann buchen Sie jetzt ein kostenloses Erstgespräch mit einem unserer Experten.

Kostenloses Erstgespräch vereinbaren

 

Gibt es typische Schwachstellen, die ein Audit aufzeigt?

Es gibt Schwachstellen, die häufiger als andere auftreten. So wird beispielsweise regelmäßig unterschätzt, dass Informationssicherheit im Unternehmen nicht nur behauptet, sondern in der Praxis auch nachgewiesen werden muss. Häufig wähnen sich Unternehmen, die eine Erstauditierung durchlaufen, auf der sicheren Seite. Schließlich haben sie im Vorfeld diverse Richtlinien erstellt und im Rahmen des ISMS-Aufbaus geeignete Prozesse definiert. Beim Audit stellt sich dann jedoch nicht selten heraus, dass die selbst auferlegten Policies in der Praxis nicht umgesetzt werden und die geforderten Nachweise daher nicht erbracht werden können. Das ist ein Klassiker.

Noch ein Klassiker ist der Bereich „Benutzerzugriffe“. Gerade bei ISMS-Audits nach ISO 27001 wird er regelmäßig unterschätzt. Beispielsweise beim Management von zentralen Passwortverzeichnissen: So verwalten viele Unternehmen unzählige Zugangs-Passwörter zu 20, 30 oder manchmal auch mehr als 40 unterschiedlichen Systemen. Werden diese zentral in einem Excel-Sheet verzeichnet, ausgedruckt und für den schnellen Zugriff in der IT-Abteilung physisch abgelegt, ist dies eine eklatante und keineswegs seltene Schwachstelle.

Wer darf ein Audit durchführen?

Zertifizierungsaudits dürfen nur von unabhängigen Fachkräften einer akkreditierten Prüforganisation durchgeführt werden. Dazu gehören in Deutschland beispielsweise TÜV und DEKRA, neben derzeit rund drei Dutzend weiteren Unternehmen, die eine Zertifizierung gemäß ISO 27001 vornehmen dürfen. Die Auditoren dieser Organisationen müssen über einen Fachkundenachweis in Form eines Zertifikats verfügen. Eine solche Qualifikation sollten auch Mitarbeiter externer Dienstleister vorweisen können, die von einem Unternehmen mit dem Aufbau eines ISMS beauftragt werden.

Ist das ISMS einmal etabliert, können die regelmäßigen internen Audits auch von unternehmenseigenen Kräften durchgeführt werden. Für diese ist eine Ausbildung zum zertifizierten Auditor nicht vorgeschrieben. Auch gibt es keine rechtlich bindenden Vorgaben für die Durchführung interner Audits.

 

ISO 27001 and TISAX due diligence guide ISO 27001 and TISAX due diligence guide

Ein Leitfaden zu Informationssicherheit in der Due Diligence

Warum die Informationssicherheit eine so große Rolle in der Due Diligence spielt und was die Normen ISO 27001 und TISAX® besagen und was Sie sich unter dem risikobasierten Ansatz beider Normen vorstellen können.

Jetzt kostenlos herunterladen

 

Gibt es eine rechtliche Verpflichtung zur Durchführung eines ISMS-Audits?

Nein, es gibt für Unternehmen keine allgemeine gesetzliche Verpflichtung zur Auditierung. Aber: Wer sein Unternehmen nach internationalen Normen zertifizieren lassen möchte, muss sich an die Vorgaben des jeweiligen Standards halten. Darüber hinaus gelten in einzelnen Branchen spezifische Vorgaben. Zum Beispiel in der Automobilbranche mit dem TISAX®-Standard. Dieser ist zwar nicht legal verankert, aber so weit etabliert, dass ihn de facto jeder erfüllen muss, der in der Automobilbranche tätig sein möchte.

In einigen, besonders regulierten Branchen – darunter etwa im Gesundheitswesen und in der Finanz- und Versicherungsindustrie – gibt es sogar gesetzlich verankerte Pflichten zur ISMS-Auditierung. Formuliert sind diese etwa in Form strenger Compliance-Vorgaben, die unter anderem die Informationssicherheit adressieren.

Wann ist ein ISMS-Audit empfehlenswert, gibt es dafür Indikatoren?

Generell profitiert jedes Unternehmen von einem zertifizierten Managementsystem für Informationssicherheit, unabhängig von seiner Größe, Komplexität oder Mitarbeiteranzahl. Es strukturiert die eigenen Prozesse und ist schon allein deshalb ein Gewinn. Unabhängig davon gibt es auch objektive Kriterien, die für die Einführung eines ISMS und für eine entsprechende Auditierung sprechen. Zu den wichtigsten Indikatoren gehört die Menge an Kunden- und Auftragsdaten, oder das Vorhandensein eigener Software-Entwicklung. Unternehmen mit einem sehr hohen oder sich dynamisch verändernden Datenaufkommen fahren mit einem regelmäßig auditierten Informationssicherheits-Managementsystem sicher besser als ohne!

Wie bereiten sich Unternehmen optimal auf das Audit vor?

Die beste Vorbereitung besteht in der fachkundigen Einführung eines strukturierten Managementsystems – entweder mit Hilfe externer Fachleute, also zum Beispiel durch DataGuard, oder indem das Unternehmen eine volle interne Stelle für die ISMS-Einführung schafft und diese entsprechend besetzt. Denn gerade in der Einführungsphase erfordert das ISMS hohe Aufmerksamkeit und gegebenenfalls den Willen, eingefahrene Prozesse entscheidend zu modernisieren. Die Einführung kostet anfangs Zeit, Kraft und auch Geld. Die Mühe lohnt sich aber, zumal die ISMS-Prozesse irgendwann zur Selbstverständlichkeit werden und kaum noch Aufwand verursachen.

Mit welchen Kosten ist ein Audit verbunden?

Das hängt von Art und Umfang des Audits ab. Klar ist: Wer als Unternehmen ein Zertifizierungsaudit bei einer unabhängigen Prüfstelle einkauft, muss für diese Leistung zahlen. Die Kosten bewegen sich im marktüblichen Rahmen. Deutlicher ins Gewicht fällt allerdings die Investition in den Aufbau eines Managementsystems und der nötigen Prozesse. Hierin besteht ja die eigentliche Arbeit. Diese anzugehen, lohnt sich aber in jedem Fall und für jedes Unternehmen. Denn früher oder später muss sich jeder Betrieb mit dem Thema auseinandersetzen. Wer sich bis dahin mit provisorischen, kaum dokumentierten und nicht systematisch strukturierten Prozessen behilft, könnte am Ende vor sehr viel mehr Aufwand und noch höheren Kosten stehen.

Müssen Unternehmen ohne ISMS-Auditierung mit Strafen oder Sanktionen rechnen?

Im strafrechtlichen Sinne drohen keine generellen Strafen oder Sanktionen. Entscheidend ist der Nutzen: Wer eine ISMS-Auditierung erfolgreich absolviert hat und zertifiziert ist, profitiert von effektiveren Prozessen und genießt im Markt klare Wettbewerbsvorteile.

Zudem gibt es Branchen mit steigenden Informationssicherheitserwartungen wie etwa die Automobilbranche. Wer hier als Zulieferer weiterhin ohne ISMS tätig ist, wird sukzessive Marktanteile verlieren. In anderen, stark regulierten Branchen ist eine Geschäftstätigkeit ohne Nachweis eines anforderungsgerechten ISMS gar nicht erst zulässig.

Welches sind die drei zentralen Vorteile einer Auditierung?

  1. Die Auditierung ist der Schlüssel zu vorhersagbarer Qualität durch vorhersagbare Informationssicherheit.
  2. Dadurch reduziert sich der Aufwand für den Vertrieb.
  3. Vom sinkenden Aufwand profitiert auch das Management.

Auf den Punkt gebracht bedeutet dies: Unternehmen, die ihre Informationssicherheit zertifiziert haben, haben nicht die perfekte Sicherheit, aber die bestmöglichen Prozesse. Dies erhöht die Sicherheit systematisch und nachweisbar. Verbesserungsprozesse können bei Bedarf schnell eingeleitet und umgesetzt werden. Sicherheit und Vertrauen steigen.

Erhalten Unternehmen nach dem Audit einen Bericht mit Handlungsempfehlungen?

Nach einem erfolgreichen externen Audit wird nicht nur das Zertifikat erteilt. Die ISMS-Verantwortlichen erhalten immer auch einen Prüfbericht. Darin wird sehr genau beschrieben, welche Prozesse auditiert wurden und bei welchen es womöglich noch Potenzial für Verbesserungen gibt. Konkrete Handlungsempfehlungen gibt der Auditor nicht, dies würde gegen seine Rolle als unabhängige Prüfinstanz verstoßen. In der Regel ist aber klar ersichtlich, was optimiert werden sollte. Die Handlungsempfehlungen lassen sich aus dem Prüfbericht ganz einfach ableiten.

Fazit: Das ISMS-Audit ist ein zentrales Instrument für mehr Informationssicherheit!

Managementsysteme für Informationssicherheit sind in einer digitalisierten Wirtschaft ein Muss. Immer mehr Firmen etablieren intern solche Systeme und lassen sie auditieren. Aus guten Gründen, denn dies sorgt für effektive Prozesse, erhöht die Informationssicherheit im Unternehmen und damit das Vertrauen der Partner und Kunden – mit längst spürbaren und zunehmen relevanten Auswirkungen auf die eigene Wettbewerbsfähigkeit.

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über den Autor

Christian Taube Christian Taube
Christian Taube

Christian Taube ist zertifizierter Datenschutzbeauftragter und Informationssicherheitsexperte. Bei DataGuard war er für den Aufbau des neuen Geschäftsbereichs „Informationssicherheit-as-a-Service“ und die entsprechende Erweiterung der proprietären Datenschutz-Plattform verantwortlich. Nach seinem Studium in Stuttgart, Eugene (Oregon, USA) und München hat er seit 1990 bei verschiedensten Tätigkeiten Erfahrungen in der IT und der Informationssicherheit gesammelt. Als Mitgründer zweier Unternehmen mit erfolgreichen Exits sowie als Vorstandsmitglied, technischer Leiter und Projektmanager hat er außerdem langjährige Erfahrung im B2B-Markt und in der Beratung von Unternehmen. Als Experte für Informationssicherheit hat er sich in den vergangenen Jahren umfassend mit der Implementierung von Informationssicherheits-Managementsystemen (ISMS) sowie intensiv mit den Standards ISO 27001 und TISAX® („Trusted Information Security Assessment Exchange“) beschäftigt. Dabei hat er erfolgreiche Audits im internationalen Umfeld durchgeführt und die entsprechenden Unternehmen fachgerecht zur Zertifizierung geführt.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren