Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 410 600
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Informationssicherheit ist für Unternehmen in Zeiten von Click & Collect sowie der digitalen  Übermittlung und Verarbeitung von Auftrags- und Kundendaten ein Top-Thema. Viele haben daher  längst ein internes Managementsystem für die Informationssicherheit aufgebaut. Bleibt die Frage, ob es die eigenen Anforderungen auch erfüllt und den internationalen Standards entspricht. Antworten darauf sowie gegebenenfalls entsprechende Nachweise liefert ein ISMS-Audit – ein Audit des  Informationssicherheits-Managementsystems (ISMS).  

Das Wichtigste in Kürze 

  • Ein Informationssicherheits-Managementsystem sollte regelmäßig auditiert werden, um seine Wirksamkeit sicherzustellen. 
  • Es gibt verschiedene Anlässe und Arten von Audits: interne, um die Effektivität der Maßnahmen im Hinblick auf die eigenen Ziele zu überprüfen, und externe, die beispielsweise der Zertifizierung nach einem internationalen Standard dienen.  
  • ISMS-Audits folgen einer planmäßigen und strukturierten Prüfroutine.  
  • Ein erfolgreiches Audit bestätigt die Informationssicherheit im Unternehmen und verbessert dessen Wettbewerbssituation nachhaltig 

In diesem Beitrag 

Was ist ein Informationssicherheitsaudit, was wird geprüft? 

Bei einem Informationssicherheitsaudit wird überprüft, ob und wie effektiv das in einem Unternehmen etablierte Managementsystem für Informationssicherheit funktioniertDer Maßstab dafür sind die jeweils gesteckten Ziele und die Vorgaben zum Erreichen derselben.

Simples Beispiel: Ein Unternehmen hat sich das Ziel gesetzt, die durchschnittliche Anzahl der Informationssicherheitsvorfälle pro Quartal um 60 Prozent zu senken. Dafür werden Vorgehensweisen definiert, beispielsweise in den beiden Schlüsselbereichen Datensicherung und MitarbeitersensibilisierungUm den Erfolg der Maßnahmen zu überprüfen, sollte nach einem definierten Zeitraum ein Audit durchgeführt werdenDabei wird geprüft, ob und auf welches Level die Anzahl der Vorfälle gemindert werden konnte.  

Komplexer wird die Sache, wenn ein Unternehmen ein Managementsystem etwa mit dem Ziel aufbaut, das initiale Audit nach ISO 27001 zu bestehen und ein entsprechendes Zertifikat zu erhalten. Im Rahmen eines Zertifizierungsaudits wird dann geprüft, ob das etablierte Informationssicherheits-Managementsystem den Anforderungen der internationalen Norm ISO 27001 entspricht.  

Welche Arten von ISMS-Audits gibt es? 

Unterschieden wird im Wesentlichen zwischen internen und externen Audits. Interne Audits werden innerhalb eines Unternehmens regelmäßig durchgeführt, um die Wirksamkeit des jeweiligen ISMS zu gewährleisten und gegebenenfalls Verbesserungen durchzuführen. Solche Audits können von eigenen Fachkräften durchgeführt werden, die das Unternehmen dann unabhängig agieren lassen muss, oder von beauftragten AuditorenNoch entscheidender für ein Unternehmen sind externe Audits. Diese finden beispielsweise statt, um eine Zertifizierung nach ISO 27001 zu erhalten. In diesen Fällen handelt es sich um sogenannte Zertifizierungsaudits durch unabhängige Dritte. Hinzu kommen sogenannte 2nd-Party-Audits. Davon spricht man beispielsweise, wenn ein Fahrzeughersteller das Managementsystem für Informationssicherheit bei einem seiner Zulieferer überprüft.  

Es gibt also nicht das eine typische ISMS-Audit, sondern verschiedene Audittypen und Fragestellungen?  

Genauso ist es. Geprüft und auditiert wird je nach Anforderung bzw. gemäß der zugrunde gelegten Norm, die das ISMS erfüllen soll. Der gängige ISMS-Standard ist die ISO 27001. In einigen Branchen und stark regulierten Wirtschaftszweigen gelten abweichend davon jedoch eigene NormenZum Beispiel in der Automobilbranchemaßgeblich für eine Auditierung ist hier der TISAX®-Standard (Trusted Information Security Assessment Exchange).  

Wie läuft so ein Audit üblicherweise ab? 

Voraussetzung für erfolgreiche Audits ist ein planmäßiges und strukturiertes Vorgehen. Wer wie DataGuard regelmäßig Audits durchführt, folgt definierten Abläufen. So müssen zunächst alle ISMS-relevanten Dokumente eines Unternehmens gesichtet und begutachtet werdenAnschließend wird der Auditor einen Plan aufstellen, wann bestimmte Prüfbereiche auditiert werden sollen – zum Beispiel das Zugriffsmanagement – und wer dafür wann zur Verfügung stehen muss. Dies kann beispielsweise der IT-Leiter sein, dessen Stellvertretung und das für die Informationssicherheit zuständige Mitglied der Geschäftsführung. Mit diesen wird der Auditor dann die zentralen Punkte der zugrunde gelegten Norm besprechen und überprüfen, wie diese im Unternehmen konkret umgesetzt und dokumentiert sind. Am Ende des Audits findet ein ausführliches Abschlussgespräch mit den ISMS-Verantwortlichen im Unternehmen stattDabei werden die Audit-Ergebnisse präsentiert und erläutert.  

Sie haben weitere Fragen um das Audit in der Informationssicherheit oder brauchen Unterstützung in der Vorbereitung auf einen bevorstehenden Audit? Dann buchen Sie jetzt ein kostenloses Erstgespräch mit einem unserer Experten. 

Kostenloses Erstgespräch vereinbaren

 

Gibt es typische Schwachstellendie ein Audit aufzeigt? 

Es gibt Schwachstellen, die häufiger als andere auftreten. So wird beispielsweise regelmäßig unterschätzt, dass Informationssicherheit im Unternehmen nicht nur behauptet, sondern in der Praxis auch nachgewiesen werden muss. Häufig wähnen sich Unternehmen, die eine Erstauditierung durchlaufen, auf der sicheren Seite. Schließlich haben sie im Vorfeld diverse Richtlinien erstellt und im Rahmen des ISMS-Aufbaus geeignete Prozesse definiert. Beim Audit stellt sich dann jedoch nicht selten heraus, dass die selbst auferlegten Policies in der Praxis nicht umgesetzt werden und die geforderten Nachweise daher nicht erbracht werden können. Das ist ein Klassiker.   

Noch ein Klassiker ist der Bereich „Benutzerzugriffe“. Gerade bei ISMS-Audits nach ISO 27001 wird er regelmäßig unterschätzt. Beispielsweise beim Management von zentralen Passwortverzeichnissen: So verwalten viele Unternehmen unzählige Zugangs-Passwörter zu 20, 30 oder manchmal auch mehr als 40 unterschiedlichen SystemenWerden diese zentral in einem Excel-Sheet verzeichnet, ausgedruckt und für den schnellen Zugriff in der IT-Abteilung physisch abgelegt, ist dies eine eklatante und keineswegs seltene Schwachstelle.  

Wer darf ein Audit durchführen?  

Zertifizierungsaudits dürfen nur von unabhängigen Fachkräften einer akkreditierten Prüforganisation durchgeführt werden. Dazu gehören in Deutschland beispielsweise TÜV und DEKRA, neben derzeit rund drei Dutzend weiteren Unternehmen, die eine Zertifizierung gemäß ISO 27001 vornehmen dürfenDie Auditoren dieser Organisationen müssen über einen Fachkundenachweis in Form eines Zertifikats verfügen. Eine solche Qualifikation sollten auch Mitarbeiter externer Dienstleister vorweisen können, die von einem Unternehmen mit dem Aufbau eines ISMS beauftragt werden 

Ist das ISMS einmal etabliert, können die regelmäßigen internen Audits auch von unternehmenseigenen Kräften durchgeführt werden. Für diese ist eine Ausbildung zum zertifizierten Auditor nicht vorgeschriebenAuch gibt es keine rechtlich bindenden Vorgaben für die Durchführung interner Audits.  

Sie wollen mehr über die Zertifizierung nach ISO 27001 erfahren? Dann schauen Sie sich gerne unser Whitepaper zum Thema ISO 27001 und TISAX®: Ein Leitfaden zu Due Diligence und Informationssicherheit an:

 

ISO 27001 UND TISAX Image CTA

 

Gibt es eine rechtliche Verpflichtung zur Durchführung eines ISMS-Audits? 

Neines gibt für Unternehmen keine allgemeine gesetzliche Verpflichtung zur Auditierung. Aber: Wer sein Unternehmen nach internationalen Normen zertifizieren lassen möchte, muss sich an die Vorgaben des jeweiligen Standards halten. Darüber hinaus gelten in einzelnen Branchen spezifische Vorgaben. Zum Beispiel in der Automobilbranche mit dem TISAX®-Standard. Dieser ist zwar nicht legal verankert, aber so weit etabliert, dass ihn de facto jeder erfüllen muss, der in der Automobilbranche tätig sein möchte 

In einigen, besonders regulierten Branchen – darunter etwa im Gesundheitswesen und in der Finanz- und Versicherungsindustrie – gibt es sogar gesetzlich verankerte Pflichten zur ISMS-AuditierungFormuliert sind diese etwa in Form strenger Compliance-Vorgaben, die unter anderem die Informationssicherheit adressieren 

Wann ist ein ISMS-Audit empfehlenswert, gibt es dafür Indikatoren?  

Generell profitiert jedes Unternehmen von einem zertifizierten Managementsystem für Informationssicherheit, unabhängig von seiner Größe, Komplexität oder Mitarbeiteranzahl. Es strukturiert die eigenen Prozesse und ist schon allein deshalb ein Gewinn. Unabhängig davon gibt es auch objektive Kriterien, die für die Einführung eines ISMS und für eine entsprechende Auditierung sprechen. Zu den wichtigsten Indikatoren gehört die Menge an Kunden- und Auftragsdaten, oder das Vorhandensein eigener Software-Entwicklung. Unternehmen mit einem sehr hohen oder sich dynamisch verändernden Datenaufkommen fahren mit einem regelmäßig auditierten Informationssicherheits-Managementsystem sicher besser als ohne! 

Wie bereiten sich Unternehmen optimal auf das Audit vor? 

Die beste Vorbereitung besteht in der fachkundigen Einführung eines strukturierten Managementsystems – entweder mit Hilfe externer Fachleute, also zum Beispiel durch DataGuard, oder indem das Unternehmen eine volle interne Stelle für die ISMS-Einführung schafft und diese entsprechend besetzt. Denn gerade in der Einführungsphase erfordert das ISMS hohe Aufmerksamkeit und gegebenenfalls den Willen, eingefahrene Prozesse entscheidend zu modernisieren. Die Einführung kostet anfangs Zeit, Kraft und auch GeldDie Mühe lohnt sich aberzumal die ISMS-Prozesse irgendwann zur Selbstverständlichkeit werden und kaum noch Aufwand verursachen 

Mit welchen Kosten ist ein Audit verbunden? 

Das hängt von Art und Umfang des Audits ab. Klar ist: Wer als Unternehmen ein Zertifizierungsaudit bei einer unabhängigen Prüfstelle einkauft, muss für diese Leistung zahlen. Die Kosten bewegen sich im marktüblichen Rahmen. Deutlicher ins Gewicht fällt allerdings die Investition in den Aufbau eines Managementsystems und der nötigen Prozesse. Hierin besteht ja die eigentliche Arbeit. Diese anzugehen, lohnt sich aber in jedem Fall und für jedes Unternehmen. Denn früher oder später muss sich jeder Betrieb mit dem Thema auseinandersetzen. Wer sich bis dahin mit provisorischen, kaum dokumentierten und nicht systematisch strukturierten Prozessen behilft, könnte am Ende vor sehr viel mehr Aufwand und noch höheren Kosten stehen.  

Müssen Unternehmen ohne ISMS-Auditierung mit Strafen oder Sanktionen rechnen? 

Im strafrechtlichen Sinne drohen keine generellen Strafen oder SanktionenEntscheidend ist der Nutzen: Wer eine ISMS-Auditierung erfolgreich absolviert hat und zertifiziert ist, profitiert von effektiveren Prozessen und genießt im Markt klare Wettbewerbsvorteile.  

Zudem gibt es Branchen mit steigenden Informationssicherheitserwartungen wie etwa die AutomobilbrancheWer hier als Zulieferer weiterhin ohne ISMS tätig ist, wird sukzessive Marktanteile verlieren. In anderen, stark regulierten Branchen ist eine Geschäftstätigkeit ohne Nachweis eines anforderungsgerechten ISMS gar nicht erst zulässig.  

Welches sind die drei zentralen Vorteile einer Auditierung? 

  1. Die Auditierung ist der Schlüssel zu vorhersagbarer Qualität durch vorhersagbare Informationssicherheit. 
  2. Dadurch reduziert sich der Aufwand für den Vertrieb. 
  3. Vom sinkenden Aufwand profitiert auch das Management.  
 

Auf den Punkt gebracht bedeutet diesUnternehmen, die ihre Informationssicherheit zertifiziert haben, haben nicht die perfekte Sicherheit, aber die bestmöglichen Prozesse. Dies erhöht die Sicherheit systematisch und nachweisbar. Verbesserungsprozesse können bei Bedarf schnell eingeleitet und umgesetzt werden. Sicherheit und Vertrauen steigen.  

Erhalten Unternehmen nach dem Audit einen Bericht mit Handlungsempfehlungen?  

Nach einem erfolgreichen externen Audit wird nicht nur das Zertifikat erteilt. Die ISMS-Verantwortlichen erhalten immer auch einen Prüfbericht. Darin wird sehr genau beschrieben, welche Prozesse auditiert wurden und bei welchen es womöglich noch Potenzial für Verbesserungen gibt. Konkrete Handlungsempfehlungen gibt der Auditor nicht, dies würde gegen seine Rolle als unabhängige Prüfinstanz verstoßen. In der Regel ist aber klar ersichtlich, was optimiert werden sollte. Die Handlungsempfehlungen lassen sich aus dem Prüfbericht ganz einfach ableiten.  

Fazit: Das ISMS-Audit ist ein zentrales Instrument für mehr Informationssicherheit! 

Managementsysteme für Informationssicherheit sind in einer digitalisierten Wirtschaft ein MussImmer mehr Firmen etablieren intern solche Systeme und lassen sie auditieren. Aus guten Gründen, denn dies sorgt für effektive Prozesse, erhöht die Informationssicherheit im Unternehmen und damit das Vertrauen der Partner und Kunden – mit längst spürbaren und zunehmen relevanten Auswirkungen auf die eigene Wettbewerbsfähigkeit.

Zurück zum Seitenanfang

Jetzt noch mehr herausholen.

Wohin soll Ihre Reise heute noch gehen?

1. Wir unterstützen Sie, ihre Ziele erfolgreich umzusetzen

Sie sind sich unsicher, wie Sie Datenschutz und Informationssicherheit am besten umsetzen? Wir begleiten Sie gern auf dem Weg, die richtigen Entscheidungen in diesen Bereichen zu treffen. Doch der nächste Schritt liegt nun an Ihnen. Nutzen Sie gern unsere kostenfreien Inhalte, um sich weiter zu informieren, oder nehmen Sie einfach direkt Kontakt zu uns auf. Wir freuen uns auf Sie! 

Hier kostenloses Erstgespräch vereinbaren

3. Kontaktieren Sie uns

Bereits mehr als 1.500 Unternehmen vertrauen auf unseren Service. Zögern auch Sie nicht und treten Sie mit uns in Kontakt!

close