ISMS-Audits - Missverständnisse und Red Flags
Steht ein Audit des Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 an, sorgt das in vielen Unternehmen für Anspannung. “Haben wir wirklich alle Dokumente vollständig?”, “Sollten wir nicht noch schnell diese eine Prozessbeschreibung nachziehen?” – solche Fragen kennen wir aus fast jedem Vorbereitungsgespräch.
Genau hier beginnt aber schon eines der größten Missverständnisse. Erfahrene Auditoren bewerten ein ISMS nicht danach, wie viele Richtlinien und Vorgabedokumente im Umlauf sind, sondern danach, ob Informationssicherheit im Unternehmen tatsächlich gelebt wird. Wie kann man dieses „Wir leben unser ISMS“ plausibel nachweisen?
Was Auditoren wirklich prüfen – und positiv bewerten
Gelebte Prozesse statt “Papier-ISMS”
Der entscheidende Punkt vorweg: Auditoren bewerten vor allem, ob Prozesse in der Praxis wirksam funktionieren – nicht, ob sie auf dem Papier perfekt beschrieben sind. Kennen Mitarbeitende ihre Rollen und Verantwortlichkeiten? Werden dokumentierte Prozesse tatsächlich genutzt und sind sie überhaupt noch aktuell?
Ein Beispiel aus der Praxis:
Ein Incident-Response-Prozess ist sauber dokumentiert, doch niemand im Team kann auf Nachfrage erklären, wie ein Sicherheitsvorfall gemeldet wird. Solche Lücken werden im Audit schnell sichtbar – meist schon nach der zweiten oder dritten Interviewfrage.
Positiv fällt insbesondere auf, wenn
- Dokumentation und Realität übereinstimmen,
- nachvollziehbare, praktische Nachweise (Tickets, Protokolle, Lessons Learned) vorliegen und
- Mitarbeitende Abläufe flüssig und in eigenen Worten erklären können, statt Formulierungen aus dem Handbuch zu zitieren.
Klare und schlanke Dokumentation
Ein ISMS muss dokumentiert sein. Auditoren achten insbesondere auf
- eine nachvollziehbare Struktur (Richtlinien, Verfahren, Nachweise),
- verständliche, praxisnahe Formulierungen und
- akteulle, regelmäßig gepflegte Inhalte.
Ein erster positiver Eindruck entsteht, wenn die Dokumentation nicht nur fürs Audit in der Schublade liegt, sondern tatsächlich im Alltag genutzt wird – und somit auch so geschrieben ist, dass sie auch verstanden und angewendet wird.
Sichtbares Commitment der Führungsebene
Alle gängigen Regulationen (z. B. NIS2) und Standards (z. B. ISO 27001) fordern ausdrücklich Leadership und nehmen die Geschäftsführung aktiv in die Verantwortung.
Auditoren prüfen daher gezielt:
- Ist die Geschäftsführung in die Informationssicherheit eingebunden?
- Sind Sicherheitsziele definiert und werden sie verfolgt?
- Finden regelmäßige Managementbewertungen statt?
Positive Signale sind:
- nachvollziehbar getroffene Entscheidungen zur Informationssicherheit,
- bereitgestellte Ressourcen und
- Risikodiskussionen auf Managementebene.
Ein ISMS, das “nur von der IT gemacht wird”, wird dagegen kritisch gesehen – zu Recht, denn Informationssicherheit ist eine Führungsaufgabe.
Risikoorientiertes Denken
Ein funktionierendes ISMS basiert auf Risikomanagement. Auditoren prüfen:
- Wie werden Risiken identifiziert und bewertet?
- Werden daraus sinnvolle Maßnahmen abgeleitet?
- Werden Risiken regelmäßig überprüft?
Wichtig: Es geht nicht um perfekte Modelle, sondern um plausible, nachvollziehbare Entscheidungen. Niemand erwartet eine hundertprozentige Risikoanalyse des gesamten Unternehmens – wohl aber ein tatsächlich angewendetes Verfahren.
Kontinuierliche Verbesserung
Ein gutes ISMS ist nie “fertig”. Auditoren achten auf:
- interne Audits,
- Korrekturmaßnahmen und
- gelebte Verbesserungsprozesse.
Ein Unternehmen, das offen mit Schwächen umgeht und daraus lernt, wird deutlich positiver bewertet als eines, das versucht, ein makelloses Bild zu präsentieren.
Und genau hier schließt sich der Kreis zur Dokumentation:
Ein funktionierender kontinuierlicher Verbesserungsprozess (KVP) sorgt im Idealfall dafür, dass die Dokumentation gar nicht erst veraltet. Wird eine Schwachstelle erkannt, ein Prozess angepasst oder eine Korrekturmaßnahme umgesetzt, gehört die Aktualisierung der zugehörigen Dokumente von Anfang an dazu und nicht als nachgelagerter Verwaltungsakt, sondern als selbstverständlicher letzter Schritt der Verbesserung.
Läuft der KVP wirklich, bleiben auch die Dokumente automatisch auf dem Stand der gelebten Praxis – statt dass beides über die Zeit auseinanderdriftet.
Was Auditoren kritisch sehen – typische Red Flags
Audit-Vorbereitung im Schnellverfahren. Wenn ein ISMS erst kurz vor dem Audit “aufgeräumt” wird, zeigt sich das schnell: Dokumente wurden massenhaft und kurzfristig erstellt oder aktualisiert, Prozesse existieren nur auf dem Papier, Mitarbeitende sind unsicher oder widersprechen sich in ihren Aussagen. Das wirkt aufgesetzt und ist ein klassisches Warnsignal.
Inkonsistenzen zwischen Dokumentation und Realität. Die Richtlinie sagt A, gelebt wird B, Verantwortlichkeiten sind unklar oder werden von verschiedenen Personen unterschiedlich interpretiert. Auditoren fragen bewusst mehrere Personen zum selben Thema, um genau solche Abweichungen aufzudecken.
Fehlende Nachweise. “Das machen wir so” reicht im Audit nicht aus. Fehlen Protokolle von Risikoanalysen, Nachweise für Schulungen oder Dokumentation von Vorfällen, ist ein Prozess im Audit praktisch nicht nachweisbar, auch wenn er im Unternehmen tatsächlich gelebt wird. Ein Auditor kann nur bewerten, was er auch tatsächlich sieht und wird sich nicht auf mündliche Beschreibungen verlassen.
Unklare Verantwortlichkeiten. Nicht eindeutig festgelegte Rollen, Verantwortlichkeiten und Befugnisse sowie fehlende oder unzureichend definierte Eskalationswege erschweren die wirksame Steuerung der Informationssicherheit. Wenn Zuständigkeiten nur informell geregelt sind oder Verantwortliche ihre Aufgaben nicht wirksam wahrnehmen können, deutet dies auf Schwächen in der Governance des ISMS hin.
Fehlendes Management-Engagement. Kennt die Geschäftsführung das ISMS nur oberflächlich, sind Sicherheitsziele nicht definiert und Entscheidungen nicht dokumentiert, wird das von Auditoren sehr deutlich adressiert. Dieser Punkt zieht sich oft als roter Faden durch den gesamten Auditbericht.
Häufige Missverständnisse über ISMS-Audits
“Ein ISMS ist vor allem Dokumentation.” Dokumentation ist notwendig, aber nicht der Kern. Ein ISMS ist ein Managementsystem, kein Ablagesystem. Der Fokus liegt auf Steuerung, Umsetzung und Verbesserung.
“Wenn wir zertifiziert sind, sind wir fertig.” Die Zertifizierung ist kein Endpunkt, sondern ein Zwischenstand. Ein ISMS muss regelmäßig überprüft, weiterentwickelt und an neue Risiken angepasst werden. Unternehmen, die nach der Zertifizierung “abschalten”, fallen spätestens im nächsten Überwachungsaudit auf.
“Auditoren suchen Fehler.” Ein gutes Audit ist keine Fehlersuche, sondern eine Bewertung der Wirksamkeit. Auditoren wollen verstehen, ob das System im Alltag funktioniert, ob Risiken angemessen gesteuert werden und ob sich das ISMS weiterentwickelt. Offenheit wird dabei in aller Regel positiv bewertet – wer Schwächen von sich aus anspricht, steht am Ende oft besser da als jemand, der versucht, alles glattzubügeln.
“Je mehr Dokumente, desto besser.” Das Gegenteil ist häufig der Fall. Zu viele oder zu komplexe Dokumente führen dazu, dass sie nicht gelesen, nicht angewendet werden und schnell veralten. Ein schlankes, verständliches ISMS ist in der Praxis deutlich wirksamer.
“Das ISMS ist Sache der IT.” Informationssicherheit ist eine unternehmensweite Aufgabe. Sie betrifft Personalprozesse, Lieferantenmanagement, die Geschäftsführung ebenso wie einzelne Fachabteilungen. Ist das System ausschließlich in der IT verankert, fehlt ein wesentlicher Teil.
Fazit: Was ein gutes ISMS im Audit auszeichnet
Ein überzeugendes ISMS erkennt man nicht an perfekten Unterlagen, sondern an einem stimmigen Gesamtbild:
- Die Mitarbeitenden tragen das ISMS,
- der Austausch zwischen den Abteilungen besteht,
- die Prozesse werden tatsächlich verstanden und gelebt,
- Risiken werden bewusst gesteuert,
- Verantwortung ist klar geregelt,
- die Führungsebene ist eingebunden und
- Verbesserung findet kontinuierlich statt.
Unternehmen, die ihr ISMS so aufbauen, müssen sich vor Audits in der Regel nicht fürchten – sie nutzen sie vielmehr als wertvolle Standortbestimmung.
Ein pragmatischer Blick zum Abschluss
In der Praxis zeigt sich immer wieder: Der größte Mehrwert entsteht nicht durch das Bestehen eines Audits, sondern durch die Vorbereitung darauf.
Ein Unternehmen, das seinen internen Auditprozess ernst nimmt, gewinnt weit mehr als ein Zertifikat an der Wand – es baut echte Resilienz auf:
- Sicherheitsvorfälle werden schneller erkannt,
- Verantwortlichkeiten sind im Ernstfall klar, und
- Schwachstellen fallen auf, bevor sie zum Problem werden.
Genau das ist am Ende der eigentliche Zweck eines ISMS: nicht das Bestehen eines Audits, sondern ein Unternehmen, das mit Risiken souverän umgehen kann.
Unsere Unterstützung für Ihr ISMS
Wir begleiten Unternehmen dabei auf unterschiedlichen Wegen:
- Klassische Beratung zum Aufbau und zur Weiterentwicklung eines ISMS,
- Auditbegleitung, um Teams gezielt auf das Zertifizierungsaudit vorzubereiten und blinde Flecken frühzeitig aufzudecken,
- Interne Audits oder Standortbestimmungen – unabhängig von einer Zertifizierung, wenn ein Unternehmen wissen möchte, wo es tatsächlich steht.
Gerade für kleine und mittelständische Unternehmen ist ein pragmatischer, praxisnaher Ansatz entscheidend – denn ein ISMS sollte kein Selbstzweck sein, sondern ein Werkzeug, das den Geschäftsbetrieb nachhaltig absichert.
Wenn Sie wissen möchten, wo Ihr Unternehmen aktuell steht: Sprechen Sie uns an.
ISMS-Audits – Missverständnisse und Red Flags
Steht ein Audit des Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 an, sorgt das in vielen Unternehmen für Anspannung. “Haben wir wirklich alle Dokumente vollständig?”, “Sollten wir nicht noch schnell diese eine Prozessbeschreibung nachziehen?” – solche Fragen kennen wir aus fast jedem Vorbereitungsgespräch.
Genau hier beginnt aber schon eines der größten Missverständnisse. Erfahrene Auditoren bewerten ein ISMS nicht danach, wie viele Richtlinien und Vorgabedokumente im Umlauf sind, sondern danach, ob Informationssicherheit im Unternehmen tatsächlich gelebt wird. Wie kann man dieses „Wir leben unser ISMS“ plausibel nachweisen?





