Wissen/Was prüft man bei einem internen ISO-27001-Audit?

Was prüft man bei einem internen ISO-27001-Audit?

Internes Audit nach ISO 27001 und ISO 19011: Audit-Plan, Stichproben, Bericht. Praktische Checkliste für KMU. Stand: 2026-05-16.

ComplyCheck-Redaktion · Stand: 2026-07-17

iso27001internes-auditiso-19011audit-checklisteisms

Was prüft man bei einem internen ISO-27001-Audit?

Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Was ein internes Audit prüft

Im Kern beantwortet das interne Audit drei Fragen:

  1. Ist das ISMS konform mit den Anforderungen aus ISO 27001 und mit den eigenen, internen Vorgaben?
  2. Wird das ISMS wirksam umgesetzt und gelebt — oder existiert es nur auf dem Papier?
  3. Wird das ISMS kontinuierlich verbessert?

Geprüft werden alle Klauseln 4-10 der ISO 27001 (das Management-System-Gerüst) und alle anwendbaren Annex-A-Controls aus dem Statement of Applicability.

Das interne Audit ist explizit nicht dasselbe wie:

  • Ein Pentest — der prüft technische Schwachstellen, nicht Management-Prozesse
  • Ein Vulnerability-Assessment — fokussiert auf technische Lücken
  • Ein externes Zertifizierungs-Audit — wird von akkreditierter Drittstelle durchgeführt
  • Eine Selbstbewertung durch den ISB — fehlt die Unabhängigkeit
Hinweis

Internes Audit ist kein Pentest

Häufige Verwechslung: Das interne ISO-27001-Audit ist kein Pentest, kein Vulnerability-Assessment und keine Selbstbewertung durch den ISB. Es ist ein Management-System-Audit, das die Wirksamkeit der Prozesse prüft, nicht die technische Konfiguration einzelner Systeme. Methodisch folgt es der ISO 19011 und beantwortet drei Fragen: Ist das ISMS konform? Wird es wirksam umgesetzt — oder existiert es nur auf dem Papier? Wird es kontinuierlich verbessert?

Wer darf intern auditieren?

ISO 19011 verlangt Unabhängigkeit und Kompetenz.

Unabhängigkeit

Der Auditor darf nicht das auditieren, was er selbst verantwortet. Konkret:

  • Der IT-Leiter darf nicht die IT-Abteilung auditieren
  • Der ISB darf nicht das ISMS auditieren, das er selbst aufgebaut hat
  • Der HR-Leiter darf nicht die Personal-Controls auditieren
  • Der Geschäftsführer kann auditieren, sofern er nicht operativ verantwortlich ist

Praxis-Optionen für KMU:

  1. Interne Auditoren aus anderen Bereichen: z. B. der Qualitätsmanager auditiert IT
  2. Quer-Audits zwischen Geschäftsbereichen: BU A auditiert BU B
  3. Externe Auditoren als "interne" Auditoren: ISO 19011 erlaubt externe Unterstützung, solange das Audit für die Organisation selbst durchgeführt wird
  4. Personalunion mit Konzern-Mutter: Audit-Personal der Holding auditiert die Tochter

Kompetenz

Auditoren brauchen:

  • Grundkenntnisse der ISO 27001
  • Methodische Audit-Kompetenz nach ISO 19011
  • Verstehen der Branchen-Spezifika der eigenen Organisation
  • Idealerweise: Schulung als Lead-Auditor (IRCA oder vergleichbare anerkannte Zertifizierung)

Ohne ausgebildete Auditoren ist das interne Audit oft formal, aber inhaltlich unzureichend.

Der typische Audit-Ablauf

Schritt 1: Audit-Programm

Das Audit-Programm ist ein mehrjähriger Plan, der definiert:

  • welche Bereiche wann auditiert werden
  • mit welcher Tiefe
  • durch welche Auditoren

Empfehlung: Über einen 3-Jahres-Zyklus sollen alle anwendbaren Annex-A-Controls mindestens einmal geprüft worden sein. Risikoreiche Bereiche jährlich, unkritische seltener.

Schritt 2: Audit-Plan pro Audit

Der Audit-Plan definiert für ein einzelnes Audit:

  • Audit-Ziele: was soll geprüft werden?
  • Audit-Kriterien: gegen welche Standards (ISO 27001 Klauseln, interne Politiken, gesetzliche Anforderungen)
  • Audit-Umfang: welche Bereiche, Prozesse, Standorte
  • Zeitplan: Stichtage, Dauer
  • Auditoren-Team
  • Stichproben-Strategie

Der Audit-Plan wird vorab mit dem auditierten Bereich abgestimmt.

Schritt 3: Opening Meeting

Zum Start des Audits ein Eröffnungsgespräch mit den verantwortlichen Personen des auditierten Bereichs:

  • Audit-Plan vorstellen
  • Vertraulichkeit und Methodik klären
  • Logistik (Räume, Ansprechpartner, Schlusstermin)
  • Klärungs-Fragen beantworten

Schritt 4: Audit-Durchführung

Auditoren sammeln Audit-Evidenzen durch:

  • Dokumenten-Review: Politiken, Verfahren, Aufzeichnungen
  • Interviews: mit Verantwortlichen, Mitarbeitenden, ggf. Lieferanten
  • Beobachtungen: Vor-Ort-Begehungen, System-Demonstrationen
  • Stichproben: aus Aufzeichnungen, Berechtigungen, Logs

Jede Evidenz wird dokumentiert mit Quelle, Datum, Verantwortlichem.

Schritt 5: Findings

Beobachtungen werden klassifiziert in:

  • Konformität: Anforderung erfüllt
  • Verbesserungspotenzial (Opportunity for Improvement, OFI): keine Abweichung, aber Hinweis auf bessere Lösung
  • Nebensächliche Abweichung (Minor Non-Conformity): einzelner Mangel, nicht systemisch
  • Schwerwiegende Abweichung (Major Non-Conformity): systemischer Mangel oder mehrere Minor-Abweichungen im selben Bereich

Schritt 6: Closing Meeting

Schlussgespräch mit den Audit-Adressaten:

  • Findings präsentieren
  • Korrekturmaßnahmen besprechen
  • Berichtsentwurf-Termin abstimmen

Schritt 7: Audit-Bericht

Der Audit-Bericht enthält:

  • Audit-Ziele, -Kriterien, -Umfang
  • Zusammenfassung der Audit-Aktivitäten
  • alle Findings mit Klassifizierung
  • Korrekturmaßnahmen-Empfehlungen
  • Audit-Schlussfolgerung (insgesamt konform / nicht konform / mit Auflagen)

Der Bericht geht an die Geschäftsführung und an das auditierte Management.

Schritt 8: Korrekturmaßnahmen-Verfolgung

Findings müssen systematisch behoben werden:

  • Ursachen-Analyse (Root Cause)
  • Korrekturmaßnahmen
  • Wirksamkeits-Prüfung der Maßnahmen

Die Geschäftsführung verantwortet, dass Korrekturmaßnahmen umgesetzt werden. Ein gut geführter Maßnahmen-Plan mit Termin, Verantwortlichem und Status ist Pflicht.

Stichproben — wie viel ist genug?

ISO 19011 gibt keine konkreten Stichprobengrößen vor. Marktusance für KMU:

Bereich Stichprobengröße
Zugriffs-Rezertifizierungen 5-10 Berechtigungen pro System
Incident-Tickets 5-10 % der Incidents im Berichts-Zeitraum
Awareness-Schulungen 10-20 % der Mitarbeitenden
Backup-Wiederherstellungs-Tests je 1 pro Test-Zyklus + 1 ad hoc
Lieferanten-Reviews 5-10 Lieferanten oder alle kritischen
Patch-Management 10-20 Server-Stichproben
Risiko-Analysen 5-10 Risiken aus dem Top-Quartil
Change-Tickets 5-10 % der Changes im Berichts-Zeitraum

Wichtiger als die exakte Stichprobengröße ist die risiko-orientierte Auswahl: kritische Systeme häufiger, unkritische seltener.

Achtung

Fehlende Unabhängigkeit ist der häufigste Audit-Fehler

Der IT-Leiter darf nicht die IT-Abteilung auditieren. Der ISB darf nicht das ISMS auditieren, das er selbst aufgebaut hat. Der HR-Leiter darf nicht die Personal-Controls auditieren. Wer diese Trennung missachtet, hat kein Audit nach ISO 19011, sondern eine Selbstbewertung — und das externe Stage-2-Audit deckt das in der Regel auf. KMU-Lösungen: Quer-Audits zwischen Geschäftsbereichen, externer Auditor als „interner" Auditor, oder Konzern-Mutter auditiert Tochter.

Was Auditoren typischerweise finden

Wiederkehrende Findings in KMU-internen Audits:

  • Berechtigungen nicht rezertifiziert oder Rezertifizierung nur einmalig pro Jahr ohne Dokumentation
  • Awareness-Schulungen lückenhaft: einzelne Mitarbeitende ohne Nachweis
  • Incident-Tickets ohne Root-Cause-Analyse: nur Ticket geschlossen, kein Learning dokumentiert
  • Backup-Wiederherstellung nie getestet: Existenz gegeben, Wiederherstellbarkeit unbelegt
  • Lieferanten-Sicherheits-Reviews fehlen: Klassifizierung gemacht, aber kein periodisches Review
  • SoA nicht aktuell: Statement of Applicability ist 6+ Monate veraltet, Annex-A-Status passt nicht
  • Management-Review oberflächlich: nur Tagesordnungspunkt im Vorstand, keine dokumentierte Bewertung der ISMS-Wirksamkeit
  • Risiko-Analyse zu generisch: Top-Down-Liste ohne konkrete Asset-Bezüge

Praxis-Checkliste fürs interne Audit

Praxis-Tipp

Stage-2-fester Audit-Rhythmus für KMU

Damit Findings vor dem externen Audit korrigiert sind: (1) Internes Audit in Monat 9 ansetzen, damit Korrekturen bis Stage-2-Audit in Monat 11 wirksam werden, (2) 3-Jahres-Programm planen — kritische Bereiche jährlich, unkritische seltener, alle anwendbaren Annex-A-Controls mindestens einmal pro Zyklus, (3) Audit-Vorbereitung 2-4 Wochen Vorlauf, Durchführung 2-5 Tage, Bericht 1-2 Wochen, Korrekturmaßnahmen-Plan in 4 Wochen nach Bericht. Wer einmal die Sequenz hat, kann jährlich nachziehen.

Vor dem internen Audit sollten Sie folgende Unterlagen bereithalten:

  • Aktuelles Statement of Applicability
  • Aktuelles Risiko-Register
  • Liste aller Annex-A-Politiken und Verfahren
  • Awareness-Schulungs-Nachweise (Liste, Termine, Inhalte)
  • Asset-Inventar (oder Repräsentation)
  • Lieferanten-Register mit Sicherheits-Klassifikation
  • Logs aus Vorfall-Management-System
  • Audit-Trail aus Identity-/Access-Management
  • Letzter Management-Review-Bericht
  • Vorherige interne Audit-Berichte mit Maßnahmen-Status

Zeitliche Vorbereitung

Faustregeln für KMU 50-250 MA:

  • Audit-Vorbereitung: 2-4 Wochen Vorlauf
  • Audit-Durchführung: 2-5 Tage (abhängig von Scope-Größe)
  • Bericht-Erstellung: 1-2 Wochen nach Audit
  • Korrekturmaßnahmen-Plan: in den 4 Wochen nach Bericht
  • Wirksamkeits-Prüfung: bei nächstem internem Audit oder Re-Audit der Findings

FAQ

Muss ich jedes Jahr alle Controls auditieren?

Nein. ISO 27001 verlangt nur, dass das ISMS über einen Zyklus vollständig auditiert wird — typischerweise 3 Jahre. Das interne Audit-Programm darf riskobasiert priorisieren: kritische Bereiche häufiger, unkritische seltener.

Kann ein externer Berater das interne Audit machen?

Ja, das ist ausdrücklich zulässig nach ISO 19011. Externe Auditoren dürfen ein internes Audit für die Organisation durchführen, solange sie unabhängig vom geprüften Bereich sind und kompetent. Viele KMU nutzen das, weil eigene unabhängige Auditoren fehlen.

Was passiert, wenn das interne Audit Major Non-Conformities aufdeckt?

Diese müssen vor dem externen Stage-2-Audit behoben sein, sonst wird das Zertifikat nicht erteilt. Sinnvoll: Internes Audit in Monat 9, damit die Korrekturmaßnahmen vor dem Stage-2-Audit in Monat 11 wirksam werden können.

Wer entscheidet, ob ein Finding "Major" oder "Minor" ist?

Der Auditor. Die Einstufung folgt der ISO-19011-Methodik: Major bei systemischen Mängeln, mehreren verknüpften Minor-Findings oder Verstößen, die das ISMS in der Wirksamkeit beeinträchtigen. Minor bei punktuellen, nicht-systemischen Abweichungen.

Was ist der Unterschied zwischen Audit-Programm und Audit-Plan?

Das Programm ist mehrjährig und strategisch (welche Audits über 1-3 Jahre, welche Themen, welche Häufigkeit). Der Plan ist operativ und betrifft ein einzelnes Audit (Ziele, Umfang, Zeitplan, Auditoren).

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 17. Juli 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.