Was prüft man bei einem internen ISO-27001-Audit?
Internes Audit nach ISO 27001 und ISO 19011: Audit-Plan, Stichproben, Bericht. Praktische Checkliste für KMU. Stand: 2026-05-16.
ComplyCheck-Redaktion · Stand: 2026-07-17
Was prüft man bei einem internen ISO-27001-Audit?
Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.
Was ein internes Audit prüft
Im Kern beantwortet das interne Audit drei Fragen:
- Ist das ISMS konform mit den Anforderungen aus ISO 27001 und mit den eigenen, internen Vorgaben?
- Wird das ISMS wirksam umgesetzt und gelebt — oder existiert es nur auf dem Papier?
- Wird das ISMS kontinuierlich verbessert?
Geprüft werden alle Klauseln 4-10 der ISO 27001 (das Management-System-Gerüst) und alle anwendbaren Annex-A-Controls aus dem Statement of Applicability.
Das interne Audit ist explizit nicht dasselbe wie:
- Ein Pentest — der prüft technische Schwachstellen, nicht Management-Prozesse
- Ein Vulnerability-Assessment — fokussiert auf technische Lücken
- Ein externes Zertifizierungs-Audit — wird von akkreditierter Drittstelle durchgeführt
- Eine Selbstbewertung durch den ISB — fehlt die Unabhängigkeit
Internes Audit ist kein Pentest
Häufige Verwechslung: Das interne ISO-27001-Audit ist kein Pentest, kein Vulnerability-Assessment und keine Selbstbewertung durch den ISB. Es ist ein Management-System-Audit, das die Wirksamkeit der Prozesse prüft, nicht die technische Konfiguration einzelner Systeme. Methodisch folgt es der ISO 19011 und beantwortet drei Fragen: Ist das ISMS konform? Wird es wirksam umgesetzt — oder existiert es nur auf dem Papier? Wird es kontinuierlich verbessert?
Wer darf intern auditieren?
ISO 19011 verlangt Unabhängigkeit und Kompetenz.
Unabhängigkeit
Der Auditor darf nicht das auditieren, was er selbst verantwortet. Konkret:
- Der IT-Leiter darf nicht die IT-Abteilung auditieren
- Der ISB darf nicht das ISMS auditieren, das er selbst aufgebaut hat
- Der HR-Leiter darf nicht die Personal-Controls auditieren
- Der Geschäftsführer kann auditieren, sofern er nicht operativ verantwortlich ist
Praxis-Optionen für KMU:
- Interne Auditoren aus anderen Bereichen: z. B. der Qualitätsmanager auditiert IT
- Quer-Audits zwischen Geschäftsbereichen: BU A auditiert BU B
- Externe Auditoren als "interne" Auditoren: ISO 19011 erlaubt externe Unterstützung, solange das Audit für die Organisation selbst durchgeführt wird
- Personalunion mit Konzern-Mutter: Audit-Personal der Holding auditiert die Tochter
Kompetenz
Auditoren brauchen:
- Grundkenntnisse der ISO 27001
- Methodische Audit-Kompetenz nach ISO 19011
- Verstehen der Branchen-Spezifika der eigenen Organisation
- Idealerweise: Schulung als Lead-Auditor (IRCA oder vergleichbare anerkannte Zertifizierung)
Ohne ausgebildete Auditoren ist das interne Audit oft formal, aber inhaltlich unzureichend.
Der typische Audit-Ablauf
Schritt 1: Audit-Programm
Das Audit-Programm ist ein mehrjähriger Plan, der definiert:
- welche Bereiche wann auditiert werden
- mit welcher Tiefe
- durch welche Auditoren
Empfehlung: Über einen 3-Jahres-Zyklus sollen alle anwendbaren Annex-A-Controls mindestens einmal geprüft worden sein. Risikoreiche Bereiche jährlich, unkritische seltener.
Schritt 2: Audit-Plan pro Audit
Der Audit-Plan definiert für ein einzelnes Audit:
- Audit-Ziele: was soll geprüft werden?
- Audit-Kriterien: gegen welche Standards (ISO 27001 Klauseln, interne Politiken, gesetzliche Anforderungen)
- Audit-Umfang: welche Bereiche, Prozesse, Standorte
- Zeitplan: Stichtage, Dauer
- Auditoren-Team
- Stichproben-Strategie
Der Audit-Plan wird vorab mit dem auditierten Bereich abgestimmt.
Schritt 3: Opening Meeting
Zum Start des Audits ein Eröffnungsgespräch mit den verantwortlichen Personen des auditierten Bereichs:
- Audit-Plan vorstellen
- Vertraulichkeit und Methodik klären
- Logistik (Räume, Ansprechpartner, Schlusstermin)
- Klärungs-Fragen beantworten
Schritt 4: Audit-Durchführung
Auditoren sammeln Audit-Evidenzen durch:
- Dokumenten-Review: Politiken, Verfahren, Aufzeichnungen
- Interviews: mit Verantwortlichen, Mitarbeitenden, ggf. Lieferanten
- Beobachtungen: Vor-Ort-Begehungen, System-Demonstrationen
- Stichproben: aus Aufzeichnungen, Berechtigungen, Logs
Jede Evidenz wird dokumentiert mit Quelle, Datum, Verantwortlichem.
Schritt 5: Findings
Beobachtungen werden klassifiziert in:
- Konformität: Anforderung erfüllt
- Verbesserungspotenzial (Opportunity for Improvement, OFI): keine Abweichung, aber Hinweis auf bessere Lösung
- Nebensächliche Abweichung (Minor Non-Conformity): einzelner Mangel, nicht systemisch
- Schwerwiegende Abweichung (Major Non-Conformity): systemischer Mangel oder mehrere Minor-Abweichungen im selben Bereich
Schritt 6: Closing Meeting
Schlussgespräch mit den Audit-Adressaten:
- Findings präsentieren
- Korrekturmaßnahmen besprechen
- Berichtsentwurf-Termin abstimmen
Schritt 7: Audit-Bericht
Der Audit-Bericht enthält:
- Audit-Ziele, -Kriterien, -Umfang
- Zusammenfassung der Audit-Aktivitäten
- alle Findings mit Klassifizierung
- Korrekturmaßnahmen-Empfehlungen
- Audit-Schlussfolgerung (insgesamt konform / nicht konform / mit Auflagen)
Der Bericht geht an die Geschäftsführung und an das auditierte Management.
Schritt 8: Korrekturmaßnahmen-Verfolgung
Findings müssen systematisch behoben werden:
- Ursachen-Analyse (Root Cause)
- Korrekturmaßnahmen
- Wirksamkeits-Prüfung der Maßnahmen
Die Geschäftsführung verantwortet, dass Korrekturmaßnahmen umgesetzt werden. Ein gut geführter Maßnahmen-Plan mit Termin, Verantwortlichem und Status ist Pflicht.
Stichproben — wie viel ist genug?
ISO 19011 gibt keine konkreten Stichprobengrößen vor. Marktusance für KMU:
| Bereich | Stichprobengröße |
|---|---|
| Zugriffs-Rezertifizierungen | 5-10 Berechtigungen pro System |
| Incident-Tickets | 5-10 % der Incidents im Berichts-Zeitraum |
| Awareness-Schulungen | 10-20 % der Mitarbeitenden |
| Backup-Wiederherstellungs-Tests | je 1 pro Test-Zyklus + 1 ad hoc |
| Lieferanten-Reviews | 5-10 Lieferanten oder alle kritischen |
| Patch-Management | 10-20 Server-Stichproben |
| Risiko-Analysen | 5-10 Risiken aus dem Top-Quartil |
| Change-Tickets | 5-10 % der Changes im Berichts-Zeitraum |
Wichtiger als die exakte Stichprobengröße ist die risiko-orientierte Auswahl: kritische Systeme häufiger, unkritische seltener.
Fehlende Unabhängigkeit ist der häufigste Audit-Fehler
Der IT-Leiter darf nicht die IT-Abteilung auditieren. Der ISB darf nicht das ISMS auditieren, das er selbst aufgebaut hat. Der HR-Leiter darf nicht die Personal-Controls auditieren. Wer diese Trennung missachtet, hat kein Audit nach ISO 19011, sondern eine Selbstbewertung — und das externe Stage-2-Audit deckt das in der Regel auf. KMU-Lösungen: Quer-Audits zwischen Geschäftsbereichen, externer Auditor als „interner" Auditor, oder Konzern-Mutter auditiert Tochter.
Was Auditoren typischerweise finden
Wiederkehrende Findings in KMU-internen Audits:
- Berechtigungen nicht rezertifiziert oder Rezertifizierung nur einmalig pro Jahr ohne Dokumentation
- Awareness-Schulungen lückenhaft: einzelne Mitarbeitende ohne Nachweis
- Incident-Tickets ohne Root-Cause-Analyse: nur Ticket geschlossen, kein Learning dokumentiert
- Backup-Wiederherstellung nie getestet: Existenz gegeben, Wiederherstellbarkeit unbelegt
- Lieferanten-Sicherheits-Reviews fehlen: Klassifizierung gemacht, aber kein periodisches Review
- SoA nicht aktuell: Statement of Applicability ist 6+ Monate veraltet, Annex-A-Status passt nicht
- Management-Review oberflächlich: nur Tagesordnungspunkt im Vorstand, keine dokumentierte Bewertung der ISMS-Wirksamkeit
- Risiko-Analyse zu generisch: Top-Down-Liste ohne konkrete Asset-Bezüge
Praxis-Checkliste fürs interne Audit
Stage-2-fester Audit-Rhythmus für KMU
Damit Findings vor dem externen Audit korrigiert sind: (1) Internes Audit in Monat 9 ansetzen, damit Korrekturen bis Stage-2-Audit in Monat 11 wirksam werden, (2) 3-Jahres-Programm planen — kritische Bereiche jährlich, unkritische seltener, alle anwendbaren Annex-A-Controls mindestens einmal pro Zyklus, (3) Audit-Vorbereitung 2-4 Wochen Vorlauf, Durchführung 2-5 Tage, Bericht 1-2 Wochen, Korrekturmaßnahmen-Plan in 4 Wochen nach Bericht. Wer einmal die Sequenz hat, kann jährlich nachziehen.
Vor dem internen Audit sollten Sie folgende Unterlagen bereithalten:
- Aktuelles Statement of Applicability
- Aktuelles Risiko-Register
- Liste aller Annex-A-Politiken und Verfahren
- Awareness-Schulungs-Nachweise (Liste, Termine, Inhalte)
- Asset-Inventar (oder Repräsentation)
- Lieferanten-Register mit Sicherheits-Klassifikation
- Logs aus Vorfall-Management-System
- Audit-Trail aus Identity-/Access-Management
- Letzter Management-Review-Bericht
- Vorherige interne Audit-Berichte mit Maßnahmen-Status
Zeitliche Vorbereitung
Faustregeln für KMU 50-250 MA:
- Audit-Vorbereitung: 2-4 Wochen Vorlauf
- Audit-Durchführung: 2-5 Tage (abhängig von Scope-Größe)
- Bericht-Erstellung: 1-2 Wochen nach Audit
- Korrekturmaßnahmen-Plan: in den 4 Wochen nach Bericht
- Wirksamkeits-Prüfung: bei nächstem internem Audit oder Re-Audit der Findings
FAQ
Muss ich jedes Jahr alle Controls auditieren?
Nein. ISO 27001 verlangt nur, dass das ISMS über einen Zyklus vollständig auditiert wird — typischerweise 3 Jahre. Das interne Audit-Programm darf riskobasiert priorisieren: kritische Bereiche häufiger, unkritische seltener.
Kann ein externer Berater das interne Audit machen?
Ja, das ist ausdrücklich zulässig nach ISO 19011. Externe Auditoren dürfen ein internes Audit für die Organisation durchführen, solange sie unabhängig vom geprüften Bereich sind und kompetent. Viele KMU nutzen das, weil eigene unabhängige Auditoren fehlen.
Was passiert, wenn das interne Audit Major Non-Conformities aufdeckt?
Diese müssen vor dem externen Stage-2-Audit behoben sein, sonst wird das Zertifikat nicht erteilt. Sinnvoll: Internes Audit in Monat 9, damit die Korrekturmaßnahmen vor dem Stage-2-Audit in Monat 11 wirksam werden können.
Wer entscheidet, ob ein Finding "Major" oder "Minor" ist?
Der Auditor. Die Einstufung folgt der ISO-19011-Methodik: Major bei systemischen Mängeln, mehreren verknüpften Minor-Findings oder Verstößen, die das ISMS in der Wirksamkeit beeinträchtigen. Minor bei punktuellen, nicht-systemischen Abweichungen.
Was ist der Unterschied zwischen Audit-Programm und Audit-Plan?
Das Programm ist mehrjährig und strategisch (welche Audits über 1-3 Jahre, welche Themen, welche Häufigkeit). Der Plan ist operativ und betrifft ein einzelnes Audit (Ziele, Umfang, Zeitplan, Auditoren).
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 17. Juli 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
93 Annex-A-Controls in ISO 27001:2022 — der kompakte Überblick
ISO 27001:2022 reduziert Annex A auf 93 Controls in 4 Themen-Gruppen. Was anders ist als 2013, welche Reihenfolge KMU sinnvoll umsetzen. Stand: 2026-05-16.
ISMS in 12 Monaten aufbauen — realistischer Fahrplan
ISMS-Aufbau für ISO-27001-Zertifizierung in 12 Monaten: Phase 1 Vorbereitung, Phase 2 Implementierung, Phase 3 Audit. Monats-Meilensteine. Stand: 2026-05-16.
ISO-27001-Zertifizierung: was kostet das wirklich?
Personal, Beratung, Audit, Tooling — die ehrlichen Kosten einer ISO-27001-Zertifizierung für KMU mit 50-250 MA. Stand: 2026-05-16.