Interne Audits sinnvoll nutzen
Kernaussage
Das interne Audit ist eine Pflichtfunktion des ISMS und kein freiwilliges Extra. ISO/IEC 27001 verlangt in der Leistungsbewertung (Klausel 9.2), dass eine Organisation in geplanten Abständen selbst prüft, ob ihr Managementsystem die eigenen Vorgaben und die Normanforderungen erfüllt und ob es wirksam umgesetzt und aufrechterhalten wird.
Für das Management lautet die Botschaft: Ein internes Audit ist kein Misstrauensvotum und keine Generalprobe fürs Zertifikat. Es ist ein Steuerungsinstrument, mit dem die Organisation Schwächen früh selbst findet, statt sie sich vom externen Auditor oder von einem Vorfall zeigen zu lassen. Wer interne Audits ernst nimmt, reduziert Überraschungen im externen Verfahren.
Problem in der Praxis
In vielen Unternehmen wird das interne Audit zur Formalie kurz vor dem externen Termin. Es wird einmal im Jahr durchgeführt, oft hastig, oft von Personen, die ohnehin im ISMS arbeiten und damit faktisch ihre eigene Arbeit beurteilen. Das Ergebnis ist ein Bericht mit wenigen oder nur unkritischen Feststellungen, weil niemand sich selbst schlechte Noten geben möchte.
Damit verliert die Organisation den eigentlichen Nutzen. Ein internes Audit, das nichts findet, ist meist kein gutes Zeichen, sondern ein Hinweis auf fehlende Tiefe oder fehlende Unabhängigkeit. Feststellungen gelten dann als Makel, den man klein hält, statt als Lerngewinn.
Eine zweite Fehldeutung ist die Verwechslung von internem Audit und technischem Test. Geprüft wird nicht primär, ob eine Firewall richtig konfiguriert ist, sondern ob das Managementsystem dahinter funktioniert: ob Risiken bewertet, Maßnahmen betrieben, Abweichungen behandelt und Entscheidungen nachvollziehbar getroffen werden.
CISO-Einordnung
Aus CISO-Sicht hat das interne Audit zwei Stoßrichtungen, die ISO/IEC 27001 in Klausel 9.2 anlegt: die Frage nach der Konformität (entspricht das Gelebte den eigenen Vorgaben und den Normanforderungen?) und die Frage nach der Wirksamkeit (ist das ISMS tatsächlich umgesetzt und wird es aufrechterhalten?). Beide Fragen sind verschieden. Ein Prozess kann formal konform dokumentiert und trotzdem unwirksam sein.
Kernanforderungen sind Unabhängigkeit und Objektivität. Die Norm verlangt, dass Auditoren so ausgewählt werden, dass das Verfahren objektiv und unparteiisch bleibt. Praktisch heißt das: Wer einen Bereich verantwortet, sollte ihn nicht selbst auditieren. Diese Trennung unterscheidet ein internes Audit von einer Selbstauskunft. Wie eine Organisation das löst, bleibt ihr überlassen: über rollengetrennte interne Auditoren, Auditoren aus anderen Bereichen oder externe Unterstützung. Konkrete Kompetenzkriterien für Auditoren formuliert die Norm hier nicht aus; dafür ist die einschlägige Auditnorm heranzuziehen.
Abzugrenzen ist das interne Audit von der unabhängigen Überprüfung der Informationssicherheit, die als organisatorisches Control in Annex A geführt wird. Das interne Audit nach Klausel 9.2 ist dagegen eine Anforderung an das Managementsystem selbst, nicht eines der 93 Controls aus Annex A (verteilt auf die vier Themen organisatorisch, personenbezogen, physisch und technologisch). Beide ergänzen sich, sind aber nicht dasselbe.
Umsetzungsperspektive
ISO/IEC 27001 erwartet, dass interne Audits nicht zufällig stattfinden, sondern in einem geplanten Auditprogramm. Der CISO sollte dieses Programm als mehrjährige Logik denken, nicht als jährlichen Einzeltermin. Sinnvoll ist, über einen Zeitraum hinweg alle relevanten Teile des ISMS abzudecken und risikoreiche oder veränderte Bereiche häufiger und tiefer zu betrachten.
Ein tragfähiges Auditprogramm klärt auf Managementebene unter anderem:
- welche Bereiche, Prozesse und Standorte über welchen Zeitraum betrachtet werden,
- mit welchem Schwerpunkt (risikoorientiert statt gleichverteilt),
- wer auditiert und wie Unabhängigkeit sichergestellt wird,
- wie Feststellungen klassifiziert, berichtet und nachverfolgt werden,
- an wen die Ergebnisse berichtet werden.
Diese Punkte sind keine Normabschrift, sondern die Managementlogik eines funktionierenden Auditprogramms. Feststellungen sollten als dokumentierte Information entstehen, weil sie später als Nachweis und als Steuerungsgrundlage dienen.
Der eigentliche Wert entsteht nach dem Audit. Dabei ist zu unterscheiden: Nicht jede Feststellung ist automatisch eine Nichtkonformität. Neben echten Abweichungen gibt es Beobachtungen und Verbesserungspotenziale (Observations bzw. Opportunities for Improvement), die keine formale Korrekturmaßnahme erfordern. Nur tatsächliche Abweichungen gehören in denselben Mechanismus, mit dem das ISMS ohnehin Nichtkonformitäten behandelt: Nichtkonformität und Korrekturmaßnahme (Klausel 10.2). Beobachtungen lassen sich dagegen oft im Rahmen der kontinuierlichen Verbesserung (Klausel 10.1) aufgreifen, ohne dass eine Korrekturmaßnahme ausgelöst werden muss. Wer echte Abweichungen mit Ursachenanalyse, Owner und Frist hinterlegt, macht aus dem Audit ein Lerninstrument. Wer alles nur ablegt, hat eine Pflichtübung absolviert.
Schließlich sind Auditergebnisse ein vorgesehener Eingang in die Managementbewertung (Klausel 9.3). Das interne Audit liefert der Geschäftsführung damit belastbares Material darüber, ob das ISMS noch passt und welche Verbesserungen Priorität brauchen. So schließt sich der Kreis aus Messung und Bewertung (9.1), interner Prüfung (9.2), Managemententscheidung (9.3) und Verbesserung (Klausel 10).
Typische Fehler
- Das interne Audit wird nur als Pflichttermin vor dem externen Audit durchgeführt.
- Auditoren beurteilen faktisch ihre eigene Arbeit, wodurch Objektivität verloren geht.
- Ein Bericht ohne nennenswerte Feststellungen wird als Erfolg gefeiert.
- Feststellungen werden dokumentiert, aber nicht mit Ursache, Owner und Frist nachverfolgt.
- Auditergebnisse fließen nicht strukturiert in die Managementbewertung ein.
Risiken und Trade-offs
Ein zu oberflächliches Audit erzeugt falsche Sicherheit. Es bestätigt einen Zustand, der real nicht trägt, und verschiebt Probleme in das externe Verfahren oder in den Ernstfall. Ein zu kleinteiliges Audit dagegen bindet Ressourcen und verliert die Managementebene aus dem Blick, weil es sich in technischen Einzelpunkten verliert.
Beim Thema Unabhängigkeit gibt es einen realen Zielkonflikt. Vollständige Trennung ist in kleinen Organisationen schwer, weil dieselben wenigen Personen das ISMS aufbauen und betreiben. Hier ist externe Unterstützung eine Option, kostet aber Budget. Der CISO muss diesen Kompromiss bewusst entscheiden und dokumentieren, statt Objektivität stillschweigend aufzugeben.
Ein weiterer Trade-off betrifft die Kultur. Wenn Feststellungen als Schuldzuweisung wirken, lernen Bereiche, Probleme zu verstecken. Wenn sie als Verbesserungsinput behandelt werden, melden Bereiche Schwächen früher. Die Tonlage des internen Audits entscheidet mit darüber, wie ehrlich das ISMS im Alltag ist.
Entscheidungspunkte
- Wie wird Unabhängigkeit der Auditoren glaubwürdig sichergestellt, intern oder mit externer Unterstützung?
- Welche Bereiche und Risiken rechtfertigen häufigere oder tiefere Audits?
- Wie werden Feststellungen klassifiziert, ohne eine Kultur der Vertuschung zu erzeugen?
- Wie werden Auditergebnisse verbindlich in Korrekturmaßnahmen und in die Managementbewertung überführt?
- Welcher interne Auditstand gilt als Auditbereitschaft (Stage-1-Readiness), bevor man nach anerkannter Zertifizierungspraxis in ein externes Verfahren geht?
Praktische Empfehlungen
- Behandeln Sie das interne Audit als laufendes Steuerungsinstrument, nicht als Vorbereitung auf den externen Termin.
- Sichern Sie Objektivität bewusst ab und halten Sie fest, wie die Trennung von Verantwortung und Prüfung gewährleistet ist.
- Werten Sie Feststellungen als Lerngewinn und verknüpfen Sie jede mit Ursache, Owner und Frist.
- Speisen Sie Auditergebnisse strukturiert in die Managementbewertung ein, damit sie Entscheidungen auslösen.
- Planen Sie internes Audit und Managementbewertung so, dass sie zur Auditbereitschaft vorliegen: Nach anerkannter Zertifizierungspraxis (Referenzrahmen ISO/IEC 17021-1 bzw. 27006) werden beide für die Stage-1-Readiness erwartet, auch wenn ISO/IEC 27001 dies nicht als zeitliche Vorgabe formuliert.
Relevante Normreferenzen
- ISO/IEC 27001: Referenz für ISMS-Anforderungen; das interne Audit ist dort Bestandteil der Leistungsbewertung.
- ISO/IEC 27007: Referenz für Leitlinien zu ISMS-Audits und Auditpraxis.
- ISO/IEC 17021-1: Allgemeiner Referenzrahmen für Stellen, die Managementsysteme zertifizieren.
Häufige Fragen
Ist ein internes Audit bei ISO 27001 verpflichtend?+
Ja. Es ist Teil der Leistungsbewertung des ISMS und kann bei einem Konformitätsanspruch nicht weggelassen werden.
Wer darf interne Audits durchführen?+
Personen, die das Verfahren objektiv und unparteiisch halten können. Wer einen Bereich verantwortet, sollte ihn nicht selbst auditieren. Interne Rollentrennung oder externe Unterstützung sind möglich.
Was passiert mit den Feststellungen?+
Das hängt von ihrer Art ab. Echte Abweichungen (Nichtkonformitäten) werden mit Ursache, Owner und Frist nachverfolgt und über den Mechanismus Korrekturmaßnahme behandelt. Beobachtungen und Verbesserungspotenziale erfordern nicht zwingend eine formale Korrekturmaßnahme, sondern können im Rahmen der kontinuierlichen Verbesserung aufgegriffen werden. Die Auditergebnisse gehen in jedem Fall als Eingang in die Managementbewertung ein.
Was hat das interne Audit mit dem externen Audit zu tun?+
Nach anerkannter Zertifizierungspraxis sollten internes Audit und Managementbewertung vor dem externen Verfahren durchlaufen sein. Das ist eine Praxiserwartung und keine wortwörtliche Vorgabe aus ISO/IEC 27001.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen ISO/IEC 27001 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: ciso-audit-011.
