Valiido
Log InKostenlos starten
Insights

Industry Insights

7 Gründe, warum Ihr ISMS nicht auditbereit ist (und wie Sie jeden beheben)

Christopher Eller
Christopher Eller
Gründer von Valiido und TÜV® SÜD zertifizierter ISO® 27001 Auditor
7 Gründe, warum Ihr ISMS nicht auditbereit ist (und wie Sie jeden beheben)

Die durchschnittlichen Kosten einer Datenpanne lagen laut IBM Cost of a Data Breach Report 2025 weltweit bei 4,44 Mio. USD. Genau diese Zahl ist der Grund, warum Unternehmen ein Informationssicherheits-Managementsystem (ISMS) aufbauen - und warum Kunden zunehmend ein ISO® 27001-Zertifikat oder ein TISAX®-Label verlangen, bevor sie unterschreiben. Doch ein ISMS aufzubauen und auditbereit zu sein, ist nicht dasselbe.

Ein ISMS kann auf den ersten Blick vollständig wirken - Ordner voller Richtlinien, ein Risikoregister, ein Stapel Maßnahmen - und einen Auditor trotzdem nicht überzeugen. Die meisten ersten Audits decken Abweichungen auf, in der Regel Lücken in Dokumentation oder Prozessen, die geschlossen werden müssen, bevor das Zertifikat ausgestellt wird. Die gute Nachricht: Es ist immer wieder dieselbe Handvoll Probleme, und jedes davon lässt sich beheben.

Hier sind die sieben Gründe, warum ein ISMS am häufigsten nicht auditbereit ist - und wie Sie jeden beheben.

1. Ihre Risikobewertung ist veraltet

Die Risikobewertung ist der Motor eines ISMS. Jede Maßnahme, die Sie auswählen, sollte sich auf ein Risiko zurückführen lassen, das Sie behandeln wollten. Das Problem: Die meisten Risikobewertungen werden einmal zu Projektbeginn erstellt und altern danach still vor sich hin. Zwölf Monate später hat das Unternehmen neue Systeme, neue Lieferanten, neue Mitarbeiter und neue Bedrohungen - und das Risikoregister beschreibt noch das Unternehmen von letztem Jahr. Ein Auditor merkt das sofort, weil Daten, Werte und benannte Verantwortliche nicht mehr zur Realität passen.

So beheben Sie es: Behandeln Sie die Risikobewertung als laufenden Prozess, nicht als einmaliges Dokument. Überprüfen Sie sie nach festem Plan und immer dann, wenn sich etwas Wesentliches ändert - ein neues Werkzeug, ein neuer Dienstleister, ein Vorfall. Jedes Risiko braucht einen aktuellen Verantwortlichen, eine Behandlungsentscheidung und ein Überprüfungsdatum. Halten Sie Bewertung und daraus folgende Maßnahmenauswahl an einem Ort, damit die Verbindung sichtbar bleibt.

2. Richtlinien existieren, sind aber nicht freigegeben oder nicht gelebt

Fast jeder hat Richtlinien. Das Problem ist, dass sie heruntergeladen, leicht angepasst, nie formell von der Leitung freigegeben und nie von den Menschen gelesen wurden, für die sie gelten. Eine Zugriffsrichtlinie, die das eine sagt, während das Team das andere tut, ist schlimmer als gar keine Richtlinie - sie ist dokumentierter Beleg für eine Lücke. Auditoren prüfen das ständig: Sie lesen die Richtlinie und fragen dann einen Mitarbeiter, was tatsächlich passiert.

So beheben Sie es: Jede Richtlinie braucht einen klaren Verantwortlichen, eine Version, eine Freigabe durch die oberste Leitung und ein echtes Überprüfungsdatum. Wichtiger noch: Sie muss beschreiben, was die Organisation wirklich tut. Wo Realität und Richtlinie auseinandergehen, korrigieren Sie eines von beiden. Sorgen Sie dafür, dass die Mitarbeiter wissen, dass es die Richtlinien gibt, und sie finden. Bewährte Vorlagen helfen, beide Extreme zu vermeiden - leere Textbausteine und ungepflegten Wildwuchs. Die 1-Click Examples von Valiido liefern Richtlinien- und Prozessentwürfe, die bereits den Anforderungen zugeordnet sind, sodass Sie anpassen statt erfinden. Siehe 1-Click Examples.

3. Maßnahmen sind dokumentiert, aber nicht umgesetzt

Anhang A der ISO® 27001:2022 listet 93 Maßnahmen. Ein verbreitetes Missverständnis ist, dass alle 93 umgesetzt werden müssen - das ist nicht so. Maßnahmen werden anhand Ihrer Risiken ausgewählt, und die Anwendbarkeitserklärung bewertet jede einzelne, einschließlich der ausgeschlossenen und der Begründung dafür. Das eigentliche Versäumnis ist subtiler: Eine Maßnahme ist aufgeschrieben, in einer Tabelle als "erledigt" markiert, läuft aber nie wirklich. Protokollierung ist "vorhanden", doch niemand sieht die Protokolle durch. Zugriffe werden "quartalsweise überprüft", doch die letzte Überprüfung fand nie statt. Auf dem Papier ist das ISMS vollständig; in der Praxis ist es hohl.

So beheben Sie es: Für jede Maßnahme, die Sie angeben, sollten Sie zeigen können, dass sie funktioniert. Nachweis statt Behauptung: ein Protokollauszug, ein Ticket, eine abgeschlossene Überprüfung, ein Screenshot einer Konfiguration. Prüfen Sie Maßnahmen laufend, statt in der Woche vor dem Audit hektisch nachzuholen. Hier hilft AuditMagic von Valiido - es prüft Ihr ISMS gegen drei Kriterien, ISO® 27001, TISAX® und Valiido-Best-Practices, und kennzeichnet Maßnahmen, die dokumentiert, aber noch nicht durch Nachweise belegt sind, sodass Lücken früh auffallen. Siehe wie AuditMagic funktioniert.

4. Das interne Audit fehlt oder kommt zu spät

Abschnitt 9.2 der ISO® 27001 verlangt ein internes Audit des Managementsystems. Es ist nicht optional, und es ist nicht das Zertifizierungsaudit - es ist Ihre eigene Prüfung, dass das ISMS funktioniert, durchgeführt bevor der Auditor kommt. Viele Organisationen lassen es ausfallen oder führen es als überstürzte Formalität zwei Wochen vor dem externen Audit durch. So oder so gibt es keinen echten Beleg dafür, dass das ISMS unabhängig getestet wurde - was selbst eine Abweichung ist.

So beheben Sie es: Planen Sie das interne Audit lange vor dem Zertifizierungstermin, decken Sie über den Zyklus das gesamte Managementsystem ab und dokumentieren Sie, was Sie gefunden und was Sie unternommen haben. Betrachten Sie interne Auditfeststellungen als Geschenk: Jedes Problem, das Sie selbst entdecken, wird der externe Auditor nicht aufwerfen. Unabhängigkeit zählt - wer einen Prozess prüft, sollte nicht derjenige sein, der ihn betreibt.

5. Ihre Managementbewertung ist nicht dokumentiert

Abschnitt 9.3 der ISO® 27001 verlangt, dass die oberste Leitung das ISMS in geplanten Abständen bewertet - mit Blick auf Risiken, Vorfälle, Auditergebnisse, Ziele und die Ressourcen, die das System braucht. Unternehmen tun das oft informell in Leitungssitzungen, aber nichts wird festgehalten. Für einen Auditor hat eine nicht dokumentierte Managementbewertung nicht stattgefunden.

So beheben Sie es: Führen Sie die Managementbewertung als bewussten Tagesordnungspunkt durch, decken Sie die von der Norm erwarteten Eingaben ab und halten Sie die Entscheidungen und Maßnahmen fest, die dabei entstehen. Bewahren Sie das Protokoll auf. Die Bewertung ist auch der Moment, in dem die Leitung bestätigt, dass das ISMS weiterhin das Budget und die Menschen hat, die es braucht - genau die Art von Bekenntnis, nach der Auditoren suchen.

6. Lieferanten- und Drittparteienrisiko wird ignoriert

Ihre Sicherheit ist nur so stark wie die Lieferanten, die Ihre Daten berühren. Anhang A.5.19 bis A.5.22 der ISO® 27001:2022 deckt Lieferantenbeziehungen ab, die Sicherheitsvereinbarungen in Lieferantenverträgen, das Management der Sicherheit innerhalb dieser Beziehungen und das Management von Änderungen an Lieferantendiensten. Viele ISMS-Projekte konzentrieren sich ganz auf interne Maßnahmen und vergessen, dass ein Cloud-Anbieter, ein Lohnabrechner oder ein Entwicklungsdienstleister das schwächste Glied sein kann.

So beheben Sie es: Führen Sie eine Liste der Lieferanten, die Ihre Informationen verarbeiten oder darauf zugreifen, ordnen Sie sie nach Risiko ein, legen Sie Sicherheitserwartungen in Ihren Verträgen fest und überprüfen Sie die wichtigen regelmäßig. Sie müssen nicht jeden Dienstleister gleich tief prüfen - priorisieren Sie danach, wie viel Zugriff und Sensibilität im Spiel ist. Dokumentieren Sie den Prozess, damit der Auditor sieht, dass er systematisch ist und nicht ad hoc.

7. Es gibt keinen klaren Überblick und keinen strukturierten Weg durch die Anforderungen

Das ist der Grund, der unter vielen anderen liegt. Dokumentation liegt in fünf verschiedenen Werkzeugen, niemand kann sagen, was fertig und was offen ist, und die Anforderungen der Norm werden nie an einem Ort mit der Arbeit verknüpft. Ohne einen einzigen Überblick bleiben Lücken unsichtbar, bis der Auditor sie findet, und das Team arbeitet hart, ohne je sicher zu sein, an den richtigen Dingen zu arbeiten.

So beheben Sie es: Arbeiten Sie aus einem strukturierten Weg heraus, der jede Anforderung mit einem Status, einem Verantwortlichen und dem dahinterliegenden Nachweis verknüpft. Genau das bietet der Valiido Guide - eine klare, schrittweise Route durch ISO® 27001 und TISAX®, die jederzeit zeigt, wo Sie stehen, sodass Auditbereitschaft ein sichtbarer Zustand wird statt einer Vermutung. Wenn Sie den Ansatz dahinter verstehen wollen, lesen Sie wie Sie ein ISMS ohne Berater aufbauen und unseren Überblick über die beste ISMS-Software.

Ihre Checkliste für Auditbereitschaft

Gehen Sie diese durch, bevor Sie das Zertifizierungsaudit buchen. Wenn Sie nicht jede Zeile mit "ja" beantworten können, haben Sie eine Lücke zu schließen.

  • Die Risikobewertung wurde kürzlich überprüft und bildet das Unternehmen ab, wie es heute ist.
  • Jede Richtlinie ist von der obersten Leitung freigegeben, aktuell und entspricht dem, was die Menschen tatsächlich tun.
  • Für jede ausgewählte Maßnahme lässt sich zeigen, dass sie funktioniert - mit Nachweis statt einem Häkchen.
  • Die Anwendbarkeitserklärung deckt alle 93 Maßnahmen aus Anhang A ab, einschließlich der ausgeschlossenen und der Begründung dafür.
  • Ein internes Audit (Abschnitt 9.2) wurde durchgeführt, und seine Feststellungen sind dokumentiert und bearbeitet.
  • Eine Managementbewertung (Abschnitt 9.3) hat stattgefunden, und das Protokoll liegt vor.
  • Lieferanten, die Ihre Daten berühren, sind gelistet, risikobewertet und durch Ihre Verträge abgedeckt (Anhang A.5.19-A.5.22).
  • Ein Überblick zeigt jede Anforderung, ihren Verantwortlichen, ihren Status und ihren Nachweis.

Schließen Sie die Lücken, bevor der Auditor sie findet

Keines dieser sieben Probleme ist exotisch. Sie sind das vorhersehbare Ergebnis, ein ISMS ohne klaren Weg und ohne laufende Prüfung aufzubauen. Beheben Sie Weg und Prüfung, und die Auditbereitschaft folgt. Valiido gibt Ihnen die strukturierte Route, die fertigen Beispiele und die laufenden Prüfungen in einer Plattform, ab 149 EUR/Monat, und der Ansatz dahinter trägt eine First-Attempt-Pass-Rate von 98,7 %. Sehen Sie sich die Beispiele an oder lesen Sie, wie AuditMagic Ihr ISMS prüft.

Häufig gestellte Fragen

Wie lange dauert es, ein ISMS auditbereit zu machen?

Das hängt davon ab, wo Sie starten, aber der größte Teil der Arbeit besteht darin, die sieben Lücken oben zu schließen, nicht darin, von Grund auf neu zu bauen. Mit klarem Weg und laufender Prüfung erreicht eine Organisation mit den Grundlagen in wenigen Monaten Auditbereitschaft; wer bei null beginnt, braucht länger. Der größte Zeitfresser ist meist das Sammeln von Nachweisen - genau deshalb schlägt laufendes Prüfen die Hektik in letzter Minute.

Müssen alle 93 Maßnahmen aus Anhang A umgesetzt werden?

Nein. Anhang A der ISO® 27001:2022 enthält 93 Maßnahmen, aber Sie wählen sie anhand Ihrer Risiken aus. Die Anwendbarkeitserklärung bewertet alle 93 - einschließlich der ausgeschlossenen, mit der Begründung für jeden Ausschluss. Maßnahmen umzusetzen, die Sie nicht brauchen, verschwendet Aufwand; eine benötigte Maßnahme ohne Begründung auszuschließen, ist eine Abweichung.

Was ist der Unterschied zwischen einem internen Audit und dem Zertifizierungsaudit?

Das interne Audit (Abschnitt 9.2) ist Ihre eigene unabhängige Prüfung, dass das ISMS funktioniert, durchgeführt vor der Zertifizierung. Das Zertifizierungsaudit wird von einer externen Stelle durchgeführt, um zu entscheiden, ob das Zertifikat ausgestellt wird. Ein dokumentiertes internes Audit ist eine Anforderung der Norm, und es richtig durchzuführen ist der beste Weg, Feststellungen zu finden, bevor der externe Auditor es tut.

Warum ist die Managementbewertung für Auditoren so wichtig?

Weil Abschnitt 9.3 der Punkt ist, an dem die oberste Leitung zeigt, dass das ISMS tatsächlich gesteuert wird - dass die Führung auf Risiken, Vorfälle und Ergebnisse schaut und die Ressourcen bereitstellt, die das System braucht. Ist sie nicht dokumentiert, behandelt der Auditor sie als nicht stattgefunden, unabhängig davon, was informell besprochen wurde.

Wie hilft Valiido bei der Auditbereitschaft?

Valiido vereint drei Dinge, die die sieben Lücken verhindern: einen strukturierten Weg durch ISO® 27001 und TISAX® über den Valiido Guide, anpassbare 1-Click Examples, die den Anforderungen zugeordnet sind, und AuditMagic, das Ihr ISMS gegen ISO® 27001, TISAX® und Valiido-Best-Practices prüft und Lücken früh aufzeigt. Tarife starten ab 149 EUR/Monat.

Valiido ist nicht mit ISO®, TISAX®, ENX® oder VDA® verbunden. Diese Marken gehören ihren jeweiligen Eigentümern.

Methodik & Quellen

Dieser Artikel beruht auf direkter Erfahrung bei der Einführung von ISO® 27001- und TISAX®-Managementsystemen. Die genannten Zahlen wurden mit Stand Juni 2026 anhand der unten aufgeführten Primärquellen geprüft.

Quellen

Ihr ISMS für ISO® 27001 und TISAX®

Valiido bündelt alles, was Sie brauchen - Richtlinien, 1-Klick-Beispiele, 10+ Module und einen geführten Pfad - in einer Plattform mit unbegrenztem Support.

Setzen Sie Ihr ISMS selbst um, für einen Bruchteil der Kosten eines Beratungsprojekts.

Plan wählen und heute starten.

  • Pre-Audit Check vom Experten im Pro-Plan enthalten
  • Kreditkarte oder SEPA - sofortiger Zugang
  • Unbegrenzter Support per E-Mail und Chat

Weitere Beitrage

Die 5 besten ISMS-Software-Tools für ISO® 27001 im Jahr 2026 (Vergleich)
Insights

Industry Insights

Die 5 besten ISMS-Software-Tools für ISO® 27001 im Jahr 2026 (Vergleich)

Die falsche ISMS-Software kostet mehr als Geld. Wir vergleichen die 5 besten ISMS-Software-Tools für ISO® 27001 im Jahr 2026 - und zeigen, zu welcher Organisation welches Tool passt.

Christopher Eller
 5 schnelle Schritte zur Durchführung von Automobil-Cybersicherheitstraining
Insights

Insights in TISAX®

5 schnelle Schritte zur Durchführung von Automobil-Cybersicherheitstraining

Die Cybersicherheit im Automobilbereich gewinnt zunehmend an Bedeutung, da Autos immer stärker vernetzt werden.

Christopher Eller
 Warum ist Informationssicherheit wichtig? 7 überzeugende Gründe
Insights

Industry Insights

Warum ist Informationssicherheit wichtig? 7 überzeugende Gründe

In einer Welt, in der Daten oft als ebenso wertvoll wie Gold erachtet werden, ist die Bedeutung der Informationssicherheit nicht zu unterschätzen. Sie fungiert als unsere erste (und oft auch letzte) Verteidigungslinie gegen eine beträchtliche Anzahl von Bedrohungen.

Christopher Eller
Christopher Eller, Gründer von Valiido Christopher, Gründer Fragen? Schreiben Sie mir.