🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zum Ressourcenzentrum

Was ist ein Audit? Der umfassende Leitfaden für Unternehmen

Audits sind ein fester Bestandteil von Compliance, Zertifizierung und Risikomanagement. Dennoch wird der Begriff in vielen Organisationen nach wie vor mit Stress, Papierkram und externen Prüfern in Verbindung gebracht. Das geht jedoch am Kern der Sache vorbei. Ein gut durchgeführtes Audit ist keine Bedrohung, sondern eine strukturierte Methode, um herauszufinden, ob das, was Sie vermuten, auch tatsächlich geschieht. Dieser Leitfaden erläutert, was Audits sind, welche Arten es gibt und was sie für die Sicherheitslage Ihrer Organisation bedeuten.

Was ist eine Prüfung?

Ein Audit ist eine systematische, unabhängige Überprüfung von Prozessen, Systemen, Dokumenten oder Verhaltensweisen anhand eines festgelegten Standards oder einer Reihe von Anforderungen. Ziel ist es, festzustellen, ob die tatsächliche Situation mit der Norm übereinstimmt, und – falls dies nicht der Fall ist – die Gründe dafür zu ermitteln.

Audits kommen in vielen Bereichen zum Einsatz: Bei Finanzprüfungen wird überprüft, ob die Buchhaltung die tatsächliche Lage eines Unternehmens korrekt widerspiegelt, bei IT-Audits wird geprüft, ob Systeme den Sicherheits- oder Leistungsstandards entsprechen, und bei Compliance-Audits wird überprüft, ob eine Organisation ihre gesetzlichen oder behördlichen Verpflichtungen erfüllt. Im Zusammenhang mit Cybersicherheit und Informationssicherheit bezieht sich der Begriff meist auf Audits anhand von Rahmenwerken wie ISO 27001, NEN 7510 oder Richtlinien wie NIS2.

Was ist eine interne Revision?

Eine interne Revision wird von Mitarbeitern der Organisation oder von einem Team durchgeführt, das der eigenen Geschäftsleitung der Organisation unterstellt ist. Die Prüfer sind nicht Teil des von ihnen untersuchten Prozesses, gehören aber auch nicht zum externen Umfeld des Unternehmens.

Der Zweck einer internen Prüfung besteht darin, der Geschäftsleitung eine unabhängige Einschätzung darüber zu liefern, ob die eigenen Verfahren und Kontrollen der Organisation wie vorgesehen funktionieren. Im Bereich der Informationssicherheit werden interne Prüfungen häufig zur Vorbereitung auf externe Zertifizierungsaudits genutzt, damit Lücken erkannt werden, bevor sie von einer externen Stelle aufgedeckt werden. So schreibt beispielsweise die Norm ISO 27001 ausdrücklich vor, dass Organisationen im Rahmen ihres Informationssicherheits-Managementsystems (ISMS) interne Prüfungen durchführen müssen.

Interne Audits folgen einem sich wiederholenden Zyklus: Planung, Durchführung, Berichterstattung, Nachverfolgung. Die Ergebnisse werden in der Regel der Geschäftsleitung mitgeteilt und dazu genutzt, Verbesserungen voranzutreiben – nicht, um Schuld zuzuweisen.

Was macht ein interner Revisor?

Ein interner Revisor plant und führt Prüfungsmaßnahmen innerhalb der Organisation durch. In der Praxis bedeutet dies, Unterlagen zu prüfen, Mitarbeiter zu befragen, Abläufe zu beobachten und Kontrollmechanismen zu testen, um festzustellen, ob diese wie beschrieben funktionieren.

Ein interner Prüfer im Bereich Informationssicherheit konzentriert sich in der Regel auf Bereiche wie Zugriffskontrolle, Vorfallmanagement, Datenumgang, Lieferantenbeziehungen und Sicherheitsschulungen. Er erstellt einen Prüfungsbericht, in dem er Feststellungen – sowohl Schwachstellen als auch bewährte Praktiken – aufzeigt und Empfehlungen für Korrekturmaßnahmen ausspricht.

Die Position erfordert eine Kombination aus technischem Verständnis, Kommunikationsfähigkeit und Selbstständigkeit. Ein interner Revisor muss in der Lage sein, die richtigen Fragen zu stellen, Belege kritisch zu bewerten und Ergebnisse so zu dokumentieren, dass die Geschäftsleitung darauf reagieren kann.

Was ist eine externe Prüfung?

Ein externes Audit wird von einer unabhängigen Stelle außerhalb der Organisation durchgeführt. Externe Audits sind für die formelle Zertifizierung (z. B. nach ISO 27001), zur Überprüfung der Einhaltung gesetzlicher Vorschriften oder dann erforderlich, wenn eine Organisation eine objektive Einschätzung ihrer Kontrollmaßnahmen durch eine dritte Partei wünscht.

Bei der Zertifizierung nach ISO 27001 erfolgt das externe Audit in zwei Phasen. In der ersten Phase werden die Unterlagen geprüft und es wird festgestellt, ob das ISMS für die vollständige Begutachtung bereit ist. Die zweite Phase ist ein Audit vor Ort, bei dem die Auditoren überprüfen, ob das Managementsystem in der Praxis tatsächlich funktioniert. Wenn die Organisation das Audit besteht, erhält sie die Zertifizierung. Diese Zertifizierung wird anschließend durch jährliche Überwachungsaudits aufrechterhalten und alle drei Jahre erneuert.

Externe Prüfungen haben bei Kunden, Aufsichtsbehörden und Partnern in der Regel mehr Gewicht als interne Prüfungen, gerade weil sie unabhängig sind. Auch deshalb ist die Vorbereitung so wichtig: Ein Unternehmen mit einem gut funktionierenden internen Prüfungsprogramm ist bei einer externen Prüfung deutlich besser aufgestellt.

Warum es bei Audits immer auf die Menschen ankommt

Technische Kontrollmaßnahmen und dokumentierte Verfahren sind zwar wichtig, doch stellen Wirtschaftsprüfer immer wieder fest, dass es gerade am menschlichen Verhalten liegt, wenn etwas schiefgeht. Richtlinien, die zwar schriftlich festgehalten, aber nicht befolgt werden. Schulungen, die zwar absolviert, deren Inhalte aber nicht im Gedächtnis bleiben. Verfahren, die zwar auf dem Papier existieren, in der Praxis jedoch umgangen werden.

Aus diesem Grund sind Schulungen zur Sensibilisierung für Sicherheitsfragen mittlerweile ein fester Bestandteil von Audits sowohl nach NIS2 als auch nach ISO 27001 geworden. Die Auditoren wollen nicht nur sehen, dass Schulungen geplant wurden. Sie verlangen Nachweise dafür, dass die Mitarbeiter die Risiken, denen sie ausgesetzt sind, tatsächlich verstehen und dass die Organisation nachweisen kann, dass sie kontinuierlich Maßnahmen zur Sensibilisierung durchführt.

Guardey liefert diese Nachweise. Die Plattform erfasst den Abschluss von Schulungen, die Ergebnisse von Phishing-Simulationen und die Fortschritte bei der Sensibilisierung im Zeitverlauf und liefert Unternehmen so die erforderlichen Unterlagen, um gegenüber Prüfern nachzuweisen, dass die Sicherheitssensibilisierung ein aktives, messbares Programm ist und nicht nur eine Pflichtübung.

Die Einhaltung der Anforderungen bei Sicherheitsaudits beginnt mit Guardey

Schaffen Sie eine Sicherheitskultur, bevor die Prüfer an die Tür klopfen.

Demo anfordern
Dinela Lokvancic
Dinela Lokvancic Marketing-Spezialistin Dinela hält die Online-Präsenz von Guardey auf dem neuesten Stand. Sie erstellt Inhalte, die komplexe Themen der Cybersicherheit verständlich machen, und hilft Unternehmen zu verstehen, warum Schulungen zum Sicherheitsbewusstsein für ihre Teams wichtig sind.
Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung