2026-03-07
By Orbiq TeamSicherheitsaudit: Was es ist, Arten, Prozess und Vorbereitung
Ein praxisnaher Leitfaden zu Sicherheitsaudits — was sie sind, Arten von Sicherheitsaudits (intern, extern, Compliance), der Auditprozess, Vorbereitung auf ISO 27001, SOC 2 und NIS2-Audits und wie B2B-Unternehmen Audit-Readiness als Wettbewerbsvorteil nutzen.
Sicherheitsaudit
Compliance
ISO 27001
SOC 2
NIS2
DORA
Audit-Readiness
Sicherheitsaudit: Was es ist, Arten, Prozess und Vorbereitung
Ein Sicherheitsaudit ist eine systematische Bewertung der Sicherheitskontrollen, Richtlinien und Praktiken einer Organisation anhand eines definierten Standards oder Frameworks. Sicherheitsaudits verifizieren, dass Kontrollen ordnungsgemäß gestaltet, implementiert und effektiv in Betrieb sind — und bieten Kunden, Aufsichtsbehörden und Stakeholdern Sicherheit.
Für B2B-Unternehmen dienen Sicherheitsaudits einem doppelten Zweck: Nachweis der Compliance mit Frameworks wie ISO 27001, SOC 2, NIS2 und DORA sowie Vertrauensaufbau bei Enterprise-Käufern, die vor Vertragsabschluss Nachweise der Sicherheitsreife verlangen.
Dieser Leitfaden behandelt, was Sicherheitsaudits sind, die wichtigsten Arten, den Auditprozess für zentrale Frameworks, die Vorbereitung und die Aufrechterhaltung kontinuierlicher Audit-Readiness.
Arten von Sicherheitsaudits
Nach Umfang und Zweck
| Typ | Durchgeführt von | Zweck | Ergebnis |
|---|---|---|---|
| Internes Audit | Internes Team oder interne Auditoren | Lücken identifizieren, auf externe Audits vorbereiten | Interner Bericht mit Feststellungen und Empfehlungen |
| Zertifizierungsaudit | Akkreditierte Zertifizierungsstelle | Formale Zertifizierung erreichen (ISO 27001) | Zertifikat (gültig 3 Jahre mit jährlicher Überwachung) |
| SOC 2-Prüfung | Lizenzierte Wirtschaftsprüfungsgesellschaft | Unabhängigen Prüfbericht erstellen | SOC 2 Typ I oder Typ II-Bericht |
| Regulatorisches Audit | Aufsichtsbehörde | Einhaltung gesetzlicher Anforderungen verifizieren | Compliance-Feststellung, mögliche Durchsetzungsmaßnahmen |
| Lieferantenaudit | Kunde oder Drittprüfer | Sicherheitslage des Anbieters bewerten | Bewertungsbericht, Risikorating |
| Technisches Audit | Sicherheitsspezialisten | Spezifische technische Kontrollen evaluieren | Penetrationstestbericht, Schwachstellenbewertung |
Typ I vs Typ II
| Aspekt | Typ I | Typ II |
|---|---|---|
| Bewertet | Gestaltung und Implementierung von Kontrollen | Gestaltung und operative Wirksamkeit von Kontrollen |
| Zeitrahmen | Zeitpunktbezogen (bestimmtes Datum) | Zeitraumbezogen (typischerweise 6-12 Monate) |
| Nachweis | Kontrollen existieren und sind ordnungsgemäß gestaltet | Kontrollen funktionierten durchgehend im gesamten Zeitraum |
| Strenge | Niedriger — Momentaufnahme | Höher — nachhaltige Wirksamkeit erforderlich |
| Käuferpräferenz | Akzeptabel als erster Schritt | Bevorzugt von Enterprise-Käufern |
Framework-spezifische Auditprozesse
ISO 27001-Zertifizierungsaudit
Stufe 1 — Dokumentenprüfung
- Prüfung des ISMS-Geltungsbereichs, der Risikobewertung, der Erklärung zur Anwendbarkeit
- Bewertung von Richtlinien, Verfahren und Management-Commitment
- Bestätigung der Bereitschaft für Stufe 2
- Identifizierung von Lücken, die vor Stufe 2 behoben werden müssen
Stufe 2 — Implementierungsbewertung
- Verifizierung, dass Kontrollen implementiert sind und effektiv funktionieren
- Befragung von Personal aus verschiedenen Abteilungen
- Prüfung von Nachweisen und Aufzeichnungen
- Test von Kontrollen durch Stichproben und Beobachtung
- Klassifizierung von Feststellungen als wesentliche oder geringfügige Abweichungen
Laufend — Überwachung und Rezertifizierung
- Jährliche Überwachungsaudits (Teilmenge der Kontrollen)
- Vollständiges Rezertifizierungsaudit alle 3 Jahre
- Erwartung kontinuierlicher Verbesserung zwischen Audits
SOC 2-Prüfung
| Phase | Aktivitäten |
|---|---|
| Scoping | Trust Services Criteria auswählen (Sicherheit + optional: Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz) |
| Readiness | Optionale Gap-Bewertung zur Identifizierung und Behebung von Problemen vor der formalen Prüfung |
| Feldarbeit | Prüfer testet Kontrollgestaltung (Typ I) und operative Wirksamkeit (Typ II) |
| Berichterstattung | Wirtschaftsprüfungsgesellschaft erstellt Bericht mit Urteil, Systembeschreibung und Testergebnissen |
Trust Services Criteria:
| Kriterium | Fokus |
|---|---|
| CC6 — Logischer und physischer Zugang | Zugriffskontrolle, Authentifizierung, Autorisierung |
| CC7 — Systembetrieb | Monitoring, Vorfallerkennung, Incident Response |
| CC8 — Änderungsmanagement | Änderungskontrolle, Tests, Genehmigungsworkflows |
| CC9 — Risikominderung | Risikobewertung, Lieferantenmanagement, Business Continuity |
NIS2-Compliance-Bewertung
NIS2 schreibt kein spezifisches Auditformat vor, verlangt aber von Organisationen:
- Risikomanagement-Maßnahmen umzusetzen (Artikel 21)
- Erhebliche Vorfälle zu melden (Artikel 23)
- Compliance gegenüber zuständigen Behörden auf Anfrage nachzuweisen
- Aufsicht und Audits durch nationale Behörden zu akzeptieren
Organisationen sollten interne Bewertungen gegen die Anforderungen von NIS2 Artikel 21 durchführen und Compliance-Nachweise vorhalten.
Kategorien von Auditnachweisen
Worauf Auditoren achten
| Kategorie | Beispiele für Nachweise |
|---|---|
| Governance | Sicherheitsrichtlinien, Risikoregister, Management-Review-Protokolle, Organigramm |
| Zugriffskontrolle | Benutzerzugriffsprüfungen, RBAC-Matrizen, MFA-Konfiguration, privilegierte Zugriffsprotokolle |
| Änderungsmanagement | Änderungsantragstickets, Genehmigungsaufzeichnungen, Deployment-Protokolle, Rollback-Verfahren |
| Vorfallmanagement | Vorfalltickets, Ursachenanalysen, Post-Incident-Reviews, Kommunikationsaufzeichnungen |
| Schwachstellenmanagement | Scan-Berichte, Patch-Management-Aufzeichnungen, Behebungsfristen, Ausnahmegenehmigungen |
| Schulung | Schulungsnachweise, Abschlusszertifikate, Phishing-Simulationsergebnisse |
| Monitoring | Log-Aufbewahrungskonfiguration, Alert-Regeln, SIEM-Dashboards, Prüfpläne |
| Business Continuity | BCP-Dokumente, BIA-Ergebnisse, Testaufzeichnungen, Wiederherstellungsnachweise |
| Lieferantenmanagement | Lieferanteninventar, Risikobewertungen, Verträge mit Sicherheitsklauseln |
| Datenschutz | Datenklassifizierungsaufzeichnungen, Verschlüsselungskonfiguration, AVV-Vereinbarungen |
Vorbereitung auf ein Sicherheitsaudit
Schritt-für-Schritt-Vorbereitung
- Umfang und Kriterien verstehen — Genau wissen, welche Kontrollen, Systeme und Zeiträume im Scope sind
- Gap-Analyse durchführen — Aktuelle Kontrollen gegen Auditkriterien bewerten und Behebung priorisieren
- Lücken beheben — Wesentliche Lücken vor dem Audit adressieren, Behebungsmaßnahmen dokumentieren
- Nachweise organisieren — Alle erforderliche Dokumentation sammeln, kennzeichnen und zentralisieren
- Internes Audit durchführen — Eine Generalprobe mit denselben Kriterien durchführen
- Personal vorbereiten — Mitarbeiter über den Auditprozess, ihre Rollen und erwartete Fragen informieren
- Audit-Ansprechpartner benennen — Einen Koordinator für Auditor-Anfragen und Terminplanung bestimmen
- Evidenz-Repository einrichten — Eine Compliance-Plattform für organisierte, zugängliche Nachweise nutzen
Häufige Audit-Feststellungen
| Feststellung | Ursache | Prävention |
|---|---|---|
| Fehlende Zugriffsprüfungen | Kein geplanter Prozess für die Überprüfung von Benutzerzugriffen | Vierteljährliche Zugriffsprüfungen automatisieren |
| Unvollständige Risikobewertung | Risikoregister nach Änderungen nicht aktualisiert | Risiken vierteljährlich und nach wesentlichen Änderungen überprüfen |
| Ungetesteter BCP | Business-Continuity-Pläne nie geübt | Jährliche Vollübungen planen |
| Fehlende Schulungsnachweise | Schulung nicht nachverfolgt oder unvollständig | LMS mit automatischer Nachverfolgung nutzen |
| Inkonsistentes Änderungsmanagement | Notfall-Änderungen umgehen den Genehmigungsprozess | Notfall-Änderungsverfahren definieren und dokumentieren |
| Lücken bei Lieferantenbewertungen | Neue Lieferanten ohne Sicherheitsprüfung eingebunden | Lieferantenbewertung in den Beschaffungsprozess integrieren |
Kontinuierliche Audit-Readiness
Über punktuelle Compliance hinaus
Traditionelle Auditvorbereitung ist reaktiv — Organisationen sammeln hektisch Nachweise vor jedem Auditzyklus. Kontinuierliche Audit-Readiness ersetzt dies durch einen laufenden Ansatz:
| Traditioneller Ansatz | Kontinuierliche Readiness |
|---|---|
| Nachweise vor Audits sammeln | Nachweise automatisch als Teil des Tagesgeschäfts sammeln |
| Periodische Richtlinienüberprüfungen | Richtlinien mit Kontrollen verknüpft, automatische Erinnerungen |
| Jährliche Risikobewertung | Kontinuierliche Risikoüberwachung mit anlassbezogenen Reviews |
| Batch-Schulungen vor Audits | Rollierende Schulungsprogramme mit automatischer Nachverfolgung |
| Manuelle Nachweissammlung | Compliance-Plattform zentralisiert Nachweise automatisch |
Vorteile
- Reduzierte Auditvorbereitungszeit — Nachweise sind bereits organisiert und aktuell
- Weniger Feststellungen — Kontinuierliches Monitoring entdeckt Lücken, bevor Auditoren es tun
- Geringere Kosten — Weniger Personalzeit für Auditvorbereitung
- Bessere Sicherheit — Kontrollen werden durchgehend aufrechterhalten, nicht nur vor Audits
- Käufervertrauen — Enterprise-Käufer sehen kontinuierliche Compliance, keine periodischen Momentaufnahmen
Wie Orbiq die Audit-Readiness unterstützt
- Trust Center: Veröffentlichen Sie Ihren Auditstatus — Zertifizierungen, Compliance-Lage und Sicherheitsdokumentation für Käufer-Self-Service
- Kontinuierliches Monitoring: Verfolgen Sie Compliance über ISO 27001, SOC 2, NIS2 und DORA mit Echtzeit-Sichtbarkeit
- Evidenz-Management: Zentralisieren Sie Auditnachweise, Richtliniendokumente und Kontrollaufzeichnungen auf einer Plattform
- KI-gestützte Fragebögen: Automatische Beantwortung auditbezogener Fragen von Enterprise-Käufern anhand Ihrer dokumentierten Kontrollen und Zertifizierungen
Weiterführende Informationen
- ISO 27001 Zertifizierung — Der ISO 27001-Zertifizierungsprozess im Detail
- SOC 2 Compliance — SOC 2-Compliance erreichen und aufrechterhalten
- Compliance-Automatisierung — Automatisierung der Nachweissammlung und Compliance-Überwachung
- Penetrationstest — Technische Sicherheitsprüfung durch Angreifersimulation
- ISMS — Aufbau des Managementsystems, das Audits bewerten
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.