Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Internes Audit ISO 27001

Schwachstellen finden,
bevor es der Auditor tut.

Unsere zertifizierten Lead Auditoren prüfen Ihr ISMS mit der gleichen Methodik wie der externe Zertifizierer - damit Sie beim echten Audit keine Überraschungen erleben.

Internes Audit anfragen Ablauf ansehen
ISO/IEC 27001:2022 Zertifizierte Lead Auditoren ISO 19011 konform
AUDIT REPORT - PREVIEW
MA

MAJOR - A.8.2 ZUGANGSRECHTE

Keine regelmäßige Rezertifizierung von Zugriffsrechten. Ehemalige Mitarbeiter hatten nach 6 Monaten noch aktive Accounts.

MI

MINOR - A.12.3 BACKUP

Backup-Restore-Tests nicht dokumentiert. Letzte verifizierte Wiederherstellung vor über 12 Monaten.

BE

BEOBACHTUNG - A.7.2 SCHULUNG

Awareness-Schulungen finden statt, aber Wirksamkeit wird nicht systematisch gemessen.

ST

STAERKE - A.16.1 INCIDENT MANAGEMENT

Vorbildliches Incident-Response-Verfahren mit klaren Eskalationswegen und regelmäßigen Übungen.

Zertifizierungsreife: 78% 3 Maßnahmen priorisiert

Vertrauen von über 200 Unternehmen

durchgeführte interne Audits
bestehen das Zertifizierungsaudit im ersten Anlauf
Jahre Auditerfahrung
bis zum individuellen Angebot

Warum scheitern Unternehmen beim Zertifizierungsaudit?

Die häufigsten Gründe für Major-Abweichungen sind vermeidbar - wenn Sie vorher genau hinschauen.

Betriebsblindheit

Wer sein ISMS selbst aufgebaut hat, übersieht systematisch Lücken. Der externe Blick deckt auf, was intern als selbstverständlich gilt - aber nicht normkonform ist.

Dokumentation vs. Realität

Das ISMS ist auf dem Papier perfekt - aber im Alltag werden Prozesse umgangen, Ausnahmen nicht dokumentiert und Controls nicht gelebt. Genau das prüft der externe Auditor.

Zeitdruck vor dem Audit

Wer erst 4 Wochen vor dem Zertifizierungsaudit anfängt zu prüfen, hat keine Zeit mehr für Korrekturmaßnahmen. Ein internes Audit 3-6 Monate vorher gibt Ihnen den nötigen Puffer.

Unser Ansatz

Internes Audit wie beim Zertifizierer - nur ohne Konsequenzen

Wir prüfen Ihr ISMS mit der gleichen Methodik und Tiefe wie eine akkreditierte Zertifizierungsstelle. Der Unterschied: Bei uns können Sie aus Fehlern lernen, ohne dass die Zertifizierung auf dem Spiel steht.

Zertifizierte Lead Auditoren

Unsere Auditoren sind nach ISO 27001 und ISO 19011 zertifiziert und bringen Erfahrung aus hunderten Audits in unterschiedlichen Branchen mit - von KMU bis KRITIS.

Praxisnahe Feststellungen

Keine 100-seitigen Theoriewerke. Unser Bericht enthält klare Feststellungen mit Evidenz, priorisierte Maßnahmen und eine realistische Roadmap zur Behebung.

Generalprobe für die Zertifizierung

Wir simulieren das externe Audit in Methodik und Tiefe. So wissen Sie vorher genau, wo es noch hakt - und haben ausreichend Zeit zur Nachbesserung.

Nachverfolgung inklusive

Wir lassen Sie nach dem Audit nicht allein. Unsere Auditoren unterstützen Sie bei der Umsetzung der Korrekturmaßnahmen und verifizieren die Behebung vor dem externen Audit.

Prüfumfang

Was wir prüfen - systematisch und vollständig

Unser internes Audit deckt alle relevanten Bereiche der ISO 27001 ab - von der strategischen Ebene bis zur technischen Umsetzung.

ISMS-Governance

Informationssicherheitsleitlinie, Rollen und Verantwortlichkeiten, Management-Commitment, Kontext der Organisation und interessierte Parteien.

Risikomanagement

Risikobewertungsmethodik, Asset-Inventar, Risikobehandlungsplan, Akzeptanzkriterien und Statement of Applicability (SoA).

Zugangskontrollen

Benutzerregistrierung, Zugriffsrechte-Management, privilegierte Zugangsrechte, Passwortrichtlinien und physische Zutrittskontrolle.

Betriebssicherheit

Change Management, Kapazitaetsplanung, Backup & Recovery, Logging, Monitoring und Schwachstellenmanagement.

Personal & Awareness

Schulungsprogramme, Sicherheitsbewusstsein, Vertraulichkeitsvereinbarungen, Onboarding/Offboarding und Disziplinarmassnahmen.

Incident Management

Meldeprozesse, Eskalationswege, Reaktionsplaene, Forensik-Fähigkeiten, Lessons Learned und Kommunikation bei Sicherheitsvorfällen.

Selbst auditieren vs. extern beauftragen

Die ISO 27001 erlaubt beides - aber die Ergebnisse unterscheiden sich deutlich.

Internes Team Externer Auditor (AWARE7)
Objektivitaet Eingeschraenkt Unabhängig & unparteiisch
Branchenbenchmark Kein Vergleich möglich Erfahrung aus 100+ Audits
Audit-Kompetenz Muss aufgebaut werden Sofort verfügbar
Normkonformitaet Risiko: Fehlinterpretation Zertifizierte Normkenntnis
Aufwand intern Hoch (Schulung + Durchführung) Gering (nur Zuarbeit)
Akzeptanz beim Zertifizierer Wird kritisch hinterfragt Volle Akzeptanz

Was Sie erhalten

Jedes interne Audit schliesst mit einem umfassenden Ergebnis-Paket ab - kein loses Feedback, sondern konkrete Handlungsgrundlage.

Auditbericht

Detaillierter Bericht mit Executive Summary, allen Feststellungen (Major/Minor/Beobachtung/Stärke) inkl. Evidenz und Normreferenz.

  • Executive Summary für die GF
  • Detailfeststellungen mit Evidenz
  • Gesamtbewertung Zertifizierungsreife
Kernlieferung

Maßnahmenplan

Priorisierter Aktionsplan mit konkreten Maßnahmen, Verantwortlichkeiten, Fristen und geschaetztem Aufwand pro Maßnahme.

  • Priorisiert nach Risiko und Aufwand
  • Verantwortlichkeiten zugewiesen
  • Direkt als Tracking-Tool nutzbar

Nachverfolgung

Follow-up-Termin zur Verifizierung der umgesetzten Maßnahmen. Abschluss-Statement zur Vorlage beim externen Auditor.

  • Verifizierung der Korrekturmaßnahmen
  • Abschluss-Statement
  • Nachweis für den Zertifizierer

Kostenlos anfordern

Muster-Auditbericht ISO 27001

Sehen Sie, wie ein professioneller interner Auditbericht aussieht. Unser Muster-Report zeigt Ihnen die Struktur, Detailtiefe und Qualitaet, die Sie erwarten können.

Muster-Report anfordern

Ihre Auditoren

Unsere Lead Auditoren bringen Erfahrung aus hunderten ISMS-Audits mit - und kennen die häufigsten Stolperfallen.

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen

So laeuft es ab

Von der Beauftragung zum Auditbericht in 5 Schritten

  1. Scoping & Auditplanung: Gemeinsame Festlegung des Auditumfangs, der zu prufenden Bereiche und Controls. Erstellung eines detaillierten Auditplans mit Zeitrahmen und Ansprechpartnern.
  2. Dokumentenprufung: Vorab-Analyse Ihrer ISMS-Dokumentation: Leitlinie, Risikoanalyse, SoA, Richtlinien und Verfahrensanweisungen. Identifikation von Lucken und Inkonsistenzen.
  3. Vor-Ort-Audit: Interviews mit Prozessverantwortlichen, Stichprobenprüfungen, technische Verifizierung und Begehungen. Wir prüfen, ob Ihr ISMS nicht nur dokumentiert, sondern tatsächlich gelebt wird.
  4. Auditbericht & Maßnahmenplan: Strukturierter Bericht mit Feststellungen (Major/Minor/Beobachtung/Stärke), priorisiertem Maßnahmenplan und konkreten Empfehlungen zur Behebung.
  5. Nachverfolgung & Verifizierung: Unterstützung bei der Umsetzung der Korrekturmaßnahmen. Verifizierung der Behebung von Abweichungen vor dem externen Zertifizierungsaudit.

Referenz: Internes Audit

Beratung Informationssicherheit

brainbits GmbH

Ausbau und Begleitung des ISMS zur ISO 27001 Zertifizierung

9

Monate bis zur Zertifizierungsreife

70

Mitarbeitende im Team

Einsatzszenarien

Wann ist ein internes Audit sinnvoll?

Vor der Erstzertifizierung

Sie haben Ihr ISMS aufgebaut und wollen vor dem Zertifizierungsaudit prüfen, ob alles stimmt. Unser internes Audit ist die Generalprobe.

Jährliche Überwachung

Ihre Zertifizierung besteht und Sie brauchen das jährliche interne Audit als Normforderung. Wir übernehmen das zuverlässig und effizient.

Nach Sicherheitsvorfällen

Ein Incident hat Lücken offengelegt? Ein Ad-hoc-Audit prüft, ob die Ursachen systemisch sind und welche Controls nachgebessert werden müssen.

Vor der Rezertifizierung

Alle drei Jahre steht die Rezertifizierung an. Unser Audit stellt sicher, dass Ihr ISMS den aktuellen Normstand (ISO 27001:2022) erfüllt.

Norm-Transition

Sie wechseln von ISO 27001:2013 auf :2022? Unser Delta-Audit zeigt Ihnen genau, wo Anpassungsbedarf besteht - strukturiert nach den neuen Controls.

Anderer Anlass?

Wir passen Scope und Tiefe an Ihre Situation an.

Anforderungen besprechen

Weiterfuehrend

Mehr als nur Audit - ganzheitliche ISMS-Betreuung

Ein internes Audit ist ein Baustein. Für ein vollständiges Sicherheitsprogramm empfehlen wir ergänzende Leistungen:

ISMS ISO 27001 Beratung

Von der Gap-Analyse bis zur Zertifizierung - wir begleiten den gesamten ISMS-Aufbau.

Details

Penetration Testing

Technische Validierung Ihrer Controls - unsere Pentester prüfen, ob Ihre Maßnahmen auch Angriffen standhalten.

Details

Externer ISB

Kein interner ISB vorhanden? Wir übernehmen die Rolle des Informationssicherheitsbeauftragten für Sie.

Details
ISO/IEC 27001 zertifiziert
BSI-qualifiziert
ISO 19011 konform
Zertifizierte Lead Auditoren

Warum Unternehmen AWARE7 vertrauen

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Häufige Fragen

Ihre Fragen zum internen Audit

Die ISO 27001 (Klausel 9.2) fordert regelmäßige interne Audits als Teil des kontinuierlichen Verbesserungsprozesses (<a href="/glossar/isms/">PDCA-Zyklus — Plan-Do-Check-Act</a>). Interne Audits sind die beste Vorbereitung auf das externe Zertifizierungsaudit - sie decken Schwachstellen auf, bevor der externe Auditor sie findet. Ohne Nachweis interner Audits ist eine Zertifizierung nicht möglich.
Grundsätzlich ja, aber die ISO 27001 fordert Objektivität und Unparteilichkeit des Auditors. Wer einen Prozess implementiert hat, darf ihn nicht selbst auditieren. Gerade bei KMU fehlen häufig die Ressourcen und die nötige Distanz. Ein externer interner Auditor bringt frische Perspektive, Branchenerfahrung und Benchmark-Wissen mit - und erspart Ihnen den Aufbau eigener Auditkompetenz.
Die ISO 27001 fordert mindestens jährliche interne Audits, die den gesamten ISMS-Scope abdecken. In der Praxis verteilen viele Unternehmen die Audits über das Jahr: Unterschiedliche Bereiche werden zu verschiedenen Zeitpunkten geprüft (rollierende Auditplanung). Wir empfehlen, kritische Controls häufiger zu auditieren.
Eine Major-Abweichung ist eine schwerwiegende Nichtkonformität: Ein wesentliches Kontrollelement fehlt, funktioniert nicht oder wurde gar nicht implementiert. Eine Minor-Abweichung ist ein geringfügiger Mangel, der die Gesamtwirksamkeit des ISMS nicht gefährdet. Beide müssen vor der Zertifizierung behoben werden, aber Major-Abweichungen erfordern sofortige Korrekturmaßnahmen mit Ursachenanalyse.
Ein internes Audit wird von oder im Auftrag der Organisation selbst durchgeführt und dient der Selbstprüfung. Das externe Zertifizierungsaudit wird von einer akkreditierten Zertifizierungsstelle (z.B. TÜV, DEKRA) durchgeführt und führt bei Bestehen zur ISO-27001-Zertifizierung. Unser internes Audit simuliert das externe Audit in Methodik und Tiefe - damit Sie beim echten Audit keine Überraschungen erleben.
Unser Auditbericht enthält: Executive Summary für die Geschäftsführung, detaillierte Feststellungen mit Evidenz und Normreferenz, Klassifizierung jeder Feststellung (Major/Minor/Beobachtung/Stärke), einen priorisierten Maßnahmenplan mit Verantwortlichkeiten und Fristen sowie eine Gesamtbewertung Ihrer Zertifizierungsreife. Der Bericht ist so strukturiert, dass er direkt als Nachweis für den externen Auditor dient.
Die Kosten richten sich nach Scope-Größe, Standortanzahl und Komplexität Ihres ISMS. Für ein KMU mit 50-200 Mitarbeitenden und einem Standort liegt das Investment typischerweise bei 3.000-8.000 EUR für ein vollständiges internes Audit inkl. Dokumentenprüfung, Vor-Ort-Audit und Bericht. Wir erstellen Ihnen innerhalb von 24 Stunden ein individuelles Angebot.
Ein internes Audit für ein KMU dauert typischerweise 3-5 Audittage vor Ort, plus 2-3 Tage für Dokumentenprüfung und Berichtserstellung. Bei größeren Organisationen oder mehreren Standorten planen wir entsprechend mehr Zeit ein. Von der Beauftragung bis zum fertigen Bericht vergehen in der Regel 2-4 Wochen.
Ja. Neben der organisatorischen Prüfung (Richtlinien, Prozesse, Verantwortlichkeiten) verifizieren wir auch technische Controls: Zugangskontrollen, Netzwerksegmentierung, Patch-Management, Backup-Verfahren, Logging und Monitoring. Bei Bedarf können wir das interne Audit mit einem technischen Schwachstellenscan kombinieren.

Aus dem Blog

Weiterführende Artikel

Bereit für ein internes Audit, das Ihr ISMS wirklich voranbringt?

Schildern Sie uns kurz Ihren Stand und Zeitplan - wir erstellen Ihnen innerhalb von 24 Stunden ein individuelles Angebot. Kostenlos und unverbindlich.

Internes Audit anfragen

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung