Zum Inhalt springen
SIKKER GmbH

ISO 27001 Audit, IT-Audit und Lieferantenaudit

Ein Audit macht sichtbar, wo Ihre Sicherheit trägt und wo sie bricht. Wir prüfen ISMS, IT-Infrastruktur und Lieferanten und liefern einen belastbaren Maßnahmenplan.

Audit anfragen Audit-Typen im Überblick

Unsere Audit-Leistungen

Drei Schwerpunkte, ein Ziel: Klarheit über den Sicherheitsstatus Ihres Unternehmens und Ihrer Lieferkette.

ISO 27001 Audit

Interne Audits zur Prüfung Ihres ISMS nach ISO 27001. Wir bewerten die Normkonformität, identifizieren Nichtkonformitäten und bereiten Sie auf das Zertifizierungsaudit vor. Auch als laufende Auditbegleitung für Überwachungsaudits.

IT-Audit und Sicherheitsaudit

Systematische Prüfung Ihrer IT-Infrastruktur, Prozesse und Sicherheitsmaßnahmen. Vom Patch-Management über Zugriffskontrollen bis zur Backup-Strategie. Das Ergebnis: ein belastbarer Prüfbericht mit konkreten Handlungsempfehlungen.

Lieferantenaudit und Kundenaudit

Second Party Audits bei Lieferanten, Dienstleistern oder Partnern. Wir prüfen, ob Ihre Lieferkette die vereinbarten Sicherheitsanforderungen einhält, und dokumentieren die Ergebnisse nachvollziehbar für Ihre Compliance-Nachweise.

Was wird beim ISO 27001-Audit geprüft?

Wir führen für Sie das interne Audit nach ISO 27001 durch: Dokumentation und gelebte Praxis des ISMS werden systematisch geprüft und auf das spätere Zertifizierungsaudit vorbereitet.

Prüfbereiche im Überblick

  • ISMS-Dokumentation Richtlinien, Verfahren, Risikobeurteilung und Statement of Applicability (die Liste der für Ihr Unternehmen geltenden Sicherheitsmaßnahmen)
  • Annex-A-Controls Umsetzung und Wirksamkeit der in der Norm definierten Sicherheitsmaßnahmen
  • Risikomanagement Risikoidentifikation, Bewertung, Behandlung und Nachverfolgung
  • Betriebsnachweise Management-Reviews, Schulungsnachweise, Vorfallbehandlung
  • Kontinuierliche Verbesserung Korrekturmaßnahmen, KPI-Tracking, Lessons Learned

Internes Audit vs. Zertifizierungsaudit

Das interne Audit ist ein Instrument der Selbstprüfung: Wir prüfen als beauftragter Dienstleister Ihr ISMS auf Normkonformität und Wirksamkeit. ISO 27001 fordert diese internen Audits in geplanten Abständen.

Das Zertifizierungsaudit (Stage-1 und Stage-2) führen wir nicht selbst durch. Dafür ist eine akkreditierte Zertifizierungsstelle zuständig. Mit unserem internen Audit bereiten wir Sie auf dieses externe Verfahren vor. Mehr zum Zertifizierungsprozess auf unserer Seite ISMS & ISO 27001.

Ablauf eines Audits: Von der Vorbereitung bis zum Maßnahmenplan

Ob ISO 27001-Audit, IT-Audit oder Lieferantenaudit: Der Ablauf folgt einem bewährten Vier-Phasen-Modell, das für Transparenz und Nachvollziehbarkeit sorgt.

  1. 1

    Vorbereitung und Scoping

    Gemeinsam definieren wir den Prüfumfang, die Prüfkriterien und den Zeitrahmen. Bei einem ISO 27001-Audit orientiert sich der Scope am Geltungsbereich des ISMS. Bei IT-Audits und Lieferantenaudits legen wir die zu prüfenden Systeme, Prozesse oder Standorte fest. Am Ende steht ein Auditplan mit klaren Verantwortlichkeiten.

  2. 2

    Dokumentenprüfung

    Vor der eigentlichen Prüfung sichten wir die relevante Dokumentation: Richtlinien, Prozessbeschreibungen, Risikoanalysen, Schulungsnachweise und vorherige Auditberichte. So identifizieren wir bereits vorab potenzielle Schwerpunkte für die Vor-Ort-Prüfung.

  3. 3

    Vor-Ort-Prüfung oder Remote-Audit

    Im Kern des Audits prüfen wir die Umsetzung in der Praxis: Interviews mit Verantwortlichen, Stichproben an Systemen und Prozessen, Begehung von Räumlichkeiten. Je nach Anforderung erfolgt die Prüfung vor Ort oder als Remote-Session. Feststellungen werden direkt dokumentiert und klassifiziert.

  4. 4

    Auditbericht und Maßnahmenplan

    Alle Feststellungen werden in einem strukturierten Auditbericht zusammengefasst: Nichtkonformitäten, Beobachtungen, positive Befunde und konkrete Handlungsempfehlungen. Der begleitende Maßnahmenplan priorisiert die Umsetzung nach Risiko und Aufwand.

First Party, Second Party, Third Party: Audit-Typen erklärt

Je nach Auftraggeber und Zielsetzung unterscheidet man drei Audit-Typen. Alle drei spielen in der Informationssicherheit eine zentrale Rolle.

First Party Audit

Internes Audit: Das Unternehmen prüft sich selbst oder beauftragt einen externen Dienstleister mit der Durchführung. Ziel ist die Selbstbewertung und die Vorbereitung auf externe Prüfungen. ISO 27001 fordert regelmäßige interne Audits als festen Bestandteil des ISMS.

Second Party Audit

Lieferantenaudit oder Kundenaudit: Eine externe Partei mit direktem geschäftlichem Interesse prüft die andere. Typische Anlässe sind Lieferanten-Onboarding, Vertragsreview, regulatorische Anforderungen oder die Nachverfolgung nach einem Sicherheitsvorfall in der Lieferkette.

Third Party Audit

Zertifizierungsaudit: Eine unabhängige, akkreditierte Stelle prüft das Managementsystem gegen einen Standard (z.B. ISO 27001). Das Ergebnis ist ein Zertifikat mit definierter Gültigkeit. Mehr dazu auf unserer Seite ISMS & ISO 27001.

Wann ist ein Lieferantenaudit sinnvoll?

  • Onboarding: Neuer Lieferant mit Zugang zu sensiblen Daten oder Systemen
  • Vertragsreview: Regelmäßige Prüfung bestehender Dienstleister
  • Regulatorik: Nachweis der Lieferkettenüberwachung für NIS-2, DORA oder KRITIS
  • Vorfall: Nachverfolgung nach Sicherheitsvorfällen in der Lieferkette

Was passiert ohne regelmäßige Audits?

Audits sind kein Selbstzweck. Wer die Prüfung aufschiebt, riskiert konkrete Konsequenzen: regulatorisch, vertraglich und in der Lieferkette.

Regulatorische Bußgelder

NIS-2, DORA und KRITIS fordern belastbare Nachweise. Ohne Audits fehlt die Dokumentation, die Aufsichtsbehörden im Ernstfall verlangen.

Zertifikatsverlust

ISO 27001-Zertifikate verfallen ohne interne Audits und Überwachungsprüfungen. Rezertifizierung ohne Vorbereitung wird zum Risiko.

Verlorene Kundenaufträge

Großkunden und öffentliche Auftraggeber verlangen Audit-Nachweise als Bedingung für die Zusammenarbeit. Ohne Nachweis kein Zuschlag.

Haftung in der Lieferkette

Vorfälle bei Dienstleistern werden zum eigenen Problem, wenn die Lieferantenprüfung nicht dokumentiert ist. Sorgfaltspflicht schützt nur mit Nachweis.

Warum ein externer Audit-Partner?

Interne Audits durch eigene Mitarbeitende können durch Betriebsblindheit oder Interessenkonflikte eingeschränkt sein. Ein externer Audit-Partner bringt drei entscheidende Vorteile.

Unabhängigkeit und Objektivität

Externe Auditoren haben keine organisatorischen Abhängigkeiten und bewerten neutral. Das erhöht die Glaubwürdigkeit der Ergebnisse gegenüber der Geschäftsleitung, Kunden und Aufsichtsbehörden.

Branchenübergreifende Erfahrung

Wer regelmäßig in verschiedenen Unternehmen und Branchen auditiert, erkennt Schwachstellen schneller und bringt bewährte Lösungsansätze mit. Dieses Know-how fließt direkt in die Handlungsempfehlungen ein.

Belastbare Nachweise für Stakeholder

Auditberichte eines externen Dienstleisters haben höheres Gewicht bei Kunden, Partnern und Regulierungsbehörden. Sie dokumentieren die Sorgfaltspflicht Ihres Unternehmens nachvollziehbar und unabhängig.

Häufig gestellte Fragen

Was wird bei einem ISO 27001-Audit geprüft?

Ein ISO 27001-Audit prüft, ob das Informationssicherheits-Managementsystem (ISMS) die Anforderungen der Norm erfüllt und wirksam betrieben wird. Konkret werden die ISMS-Dokumentation (Richtlinien, Risikobeurteilung, Statement of Applicability), die Umsetzung der anwendbaren Annex-A-Controls, die Nachweise für Management-Reviews und interne Audits sowie die gelebte Praxis im Tagesgeschäft geprüft. Auditor:innen führen Interviews mit Mitarbeitenden, sichten Dokumente und verfolgen Prozesse stichprobenartig nach.

Was ist ein IT-Audit?

Ein IT-Audit ist eine systematische Prüfung der IT-Infrastruktur, IT-Prozesse und IT-Sicherheitsmaßnahmen eines Unternehmens. Dabei werden technische Konfigurationen, Zugriffskontrollen, Patch-Management, Backup-Strategien und die Einhaltung interner Richtlinien bewertet. Das Ergebnis ist ein Bericht mit identifizierten Schwachstellen, Risikobewertungen und konkreten Handlungsempfehlungen. IT-Audits können als eigenständige Prüfung oder als Teil eines umfassenderen Sicherheitsaudits durchgeführt werden.

Wie läuft ein Sicherheitsaudit ab?

Ein Sicherheitsaudit folgt einem strukturierten Ablauf in vier Phasen: In der Vorbereitung werden Scope, Ziele und Prüfkriterien festgelegt. Bei der Dokumentenprüfung werden bestehende Richtlinien, Prozessbeschreibungen und Nachweise gesichtet. In der Vor-Ort-Prüfung oder Remote-Session werden Systeme, Konfigurationen und Abläufe in der Praxis überprüft. Abschließend werden die Ergebnisse in einem Auditbericht dokumentiert, der Feststellungen, Risikobewertungen und einen Maßnahmenplan enthält.

Wie oft muss ein ISO 27001-Audit durchgeführt werden?

ISO 27001 fordert regelmäßige interne Audits in geplanten Abständen. In der Praxis bedeutet das mindestens einmal jährlich ein vollständiges internes Audit des ISMS. Für zertifizierte Unternehmen kommen jährliche Überwachungsaudits durch den Zertifizierer hinzu. Nach drei Jahren steht ein Rezertifizierungsaudit an. Unabhängig von diesen Pflichten empfiehlt sich die Durchführung anlassbezogener Audits, etwa nach Sicherheitsvorfällen, organisatorischen Änderungen oder der Einführung neuer Systeme.

Wie lange dauert ein Audit und wie aufwendig ist das für unser Team?

Die Dauer hängt vom Prüfumfang und der Größe des Geltungsbereichs ab. Ein internes ISMS-Audit mittlerer Größe umfasst in der Regel ein bis drei Tage Vor-Ort-Prüfung. Die eigentliche Dokumentenprüfung erfolgt vorab und bindet Ihr Team nur punktuell. Während der Prüfung führen wir stichprobenartig Interviews mit Verantwortlichen, meist 30 bis 60 Minuten pro Person. Der laufende Betrieb wird nicht unterbrochen. Nach Abschluss erhalten Sie einen strukturierten Auditbericht inklusive Maßnahmenplan.

Wie wird ein Lieferantenaudit auf unser Unternehmen zugeschnitten?

Der Prüfumfang richtet sich nach der Kritikalität des Lieferanten, dem Zugriff auf sensible Daten oder Systeme und den regulatorischen Anforderungen an Ihre Branche. Remote-Audits eignen sich für standardisierte Prüfungen, Vor-Ort-Audits für sicherheitskritische Dienstleister. Im Erstgespräch klären wir gemeinsam den Scope, die Prüfkriterien und die Priorisierung. Das Ergebnis ist ein nachvollziehbarer Auditbericht, den Sie als Compliance-Nachweis gegenüber Kunden und Aufsichtsbehörden einsetzen können.

Verwandte Leistungen

Audits stehen selten isoliert. Diese Leistungen ergänzen unsere Audit-Dienstleistungen sinnvoll.

ISMS & ISO 27001

ISMS aufbauen, Gap-Analyse durchführen und ISO 27001-Zertifizierung vorbereiten. Beratung für den gesamten Zertifizierungsprozess.

Mehr erfahren

Informationssicherheit

Grundlagen, Schutzziele und regulatorische Anforderungen. Die Übersichtsseite zur Informationssicherheit für den Mittelstand.

Mehr erfahren

Compliance Management

Compliance-Management-Systeme aufbauen, regulatorische Anforderungen strukturiert umsetzen und Nachweispflichten erfüllen.

Mehr erfahren

Prüfumfang im Erstgespräch klären

Ob ISO 27001-Audit, IT-Sicherheitsaudit oder Lieferantenaudit: Wir definieren den Prüfumfang gemeinsam und liefern belastbare Ergebnisse. Sprechen Sie mit unserem Team.

Audit anfragen