ISO 27001 Audit-Vorbereitung: Checkliste für Stage-1 & Stage-2

Letzte Aktualisierung:

ISO 27001 Zertifizierungsaudit vorbereiten: Checkliste für Stage-1 und Stage-2, typische Audit-Fragen, Dokumentenprüfung und Nonconformities vermeiden.

Sie haben Monate in den Aufbau Ihres Informationssicherheits-Managementsystems nach ISO 27001 investiert. Richtlinien geschrieben, Prozesse definiert, Mitarbeiter geschult. Jetzt steht das Zertifizierungsaudit bevor – der Moment der Wahrheit. Die gute Nachricht: Mit der richtigen Vorbereitung ist ein ISO-27001-Audit kein Hexenwerk. Dieser Leitfaden zeigt Ihnen, wie Sie sich optimal auf beide Audit-Phasen vorbereiten und typische Stolpersteine vermeiden.

Aufbau des ISO 27001 Zertifizierungsaudits

Das Zertifizierungsaudit nach ISO 27001 erfolgt in zwei klar getrennten Phasen. Diese Zweiteilung ist nicht willkürlich, sondern folgt einer Logik: Erst wird die Dokumentation geprüft, dann die praktische Umsetzung.

Stage-1-Audit: Dokumentenprüfung und Audit-Reife

Das Stage-1-Audit ist primär eine Dokumentenprüfung. Der Auditor bewertet, ob Ihr ISMS auf dem Papier die Anforderungen der ISO 27001 erfüllt. Diese Phase dauert typischerweise 1-2 Tage und kann remote oder vor Ort stattfinden.

Was wird geprüft:

  • Vollständigkeit der ISMS-Dokumentation
  • Scope-Definition und Anwendungsbereich
  • Informationssicherheitsleitlinie
  • Risikoanalyse und Risikobehandlungsplan
  • Statement of Applicability (SoA)
  • Prozessdokumentation für alle relevanten Bereiche
  • Nachweise für interne Audits und Management-Reviews

Ziel des Stage-1-Audits: Der Auditor will sicherstellen, dass Ihr Unternehmen grundsätzlich audit-bereit ist. Schwerwiegende Dokumentationslücken würden ein erfolgreiches Stage-2-Audit unmöglich machen.

Typisches Ergebnis: Der Auditor identifiziert kleinere Lücken und gibt Empfehlungen. Sie erhalten 4-8 Wochen Zeit, diese zu schließen, bevor Stage-2 stattfindet.

Stage-2-Audit: Vor-Ort-Prüfung der praktischen Umsetzung

Das Stage-2-Audit ist deutlich umfangreicher und prüft die gelebte Praxis. Der Auditor verbringt 2-5 Tage vor Ort (abhängig von Unternehmensgröße und Scope) und untersucht, ob Ihr ISMS tatsächlich funktioniert.

Was wird geprüft:

  • Praktische Umsetzung dokumentierter Prozesse
  • Interviews mit Mitarbeitern auf verschiedenen Ebenen
  • Begehungen (Serverräume, Arbeitsplätze, Produktionsbereiche)
  • Stichproben: Sind Berechtigungen korrekt vergeben? Funktionieren Backups?
  • Nachweisführung: Schulungen, Vorfallbearbeitung, Änderungsmanagement
  • Wirksamkeit implementierter Controls
  • Bewusstsein der Mitarbeiter für Informationssicherheit

Fokus: Der Auditor will sehen, dass Informationssicherheit im Unternehmen gelebt wird – nicht nur dokumentiert.

Mehr zum grundsätzlichen Ablauf einer ISO-27001-Implementierung finden Sie im Artikel ISMS implementieren: Warum ISO 27001 in drei Tagen nicht funktionieren kann.

Vorbereitung auf das Stage-1-Audit

Die Vorbereitung auf Stage-1 ist primär eine Dokumentationsaufgabe. Die folgenden Elemente müssen vollständig, aktuell und widerspruchsfrei vorliegen.

Pflichtdokumente für Stage-1

1. Scope-Definition (Anwendungsbereich)

  • Welche Bereiche, Standorte, Prozesse sind im ISMS?
  • Welche Ausschlüsse gibt es und warum?
  • Ist der Scope klar abgegrenzt und nachvollziehbar?

2. Informationssicherheitsleitlinie

  • Von der Geschäftsführung genehmigt
  • Kommuniziert an alle Mitarbeiter
  • Definiert Sicherheitsziele und -grundsätze

3. Risikoanalyse und Risikobehandlungsplan

  • Systematische Identifikation von Assets und Bedrohungen
  • Risikobewertung nach definierter Methodik
  • Risikobehandlungsentscheidungen für alle Risiken
  • Akzeptanz von Restrisiken durch Geschäftsführung

Ein detaillierter Leitfaden zur Risikoanalyse: Risikomanagement Informationssicherheit: ISO 27005 vs. BSI 200-3.

4. Statement of Applicability (SoA)

  • Alle 93 Controls aus Annex A bewertet
  • Begründung für anwendbare und nicht anwendbare Controls
  • Referenz auf Umsetzungsnachweise

5. Richtlinien und Verfahrensanweisungen

  • Zugriffskontrolle
  • Änderungsmanagement
  • Backup und Recovery
  • Incident Management
  • Business Continuity
  • Lieferantenmanagement
  • Kryptografie
  • … (je nach SoA)

6. Nachweise für ISMS-Wirksamkeit

  • Mindestens ein vollständiger Zyklus interner Audits
  • Management-Review mit Entscheidungen der Geschäftsführung
  • Dokumentierte Behandlung von Nonconformities aus internen Audits

Typische Stolpersteine in Stage-1

Fehlende Aktualität: Dokumente sind erstellt, aber nicht aktuell. Risikoanalyse von vor 18 Monaten, Richtlinien ohne Revisionsdatum, veraltetes SoA.

Lösung: Etabliere ein Dokumenten-Review vor dem Audit. Prüfe jedes Dokument auf Aktualität und Version.

Widersprüche zwischen Dokumenten: Die Zugriffskontroll-Richtlinie sagt etwas anderes als der Risikobehandlungsplan.

Lösung: Führe eine Konsistenzprüfung durch. Ein externer ISB sieht solche Widersprüche oft schneller als interne Mitarbeiter.

Unvollständiges SoA: Nicht alle 93 Controls sind bewertet, oder Begründungen fehlen.

Lösung: Nutze eine Checkliste aller Annex-A-Controls. Jeder Control braucht Status (applicable/not applicable) und Begründung.

Fehlende Nachweise für interne Audits: Interne Audits wurden durchgeführt, aber Berichte sind unvollständig oder Korrekturmaßnahmen nicht dokumentiert.

Lösung: Interne Audits müssen dokumentiert sein: Auditplan, Auditbericht, identifizierte Nonconformities, Korrekturmaßnahmen, Follow-up.

Vorbereitung auf das Stage-2-Audit

Stage-2 ist anspruchsvoller, weil hier die praktische Umsetzung zählt. Papier ist geduldig – gelebte Prozesse nicht.

Mitarbeiter auf Interviews vorbereiten

Der Auditor wird mit verschiedenen Mitarbeitern sprechen: von der Geschäftsführung über IT-Mitarbeiter bis zu Endbenutzern. Typische Fragen:

Geschäftsführung:

  • Welche strategische Bedeutung hat Informationssicherheit für Ihr Unternehmen?
  • Wie stellen Sie sicher, dass das ISMS wirksam ist?
  • Welche Ressourcen stellen Sie für Informationssicherheit bereit?
  • Wie werden Sie über Sicherheitsrisiken informiert?

ISB/ISMS-Verantwortlicher:

  • Wie identifizieren Sie neue Risiken?
  • Wie stellen Sie sicher, dass Richtlinien eingehalten werden?
  • Wie messen Sie die Wirksamkeit implementierter Maßnahmen?
  • Welche Sicherheitsvorfälle gab es im letzten Jahr?

IT-Mitarbeiter:

  • Wie vergeben Sie Benutzerberechtigungen?
  • Wie testen Sie Backup-Wiederherstellungen?
  • Wie gehen Sie mit Schwachstellen um?
  • Welche Sicherheitsmaßnahmen haben Sie zuletzt implementiert?

Endbenutzer:

  • Was tun Sie, wenn Sie eine verdächtige E-Mail erhalten?
  • Wissen Sie, was Sie bei einem Sicherheitsvorfall tun müssen?
  • Welche Sicherheitsrichtlinien kennen Sie?
  • Haben Sie eine Schulung zur Informationssicherheit erhalten?

Vorbereitung:

  1. Awareness-Schulung für alle Mitarbeiter vor dem Audit
  2. Mock-Interviews mit Schlüsselpersonen durchführen
  3. Cheat-Sheets mit wichtigsten ISMS-Fakten bereitstellen
  4. Ehrlichkeit vor Perfektion: Besser “weiß ich nicht, frage ich nach” als falsche Antworten

Details zur Schulungspflicht: NIS-2 Schulungspflicht für Geschäftsführer (§ 38 BSIG) – diese Anforderungen gelten auch für ISO 27001.

Nachweise strukturiert bereitstellen

Der Auditor wird Nachweise für implementierte Controls sehen wollen. Bereite diese vor:

Zugriffskontrolle (A.5.15-A.5.18, A.8.2-A.8.5):

  • Liste aller Benutzerkonten mit Berechtigungen
  • Nachweise für regelmäßige Berechtigungsreviews
  • Dokumentation der letzten Zugriffsrechte-Rezertifizierung
  • Multi-Faktor-Authentifizierung: Wo implementiert?

Backup und Recovery (A.8.13):

  • Backup-Strategie: Was wird wann gesichert?
  • Nachweise erfolgreicher Backups (Logs)
  • Dokumentierte Restore-Tests (wann zuletzt durchgeführt?)
  • Offsite-Backup: Wo und wie?

Schwachstellenmanagement (A.8.8):

  • Prozess zur Schwachstellenerkennung
  • Liste aktuell bekannter Schwachstellen mit Status
  • Nachweise für Patch-Management
  • Eskalationsprozess für kritische Schwachstellen

Schulungen (A.6.3):

  • Schulungsplan für das Jahr
  • Teilnehmerlisten aller durchgeführten Schulungen
  • Schulungsinhalte und -materialien
  • Erfolgskontrollen (z. B. Phishing-Simulationen)

Vorfallmanagement (A.5.24-A.5.28):

  • Incident-Response-Plan
  • Log aller Sicherheitsvorfälle im Audit-Zeitraum
  • Dokumentierte Vorfallbehandlung (mindestens ein Beispiel)
  • Lessons-Learned-Berichte

Für NIS-2-betroffene Unternehmen sind Meldepflichten besonders wichtig: Die 10 NIS-2-Mindestmaßnahmen nach § 30 BSIG.

Begehungen vorbereiten

Der Auditor wird physische Sicherheitsmaßnahmen in Augenschein nehmen:

Serverraum/Rechenzentrum:

  • Zugangskontrolle funktioniert?
  • Brandschutz vorhanden?
  • Klimatisierung, USV, Notabschaltung?
  • Dokumentation vor Ort (z. B. Notfallpläne)?

Arbeitsplätze:

  • Clean-Desk-Policy: Werden Unterlagen weggeschlossen?
  • Bildschirmsperren aktiv?
  • Besucher erkennbar (Badges)?
  • Vernichtung vertraulicher Dokumente?

Produktionsbereiche (bei OT-Security relevant):

  • Trennung von IT und OT-Netzen?
  • Zugriffskontrolle auf Produktionssysteme?
  • Dokumentation sicherheitsrelevanter Konfigurationen?

Mehr zu OT-Security: OT-Security für Produktionsunternehmen: IT und OT sicher verbinden.

Typische Nonconformities und wie Sie sie vermeidest

Aus Audit-Erfahrungen lassen sich typische Mängel identifizieren, die immer wieder auftreten.

Minor Nonconformities (NC2)

1. Unvollständige Schulungsnachweise

  • Problem: Schulungen wurden durchgeführt, aber Teilnehmerlisten fehlen oder sind unvollständig.
  • Lösung: Strukturiertes Schulungsmanagement mit Anwesenheitslisten, Schulungsinhalten und Datum.

2. Veraltete Dokumentation

  • Problem: Richtlinien ohne Revisionsdatum oder Review-Zyklus.
  • Lösung: Dokumenten-Review-Prozess etablieren. Jährliche Prüfung aller Richtlinien.

3. Fehlende Nachweise für Reviews

  • Problem: Berechtigungen werden rezertifiziert, aber Nachweise fehlen.
  • Lösung: Jeder Review-Prozess muss dokumentiert werden: Wer hat wann was geprüft?

Major Nonconformities (NC1)

1. Fehlende oder unvollständige Risikoanalyse

  • Problem: Wesentliche Assets nicht erfasst, Risikoanalyse über 2 Jahre alt.
  • Lösung: Risikoanalyse mindestens jährlich aktualisieren. Neue Systeme/Prozesse aufnehmen.

2. Keine internen Audits durchgeführt

  • Problem: ISMS existiert, aber keine internen Audits.
  • Lösung: Internes Audit-Programm etablieren. Mindestens ein vollständiger Zyklus vor Zertifizierung.

3. Management-Review fehlt oder unvollständig

  • Problem: Geschäftsführung hat sich nicht mit ISMS-Wirksamkeit befasst.
  • Lösung: Mindestens ein Management-Review pro Jahr mit dokumentierten Entscheidungen.

4. Nicht getestete Backups

  • Problem: Backups laufen, aber Restore-Tests wurden nie durchgeführt.
  • Lösung: Regelmäßige Restore-Tests (quartalsweise) und Dokumentation.

5. SoA stimmt nicht mit Risikoanalyse überein

  • Problem: Controls im SoA als “nicht anwendbar” markiert, obwohl Risikoanalyse sie fordert.
  • Lösung: Konsistenzprüfung zwischen Risikoanalyse, Risikobehandlungsplan und SoA.

Checkliste: 4 Wochen vor dem Audit

8 Wochen vorher:

  • [ ] Vollständigkeit aller ISMS-Dokumente prüfen
  • [ ] Interne Audits durchführen und dokumentieren
  • [ ] Identifizierte Nonconformities aus internen Audits beheben
  • [ ] Management-Review abhalten und dokumentieren

4 Wochen vorher:

  • [ ] Mitarbeiter-Schulungen durchführen
  • [ ] Nachweisordner strukturieren (digital und physisch)
  • [ ] Mock-Interviews mit Schlüsselpersonen
  • [ ] Begehungsplan mit Auditor abstimmen

2 Wochen vorher:

  • [ ] Finale Dokumentenprüfung
  • [ ] Arbeitsplätze für Begehung vorbereiten
  • [ ] Ansprechpartner für Audit festlegen und informieren
  • [ ] Räumlichkeiten für Auditor organisieren

1 Woche vorher:

  • [ ] Finale Awareness-Reminder an alle Mitarbeiter
  • [ ] Zugang zu allen relevanten Systemen sicherstellen
  • [ ] Backup der Dokumentation anlegen
  • [ ] Ruhe bewahren :)

Nach dem Audit: Umgang mit Findings

Selbst bei guter Vorbereitung sind kleinere Findings normal. Wichtig ist der professionelle Umgang damit:

Bei Minor Nonconformities (NC2):

  1. Ursachenanalyse: Warum ist die Abweichung aufgetreten?
  2. Korrekturmaßnahme definieren
  3. Umsetzungsfrist mit Auditor vereinbaren (typisch: 90 Tage)
  4. Nachweis der Behebung an Auditor senden

Bei Major Nonconformities (NC1):

  1. Sofortige Korrekturmaßnahme einleiten
  2. Wurzelursache identifizieren
  3. Systematische Lösung implementieren
  4. Follow-up-Audit vereinbaren (zusätzliche Kosten!)

Bei Observations (Verbesserungsvorschläge):

  • Nicht verpflichtend, aber oft wertvoll
  • Für kontinuierliche Verbesserung nutzen
  • Im nächsten Management-Review diskutieren

Die Rolle eines externen ISB bei der Audit-Vorbereitung

Viele Unternehmen setzen einen externen ISB ein, um die Audit-Vorbereitung zu koordinieren. Die Vorteile:

  • Erfahrung aus anderen Audits: Kenntnis typischer Auditor-Fragen und -Erwartungen
  • Objektiver Blick: Erkennt Lücken, die intern übersehen werden
  • Audit-Simulation: Führt Pre-Audits durch und identifiziert Schwachstellen vorab
  • Dokumentenprüfung: Stellt Vollständigkeit und Konsistenz sicher
  • Mitarbeiter-Coaching: Bereitet Schlüsselpersonen auf Interviews vor
  • Auditor-Kommunikation: Professionelle Abstimmung mit Zertifizierungsstelle

Die Kosten für einen externen ISB sind überschaubar im Vergleich zum Risiko eines gescheiterten Audits: Externer ISB Kosten 2026. Ob Sie einen internen oder externen ISB benötigen, beantwortet der Artikel ISB einstellen oder extern vergeben?.

Wenn Sie strategische Führung auf C-Level brauchen, kann auch ein vCISO sinnvoll sein.

Integration mit anderen Compliance-Anforderungen

ISO 27001 existiert selten isoliert. Die meisten Unternehmen müssen parallel andere Anforderungen erfüllen:

DSGVO: Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO überschneiden sich stark mit ISO 27001. Nutze Synergien: DSGVO & ISO 27001: Integrierte Compliance-Strategie.

NIS-2: Für betroffene Unternehmen sind die 10 Mindestmaßnahmen nach § 30 BSIG weitgehend deckungsgleich mit ISO-27001-Controls.

BSI IT-Grundschutz: Wer IT-Grundschutz umsetzt, erfüllt bereits viele ISO-27001-Anforderungen: ISO 27001 vs. BSI IT-Grundschutz.

Business Continuity: BCM ist sowohl ISO-27001- als auch NIS-2-Anforderung: Business Continuity Management nach BSI 200-4.

Häufig gestellte Fragen (FAQ)

Wie lange dauert ein ISO 27001 Zertifizierungsaudit insgesamt?

Das Zertifizierungsaudit erfolgt in zwei Phasen: Stage-1 dauert typischerweise 1-2 Tage und kann remote stattfinden. Stage-2 ist umfangreicher mit 2-5 Tagen vor Ort, abhängig von Unternehmensgröße und Scope. Zwischen beiden Phasen liegen üblicherweise 4-8 Wochen, damit Sie identifizierte Lücken schließen können. Insgesamt sollten Sie einen Zeitraum von 2-3 Monaten vom Stage-1-Audit bis zur Zertifikatserteilung einplanen.

Was passiert, wenn das Audit nicht bestanden wird?

Bei Minor Nonconformities (NC2) erhalten Sie eine Frist von typischerweise 90 Tagen zur Behebung und müssen Nachweise an den Auditor senden. Die Zertifizierung wird meist trotzdem erteilt. Bei Major Nonconformities (NC1) muss ein Follow-up-Audit stattfinden, bevor die Zertifizierung erteilt wird. Dies verursacht zusätzliche Kosten und verzögert die Zertifizierung um mehrere Wochen bis Monate. Ein komplett gescheitertes Audit ist bei guter Vorbereitung jedoch sehr selten.

Muss das Stage-1-Audit vor Ort stattfinden?

Nein, Stage-1 kann in den meisten Fällen remote durchgeführt werden, da es primär um Dokumentenprüfung geht. Sie stellen die Dokumente digital bereit und führen Online-Meetings mit dem Auditor. Stage-2 hingegen findet fast immer vor Ort statt, da hier Begehungen, physische Kontrollen und persönliche Mitarbeiter-Interviews im Vordergrund stehen.

Wie viele interne Audits müssen vor der Zertifizierung durchgeführt werden?

Mindestens ein vollständiger Zyklus interner Audits muss abgeschlossen sein. Das bedeutet: Alle Bereiche und Prozesse im ISMS-Scope müssen mindestens einmal auditiert worden sein. In der Praxis sollten Sie 3-6 Monate vor dem Zertifizierungsaudit mit internen Audits beginnen, damit Sie Zeit haben, identifizierte Nonconformities zu beheben und die Wirksamkeit der Korrekturmaßnahmen nachzuweisen.

Welche Mitarbeiter sollten auf das Audit vorbereitet werden?

Grundsätzlich alle Mitarbeiter im ISMS-Scope sollten eine Awareness-Schulung erhalten. Besonders wichtig sind jedoch: Geschäftsführung (strategische Fragen), ISB/ISMS-Verantwortlicher (detaillierte Prozessfragen), IT-Mitarbeiter (technische Implementierung) und Stichproben von Endbenutzern (praktisches Sicherheitsbewusstsein). Führen Sie Mock-Interviews mit Schlüsselpersonen durch, damit diese sich sicher fühlen.

Kann ein externer Berater beim Audit dabei sein?

Ja, ein externer ISB oder ISO-27001-Berater kann als Begleitung am Audit teilnehmen. Dies ist sogar empfehlenswert, da er zwischen Ihnen und dem Auditor vermitteln, Missverständnisse klären und spontane Nachfragen professionell beantworten kann. Der Berater darf jedoch nicht für Sie antworten – er unterstützt nur. Die Entscheidung liegt beim Unternehmen und sollte mit der Zertifizierungsstelle abgestimmt werden.

Wie detailliert müssen Nachweise dokumentiert sein?

Nachweise müssen nachvollziehbar, authentisch und aktuell sein. Für Schulungen reichen Teilnehmerlisten mit Datum und Thema. Für Berechtigungsreviews brauchen Sie eine Liste der geprüften Accounts mit Prüfdatum und Prüfer. Für Backup-Tests genügen Screenshots oder Logs der erfolgreichen Wiederherstellung mit Datum. Der Auditor will sehen, dass Prozesse tatsächlich durchgeführt wurden – nicht perfekte Dokumentation, sondern glaubwürdige Nachweise.

Was kostet ein ISO 27001 Zertifizierungsaudit?

Die Audit-Kosten hängen von Unternehmensgröße, Scope und Zertifizierungsstelle ab. Für kleine Unternehmen (bis 25 Mitarbeiter) liegen die Kosten bei 5.000-10.000 € für das Erstzertifizierungsaudit. Größere Unternehmen zahlen 15.000-30.000 € oder mehr. Hinzu kommen jährliche Überwachungsaudits (30-50 % der Erstzertifizierungskosten) und nach drei Jahren eine Rezertifizierung. Details finden Sie im Artikel ISO 27001 Kosten: Was die Zertifizierung wirklich kostet.

Fazit: Vorbereitung ist alles

Ein ISO-27001-Audit ist kein Glücksspiel. Mit strukturierter Vorbereitung, vollständiger Dokumentation und geschulten Mitarbeitern ist die Zertifizierung planbar erreichbar.

Die häufigsten Stolpersteine:

  1. Unvollständige Dokumentation → Systematische Vollständigkeitsprüfung
  2. Fehlende Nachweise → Strukturierte Nachweisführung etablieren
  3. Unvorbereitete Mitarbeiter → Awareness-Schulungen und Mock-Interviews
  4. Nicht gelebte Praxis → ISMS muss funktionieren, nicht nur dokumentiert sein

Ihr nächster Schritt: Nutzen Sie die Checklisten in diesem Artikel und beginnen Sie 8-12 Wochen vor dem Audit mit der systematischen Vorbereitung. Wenn Sie Unterstützung brauchen, kann ein externer ISB oder spezialisierter ISO-27001-Berater den Unterschied zwischen erfolgreichem und gescheitertem Audit machen.

Vor der Audit-Vorbereitung steht die Implementierung. Eine realistische Einschätzung des Zeitaufwands finden Sie hier: ISMS implementieren: Warum ISO 27001 in drei Tagen nicht funktionieren kann.

Für die Budgetplanung: ISO 27001 Kosten: Was die Zertifizierung wirklich kostet.

Bereit für Ihr ISO 27001 Audit?

ISO 27001 Audit-Vorbereitung

Checkliste für Stage-1 & Stage-2 Audits: Dokumentenprüfung, Implementierungsprüfung und typische Non-Conformities vermeiden.

Sie erhalten die Unterlagen per E-Mail. Kein Spam, jederzeit abbestellbar. Details in der Datenschutzerklärung.

  • Sofort per E-Mail
  • Praxiserprobte Vorlage
  • Jederzeit abbestellbar