Diese Webseite nutzt nur technisch notwendige Cookies – Datenschutzerklärung

Warum Interne Audits oft scheitert – und wie du diese richtig aufbaust

Internen Audit ISO 27001 - Steffen Lippke Security and Hacking Series

Interner Audit steht an?

Dieser Guide gibt Dir ein paar Praxis Tipps an die Hand.

Starten wir!

Inhalt verstecken
  1. 1 Was ist ein internes Audit?
  2. 2 Was passiert, wenn Unternehmen interne Audits ignorieren?
  3. 3 Warum scheitern Unternehmen an interne Audits?
    1. 3.1 Tödlicher Zeitdruck und nicht-verrechenbare Zeit
    2. 3.2 Schlampig und Halbwach im Büro
    3. 3.3 Angst vor Findings und Verschwinden lassen
    4. 3.4 Produktionsdisruption und Mitarbeiterschutz
    5. 3.5 Ist ja nur intern?!
    6. 3.6 Terminprobleme und Fingerpointing
    7. 3.7 Datenlage schlecht und was ist Doku?
    8. 3.8 Überall nur Transitionen
    9. 3.9 Keine Unterstützung der Geschäftsführung
  4. 4 Was dagegen machen, damit X besser läuft?
    1. 4.1 Internes Audit = Externes Audit – Ernstnehmen
    2. 4.2 Klare Abgrenzung für Transitionen
    3. 4.3 Immer Formell und professionell bleiben
    4. 4.4 Tiefer einblicken, besser prüfen, mehr dokumentieren
    5. 4.5 Was nicht geschrieben ist, existiert nicht
    6. 4.6 Internes Audit als Positives verkaufen
    7. 4.7 Immer die Dokumentations-Schulung durchführen
    8. 4.8 Verpasse nicht

Was ist ein internes Audit?

Ein internes Audit nach ISO/IEC 27001 oder TISAX (InfoSec) ist eine systematische, unabhängige und dokumentierte Überprüfung, ob das Informationssicherheits-Managementsystem (ISMS) eines Unternehmens den Anforderungen der ISO 27001 entspricht und wirksam umgesetzt sowie aufrechterhalten wird. Ziel des internen Audits: Das Ziel ist es, Schwachstellen, Abweichungen und Verbesserungspotenziale im ISMS zu identifizieren – bevor ein externes Audit (z. B. zur Zertifizierung) stattfindet. Es ist ein zentrales Element der kontinuierlichen Verbesserung gemäß dem PDCA-Zyklus (Plan-Do-Check-Act).

Ablauf eines internen Audits (vereinfacht)

  1. Auditplanung
    • Festlegen des Auditumfangs, der Ziele, Kriterien und des Zeitplans
  2. Auditdurchführung
    • Befragung von Mitarbeitenden
    • Einsicht in Dokumente und Nachweise
    • Prüfung technischer Dokumentation
  3. Auditbericht
    • Festhalten der Ergebnisse, inkl. Abweichungen und Verbesserungspotenziale
  4. Nachverfolgung
    • Maßnahmen zur Behebung von Abweichungen definieren
    • Umsetzung kontrollieren

Was passiert, wenn Unternehmen interne Audits ignorieren?

Chronische Überlastung im Unternehmen kann schnell dazu führen, dass Audits beiseite geschoben werden oder eine 1:1 Kopie des Audits des letzten Jahrs erstellt wird.

Externe Auditoren werfen bei ihrem Audit gerne einen Blick auf den internen Audit. Du kannst auch Berater beauftragen, um einen internen Audit durchzuführen, aber dieser brauch einen Ansprechpartner und viel Zeit von den Mitarbeitern.

Im schlimmsten Fall ist die Zertifizierung weg, wenn ein internes Audit nur halbgar oder gar nicht gemacht wurde. Das bedeutet, dass das Unternehmen alle seine Kunden von dem Verlust der Zertifizierung informieren muss. Einfach nur die Zertifizierung auf der Webseite still und heimlich ausblenden geht nicht …

Warum scheitern Unternehmen an interne Audits?

Das kann bei interne Audits können schiefgehen:

Tödlicher Zeitdruck und nicht-verrechenbare Zeit

Interne Audits brauchen Zeit. Ein externer Audit braucht 2,3 oder mehr Tage und durchläuft viele Abteilungen und Aspekte des Unternehmens. Ein internes Audit soll das Gleiche machen. Wenn der interne Auditor von Unternehmen selbst kommt, kann dieser tiefer eindringen, weil er die Policies schon kennt.

Schlampig und Halbwach im Büro

(Interne) Auditoren sind Menschen. Statt einer stoischen, trockenen Prüfung kann man gerne Chapter 4-10 aus der ISO 27001 „mal so“ als ok ankreuzen. Eine schlampige Arbeitsweise fällt Dir spätestens im externen Audit auf die Füße, da dort Beweise verlangt werden.

Angst vor Findings und Verschwinden lassen

Chefs geben gerne „unterbewusst“ die Anweisung keine Findings zu produzieren. Hier und da darf einen schwaches Improvement stehen, aber ja kein Major oder Minor! Eine solche toxische Umgebung ist nicht an Verbesserung interessiert.

Findings unter den Tisch kehren: Statt Findings als Wachstumspotenzial zu sehen, sind Findings was Schlechtes.

Produktionsdisruption und Mitarbeiterschutz

Interne Auditoren müssen Mitarbeiter befragen. Diese können aber ihre Zeit dafür nicht mit einem Kunden verrechnen und die Zeit fehlt für das dringende Kundenprojekt. Am Ende kann der interne Auditor von den Managern zurückgewiesen werden, da diese ihre Arbeitskraft schützen wollen.

Ist ja nur intern?!

Das interne Audit wird als unwichtig heruntergespielt, das es nur intern ist. Falsch! Seht es als eine Chance VOR dem externen Prüfer Fehler zu finden und zu beheben …

Terminprobleme und Fingerpointing

Im Sommer sind alle im Urlaub und vor Weihnachten muss jeder noch seine Zahlen polieren. Internes Audit, Nein Danke! Keiner möchte am Audit teilnehmen und alle zeigen auf den anderen.

Datenlage schlecht und was ist Doku?

Nichts dokumentiert, keine Logs und keine Ahnung: Statt Engineer erscheint der Praktikant im Audit und versucht das Audit zu überleben.

Überall nur Transitionen

Neue Tools, Prozesse und Co sind immer in einer fließenden Umwandlung. Soll der Auditor jetzt den neuen unfertigen Prozess bewerten oder schlechten Schulnoten für den alten Prozess wieder anschreiben?

Keine Unterstützung der Geschäftsführung

Ja, Ja internes Audit ist ganz wichtig. Trotzdem landet es auf der Todo-Liste auf Platz 2023001.

Was dagegen machen, damit X besser läuft?

Internes Audit = Externes Audit – Ernstnehmen

Am besten führst Du ein internes Audit wie ein externes Audit durch. Der einzige Unterschied ist, dass die Ansprechperson im Unternehmen fehlt. Du kennst die Fachexperten schon und führst die gleichen Interviews. Halte das Audit formell, kündige es rechtzeitig an, schreibe formelle Mails und setzen einen festen Plan für das Audit fest. Informiere die relevanten Führungskräfte über die Wichtigkeit des Audits, damit die Fachexperten auch zu den Interviews kommen.

Klare Abgrenzung für Transitionen

Wenn ein neues Tool eingeführt wird (Transititionsphase), dann lasse Dir von der Geschäftsführung klarstellen, ob Du den neuen Prozess oder den alten prüfen sollst. Das Gleiche gilt für die Dokumentation. Eine Policy, die in Draft vor sich hindümpelt, sollte nicht Teil der Prüfung sein.

Immer Formell und professionell bleiben

Verwende professionelle Sprache, sei vorbereitet bei jedem Meeting, habe eine Checkliste parat und prüfe jeden Punkt stoisch durch.

Interne Audits sollen keine Audits zweiter Wahl sein, sondern dem Unternehmen / Geschäftsführung helfen, Probleme rechtzeitig zu identifizieren und zu beheben.

Tiefer einblicken, besser prüfen, mehr dokumentieren

Externe Auditoren haben meist nur wenige Tage im Unternehmen Zeit. Die meiste Zeit sind diese mit der Dokumentationsprüfung beschäftigt. Du kennst die Doku schon und kannst nach Samples für die Umsetzung der Policies schauen. Du kannst mehr Zeit ansetzen als ein externer Prüfer haben darf, um mehr zu finden als der Externe es könnte.

Was nicht geschrieben ist, existiert nicht

Viele Interviewte versuchen mit Wortgewandtheit sich aus Dokumentationspflichten oder Prozessen herauszureden. Ausnahmen müssen dokumentiert und begründet sein.

Internes Audit als Positives verkaufen

Audits generell soll das Unternehmen und jeder Mitarbeiter nicht als gefährliche Bestie wahrnehmen. Ein Interview kann wie einem mündlichen Abitur wirken, sollte es aber nicht sein. Wenn Informationen direkt nicht parat sind, kann der Mitarbeiter die Daten im Nachgang beschaffen.

Immer die Dokumentations-Schulung durchführen

Bei jedem Meeting solltest Du die Mitarbeiter an die notwendige Dokumentation erinnern und gute Beispiele loben. Es geht nicht darum, die längste Doku zu schreiben, sondern nur das Notwendigste verständlich nachvollziehbar niederzuschreiben.

Verpasse nicht

  1. Coding
    Impossible List
  2. Risikomanagement meistern - Steffen Lippke Security and Hacking Series
    Warum Unternehmen mit Risikomanagement scheitern (Chance?)
  3. Datenschutzerklärung & Impressum
    Datenschutzerklärung & Impressum
  4. Java Programmieren lernen für Beginner - Steffen Lippke Coding und Hacking Tutorials
    Java programmieren lernen – OHNE Vorwissen starten 2026
  5. Externe Audits überleben - Steffen Lippke Security and Hacking Series
    Tipps für Audit Prüfung und Vorbereitung (ISO, SOC2,…
  6. ISMS erklärt 27000 - Steffen Lippke Hacking Series
    Was ist ein ISMS – einfache Erklärung ISO 27001 / 27002
  7. Was ist VPN - Hacking Series Steffen Lippke Tutorial GUIDE
    Was ist VPN + wie funktioniert es? Was bringt es? [2026]
  8. ISM QMS Doku einfach schreiben - Steffen Lippke Security and Hacking Series
    ISMS / QMS Dokumentation Motivation statt Frust [2026]
  9. Awareness-Erfolg statt Trainingsfrust - Security Schulung richtig
    Awareness-Erfolg statt Trainingsfrust – Security…
  10. Übersicht Gesetze und Regeln EU / Deutschland für die IT
    Übersicht Gesetze und Regeln EU / Deutschland für die IT

Author:

Steffen Lippke

Categories:

,

Updated:

Tags:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  1. Datenschutzerklärung & Impressum
    Datenschutzerklärung & Impressum
  2. Coding
    Impossible List
  3. Awareness-Erfolg statt Trainingsfrust - Security Schulung richtig
    Awareness-Erfolg statt Trainingsfrust – Security…