Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
ISMS

Audit-Vorbereitung in 4 Wochen statt 4 Monate: Das Drehbuch für die Geschäftsführung

SecTepe Redaktion
|
|
6 Min. Lesezeit

Die typische Audit-Vorbereitung im deutschen Mittelstand: 3 Monate Excel-Sammeln, 1 Monat Politur, 1 Woche Audit, 4 Wochen Nachbearbeitung. Halb der Aufwand entsteht, weil Belege in 12 Tools verstreut sind. Hier ist das Drehbuch, das das auf 4 Wochen Gesamt-Aufwand reduziert.

Warum klassische Audit-Vorbereitung 4 Monate dauert

  • Belege verstreut: Risiko-Register in Excel, Maßnahmen in Confluence, Asset-Liste in einer dritten Excel, Lieferanten in einer vierten, Logs in 5 Tools.
  • Versions-Chaos: welche Policy ist gültig? Wer hat zuletzt unterschrieben? Wann?
  • Manuelles Cross-Mapping: ISO 27001 A.5.34 ↔ welche Maßnahme ↔ welcher Beleg ↔ welcher Prüfer-Befund vom letzten Mal.
  • Reviews überfällig: 30 % der Policies sind älter als ein Jahr ohne dokumentiertes Review.
  • Mitarbeiter-Befragung: „Wann hast du das zuletzt gemacht?" als Quelle. Nicht audit-tauglich.

Das 4-Wochen-Drehbuch

Woche 1: Bestandsaufnahme aus der Plattform

  • Statement of Applicability (SoA): aus dem ISMS-Modul exportiert. Maßnahme ↔ Status ↔ verantwortlicher Owner ↔ Wirksamkeits-Bewertung.
  • Risiko-Register: aktueller Stand mit Treatment-Status und letztem Review-Datum pro Risiko.
  • Asset-Liste: vollständig, mit Schutzbedarf, Lifecycle, Eigentümer.
  • Lieferanten-Liste: aus dem TPRM-Modul mit Risiko-Score, Vertragsstatus, letztem Re-Assessment.
  • Vorfalls-Historie 12 Monate: aus Wazuh + Audit-Log, ohne Cherry-Picking.
  • Audit-Trail aller relevanten Genehmigungen: Risiko-Akzeptanz, Policy-Updates, Change-Approvals.

Wenn die Plattform diese Exports in einem Tag liefern kann, sind 75 % der klassischen Vorbereitungs-Zeit weg.

Woche 2: Lücken-Analyse und Quick-Wins

  • Review-Cycle-Lücken schließen: alle Policies/Controls/Assets ohne aktuellen Review identifizieren, Review-Workflow nachholen mit Dokumentation.
  • Wirksamkeits-Belege ergänzen: für jede behauptete Maßnahme ein konkreter Beleg im System (Screenshot, Konfigurations-Export, Log-Auszug).
  • Lieferanten-Re-Assessments triggern: jeder, der > 12 Monate nicht aktualisiert wurde, bekommt Self-Service-Anfrage.
  • Awareness-Training-Belege: Schulungsquoten und letzte Phishing-Simulation als PDF-Report.

Woche 3: Cross-Framework-Mapping und Pre-Audit

  • Cross-Framework-Mapping: ISO 27001 ↔ NIS-2DSGVO automatisch aus dem Multi-Framework-Modul. Lücken in einem Framework werden in den anderen sichtbar.
  • Pre-Audit intern: 2 Tage strukturiertes Self-Assessment mit Audit-Fragen-Katalog. Findings werden direkt im System dokumentiert.
  • Top-Findings beheben: typischerweise 5–10 Quick-Fixes (fehlende Unterschrift, veraltetes Dokument, fehlender Owner).

Woche 4: Audit-Begleitung

  • Auditor-Zugang: lesender Zugriff auf das Trust-Center / dedizierter Auditor-View. Auditor sieht Belege live, statt PDF-Pakete zu warten.
  • Begleitende Interviews vorbereitet: Owner pro Maßnahme weiß, welche Belege wo liegen.
  • Live-Findings tracken: jeder Befund wird sofort als Aufgabe im System angelegt – Nachbearbeitung beginnt während des Audits.

Die zwei häufigsten Audit-Befunde, die mit Plattform vermieden werden

  1. „Maßnahme behauptet, aber Wirksamkeit nicht nachgewiesen." Mit kontinuierlicher Plattform-Pflege: Wirksamkeit ist Pflicht-Feld pro Maßnahme.
  2. „Review-Zyklus überfällig." Mit Review-Cycle-Management: Reviews sind getriggert und dokumentiert, bevor der Auditor fragt.

Die Aufwand-Tabelle

PhaseKlassischMit Plattform
Belege sammeln~40 PT~5 PT
Versions-/Owner-Klärung~15 PT~2 PT
Cross-Mapping~10 PT~1 PT
Lücken-Schließung~25 PT~10 PT
Pre-Audit~10 PT~5 PT
Gesamt~100 PT~25 PT

75 PT (~50.000 € interner Aufwand) gespart pro Audit-Zyklus. Bei jährlichem Surveillance-Audit zahlt sich die Plattform allein über die Audit-Vorbereitungs-Zeit aus.

Was die GF im Audit nicht hören will

  • „Den Beleg für diese Maßnahme suche ich noch."
  • „Den Owner kann ich nicht mehr kontaktieren, der ist seit 6 Monaten weg."
  • „Die Policy haben wir, aber wir wissen nicht, welche Version aktuell gilt."
  • „Die Risiko-Akzeptanz wurde mündlich beschlossen."

Jeder dieser Sätze führt zu einem Befund. Befunde im ISO-Audit sind teuer: Nachprüfung, Re-Audit, im schlimmsten Fall Verzögerung des Zertifikats.

Fazit

Audit-Vorbereitung in 4 statt 16 Wochen ist keine Magie – sie ist eine Frage der Daten-Hygiene. Eine Plattform, die ISMS-Daten in einer Quelle führt, mit gepflegten Reviews, Audit-Trail und Cross-Framework-Mapping, macht das Audit zum Termin – nicht zum Quartals-Drama. Der ROI ergibt sich allein aus der gesparten internen Vorbereitungs-Zeit, ohne dass das eigentliche Sicherheitsplus der Plattform mit eingerechnet wäre.

Alle Artikel ansehen Mehr aus dieser Kategorie