Ein Security Audit folgt einem strukturierten Prozess in fünf Phasen. Der Ablauf bestimmt die Qualität des Ergebnisses. Dieser Artikel erklärt jeden Schritt praxisnah — von der Planung bis zum Follow-up.
Was sind die 5 Phasen eines Security Audits
Phase 1 Planung: Scope, Ziele, Kriterien, Ressourcen, Zeitplan, rechtliche Grundlage. Phase 2 Vorbereitung: Dokumentensammlung, Prüffragebogen erstellen, Interviewpartner und Termine festlegen. Phase 3 Durchführung: Dokumentenprüfung, Interviews, technische Tests, Beobachtungen. Phase 4 Berichterstattung: Findings aufbereiten, klassifizieren, Report erstellen. Phase 5 Follow-up: Maßnahmenplan verfolgen, Reaudit.
Was passiert bei der Audit-Vorbereitung
Vorbereitung für Auditoren: Prüfkatalog erstellen (ISO-27001-Controls, NIS2-Anforderungen, Custom-Checks), Dokumentenanforderungsliste senden, Interviewtermine planen, technischen Zugang (Scan-Berechtigung) klären, Kickoff-Meeting zur Erwartungsabstimmung. Vorbereitung für Auditierte: Dokumente zusammenstellen, Mitarbeiter informieren, technischen Zugang vorbereiten.
Wie werden Interviews im Audit durchgeführt
Audit-Interviews: strukturierte Gespräche mit Verantwortlichen zu ihren Bereichen. Ziel: Verständnis wie Prozesse tatsächlich gelebt werden (nicht nur dokumentiert sind). Typische Interviewpartner: IT-Leiter, ISB/CISO, System-Admins, HR, GF, ausgewählte Mitarbeiter. Dauer: 30–90 Minuten. Auditoren protokollieren Aussagen.
Wie entsteht ein Auditbericht
Auditbericht-Struktur: Executive Summary, Gesamtbewertung, Scope und Methodik, Findings nach Priorität (Kritisch, Hoch, Mittel, Niedrig), je Finding: Beschreibung, Evidenz, Risiko, Empfehlung, Anhang (Interviewliste, Prüfkatalog). Report nach Audit typisch innerhalb 5–10 Arbeitstage. Vorläufige Ergebnisse oft im Abschluss-Meeting.
Was ist ein Reaudit
Reaudit: Überprüfung ob Maßnahmen aus dem Erstaudit umgesetzt wurden. Typischer Anlass: kritische oder hohe Findings, ISO-27001-Zertifizierungsprozess, Kundenforderung. Umfang: nur die offenen Findings, nicht das vollständige Audit. Timing: 3–6 Monate nach Erstaudit. Ergebnis: Bestätigung der Behebung oder neue Findings.
✓ Checkliste: Wie läuft ein Security Audit ab?
- Verantwortlichkeiten klar definiert
- Dokumentation vollständig und aktuell
- Risikoanalyse durchgeführt
- Maßnahmen priorisiert und umgesetzt
- Mitarbeiter geschult
- Regelmäßige Überprüfung geplant
- Management informiert und eingebunden
- Compliance-Anforderungen erfüllt
- Technische Maßnahmen implementiert
- Auditierbarkeit sichergestellt
Fazit
Das Thema Wie läuft ein Security Audit ab? ist für moderne Unternehmen unverzichtbar. Es schützt vor Risiken, erfüllt regulatorische Anforderungen und schafft Vertrauen bei Kunden und Partnern. APASEC unterstützt Sie dabei — von der ersten Analyse bis zur nachhaltigen Umsetzung.
APASEC unterstützt Sie bei der professionellen Umsetzung — praxisnah und auf Ihr Unternehmen zugeschnitten. Jetzt unverbindlich anfragen →
Häufige Fragen (FAQ)
Phase 1 Planung: Scope, Ziele, Kriterien, Ressourcen, Zeitplan, rechtliche Grundlage. Phase 2 Vorbereitung: Dokumentensammlung, Prüffragebogen erstellen, Interviewpartner und Termine festlegen. Phase 3 Durchführung: Dokumentenprüfung, Interviews, technische Tests, Beobachtungen. Phase 4 Berichterstattung: Findings aufbereiten, klassifizieren, Report erstellen. Phase 5 Follow-up: Maßnahmenplan verfolgen, Reaudit.
Vorbereitung für Auditoren: Prüfkatalog erstellen (ISO-27001-Controls, NIS2-Anforderungen, Custom-Checks), Dokumentenanforderungsliste senden, Interviewtermine planen, technischen Zugang (Scan-Berechtigung) klären, Kickoff-Meeting zur Erwartungsabstimmung. Vorbereitung für Auditierte: Dokumente zusammenstellen, Mitarbeiter informieren, technischen Zugang vorbereiten.
Audit-Interviews: strukturierte Gespräche mit Verantwortlichen zu ihren Bereichen. Ziel: Verständnis wie Prozesse tatsächlich gelebt werden (nicht nur dokumentiert sind). Typische Interviewpartner: IT-Leiter, ISB/CISO, System-Admins, HR, GF, ausgewählte Mitarbeiter. Dauer: 30–90 Minuten. Auditoren protokollieren Aussagen.
Auditbericht-Struktur: Executive Summary, Gesamtbewertung, Scope und Methodik, Findings nach Priorität (Kritisch, Hoch, Mittel, Niedrig), je Finding: Beschreibung, Evidenz, Risiko, Empfehlung, Anhang (Interviewliste, Prüfkatalog). Report nach Audit typisch innerhalb 5–10 Arbeitstage. Vorläufige Ergebnisse oft im Abschluss-Meeting.
Reaudit: Überprüfung ob Maßnahmen aus dem Erstaudit umgesetzt wurden. Typischer Anlass: kritische oder hohe Findings, ISO-27001-Zertifizierungsprozess, Kundenforderung. Umfang: nur die offenen Findings, nicht das vollständige Audit. Timing: 3–6 Monate nach Erstaudit. Ergebnis: Bestätigung der Behebung oder neue Findings.