Was ist ein Audit nach ISO 27001?

Ein ISO 27001 Audit ist eine systematische Überprüfung, ob das Informationssicherheitsmanagementsystem eines Unternehmens den Anforderungen der internationalen Norm ISO/IEC 27001 entspricht. Auditoren prüfen Richtlinien, Prozesse, Nachweise und technische Kontrollen. Ziel ist es, festzustellen, ob Informationssicherheitsrisiken angemessen behandelt werden und ob die Organisation ihre Sicherheitsziele wirksam erreicht.

Als CISA zertifiziertes Auditteam und Informationssicherheitsexperten haben wir Audits, Security Checks und technische Sicherheitsprüfungen in unterschiedlichen Umgebungen durchgeführt. Dazu gehören Industrie, Medizintechnik, Finanzwesen, Bildungsinstitutionen und Schweizer KMU. Diese Erfahrung zeigt immer wieder: Eine Norm ist nur dann wirksam, wenn sie im Alltag verstanden, umgesetzt und regelmässig überprüft wird.

Autor und fachliche Verantwortung:
Guido Marsch, CISA, ISO 27001 Auditor, Head of Cybersecurity und Artificial Intelligence bei Netsafe AG. Erfahrung in IT Audit, Informationssicherheit, Risikomanagement, Penetrationstests, technischen Sicherheitsprüfungen und Managementsystemen für Informationssicherheit.

Letzte fachliche Prüfung: Mai 2026

Ziele und Nutzen eines ISO 27001 Audits

  • Compliance nachweisen: Das Audit zeigt, ob das Informationssicherheitsmanagementsystem die Anforderungen der ISO 27001 erfüllt. Das ist ein wichtiges Signal für Kunden, Partner, Geschäftsleitung und Aufsichtsbehörden.
  • Risiken identifizieren und reduzieren: Auditoren erkennen Schwachstellen in Organisation, Prozessen und technischen Kontrollen. Daraus entstehen konkrete Massnahmen zur Verbesserung der Sicherheit.
  • Kontinuierliche Verbesserung fördern: Regelmässige Audits zeigen, ob Massnahmen wirksam sind und ob das Sicherheitsniveau mit der Entwicklung des Unternehmens Schritt hält.
  • Vertrauen stärken: Ein nachvollziehbar geprüftes Managementsystem schafft Vertrauen gegenüber Kunden, Lieferanten, Behörden und internen Anspruchsgruppen.

Unsere Erfahrung aus der Praxis

Unsere Stärke liegt nicht nur in der Normkenntnis, sondern in der Verbindung von Auditpraxis, technischer Prüfung und Risikomanagement. Wir prüfen nicht nur, ob Dokumente vorhanden sind. Wir prüfen, ob Sicherheitsmassnahmen nachvollziehbar, wirksam und im Betrieb wirklich gelebt werden.

Unsere Erfahrung umfasst unter anderem folgende Organisationen und Tätigkeiten:

  • Hewlett Packard Enterprise: Identifikation einer High Risk Sicherheitslücke.
  • Medipack AG: Penetrationstest und Audit.
  • Exigo AG: Security Check.
  • KV Luzern: Security Audit im Bildungsumfeld.
  • Hypothekarbank: Security Check im Finanzumfeld.
  • Dozententätigkeit: Unterricht in IT Sicherheit, Risikomanagement und Informationssicherheit.

Was beim ISO 27001 Audit wirklich zählt

Ein ISO 27001 Audit ist mehr als eine Dokumentenprüfung. Ein gutes Audit verbindet Normverständnis, technische Erfahrung und gesunden Menschenverstand. Entscheidend ist, ob Risiken erkannt, Verantwortlichkeiten geklärt, Massnahmen umgesetzt und Nachweise sauber geführt werden.

Besonders wichtig sind:

  • Scope: Der Geltungsbereich muss klar definiert sein. Ein schlechter Scope führt zu blinden Flecken.
  • Risikoanalyse: Risiken müssen nachvollziehbar bewertet und behandelt werden.
  • Statement of Applicability: Die Auswahl der Kontrollen muss begründet und aktuell sein.
  • Annex A Kontrollen: Sicherheitsmassnahmen müssen nicht nur beschrieben, sondern wirksam umgesetzt sein.
  • Management Review: Die Geschäftsleitung muss Informationssicherheit aktiv steuern.
  • Interne Audits: Die Organisation muss sich selbst regelmässig und kritisch prüfen.
  • Korrekturmassnahmen: Abweichungen müssen bearbeitet und ihre Wirksamkeit nachgewiesen werden.

Was wir bei einem technischen Audit konkret prüfen

Ein ISO 27001 Audit endet nicht bei Richtlinien und Konzepten. Gerade der technische Teil zeigt oft, ob Sicherheit wirklich funktioniert.

Wir prüfen unter anderem:

  • Systemstart und automatische Anmeldungen: Gibt es automatische Logins, ungesperrte Sessions oder unkontrollierten physischen Zugriff?
  • Passwortmanagement: Werden Passwortrichtlinien umgesetzt? Werden Passwörter unsicher gespeichert? Gibt es lokale Listen, Browser Speicher oder ungeschützte Ablagen?
  • Zugriffsrechte: Sind Berechtigungen aktuell? Haben ehemalige Mitarbeitende noch aktive Konten? Werden privilegierte Rechte regelmässig geprüft?
  • Patch Management: Werden Systeme aktuell gehalten? Gibt es Nachweise über Updates und Sicherheitskorrekturen?
  • Logging und Monitoring: Werden sicherheitsrelevante Ereignisse protokolliert und ausgewertet?
  • Backup und Wiederherstellung: Existieren Backups und wurde die Wiederherstellung tatsächlich getestet?
  • Notfallplanung: Gibt es Notfallpläne, Verantwortlichkeiten, Kontaktlisten und getestete Abläufe?
  • Netzwerksegmentierung: Sind kritische Systeme logisch getrennt und angemessen geschützt?
  • Firewall Regeln: Sind Regeln nachvollziehbar, aktuell und risikobasiert begründet?
  • Dokumentation: Sind Prozesse verständlich, aktuell und den zuständigen Personen bekannt?

Die häufigsten Schwachstellen in der Praxis

  • Notfallpläne existieren, wurden aber nie getestet.
  • Backups sind vorhanden, die Wiederherstellung wurde jedoch nicht geprüft.
  • Benutzerkonten ehemaliger Mitarbeitender sind weiterhin aktiv.
  • Passwörter werden unsicher gespeichert.
  • Prozesse sind dokumentiert, aber den Mitarbeitenden nicht bekannt.
  • Der Scope des Informationssicherheitsmanagementsystems ist zu eng gewählt.
  • Risikoanalysen sind veraltet oder zu allgemein formuliert.
  • Technische Kontrollen werden beschrieben, aber nicht nachweisbar betrieben.
  • Management Reviews finden formal statt, erzeugen aber keine wirksamen Entscheidungen.
  • Korrekturmassnahmen werden erstellt, aber ihre Wirksamkeit wird nicht geprüft.

Grundsätze der Auditierung nach ISO 19011

Die ISO 19011 beschreibt wichtige Grundsätze für Managementsystem Audits. Diese Grundsätze sind auch für ISO 27001 Audits relevant.

  • Integrität: Auditoren handeln ehrlich, sorgfältig und verantwortungsvoll.
  • Faire Darstellung: Ergebnisse werden klar, vollständig und wahrheitsgetreu berichtet.
  • Berufliche Sorgfalt: Audits werden kompetent und gewissenhaft durchgeführt.
  • Vertraulichkeit: Informationen aus dem Audit werden geschützt.
  • Unabhängigkeit: Objektivität erhöht die Glaubwürdigkeit der Ergebnisse.
  • Evidenzbasierter Ansatz: Schlussfolgerungen beruhen auf prüfbaren Nachweisen.
  • Risikobasierter Ansatz: Der Fokus liegt auf den Bereichen mit dem grössten Risiko.

Ablauf eines ISO 27001 Audits

  1. Planung und Scope
    Der Umfang, die Ziele, die relevanten Standorte, Systeme, Prozesse und Verantwortlichkeiten werden festgelegt.
  2. Dokumentenprüfung
    Richtlinien, Verfahren, Risikoanalysen, Nachweise, Berichte und Massnahmenpläne werden geprüft.
  3. Interviews und Stichproben
    Mitarbeitende, Verantwortliche und technische Betreiber werden befragt. Prozesse werden anhand konkreter Nachweise geprüft.
  4. Technische Prüfung
    Zugriffe, Systeme, Konfigurationen, Protokolle, Backups, Berechtigungen und Sicherheitskontrollen werden bewertet.
  5. Auditbericht
    Befunde, Abweichungen, Risiken und Empfehlungen werden verständlich dokumentiert.
  6. Follow up
    Massnahmen werden nachverfolgt und auf Wirksamkeit geprüft.

ISO 27001 Audit in der Schweiz

In der Schweiz ist ein ISO 27001 Audit besonders relevant, wenn Unternehmen personenbezogene Daten, geschäftskritische Informationen, Kundendaten oder regulierte Prozesse verarbeiten.

Zusätzlich zur ISO 27001 sind je nach Branche weitere Anforderungen wichtig:

  • nDSG: Das Schweizer Datenschutzgesetz verlangt angemessene technische und organisatorische Massnahmen zum Schutz von Personendaten.
  • FINMA Vorgaben: Finanzinstitute müssen operationelle Risiken und Sicherheitskontrollen nachvollziehbar steuern.
  • MDR: In der Medizintechnik sind regulatorische Anforderungen an Sicherheit, Qualität und Nachvollziehbarkeit relevant.
  • IEC 62443: Für industrielle Umgebungen und OT Systeme ist die Trennung und Absicherung technischer Systeme besonders wichtig.
  • Lieferkettensicherheit: Dienstleister, Cloud Anbieter und externe Partner müssen risikobasiert bewertet werden.

Ein Audit ohne Verständnis für den Schweizer Kontext greift oft zu kurz. Entscheidend ist nicht nur die Norm, sondern auch die praktische Umsetzung im jeweiligen Betrieb.

Für wen ist ein ISO 27001 Audit sinnvoll?

  • KMU mit wachsenden Sicherheitsanforderungen.
  • Unternehmen mit sensiblen Kundendaten.
  • Organisationen im Gesundheitswesen.
  • Finanznahe Unternehmen und regulierte Dienstleister.
  • Schulen und Bildungsinstitutionen.
  • Industriebetriebe mit IT und OT Umgebungen.
  • Unternehmen, die eine ISO 27001 Zertifizierung vorbereiten.
  • Organisationen, die interne Audits oder Gap Analysen benötigen.

Warum Cybersecurity Schweiz

Cybersecurity Schweiz verbindet Audit Erfahrung, technische Sicherheitsprüfung und Beratung aus der Praxis. Wir verstehen sowohl Managementsysteme als auch technische Systeme. Dadurch entstehen keine abstrakten Berichte, sondern konkrete Empfehlungen, die Unternehmen tatsächlich umsetzen können.

  • CISA zertifizierte Auditkompetenz.
  • Erfahrung mit ISO 27001, IT Audit und technischen Security Checks.
  • Praxis aus Finanzwesen, Bildung, Medizintechnik, Industrie und Schweizer KMU.
  • Technisches Verständnis für Netzwerke, Systeme, Zugriffskontrollen, Logging und Schwachstellen.
  • Klare Berichte mit priorisierten Massnahmen.
  • Schweizer Kontext mit nDSG, FINMA, Medizintechnik und industriellen Anforderungen.

Häufige Fragen

Wie lange dauert ein ISO 27001 Audit?

Ein internes Audit bei einem KMU dauert typischerweise 2 bis 4 Tage. Grössere Organisationen, regulierte Unternehmen oder komplexe technische Umgebungen benötigen deutlich mehr Zeit.

Was kostet ein ISO 27001 Audit?

Ein internes ISO 27001 Audit beginnt bei uns ab CHF 1'800. Der genaue Aufwand hängt vom Scope, der Unternehmensgrösse, der Anzahl Standorte, der technischen Komplexität und dem gewünschten Prüfumfang ab.

Was passiert bei Nichtkonformitäten?

Nichtkonformitäten sind nicht ungewöhnlich. Wichtig ist, dass Korrekturmassnahmen definiert, umgesetzt und auf Wirksamkeit geprüft werden. Ein gutes Audit hilft dabei, Prioritäten zu setzen und Risiken nachvollziehbar zu reduzieren.

Was ist der Unterschied zwischen internem und externem Audit?

Interne Audits dienen der Verbesserung und Vorbereitung. Externe Audits durch akkreditierte Zertifizierungsstellen sind für eine formelle ISO 27001 Zertifizierung erforderlich.

Welche Standards stehen in Bezug zu ISO 27001?

ISO 19011 beschreibt Leitlinien für Audits. NIST SP 800 53 beschreibt Sicherheitskontrollen. NIST SP 800 115 beschreibt technische Sicherheitstests. ISO 27001 bleibt der zentrale Standard für Informationssicherheitsmanagementsysteme.

Ist ein ISO 27001 Audit auch ohne Zertifizierung sinnvoll?

Ja. Auch ohne Zertifizierung hilft ein Audit, Risiken zu erkennen, Nachweise zu verbessern, Verantwortlichkeiten zu klären und Sicherheitsmassnahmen gezielt weiterzuentwickeln.

Offizielle Quellen und Standards

Sind Sie bereit für ein ISO 27001 Audit?

Wir unterstützen Sie mit einem praxisnahen Audit, klaren Befunden und konkreten Massnahmen. Kontaktieren Sie unser Expertenteam für eine unverbindliche Einschätzung Ihres Scopes.

Startpreis internes ISO 27001 Audit: ab CHF 1'800

Jetzt unverbindlich Kontakt aufnehmen