Das externe Zertifizierungsaudit ist für die meisten Unternehmen die aufregendste Phase des ISO 27001-Projekts. Plötzlich kommt ein Fremder mit Fragen, schaut in Dokumente, spricht mit Mitarbeitern. Die gute Nachricht: Ein Auditor will nichts Böses. Er muss feststellen, ob Ihr ISMS funktioniert. Wer versteht, wie er prüft, besteht mit großer Wahrscheinlichkeit. Dieser Artikel zerlegt Stage 1 und Stage 2 Schritt für Schritt.

Wer darf ISO 27001-Audits überhaupt durchführen?

Nicht jeder Berater ist ein Auditor. Für die Zertifizierung brauchen Sie eine akkreditierte Zertifizierungsstelle. Die bekanntesten in Deutschland:

• DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen)
• TÜV (verschiedene Gesellschaften — TÜV Süd, TÜV Rheinland, TÜV Nord)
• DEKRA Certification
• BSI Group
• LRQA

Alle diese sind von der DAkkS (Deutsche Akkreditierungsstelle) akkreditiert. Andere „Zertifizierer“ ohne Akkreditierung stellen keine anerkannten Zertifikate aus — lassen Sie sich nicht drauf ein.

Wichtig: Der Berater, der Sie zum Audit vorbereitet, darf NICHT die Zertifizierungsstelle sein. Das wäre ein Interessenkonflikt. Diese Trennung ist ein Kernelement der Akkreditierung.

Das Gesamt-Audit: Drei Jahre, drei Audit-Arten

Eine ISO 27001-Zertifizierung ist kein einmaliger Termin, sondern ein Zyklus:

Jahr 1: Zertifizierungsaudit (Stage 1 + Stage 2)

Das ist das große Audit. Zwei Stufen, dazu unten mehr. Ergebnis bei Erfolg: das Zertifikat.

Jahr 2: Erstes Überwachungsaudit

Kleiner als das Zertifizierungsaudit. Fokus auf bestimmte Themen (Risikomanagement-Zyklus, Incident Management, interne Audits). Dauer: 1-2 Tage. Bei größeren Abweichungen kann das Zertifikat ausgesetzt werden.

Jahr 3: Zweites Überwachungsaudit + Rezertifizierung

Im dritten Jahr läuft das Zertifikat aus. Die Zertifizierungsstelle führt eine vollständige Neubewertung durch — inklusive aller Klauseln und Controls. Bei Erfolg bekommen Sie das Zertifikat für weitere drei Jahre.

Stage 1: Die Dokumentenprüfung

Stage 1 findet meist 4-8 Wochen vor Stage 2 statt. Dauer: typisch 1-2 Tage. Der Auditor kommt (oder macht es remote), und er macht im Wesentlichen drei Dinge:

1. Prüfung der ISMS-Dokumentation

Er liest Ihre Richtlinien, SoA (Statement of Applicability), Risikobewertung, Schulungsnachweise, Managementreviews. Er prüft, ob alle Pflichtdokumente existieren und inhaltlich plausibel sind.

Typische Pflichtdokumente:

• Informationssicherheits-Leitlinie (Top-Level-Policy)
• Risikobewertungsmethodik + aktuelle Risikobewertung
• Statement of Applicability (SoA) mit Anhang-A-Controls
• ISMS-Scope
• Protokolle Managementreview
• Auditplan + Auditprotokolle intern
• Prozess-Dokumentation (Incident Handling, Change Management, Access Management etc.)

2. Klärung des Scope

Der Auditor prüft, ob der Scope nachvollziehbar ist. Wenn Sie z.B. sagen „alle Softwareentwicklungs-Standorte“, aber ein Standort fehlt in der Dokumentation, fragt er nach.

3. Einschätzung der Audit-Reife

Stage 1 ist ein „Readiness-Check“ durch den Auditor. Wenn er grobe Lücken sieht, empfiehlt er, Stage 2 zu verschieben. Das klingt schlecht — ist aber ein Geschenk. Besser Stage 2 verschieben als mit Major Nonconformities durchfallen.

Typische Stage-1-Findings

• SoA nicht mit Risikobewertung abgestimmt
• Richtlinien zu generisch (kopiert aus Vorlage, nicht angepasst)
• Internes Audit noch nicht oder nicht vollständig durchgeführt
• Managementreview fehlt
• Schulungsnachweise unvollständig

Stage 2: Die Vor-Ort-Prüfung

Stage 2 ist das eigentliche Zertifizierungsaudit. Dauer: abhängig von Unternehmensgröße — 2-5 Tage typisch. Der Auditor kommt vor Ort (bei großen Unternehmen) oder macht es hybrid.

Der Auditor hat drei Instrumente:

1. Dokumenteneinsicht (mit Zufallsauswahl)

Er sieht sich Zugriffsberechtigungs-Listen an, Change-Logs, Incident-Tickets, Backup-Protokolle. Er wählt Stichproben — z.B. „zeigen Sie mir die letzten fünf Neueinstellungen und ihre Zugriffsberechtigung“.

2. Interviews mit Mitarbeitern

Das ist der kritischste Teil. Der Auditor spricht mit:

• Dem ISB (Informationssicherheitsbeauftragten)
• Der Geschäftsführung
• IT-Administratoren
• Zufälligen normalen Mitarbeitern

Typische Fragen an Mitarbeiter:

• „Wie melden Sie einen Sicherheitsvorfall?“
• „Kennen Sie die Passwort-Richtlinie?“
• „Was machen Sie, wenn Sie eine verdächtige E-Mail erhalten?“
• „Wo finden Sie unsere Informationssicherheits-Leitlinie?“

Wenn drei von fünf Mitarbeitern die Antworten nicht kennen, ist das ein Finding. Awareness-Schulungen sind kein nice-to-have, sondern prüfungsrelevant.

3. Beobachtung der Praxis

Der Auditor schaut zu, wie tatsächlich gearbeitet wird. Bleiben Notebooks offen in Meetings? Werden Besucher eingetragen? Sind Serverräume verschlossen? Werden Zugriffsbeschränkungen gelebt?

Typische Stage-2-Findings und ihre Konsequenzen

Findings werden in drei Kategorien eingeteilt:

Observation (Beobachtung, keine Abweichung)

Verbesserungsvorschlag, kein Einfluss auf Zertifizierung. Z.B. „Die Dokumentation könnte übersichtlicher strukturiert sein.“

Minor Nonconformity (Kleine Abweichung)

Einzelne Regelverletzung, kein systematisches Problem. Muss binnen 3 Monaten behoben werden — Korrekturmaßnahme einreichen, Zertifikat wird dennoch ausgestellt. Beispiele:

• Ein einzelner Lieferant hat keinen ausreichenden Vertrag
• Eine Risikobewertung fehlt für ein spezifisches System
• Mitarbeiter wurde eingestellt ohne dokumentierte Sicherheitsschulung

Major Nonconformity (Große Abweichung)

Systematischer Fehler oder Verletzung einer zentralen Anforderung. Blockiert die Zertifizierung. Beispiele:

• Kein funktionierendes Risikomanagement
• Kein internes Audit durchgeführt
• Mitarbeiter völlig uninformiert über ISMS
• Kein Management-Review

Bei Major Nonconformities müssen Sie erst nachbessern und dann ein Nachaudit machen — das kostet Zeit (3-6 Monate Verzögerung) und Geld (Nachaudit-Tagessatz).

So bestehen Sie beim ersten Anlauf: Die 5 Erfolgsfaktoren

1. Internes Audit muss echt sein

Ein „internes Audit“ à 4 Stunden, bei dem zwei Mitarbeiter sich gegenseitig auf die Schulter klopfen, ist kein Audit. Der externe Auditor merkt das sofort. Ein internes Audit sollte alle Klauseln und alle relevanten Controls prüfen, von einer unabhängigen Person (intern mit getrennter Rolle oder extern) durchgeführt werden, mit dokumentierten Findings enden.

Wenn Sie keine geeignete interne Person haben, beauftragen Sie einen externen internen Audit. Das ist professionell und kostet 2.500-5.000 € — günstig im Vergleich zum Risiko eines gescheiterten Zertifizierungsaudits.

2. Management-Review ernst nehmen

Der Managementreview ist Pflicht nach Klausel 9.3. Er ist nicht „die Geschäftsführung unterschreibt ein Dokument“, sondern eine Sitzung mit echter Agenda: Ergebnisse interner Audits, Rückmeldungen von Stakeholdern, Informationssicherheitsvorfälle, Wirksamkeit von Maßnahmen, Verbesserungsvorschläge. Protokolliert mit Entscheidungen.

3. Schulungen dokumentiert nachweisen

Wenn Sie keine Schulungsnachweise haben — keine Teilnehmerlisten, keine Inhalte — ist das ein Major Nonconformity. Nutzen Sie ein Learning-Management-System oder mindestens ein Excel mit Datum, Teilnehmer, Inhalt, Unterschrift.

4. Mitarbeiter vorbereiten

2-3 Wochen vor dem Audit: Erinnerungs-Kurzschulung für alle Mitarbeiter. 10 Minuten reichen. Erinnern Sie an: Passwort-Richtlinie, Incident-Meldung, Clean-Desk, die Informationssicherheits-Leitlinie. Das ist keine „Audit-Proben-Vorbereitung“, sondern normale Awareness.

5. Einen ruhigen Tag einplanen

Stage 2 ist kein normaler Arbeitstag. Der ISB sollte voll verfügbar sein, relevante Mitarbeiter auch. Keine parallelen Meetings, keine Deep-Work-Phasen. Der Auditor ist zwar freundlich, aber seine Fragen kommen spontan.

Die acht Phasen bis zum Zertifikat

Nach dem Audit ist vor dem Zertifikat. Acht Phasen vom Audit-Start bis zum fertigen Papier:

1. Opening Meeting (30 Min): Vorstellung, Scope, Agenda, Fragen klären.
2. Audit-Durchführung: Dokumente, Interviews, Beobachtung (2-5 Tage).
3. Tägliche Closing Sessions: Kurze Zusammenfassung, bisherige Findings, offene Fragen.
4. Closing Meeting (1-2 h): Präsentation aller Findings. Sie können Widerspruch einlegen.
5. Audit-Bericht: Auditor schreibt den Bericht, innerhalb von 2-4 Wochen.
6. Korrekturmaßnahmen (falls nötig): Bei Minor Nonconformities haben Sie 3 Monate zur Nachbesserung.
7. Reviewing: Die Zertifizierungsstelle prüft Audit-Bericht + Korrekturmaßnahmen durch einen unabhängigen Reviewer.
8. Zertifikat-Ausstellung: Wenn alles passt, kommt das Zertifikat. Gültig drei Jahre.

Die Rolle des Beraters beim Audit

Darf Ihr ISO 27001-Berater beim Audit dabei sein? Ja, absolut empfehlenswert. Er kann:

• Fragen des Auditors in den richtigen Kontext setzen
• Auf relevante Dokumente verweisen
• Findings einschätzen und Widerspruch begründen
• Anschließend die Nachbesserung strukturiert angehen

Er darf aber nicht für Sie antworten. Mitarbeiter müssen ihre eigenen Prozesse kennen und erklären können.

Was ein Audit kostet (2026)

Je nach Unternehmensgröße und Komplexität:

• Sehr klein (1-5 MA): 3.500 – 4.500 €
• Klein (6-20 MA): 4.500 – 6.000 €
• Mittel (21-50 MA): 5.500 – 7.500 €
• Größer (51-150 MA): 7.000 – 10.000 €
• Groß (150+ MA): 10.000 – 16.000 €

Diese Zahlen sind separat von der Beratung. Die Zertifizierungsstelle rechnet nach Auditor-Tagen.

Die fünf häufigsten Ablauf-Mythen

Mythos 1: „Der Auditor will Sie fertigmachen“

Falsch. Der Auditor ist professionell und hat kein Interesse daran, Sie zu blamieren. Er will feststellen, ob das ISMS funktioniert. Freundliche, offene Kommunikation ist Ihr Vorteil.

Mythos 2: „Wir müssen alles auswendig wissen“

Nein. Sie dürfen in Dokumenten nachschlagen, Kollegen fragen. Das Ziel ist nicht Prüfung, sondern Nachweis der Praxis.

Mythos 3: „Major Nonconformities sind das Ende“

Nein. Major Nonconformities blockieren die Erst-Zertifizierung, aber mit strukturierter Nachbesserung + Nachaudit schaffen Sie es in 3-6 Monaten.

Mythos 4: „Wir brauchen perfekte Prozesse“

Falsch. Sie brauchen gelebte Prozesse. Ein 80-Prozent-Prozess, der gelebt wird, ist besser als ein 100-Prozent-Prozess auf Papier.

Mythos 5: „Remote-Audits sind laxer“

Ganz im Gegenteil. Remote-Audits werden oft gründlicher, weil der Auditor konzentrierter arbeitet und Bildschirmfreigaben tiefere Einblicke ermöglichen.

Fazit: Was Sie vor Ihrem Audit tun sollten

Drei konkrete Schritte:

1. Readiness-Check: Der kostenlose ISO 27001 Readiness-Check (3 Min) zeigt Ihnen, wo Sie heute stehen.
2. Leitfaden durchlesen: Unser ISO 27001-Leitfaden enthält detaillierte Beschreibungen aller Phasen.
3. Internes Audit proben: Wenn Sie Zweifel haben, buchen Sie ein professionelles internes Audit als Dress-Rehearsal.

Wer vorbereitet ins Stage 1 geht und die Findings ernst nimmt, besteht Stage 2 meist beim ersten Anlauf. Unsere Erfahrung aus über 100 Projekten: 92 Prozent schaffen es in Runde 1.