,

Audit-Fragen verstehen: Wie Zertifizierungsauditoren im ISMS wirklich denken

AdobeStock | 36616191 | Coloures-PicAdobeStock | 36616191 | Coloures-Pic

Auditgespräche im Rahmen eines Informationssicherheits-Managementsystems (ISMS) sind für viele Mitarbeitende eine ungewohnte Situation. Auditorinnen und Auditoren stellen Fragen, die auf den ersten Blick banal oder gar verwirrend wirken. Doch hinter jeder dieser Fragen steckt eine gezielte Technik – nicht um jemanden in die Enge zu treiben, sondern um die Funktionsweise des Managementsystems wirklich zu verstehen. Hier klären wir die Hintergründe und die Art der Fragetechniken für Sie auf:

Warum Audit-Fragen oft so „komisch“ wirken

Ein externer ISO 27001-Auditor stellt Fragen, die für viele Mitarbeitende zunächst rätselhaft erscheinen. Sie wirken indirekt, manchmal sogar wie Fangfragen. Doch genau diese Art der Fragestellung ist kein Zufall – sie gehört zum professionellen Werkzeug eines Auditors.

Diese Technik nennt sich verhaltensorientierte Befragung und ist besonders effektiv, um die Umsetzung gelebter Prozesse zu erkennen. Sie deckt Unterschiede auf zwischen „wir haben ein Verfahren“ und „wir wenden es tatsächlich an“.

Der Grund ist einfach: Ein Zertifizierungsauditor kennt die Organisation nicht aus dem Alltag. Er muss sich innerhalb weniger Tage ein objektives Bild machen – über Prozesse, Rollen, Entscheidungslogiken und gelebte Informationssicherheit. Dafür braucht er Fragen, die tiefer gehen und nicht nur auswendig gelerntes Wissen abfragen.

Auditoren wollen nicht hören, was im Handbuch steht, sondern wie das Unternehmen tatsächlich handelt. Deshalb beginnen Gespräche oft mit scheinbar alltäglichen Situationen, etwa:

„Wie würden Sie reagieren, wenn Sie einen fremden USB-Stick auf dem Parkplatz finden?“

Diese Frage zielt nicht auf Richtlinienkenntnis, sondern auf Sicherheitsbewusstsein ab – also darauf, ob die ISMS-Prinzipien im Alltag wirklich gelebt werden.

Die Psychologie hinter der Auditfrage

Auditoren wissen: Menschen neigen dazu, Dinge im besten Licht darzustellen – besonders in Prüfungssituationen. Um diese natürliche Tendenz auszugleichen, werden Fragen so gestellt, dass spontane und authentische Antworten entstehen. Das kann sich für die Befragten ungewohnt oder sogar „trickreich“ anfühlen. In Wahrheit geht es jedoch um Objektivität: Nur durch Neutralität und Quervergleiche lassen sich Schwachstellen und Verbesserungspotenziale erkennen.

Darüber hinaus nutzen Auditoren Triangulation – das bedeutet, sie stellen ähnliche Fragen auf unterschiedlichen Ebenen: an Mitarbeitende, an Führungskräfte und anhand von Dokumenten. Stimmen die Antworten über alle Ebenen hinweg überein, spricht das für ein stabiles System. Weichen sie stark voneinander ab, liegt möglicherweise ein Kommunikations- oder Schulungsdefizit vor.

Die Ziele hinter den Audit-Fragen

Im Kern möchten externe Zertifizierungsauditoren drei Dinge verstehen:

  1. Wird das ISMS tatsächlich umgesetzt?
    Sie prüfen, ob Prozesse wie Risikobewertung, Asset-Management oder Incident Response nicht nur beschrieben, sondern auch angewendet werden.
  2. Sind Maßnahmen wirksam und angemessen?
    Ein System kann formal korrekt sein – entscheidend ist, ob die Maßnahmen ihre Ziele erreichen.
  3. Wird die kontinuierliche Verbesserung gelebt?
    Das Audit soll zeigen, ob das Unternehmen aus Erfahrungen lernt, Prozesse optimiert und Schwachstellen behebt.

Um all das zu prüfen, bedienen sich Auditoren verschiedener Fragetechniken – eine gezielte Mischung aus offenen, prüfenden und verifizierenden Fragen.

Die drei Ebenen der Auditfragetechnik

  1. Offene Fragen:
    Diese beginnen oft mit Wie, Was oder Wodurch und regen zur freien Beschreibung an. Beispiel:

„Wie stellen Sie sicher, dass Ihre Zutrittskontrollen auch außerhalb der Bürozeiten wirksam bleiben?“

  1. Prüfende Fragen:
    Hier will der Auditor Belege oder Nachweise sehen:

„Können Sie mir das letzte Zutrittsprotokoll oder eine Schulungsunterlage zeigen?“

  1. Verifizierende Fragen:
    Diese überprüfen, ob Praxis und Dokumentation zusammenpassen:

„Ist diese Vorgehensweise in Ihrer Sicherheitsrichtlinie so beschrieben?“

Durch die Kombination dieser Ebenen entsteht ein vollständiges Bild – von der Theorie über die Umsetzung bis zur Nachweisführung.

Objektivität und Psychologie: Warum die Distanz notwendig ist

Zertifizierungsauditoren sind zur Neutralität und Unabhängigkeit verpflichtet. Anders als interne Auditoren kennen sie keine internen Strukturen oder persönlichen Hintergründe – und genau das ist ihr Vorteil. Sie betrachten das ISMS von außen und entdecken so inkonsistente Prozesse oder Kommunikationslücken, die intern oft übersehen werden.

Für Mitarbeitende kann diese Distanz zunächst irritierend wirken, weil Fragen manchmal sehr präzise oder emotional neutral gestellt werden. Doch sie dient dazu, jede Antwort unvoreingenommen zu bewerten. Der Auditor will verstehen, was IST, nicht was beabsichtigt war.

Erfahrene Auditoren schaffen dabei eine Balance aus Strenge und Empathie. Sie wissen, dass ein auditiver Dialog nur funktioniert, wenn Vertrauen entsteht. Ein respektvoller Umgang und transparente Kommunikation sind daher Teil einer professionellen Audittechnik.

Warum Fragen so gestellt werden, wie sie gestellt werden

Ein häufiger Irrtum ist, dass ein Auditor versteckte Prüfziele hat oder Mitarbeitende in Verlegenheit bringen will. In Wahrheit sind Audit-Fragen zielorientiert strukturiert – jede dient einem bestimmten Nachweis:

  • Wirksamkeit: Funktioniert der Prozess im Alltag?
  • Angemessenheit: Passt die Maßnahme zur Risikolage?
  • Nachvollziehbarkeit: Sind Aussagen durch Belege stimmig?

Dass diese Fragen manchmal indirekt formuliert sind, liegt daran, dass direkte Fragen leicht zu „Standardantworten“ führen. Indirekte Fragen fördern authentische, praxisnahe Antworten – sie zeigen, ob Informationssicherheit im täglichen Handeln verankert ist.

Souverän mit Audit-Fragen umgehen: Vier Praxistipps

  1. Innehalten und verstehen.
    Wenn eine Frage unklar oder kompliziert klingt, ruhig kurz nachdenken. Häufig steckt eine einfache Intention dahinter – etwa: „Wie funktioniert’s in der Praxis?“
  2. Ehrlich und aus der Praxis heraus antworten.
    Der Auditor möchte Ihre tatsächliche Vorgehensweise hören, keine idealisierte Theorie. Auch ein „Wir machen das derzeit manuell, planen aber eine Automatisierung“ ist eine gute, ehrliche Antwort.
  3. Nachfragen ist Professionalität – kein Schwächezeichen.
    Bei Unsicherheit einfach fragen: „Meinen Sie das bezogen auf den Prozess oder das Dokument?“ – das zeigt Engagement und Verständnis. Auch wenn eine Frage völlig unklar ist, jederzeit gerne Nachfragen, Menschen sind nun einmal unterschiedlich, in Ausdrucksweise und Verständnis.
  4. Beispiele nutzen.
    Konkrete Situationen oder Vorfälle aus dem Arbeitsalltag sind glaubwürdig und zeigen, dass Prozesse tatsächlich verankert sind.

Fazit: Die Frage als Spiegel des Systems

Ein externer Zertifizierungsauditor ist kein Gegner, sondern ein Spiegel – er zeigt, wie reif und wirksam das ISMS tatsächlich ist. Seine Fragetechnik offenbart nicht Mängel, sondern Chancen: die Möglichkeit, Abläufe zu hinterfragen, Verantwortlichkeiten zu schärfen und die Informationssicherheit langfristig zu stärken.

Wer erkennt, dass jede Auditfrage einen Sinn hat und Teil eines strukturierten Prüfkonzepts ist, erlebt Audits nicht mehr als Belastung, sondern als Gewinn – fachlich, organisatorisch und menschlich.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
Das könnte Dich auch interessieren
Finger tippt Zahnrad mit Haken anAdobeStock | #333938095 | TierneyWirksamkeitsmessung im ISMS – Wirksamkeit des Managementsystems
Finger tippt Zahnrad mit Haken anAdobeStock | #333938095 | TierneyWirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?
Entscheidungsfindung - in allen ManagementbereichenAdobeStock | #73479518 | stockpicsRisikomanagement im ISMS (Teil 4)
Statistik, Stift, LinealAdobe Stock | #63762018 | archerixWirksamkeitsmessung im ISMS – Überblick
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute Projektteam im ISMS
Elefant macht KopfstandAdobeStock | #29334014| janvierRisikomanagement im ISMS (Teil 2)

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen