,

Audit-Fragen verstehen: Wie Zertifizierungsauditoren im ISMS wirklich denken

Auditgespräche im Rahmen eines Informationssicherheits-Managementsystems (ISMS) sind für viele Mitarbeitende eine ungewohnte Situation. Auditorinnen und Auditoren stellen Fragen, die auf den ersten Blick banal oder gar verwirrend wirken. Doch hinter jeder dieser Fragen steckt eine gezielte Technik – nicht um jemanden in die Enge zu treiben, sondern um die Funktionsweise des Managementsystems wirklich zu verstehen. Hier klären wir die Hintergründe und die Art der Fragetechniken für Sie auf:

Warum Audit-Fragen oft so „komisch“ wirken

Ein externer ISO 27001-Auditor stellt Fragen, die für viele Mitarbeitende zunächst rätselhaft erscheinen. Sie wirken indirekt, manchmal sogar wie Fangfragen. Doch genau diese Art der Fragestellung ist kein Zufall – sie gehört zum professionellen Werkzeug eines Auditors.

Diese Technik nennt sich verhaltensorientierte Befragung und ist besonders effektiv, um die Umsetzung gelebter Prozesse zu erkennen. Sie deckt Unterschiede auf zwischen „wir haben ein Verfahren“ und „wir wenden es tatsächlich an“.

Der Grund ist einfach: Ein Zertifizierungsauditor kennt die Organisation nicht aus dem Alltag. Er muss sich innerhalb weniger Tage ein objektives Bild machen – über Prozesse, Rollen, Entscheidungslogiken und gelebte Informationssicherheit. Dafür braucht er Fragen, die tiefer gehen und nicht nur auswendig gelerntes Wissen abfragen.

Auditoren wollen nicht hören, was im Handbuch steht, sondern wie das Unternehmen tatsächlich handelt. Deshalb beginnen Gespräche oft mit scheinbar alltäglichen Situationen, etwa:

„Wie würden Sie reagieren, wenn Sie einen fremden USB-Stick auf dem Parkplatz finden?“

Diese Frage zielt nicht auf Richtlinienkenntnis, sondern auf Sicherheitsbewusstsein ab – also darauf, ob die ISMS-Prinzipien im Alltag wirklich gelebt werden.

Die Psychologie hinter der Auditfrage

Auditoren wissen: Menschen neigen dazu, Dinge im besten Licht darzustellen – besonders in Prüfungssituationen. Um diese natürliche Tendenz auszugleichen, werden Fragen so gestellt, dass spontane und authentische Antworten entstehen. Das kann sich für die Befragten ungewohnt oder sogar „trickreich“ anfühlen. In Wahrheit geht es jedoch um Objektivität: Nur durch Neutralität und Quervergleiche lassen sich Schwachstellen und Verbesserungspotenziale erkennen.

Darüber hinaus nutzen Auditoren Triangulation – das bedeutet, sie stellen ähnliche Fragen auf unterschiedlichen Ebenen: an Mitarbeitende, an Führungskräfte und anhand von Dokumenten. Stimmen die Antworten über alle Ebenen hinweg überein, spricht das für ein stabiles System. Weichen sie stark voneinander ab, liegt möglicherweise ein Kommunikations- oder Schulungsdefizit vor.

Die Ziele hinter den Audit-Fragen

Im Kern möchten externe Zertifizierungsauditoren drei Dinge verstehen:

  1. Wird das ISMS tatsächlich umgesetzt?
    Sie prüfen, ob Prozesse wie Risikobewertung, Asset-Management oder Incident Response nicht nur beschrieben, sondern auch angewendet werden.
  2. Sind Maßnahmen wirksam und angemessen?
    Ein System kann formal korrekt sein – entscheidend ist, ob die Maßnahmen ihre Ziele erreichen.
  3. Wird die kontinuierliche Verbesserung gelebt?
    Das Audit soll zeigen, ob das Unternehmen aus Erfahrungen lernt, Prozesse optimiert und Schwachstellen behebt.

Um all das zu prüfen, bedienen sich Auditoren verschiedener Fragetechniken – eine gezielte Mischung aus offenen, prüfenden und verifizierenden Fragen.

Die drei Ebenen der Auditfragetechnik

  1. Offene Fragen:
    Diese beginnen oft mit Wie, Was oder Wodurch und regen zur freien Beschreibung an. Beispiel:

„Wie stellen Sie sicher, dass Ihre Zutrittskontrollen auch außerhalb der Bürozeiten wirksam bleiben?“

  1. Prüfende Fragen:
    Hier will der Auditor Belege oder Nachweise sehen:

„Können Sie mir das letzte Zutrittsprotokoll oder eine Schulungsunterlage zeigen?“

  1. Verifizierende Fragen:
    Diese überprüfen, ob Praxis und Dokumentation zusammenpassen:

„Ist diese Vorgehensweise in Ihrer Sicherheitsrichtlinie so beschrieben?“

Durch die Kombination dieser Ebenen entsteht ein vollständiges Bild – von der Theorie über die Umsetzung bis zur Nachweisführung.

Objektivität und Psychologie: Warum die Distanz notwendig ist

Zertifizierungsauditoren sind zur Neutralität und Unabhängigkeit verpflichtet. Anders als interne Auditoren kennen sie keine internen Strukturen oder persönlichen Hintergründe – und genau das ist ihr Vorteil. Sie betrachten das ISMS von außen und entdecken so inkonsistente Prozesse oder Kommunikationslücken, die intern oft übersehen werden.

Für Mitarbeitende kann diese Distanz zunächst irritierend wirken, weil Fragen manchmal sehr präzise oder emotional neutral gestellt werden. Doch sie dient dazu, jede Antwort unvoreingenommen zu bewerten. Der Auditor will verstehen, was IST, nicht was beabsichtigt war.

Erfahrene Auditoren schaffen dabei eine Balance aus Strenge und Empathie. Sie wissen, dass ein auditiver Dialog nur funktioniert, wenn Vertrauen entsteht. Ein respektvoller Umgang und transparente Kommunikation sind daher Teil einer professionellen Audittechnik.

Warum Fragen so gestellt werden, wie sie gestellt werden

Ein häufiger Irrtum ist, dass ein Auditor versteckte Prüfziele hat oder Mitarbeitende in Verlegenheit bringen will. In Wahrheit sind Audit-Fragen zielorientiert strukturiert – jede dient einem bestimmten Nachweis:

  • Wirksamkeit: Funktioniert der Prozess im Alltag?
  • Angemessenheit: Passt die Maßnahme zur Risikolage?
  • Nachvollziehbarkeit: Sind Aussagen durch Belege stimmig?

Dass diese Fragen manchmal indirekt formuliert sind, liegt daran, dass direkte Fragen leicht zu „Standardantworten“ führen. Indirekte Fragen fördern authentische, praxisnahe Antworten – sie zeigen, ob Informationssicherheit im täglichen Handeln verankert ist.

Souverän mit Audit-Fragen umgehen: Vier Praxistipps

  1. Innehalten und verstehen.
    Wenn eine Frage unklar oder kompliziert klingt, ruhig kurz nachdenken. Häufig steckt eine einfache Intention dahinter – etwa: „Wie funktioniert’s in der Praxis?“
  2. Ehrlich und aus der Praxis heraus antworten.
    Der Auditor möchte Ihre tatsächliche Vorgehensweise hören, keine idealisierte Theorie. Auch ein „Wir machen das derzeit manuell, planen aber eine Automatisierung“ ist eine gute, ehrliche Antwort.
  3. Nachfragen ist Professionalität – kein Schwächezeichen.
    Bei Unsicherheit einfach fragen: „Meinen Sie das bezogen auf den Prozess oder das Dokument?“ – das zeigt Engagement und Verständnis. Auch wenn eine Frage völlig unklar ist, jederzeit gerne Nachfragen, Menschen sind nun einmal unterschiedlich, in Ausdrucksweise und Verständnis.
  4. Beispiele nutzen.
    Konkrete Situationen oder Vorfälle aus dem Arbeitsalltag sind glaubwürdig und zeigen, dass Prozesse tatsächlich verankert sind.

Fazit: Die Frage als Spiegel des Systems

Ein externer Zertifizierungsauditor ist kein Gegner, sondern ein Spiegel – er zeigt, wie reif und wirksam das ISMS tatsächlich ist. Seine Fragetechnik offenbart nicht Mängel, sondern Chancen: die Möglichkeit, Abläufe zu hinterfragen, Verantwortlichkeiten zu schärfen und die Informationssicherheit langfristig zu stärken.

Wer erkennt, dass jede Auditfrage einen Sinn hat und Teil eines strukturierten Prüfkonzepts ist, erlebt Audits nicht mehr als Belastung, sondern als Gewinn – fachlich, organisatorisch und menschlich.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

Erfolgreiches Kompaktseminar NIS2 Orientierungshilfe

Das Kompaktseminar NIS2 Orientierungshilfe stieß an beiden Veranstaltungsterminen auf großes Interesse. Zahlreiche Teilnehmende aus unserem Kundenkreis nutzten die Gelegenheit, sich einen fundierten ersten Überblick über die neuen gesetzlichen Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) zu verschaffen. Die rege Beteiligung und der konstruktive Austausch zeigten, dass das Thema Cybersicherheit und Compliance aktuell in vielen Unternehmen hohe Priorität hat.

Im Mittelpunkt des Seminars standen die wesentlichen Neuerungen, die sich durch die Umsetzung der europäischen NIS2-Richtlinie in deutsches Recht ergeben. Behandelt wurden insbesondere die erweiterten Pflichten für Unternehmen, die Bestimmung der betroffenen Organisationen sowie die erhöhten Anforderungen an Risikomanagement, Meldeprozesse und Nachweispflichten. Anhand praxisnaher Beispiele wurde verdeutlicht, welche Maßnahmen frühzeitig einzuleiten sind, um die Compliance-Anforderungen rechtzeitig zu erfüllen.

Darüber hinaus bot das Seminar konkrete Handlungsempfehlungen für den Aufbau oder die Anpassung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 sowie zur Integration von NIS2-Anforderungen in bestehende Governance-Strukturen. Die Teilnehmenden erhielten klare Hinweise und Empfehlungen, um den Umsetzungsprozess in ihren Organisationen gezielt voranzutreiben.

Insgesamt zeigte das Feedback: Der kompakte Überblick schafft die notwendige Orientierung, um jetzt die richtigen Prioritäten zu setzen.

Wir bieten Ihnen auch die passenden Vertiefungsseminare zu Einzelthemen wie z.B. der geforderten Geschäftsführungsschulung, dem Risikomanagement, BCM und natürlich auch der Auditvorbereitung.

Sie haben den Termin verpasst? Kein Problem. Hier ist die nächste Chance…

Kompaktseminar NIS2 Orientierungshilfe

 

/von
, ,

Podcast – Jahresrückblick 2025 & Ausblick 2026

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

2025 war ein Jahr der Weichenstellungen – nicht spektakulär, aber entscheidend. In der neuen Podcast-Folge blicken wir auf die wichtigsten Entwicklungen in Informationssicherheit und Datenschutz zurück und werfen einen fundierten Blick auf das, was 2026 bringen wird.

Vom Warten zum Handeln – NIS2 ist da

Lange war es Thema in der Branche, jetzt ist es Realität: Das NIS2-Umsetzungsgesetz wurde verabschiedet. Damit steigt die Zahl der Unternehmen, die sich künftig strukturierter mit Informationssicherheit beschäftigen müssen, erheblich.
Wir erklären im Podcast, warum 2026 das Jahr sein wird, in dem viele Organisationen wirklich beginnen, ihre Pflichten aus NIS2 umzusetzen – mit Themen wie RisikomanagementBusiness Continuity und der Schulung der Geschäftsleitungen.

Datenschutz unter Druck? Der digitale Omnibus

Auch im Datenschutzrecht wird es interessant: Der sogenannte digitale Omnibus der EU soll verschiedene Digitalgesetzgebungen zusammenführen und davon ist auch die DSGVO betroffen.
Doch die Meinungen gehen auseinander – während die einen die Vereinfachung begrüßen, warnen andere vor einer Aufweichung des Datenschutzes. Im Podcast beleuchten wir, welche Änderungen denkbar sind und wo sich Chancen für praxisnähere Regelungen eröffnen könnten.

Künstliche Intelligenz: Zwischen Innovation und Risiko

Kaum ein Thema hat 2025 so stark geprägt wie künstliche Intelligenz. Ob beim Schutz sensibler Daten, in Angriffsszenarien oder im Unternehmensalltag – KI verändert die Spielregeln grundlegend.
Klar ist – KI ist gekommen, um zu bleiben.

Awareness bleibt der beste Schutz

Einig sind sich wohl alle: Technologie allein reicht nicht. Schulung und Sensibilisierung der Mitarbeitenden bleiben die letzte Verteidigungslinie gegen Sicherheitsvorfälle und Datenschutzverletzungen.
Der Podcast liefert praxisnahe Einblicke, wie Unternehmen zielgruppenorientierte Awareness-Programme gestalten und Informationssicherheit und Datenschutz dabei sinnvoll miteinander verzahnen können.

Aus der Praxis – und mit Blick in die Zukunft

Neben der Gesetzgebung geht es im Gespräch auch um aktuelle Entwicklungen in der Beratung: etwa die steigende Bedeutung interner Audits im ISMS und die Vorteile externer Sichtweisen.
Und ein Blick nach vorn darf nicht fehlen: 2026 steht beim ANMATHO-Forum (17. März) das Thema Risikomanagement im Fokus. Dort treffen sich erneut Expertinnen und Experten zum Erfahrungsaustausch und zur Diskussion praxisorientierter Lösungen.

Jetzt reinhören!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

DSMS planen – ISO 27701:2025 erschienen

Im Oktober 2025 ist die neue Version der ISO 27701 erschienen, zunächst nur in englischer Sprache. Da die rechtlichen Anforderungen aus dem Datenschutz sich seit dem Erscheinen der DIN EN ISO/IEC 27701:2021 nicht wesentlich geändert haben, bringt diese Version der Norm wenig inhaltliche Neuerungen mit sich. Umso größer sind die strukturellen Änderungen.

Eigenständiges Managementsystem

Im Artikel “Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken” und in der Artikelserie “Datenschutz in ein bestehendes ISMS integrieren” habe ich beschrieben, wie der Datenschutz mit Hilfe der DIN ISO 27701:2021 in ein bestehendes ISMS nach ISO 27001 integriert werden kann. Die ISO 27701:2025 beschreibt jetzt ein eigenständiges Datenschutz-Managementsystem (DSMS). Dies ist die wesentliche Neuerung in dieser Version. Die Struktur der Norm folgt nun der Harmonized Structure (vormals High Level Structure) der ISO-Managementnormen.

Inhaltlich sind natürlich immer noch viele technische und organisatorische Maßnahmen (TOM) des Datenschutzes ebenso Maßnahmen der Informationssicherheit. Der Überschneidungsbereich ist groß. Der Ansatz eines integrierten Managmentsystemes ist daher nach wie vor ratsam und wird von der Harmonized Structure unterstützt.

Die Datenschutzfolgenabschätzung findet sich jetzt im Kapitel 6.1.2, die Datenschutz-Risikobehandlung in Kapitel 6.1.3. Damit werde ich mich in einem späteren Blog-Beitrag beschäftigen.

Die ISO 27701:2025 verfügt über zwei normative Anhänge. Anhang A beschreibt Referenzmaßnahmenziele und Maßnahmen für verantwortliche Stellen und Auftragsverarbeiter, Anhang B gibt Umsetzunghinweise. Dabei werden im wesentlichen die Kapitel 6, 7 und 8 der DIN ISO 27701:2021 zusammengefasst und von den Normen für Informationssicherheit (ISO 27001 und ISO 27002) unabhängig gestaltet. Auf die Details werde ich ebenfalls in einem späteren Blog-Artikel eingehen.

Wie es weiter geht

In einem der nächsten Artikel werde ich mich detailliert mit der neuen ISO 27701:2025 auseienander setzen, u.a. mit der Beziehung zwischen Risikomanagement und Datenschutzfolgeabschätzung.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – Heute Sonderfolge NIS2 Umsetzungsgesetz

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das NIS2-Umsetzungsgesetz ist endgültig verabschiedet. Mit der neuen Richtlinie setzt die EU ihre Cybersicherheitsstrategie konsequent fort und verpflichtet deutlich mehr Unternehmen, ein robustes Informationssicherheitsmanagement einzuführen. Künftig müssen nicht nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche mittelständische Unternehmen aus allen Branchen nachweislich angemessene technische und organisatorische Maßnahmen zum Schutz ihrer IT und OT treffen.

Die Anforderungen orientieren sich stark an internationalen Standards wie ISO 27001, gehen aber in der Tiefe oft darüber hinaus. Gefordert sind unter anderem effiziente Risikomanagementprozesse, kontinuierliche Schwachstellenbewertung, Lieferkettensicherheit und ein funktionierendes Incident-Management. Verstöße können mit Bußgeldern in Millionenhöhe geahndet werden – ähnlich wie bei der DSGVO.

Unternehmen sollten jetzt handeln: Eine Gap-Analyse gegenüber ISO 27001 ist der ideale Startpunkt, um Lücken frühzeitig zu erkennen und gezielte Maßnahmen zu planen. Denn eines ist klar: Cybersicherheit wird zur gesetzlichen Pflicht und zum entscheidenden Wettbewerbsvorteil. Wer rechtzeitig vorbereitet ist, erfüllt nicht nur die gesetzlichen Vorgaben, sondern stärkt auch das Vertrauen von Kunden, Partnern und Behörden

Diese Episode richtet sich an Geschäftsleitungen und Informationssicherheitsbeauftragte, die jetzt konkret in die NIS2-Umsetzung einsteigen müssen.

In unserer Folge NIS2 gilt jetzt – Was bedeutet das?beleuchten wir folgende Themen:

Was jetzt zu tun ist

  • Prüfen, ob das Unternehmen betroffen ist und bei Betroffenheit die Registrierung vornehmen.
  • Bestehendes ISMS gegen die NIS2-Anforderungen spiegeln, eine GAP-Analyse erstellen und konkrete Maßnahmen mit Verantwortlichkeiten, Prioritäten und Fristen hinterlegen.
  • Risikomanagement, Meldeprozesse, Notfall- und Wiederanlaufpläne sowie Krisenorganisation so ausbauen, dass NIS2-Meldefristen erfüllt und Nachweise gegenüber der Aufsicht jederzeit erbracht werden können.

 Anforderungen an die Geschäftsleitung

  • Die Geschäftsleitung muss Risikomanagementmaßnahmen genehmigen, Ressourcen bereitstellen und die Umsetzung fortlaufend überwachen; Delegation entbindet nicht von der Gesamtverantwortung.
  • Geschäftsleitung ist verpflichtet, regelmäßig an Schulungen zu Cybersicherheit und NIS2 teilzunehmen (mindestens alle drei Jahre) und diese Schulungen nachweisbar zu dokumentieren.
  • Ein strukturiertes Vorgehen mit klaren Nachweisen (Protokolle, Beschlüsse, Berichte, Schulungsnachweise) ist essenziell.

BSI Betroffenheitsprüfung NIS2:

https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung.html

Hören Sie rein!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Was Sie auch interessieren könnte:

Seminar:

“NIS2 für Geschäftsführer” entsprechend der BSI Orientierungshilfe steht in den Startlöchern. Wer sich schonmal informieren möchte kann gern mit uns Kontakt aufnehmen.

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

/von
,

Podcast – Security on Air – Heute Maßnahmensteuerung

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Erleben Sie praxisnahe Einblicke in die Welt der Maßnahmensteuerung im ISMS – speziell für Verantwortliche, Entscheider und Informationssicherheitsbeauftragte. Unser neues Podcast-Interview mit einem erfahrenen Informationssicherheitsberater zeigt, wie Sie Maßnahmen im Unternehmen sinnvoll initiieren, steuern und dokumentieren.

Inhalte dieser Episode “Maßnahmensteuerung”:

  • Klarheit über die Herkunft und Auswahl von Maßnahmen nach ISO 27001
  • Praktische Tipps zur Steuerung, Priorisierung und Dokumentation
  • Warum die SMART-Methode auch für Security-Maßnahmen Sinn macht
  • Tools und Prozesse für übersichtliche Verwaltung und Integration von Maßnahmen in den Alltag
  • Wie regelmäßige Meetings und Kennzahlen im Management helfen, Maßnahmen im Blick zu behalten

Warum reinhören?

Die Folge “Maßnahmensteuerung” bietet wertvolle Hinweise für alle, die ihr ISMS wirksamer und strukturierter gestalten möchten, von der Initialisierung bis zur Erfolgskontrolle. Lernen Sie, wie Prozesse, Tools und stimmige Dokumentation die Umsetzung und Nachverfolgung nachhaltig verbessern.

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Podcast – Security on Air – Heute Lieferantenmanagement

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heute ohne externe Partner und Dienstleister aus. Doch genau hier lauern Risiken – für Qualität, Informationssicherheit und Datenschutz. In unserer neuen Podcast-Folge zeigen wir, warum Lieferantenmanagement in allen Managementsystemen eine entscheidende Rolle spielt und wie Unternehmen von einem integrierten Ansatz profitieren.

Unsere Experten zeigen, dass Lieferantenbewertungen weit über ein reines „Pflichtprogramm“ hinausgehen und als strategisches Element für den Unternehmenserfolg gelten. Nicht nur die ISO 9001 für Qualitätsmanagement, sondern auch die ISO 27001 für Informationssicherheit sowie die DSGVO stellen zentrale und verbindliche Anforderungen an Lieferanten, insbesondere bei der Verarbeitung sensibler und personenbezogener Daten. Dabei sind vielfältige Kriterien zu berücksichtigen: Von der Austauschbarkeit und Kritikalität eines Lieferanten bis hin zu Fragen wie dem Datentransfer ins Ausland sowie dem Umgang mit Service-Level-Agreements und Vertraulichkeitsvereinbarungen. Regelmäßige Audits sowie transparente Kommunikation und Leistungsüberwachung bilden die Basis für eine sichere und erfolgreiche Zusammenarbeit mit externen Partnern – sie helfen dabei, aktuelle Risiken frühzeitig zu erkennen und die Qualität und Sicherheit dauerhaft zu gewährleisten.

Die Episode lohnt sich für alle, die in Qualitätsmanagement, Informationssicherheit, Datenschutz, Einkauf oder Projektmanagement Verantwortung tragen – und die sicherstellen wollen, dass externe Partner wirklich Mehrwert schaffen und keine Risiken verursachen.

Hier ein Paar Links die zum Thema „Lieferantenmanagement – Schlüsselfaktor für Qualität, Informationssicherheit und Datenschutz“ nützlich sein können:

Hören Sie rein und erfahren Sie, wie Sie Lieferantenmanagement als strategischen Erfolgsfaktor nutzen können!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

TISAX® – Informationssicherheit im Detail, Teil 7

Im vorherigen Blogartikel tauchte im Zusammenhang mit dem mobilen Arbeiten und der Informationssicherheit nach TISAX® auch der Begriff Zonenkonzept auf. Dieser Begriff soll an dieser Stelle näher beleuchtet werden.

Die meisten Standards und Normen für Informationssicherheit kennen die Idee der Sicherheitszonen, wenn es um die Betrachtung der physischen Sicherheit geht. Bei einem solchen Zonenkonzept werden die Räumlichkeiten und Flächen des Unternehmens anhand von Lageplänen, Raumplänen u.ä. in verschiedene Bereiche unterteilt. Diese Unterteilung orientiert sich daran, wie sensibel und kritisch die Informationswerte sind, die im jeweiligen Bereich gespeichert, gelagert oder verarbeitet werden.

Whitepaper des VDA

Da in dem VDA-Whitepaper zur „Harmonisierung der Klassifizierungsstufen“ ein vierstufiges Schema zur Klassifizierung vorgeschlagen wird (zur Erinnerung: „öffentlich“, „intern“, „vertraulich“ und „streng vertraulich“), sehen auch viele Zonenkonzepte eine solche vierstufige Einteilung vor. Diese 4 Sicherheitszonen (auch: Sicherheitsbereiche) werden oft als „öffentliche Zone“, „kontrollierte Zone“, „eingeschränkte Zone“ und „Hochrisikozone“ bezeichnet. Aus Gründen der Übersichtlichkeit und auch zur Kennzeichnung von Räumlichkeiten werden den 4 Klassifizierungsstufen, ebenfalls auf Anregung des VDA, Farben zugeordnet. Somit ergibt sich nach einem erweiterten Ampelprinzip vor: weiß für die öffentliche Zone, grün für die kontrollierte Zone, gelb für die eingeschränkte Zone und rot für die Hochrisikozone.

Festlegung von Sicherheitszonen

Die Unterteilung in Zonen ist nur dann sinnvoll, wenn für die einzelnen Zonen auch unterschiedliche Vorgaben gemacht werden, bzw. wenn sich die Tätigkeiten und Aktivitäten in den Zonen auch klar unterscheiden lassen. Diese Vorgaben können sich auf verschiedene Bereiche beziehen und natürlich werden diese Vorgaben aufsteigend strenger und umfassender. In einem weißen Bereich, also der „öffentlichen Zone“, wird man meist nur wenige Vorgaben machen. So ist oft z.B. das Mitführen und auch Benutzen von Mobiltelefonen und anderen Aufzeichnungsgeräten nicht eingeschränkt, und auch der Zutritt wird nicht gesteuert. Am entgegengesetzten Ende der Skala, in der rot markierten „Hochsicherheitszone“, müssen Aufzeichnungsgeräte oft vor dem Betreten abgegeben werden, Verschwiegenheitserklärungen unterschrieben werden, und der Zutritt ist nur für einen stark limitierten Personenkreis zulässig.

Welche Regelungen für die jeweilige Sicherheitszone getroffen werden, hängt zunächst von der Einschätzung des eigenen Unternehmens zur Kritikalität der in der Zone befindlichen Informationswerte ab. Ebenfalls müssen die Kundenvorgaben berücksichtigt werden, die den Umgang mit Informationswerten des Kunden betreffen. Auch hier ist es hilfreich, wenn sowohl der Kunde als auch das eigene Unternehmen vergleichbare Schemata zur Klassifizierung nutzen und auch ein gleiches Verständnis von Sicherheitszonen haben. Kleiner Praxistipp: Es ist eine gute Idee, sicherheitshalber mit den externen Partnern abzugleichen, ob die genutzten Schemata zur Klassifizierung und zum Verständnis der Sicherheitsbereiche gleich sind.

Zu diesem Zeitpunkt werden die Ausführungen aus dem vorherigen Blogartikel vermutlich verständlicher. Auch die mobilen und häuslichen Arbeitsplätze der Mitarbeiter sollten einem der genannten Sicherheitsbereiche zugeordnet werden – mit der Konsequenz, dass natürlich für diese beiden Arten von Arbeitsplätzen die gleichen Vorgaben gelten wie für die Arbeitsplätze in den jeweiligen Sicherheitsbereichen auf dem Unternehmensgelände. Und auch der Umgang mit Informationswerten, wie z.B. mobilen Datenträgern, sollte bei beiden Arten von Arbeitsplätzen vergleichbar sein. Doch dazu mehr im nächsten Blogartikel ….

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Security Awareness – Sicherheit leben – Teil 1: Passwörter

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3, Teil 4) hatten wir dargestellt, wie ein Security Awareness Konzept aussehen kann. Sie wandten sich somit eher an Verantwortliche, die Security Awareness im Unternehmen konzeptionell betreuen und strukturiert aufbauen wollen. In dieser neuen Folge von Blogbeiträgen sollen dagegen einzelne Themen adressiert werden, die sich als Inhalte für Awarenessmaßnahmen eignen könnten.

Authentizität bei der Anmeldung

Passwörter dienen dazu, die Authentizität bei der Anmeldung an ein System oder eine Anwendung sicherzustellen. Dieses Vorgehen setzt voraus, dass nur die berechtige Person selber das Passwort kennt, das mit dem genutzten Login verbunden ist. Aus diesem Grund verbieten auch die meisten Passwortrichtlinien die Weitergabe des eigenen Passwortes an andere Personen. Gemeint sind hier vor allem personalisierte Zugänge – also Anmeldeinformationen bzw. Konten, die genau einer Person zugeordnet sind. In seltenen Fällen kann es jedoch auch erforderlich sein, dass mehrere Personen sich ein Konto „teilen“ bzw. gemeinsam nutzen. Dies kann z.B. bei sehr alten Systemen der Fall sein, welche nicht in der Lage sind, zwischen verschiedenen Konten zu unterscheiden. Bei aktuellen Systemen sollte es aber in den meisten Fällen sehr wohl möglich sein, zwischen verschiedenen Konten bzw. verschiedenen Personen zu unterscheiden. Oder anders gesagt: die Nutzung von Konten durch mehrere Personen sollte eine absolute Ausnahme sein und nach Möglichkeit vermieden werden.

Hintergrund dieser strengen Formulierung ist das Schutzziel „Zurechenbarkeit“. Aktivitäten in Systemen werden in der Art protokolliert, dass der Kontoname aufgezeichnet wird, also der Login, mit dem eine Aktivität durchgeführt wird. Bei der Aufarbeitung von Vorfällen ist es meist wichtig, präzise zuordnen zu können, welche Person problematische Aktivitäten durchgeführt hat. Wenn ein Konto also von mehreren Personen genutzt werden könnte, ist diese eindeutige Zuordnung nicht mehr möglich.

Konten sollen also durch Passwörter geschützt werden – und diese Passwörter müssen stark sein. Durch die fortschreitende Entwicklung der Rechentechnik kann es möglich sein, ein eigentlich geheimes Passwort durch einfaches „Ausprobieren“ herauszufinden. Dieses Ausprobieren dauert umso länger, je länger ein Passwort ist. Interessanterweise ist der Zusammenhang zwischen der Passwortlänge und der zum Ausprobieren benötigten Zeit nicht etwa linear, sondern eher exponentiell: eine Verdopplung der Passwortlänge bedeutet daher keine Verdopplung der benötigten Zeit, sondern eher (sehr grob gesagt) eine Vervierfachung der Zeit. Ein Passwort kann man also dadurch stärker gestalten, dass man die Passwortlänge erhöht. Mit aktueller Standardhardware geht man derzeit davon aus, dass ein Passwort mindestens 8 Stellen haben sollte, um als sicher zu gelten. Allerdings darf die Länge gerne größer gewählt werden, um Angreifern das Leben schwerer zu machen …

Passwortschutz und Multifaktorauthentifizierung

Neue Technologien im Bereich Passwortschutz und Multifaktorauthentifizierung gehen heute weit über das klassische Passwort hinaus und bieten Unternehmen deutlich mehr Sicherheit bei gleichzeitig höherem Komfort für die Mitarbeitenden. Statt sich komplizierte Kombinationen merken zu müssen, setzen moderne Lösungen auf biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung, Sicherheitsschlüssel nach dem FIDO2-Standard oder als zeitgesteuerte Einmalfreigaben (TOTP) per App. Die Idee dahinter ist einfach: Es wird nicht mehr nur ein einzelner Faktor – wie das Passwort – abgefragt, sondern eine Kombination aus Wissen, Besitz und persönlichem Merkmal. So wird das Risiko von Angriffen wie Phishing oder gestohlenen Zugangsdaten erheblich reduziert. Für Unternehmen bedeutet dies nicht nur bessere Sicherheitsstandards, sondern auch eine spürbare Entlastung in der täglichen Praxis, da die Anmeldung schneller, bequemer und gleichzeitig zuverlässiger abläuft.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare. Diese können Sie auch als individuelles Inhouse-Seminar buchen.
Sprechen Sie uns gern an.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Interne Audits – Erstellung eines
Auditprogrammes – Teil 4

Interne Audits sind ein essenzielles Instrument, um Prozesse, Systeme und Managementansätze kontinuierlich zu verbessern. Sie helfen Unternehmen dabei, Schwachstellen zu identifizieren, Konformität mit Normen wie ISO 27001, ISO 9001, ISO 14001 oder ISO 45001 sicherzustellen und die Leistungsfähigkeit nachhaltig zu steigern. In den folgenden Artikeln beleuchten wir Schritt für Schritt die Kernbereiche – von der Erstellung eines Auditprogrammes bis zu Herausforderungen und Best Practices.

In den vorherigen Beiträgen wurde die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen, die Ausbildung zum Auditor und die unterschiedlichen Auditarten besprochen. Dieses Mal geht es um die Erstellung eines Auditprogrammes.

Erstellung eines Auditprogrammes

Ein wirksames Auditprogramm bildet die Grundlage für alle späteren Auditaktivitäten. Es handelt sich dabei nicht nur um eine formale Planung, sondern um ein strukturiertes Dokument, das langfristig Orientierung bietet. Das Ziel ist alle relevanten Geschäftsprozesse systematisch zu überprüfen und so kontinuierliche Verbesserungen anzustoßen.

Zu Beginn ist es entscheidend, den Zweck des Auditprogramms klar zu definieren. Typische Ziele sind z. B. die interne Überprüfung auf Einhaltung gesetzlicher Anforderungen, die Bewertung von Risiken oder die Sicherstellung von Qualitätsstandards in Bezug auf Kundenanforderungen.

Ein effektives Auditprogramm berücksichtigt mehrere entscheidende Faktoren:

  • Umfang und Geltungsbereich: Welche Abteilungen, Prozesse oder Standorte sollen geprüft werden?
  • Auditkriterien: Gegen welche Normen, Richtlinien oder Unternehmensstandards wird verglichen?
  • Auditfrequenz: In welchen Intervallen werden die Audits durchgeführt (z. B. quartalsweise, jährlich oder risikobasiert)?
  • Risikobasierter Ansatz: Besonders kritische Prozesse mit hohem Risiko für Compliance-Verstöße sollten häufiger auditiert werden.
  • Verantwortlichkeiten: Wer erstellt, koordiniert und überwacht das Auditprogramm?

Ebenso sollten die Ressourcen berücksichtigt werden. Dazu gehören geschulte Auditoren, verfügbare Zeitfenster sowie unterstützende Tools wie digitale Auditmanagement-Software.

Wesentlicher Bestandteil ist auch die Kommunikation: Das Auditprogramm sollte allen relevanten Stakeholdern wie Bereichsleitern, Führungskräften und Mitarbeitern transparent zur Verfügung gestellt werden. Eine klare Kommunikation erhöht die Akzeptanz und reduziert Widerstände.

Schließlich sollte das Auditprogramm dynamisch angelegt sein. Das bedeutet, dass es regelmäßig überprüft und an neue Entwicklungen angepasst wird – sei es aufgrund neuer Gesetze, interner Veränderungen oder geänderter Unternehmensstrategien.

Fazit:

Ein gut durchdachtes Auditprogramm ist das Fundament erfolgreicher Audits. Es stellt sicher, dass keine relevanten Aspekte vernachlässigt werden, und bietet dem Unternehmen einen strategischen Rahmen für kontinuierliche Verbesserung.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen