Compliance-Audits bei IT-Dienstleistern: ISMS-Wissen und Personalkompetenz prüffest dokumentieren
Bei IT-Dienstleistern ist ein bestandenes ISO-27001- oder TISAX-Audit kein Compliance-Detail, sondern Vertriebs-Voraussetzung. Auditoren prüfen heute deutlich strenger, ob Personalkompetenz, Stellvertretung und Wissenssicherung tatsächlich gelebt werden — nicht nur auf dem Papier stehen.
Kritische Rollen in der Branche
Annex-A-Mapping, Risikobewertungs-Historie und Audit-Korrespondenz konzentriert auf eine Person; Verlust = Audit-Eskalation
Verarbeitungsverzeichnis, AVV-Vorlagen und DSFA-Wissen oft personengebunden — bei Wechsel droht 6-Monats-Lücke
C5-/SOC2-Mapping zu eigenen Kontrollen kennt nur der Senior; ohne ihn fehlt der direkte Auditor-Walkthrough
Vorprüfungs-Heuristik („wo schaut welcher Zertifizierer hin“) ist über Jahre persönlich gewachsen
Branchen-Daten
BSI-Lagebericht 2024: deutsche IT-Dienstleister sind in über 60 % der Lieferantenfragebögen ihrer Großkunden zur Vorlage einer ISO-27001-Zertifizierung verpflichtet.
Quelle: BSI Lagebericht zur IT-Sicherheit 2024
VDA / ENX TISAX-Statistik: Stand 2024 sind über 9.000 Standorte TISAX-gelabelt; Re-Labeling-Audits finden alle 3 Jahre verpflichtend statt.
Quelle: ENX Association — TISAX Yearly Report
DEKRA / DQS-Audit-Whitepapers 2023/24: ISO-27001-Findings im Bereich A.7.2 (Awareness) und A.7.3 (Beendigung) gehören zu den Top-3-Themen bei Mittelstands-IT-Dienstleistern.
Quelle: DEKRA / DQS Erfahrungsberichte 2023/24
Typische Trigger-Events
- ISO-27001-Re-Zertifizierung in 6–9 Monaten und ISMS-Manager kündigt
- TISAX-Assessment Level 3 wird vom OEM-Kunden zur Pflicht
- C5-Testat von BaFin-regulierten Kunden verlangt
- BSI-Audit nach Eintritt in eine KRITIS-Lieferkette
- Großkunden-Lieferantenfragebogen verlangt dokumentierte Stellvertretung im Security-Team
Warum Audits am Personalwissen scheitern, nicht an Dokumenten
In ISO-27001-Audits sehen die Zertifizierer regelmäßig saubere Policies, ordentliche Risikoregister und gepflegte Asset-Inventare — und vergeben trotzdem Major-Findings im Bereich Annex A.6 (Organisation) und A.7 (Personalsicherheit). Der Grund: Die Kontrollen verlangen Awareness- und Kompetenznachweise auf operativer Ebene. Wenn der Auditor einen zweiten Mitarbeiter zum Incident-Response-Verfahren befragt und der nur die Policy zitieren kann — nicht aber die in den letzten zwei Jahren tatsächlich aufgetretenen Eskalationen erklären — wird das als unzureichende Wirksamkeit der Kontrolle gewertet.
Wer ein Audit ohne Eskalation bestehen will, braucht deshalb nicht mehr Dokumente, sondern verlässlich verteiltes Wissen. Genau das ist die typische Lücke bei IT-Dienstleistern, in denen ISMS-Manager, DSB und Internal Auditor häufig auf eine einzige Person fallen.
TISAX-Spezifika für Automotive-IT-Lieferanten
TISAX (VDA-ISA) ist für IT-Dienstleister mit Automotive-Bezug Pflicht — und enthält gegenüber ISO 27001 zusätzliche Anforderungen an Prototypenschutz, Datenklassifikation und Personalkompetenz. Insbesondere die Kontrollen 1.2 (Awareness), 1.3 (Schulung) und 7 (Lieferanten) verlangen rollenbezogene Kompetenznachweise, die im Audit konkret abgefragt werden. Erfahrungsgemäß scheitern Re-Labeling-Audits nicht an formalen Lücken, sondern daran, dass der Auditor in Interviews mit operativen Mitarbeitern keine konsistenten Antworten zur Datenklassifikation oder zum Umgang mit Prototypeninformationen erhält.
Wie BusFactor Audit-Reife erzeugt
BusFactor erfasst rollenbezogenes Audit- und Kontroll-Wissen strukturiert: Welche Annex-A-Kontrollen liegen in welcher Verantwortung? Welche Findings hat es in den letzten Audits gegeben? Welche Maßnahmen wurden mit welcher Begründung gewählt? Diese Daten landen in einer Wissensbasis, die der designierte Stellvertreter im Audit-Interview nutzen kann — nicht als Spickzettel, sondern als strukturiertes Hintergrundwissen, das ihn durch ein Auditor-Gespräch trägt. Die Mapping-Tabelle zwischen ISO 27001 Annex A, TISAX-Kontrollen und unseren Wissensbereichen geben wir Auditoren direkt im Audit-Walkthrough.
Konkrete Checklisten
ISMS-Bus-Faktor-Inventur
- Pro Annex-A-Kontrolle: wer ist verantwortlich? Wer ist tatsächlich (nicht nur auf Papier) Stellvertreter?
- Audit-Historie der letzten 3 Jahre: welche Findings? Welche Maßnahmen — und wer kennt deren Begründung?
- DSFA- und AVV-Bestand: wer hat ihn aufgebaut? Wer könnte ihn morgen weiterführen?
Strukturierte Wissensaufnahme im Security-Team
- ISMS-Manager: Risikobewertungs-Logbuch (warum welche Restrisiken akzeptiert?) und Audit-Korrespondenz-Zusammenfassung
- DSB: Mapping-Tabelle Verarbeitung × Rechtsgrundlage × DSFA-Status
- Internal Auditor: Vorprüfungs-Heuristik pro Zertifizierer (DQS, TÜV, DEKRA, BSI)
Audit-Vorbereitungs-Pfad
- T-180 Tage: interne Vorprüfung mit dokumentiertem Findings-Backlog
- T-90 Tage: Stellvertreter-Walkthrough (Stellvertreter führt Auditor durch ISMS, nicht der Hauptverantwortliche)
- T-30 Tage: Final-Review mit Geschäftsleitung; Eskalations-Pfad für offene Punkte
Häufige Fragen
Reicht das nicht, wenn unsere Policies sauber sind?▾
Im Audit ja — beim Re-Audit nicht. ISO 27001 Annex A.7.2 und A.7.3 verlangen wirksame Awareness und definierte Übergabe bei Personalwechsel; das prüfen Auditoren in operativen Interviews, nicht im Dokumentenpaket.
Hilft das auch bei C5-Testaten?▾
Ja. C5 verweist explizit auf rollenbezogene Verantwortlichkeiten und Vertretungen; die strukturierte Wissensbasis liefert die Belege für den Wirtschaftsprüfer-Walkthrough.
Was, wenn der ISMS-Manager keinen Wissenstransfer machen will, weil er bald geht?▾
Genau für diesen Fall ist die Methode optimiert: 30-Minuten-Sessions, in denen aus seinem Erfahrungswissen strukturierte Inhalte werden — geringer Aufwand, hoher Nutzen, ohne Konkurrenz zu seiner Restzeit.
Weiterlesen
Wie groß ist Ihr Bus-Faktor in IT-Dienstleister?
Wir machen eine kostenlose Inventur in Ihrem Unternehmen — branchenspezifisch, ohne Mitarbeiterüberwachung, DSGVO- und mitbestimmungskonform.
Bus-Faktor-Inventur anfragen