Mönchengladbach & Stadland +49 2166 998809-0
★★★★★ 4,7 Google Schnellhilfe
Compliance

Audit

IT-Lexikon · Compliance & Recht

Kurz erklärt

Ein Audit prüft systematisch, ob Vorgaben und Standards eingehalten werden. In der IT-Sicherheit deckt es Lücken auf und liefert die Basis für Verbesserungen.

Wie läuft ein IT-Sicherheitsaudit ab?

Ein Audit prüft systematisch, ob festgelegte Vorgaben, Normen oder interne Richtlinien tatsächlich eingehalten werden. Es folgt einem klaren Ablauf statt einer zufälligen Stichprobe.

Zunächst wird der Prüfumfang festgelegt, danach werden Dokumente, Prozesse und technische Einstellungen gegen die Sollvorgaben abgeglichen. Abweichungen werden dokumentiert und bewertet. Am Ende steht ein Bericht mit Befunden und Empfehlungen. Dieser Bericht ist die Grundlage für gezielte Verbesserungen, nicht nur eine Bestandsaufnahme.

Welche Arten von Audits gibt es?

Audits unterscheiden sich danach, wer prüft und mit welchem Ziel. Die Einordnung hilft, das passende Format zu wählen.

  • Internes Audit: durch eigene Stellen, zur Selbstkontrolle und Vorbereitung
  • Externes Audit: durch unabhängige Prüfer, etwa für eine ISO 27001-Zertifizierung
  • Lieferanten-Audit: zur Prüfung von Dienstleistern und Partnern

Während ein Penetrationstest technische Schwachstellen aktiv ausnutzt, betrachtet ein Audit Prozesse, Nachweise und die Einhaltung von Vorgaben.

Worauf sollte man bei einem Audit achten?

Ein Audit ist nur so wertvoll wie die anschließende Umsetzung. Befunde, die niemand bearbeitet, verbessern nichts.

Definieren Sie vorab einen klaren Prüfumfang und sorgen Sie für vollständige, aktuelle Dokumentation — das beschleunigt die Prüfung erheblich. Behandeln Sie Abweichungen nach Priorität und legen Sie Verantwortliche und Termine fest. Wiederkehrende Audits machen Fortschritte messbar und halten das Sicherheitsniveau dauerhaft hoch, statt es nur einmalig zu bestätigen.

FAQ

Häufige Fragen

Kurz und konkret beantwortet.

Was ist der Unterschied zwischen Audit und Penetrationstest?+

Ein Audit prüft Prozesse, Dokumentation und die Einhaltung von Vorgaben gegen einen Soll-Zustand. Ein Penetrationstest greift Systeme technisch an, um ausnutzbare Schwachstellen aufzudecken. Beide ergänzen sich: Das Audit betrachtet die Organisation, der Test die technische Angriffsfläche.

Wer darf ein Audit durchführen?+

Interne Audits führen geschulte eigene Mitarbeitende durch, die unabhängig vom geprüften Bereich sein sollten. Zertifizierungsrelevante Audits, etwa für ISO 27001, müssen von akkreditierten, unabhängigen Prüfstellen erfolgen, damit das Ergebnis anerkannt wird.

Wie oft sollte ein Audit stattfinden?+

Das hängt von Risiko und Vorgaben ab. Zertifizierungen verlangen meist jährliche Überwachungsaudits. Unabhängig davon ist eine regelmäßige interne Prüfung sinnvoll, um Veränderungen in der IT-Landschaft und neue Risiken rechtzeitig zu erfassen.

Verwandte Begriffe

DSGVONIS2ISO 27001BSI-GrundschutzTISAX

Noch Fragen?

Sprechen wir über Ihre IT.

Ob Compliance & Recht oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.

Kontakt aufnehmen