VdS-10000-Audit: Vorbereitung und Ablauf

VdS-10000-Audit: So bereitest du dich optimal vor

Das VdS-10000-Zertifizierungsaudit prüft, ob dein Informationssicherheits-Managementsystem (ISMS) die Anforderungen der Richtlinie erfüllt. Eine gute Vorbereitung entscheidet darüber, ob du das Audit auf Anhieb bestehst oder Nachbesserungen vornehmen musst. Dieser Leitfaden zeigt dir den kompletten Audit-Ablauf, typische Findings und praktische Tipps fuer den Audit-Tag.

Der Audit-Ablauf im Detail

Das VdS-10000-Audit gliedert sich in drei Phasen:

Phase 1: Dokumentenpruefung (Stufe 1)

Der Auditor prüft vorab deine ISMS-Dokumentation auf Vollstaendigkeit und formale Korrektheit. Diese Phase findet in der Regel remote statt und umfasst:

• Leitlinie zur Informationssicherheit: Genehmigt durch die Geschäftsleitung, mit klaren Zielen und Geltungsbereich
• Risikoanalyse und -behandlung: Dokumentierte Informationswerte, Bedrohungen, Schwachstellen und abgeleitete Maßnahmen
• Richtlinien und Verfahren: Zugangssteuerung, Datensicherung, Vorfallsbehandlung, Lieferantenmanagement
• Schulungsnachweise: Dokumentation durchgefuehrter Awareness-Schulungen
• Interner Audit-Bericht: Ergebnisse der internen Überprüfung und eingeleitete Korrekturmaßnahmen
• Managementbewertung: Protokoll des Management-Reviews mit Bewertung des ISMS

Nach der Dokumentenpruefung erhältst du ein Feedback mit ggf. offenen Punkten, die du vor dem Vor-Ort-Audit klaeren solltest.

Phase 2: Vor-Ort-Audit (Stufe 2)

Im Vor-Ort-Audit prüft der Auditor, ob die dokumentierten Prozesse tatsaechlich gelebt werden. Typischer Ablauf:

• Eroeffnungsgespraech: Vorstellung des Audit-Plans, Klaerung organisatorischer Fragen
• Interviews: Gespraeche mit ISB, IT-Leitung, Geschäftsleitung und ausgewaehlten Mitarbeitern
• Begehung: Pruefung physischer Sicherheitsmaßnahmen (Serverraum, Zutrittskontrolle, Clean Desk)
• Stichproben: Überprüfung von Berechtigungen, Backup-Protokollen, Patch-Staenden und Protokolldaten
• Abschlussgespraech: Zusammenfassung der Ergebnisse, Benennung von Abweichungen und Empfehlungen

Das Vor-Ort-Audit dauert fuer KMU typischerweise 1-2 Tage.

Phase 3: Nachaudit (bei Bedarf)

Werden im Audit Hauptabweichungen festgestellt, erhältst du eine Frist (in der Regel 3 Monate), um diese zu beheben. Anschliessend findet ein Nachaudit statt, das die Behebung der Abweichungen prüft. Nebenabweichungen können oft im Rahmen des nächsten Überwachungsaudits nachgewiesen werden.

Audit-Kriterien: Was wird geprüft?

Der Auditor prüft alle 75 VdS-10000-Maßnahmen nach folgenden Kriterien:

• Dokumentation: Ist die Massnahme formal dokumentiert und freigegeben?
• Implementierung: Ist die Massnahme tatsaechlich umgesetzt und wirksam?
• Nachweisbarkeit: Gibt es Belege (Protokolle, Screenshots, Berichte), die die Umsetzung bestaetigen?
• Aktualitaet: Sind Dokumente und Maßnahmen auf dem aktuellen Stand?
• Wirksamkeit: Wurde die Wirksamkeit geprüft, z. B. durch Tests oder interne Audits?

Typische Findings und wie du sie vermeidest

Aus der Audit-Praxis ergeben sich wiederkehrende Schwachstellen. Wenn du diese kennst, kannst du sie gezielt vermeiden:

Häufige Hauptabweichungen

• Fehlende Risikoanalyse: Keine oder nur oberflaechliche Risikobewertung durchgefuehrt
• Unvollständige Dokumentation: Zentrale Richtlinien fehlen oder sind veraltet
• Kein interner Audit: Die interne Überprüfung wurde nicht durchgefuehrt
• Fehlende Managementbewertung: Die Geschäftsleitung hat das ISMS nicht formal bewertet

Häufige Nebenabweichungen

• Backup-Tests nicht dokumentiert: Backups werden durchgefuehrt, aber die Wiederherstellung wurde nie getestet
• Schulungsnachweise unvollständig: Nicht alle Mitarbeiter haben an der Awareness-Schulung teilgenommen
• Veraltete Berechtigungen: Zugriffsrechte ausgeschiedener Mitarbeiter wurden nicht entzogen
• Fehlende Patch-Dokumentation: Sicherheitsupdates werden installiert, aber nicht protokolliert

Do's und Don'ts im Audit

Checkliste fuer den Audit-Tag

Nutze diese Checkliste, um am Tag des Vor-Ort-Audits optimal vorbereitet zu sein:

• Raum vorbereiten: Besprechungsraum mit Beamer/Bildschirm, Internetzugang und Verpflegung bereitstellen
• Dokumentation griffbereit: Alle ISMS-Dokumente digital oder gedruckt zugaenglich machen
• Ansprechpartner briefen: ISB, IT-Leitung, Geschäftsleitung und ausgewaehlte Mitarbeiter über den Ablauf informieren
• Serverraum aufgeraeumt: Zutrittslisten aktuell, Verkabelung ordentlich, Klimatisierung funktionsfaehig
• Nachweise aktualisieren: Backup-Protokolle, Patch-Berichte und Schulungslisten auf aktuellem Stand
• Notfallplaene zeigen können: Notfallhandbuch griffbereit, Ergebnisse des letzten Notfalltests dokumentiert
• Clean Desk prüfen: Alle Arbeitsplaetze raumen (vertrauliche Dokumente wegschliessen, Bildschirme sperren)

Die vollständige Schritt-fuer-Schritt-Anleitung findest du in unserer VdS-10000-Checkliste.

Die Rolle des ISB im Audit

Der Informationssicherheitsbeauftragte (ISB) ist der zentrale Ansprechpartner fuer den Auditor. Er fuehrt durch das Audit, beantwortet Fachfragen und koordiniert die Bereitstellung von Nachweisen. Eine gute Vorbereitung des ISB ist entscheidend:

• Kenntnis aller 75 Maßnahmen: Der ISB muss wissen, wie jede Massnahme umgesetzt ist und wo die Nachweise liegen
• Risikolandschaft erklaeren: Die Risikoanalyse nachvollziehbar darstellen und begruenden, warum bestimmte Risiken akzeptiert oder behandelt wurden
• Verbesserungsprozess zeigen: Nachweisen, dass aus Findings, Vorfaellen und internen Audits Verbesserungen abgeleitet werden
• Kommunikation mit der Geschäftsleitung: Belegen, dass die Geschäftsleitung regelmaessig informiert wird und das ISMS unterstuetzt

Auswahl der Zertifizierungsstelle

Die VdS-10000-Zertifizierung wird von der VdS Schadenverhutung GmbH oder von durch VdS anerkannten Prueforganisationen durchgefuehrt. Bei der Auswahl solltest du auf Branchenerfahrung, Verfügbarkeit und Kosten achten. Alle Details findest du auf unserer Seite zu den VdS-10000-Zertifizierungsstellen.

Nach dem Audit: Kontinuierliche Verbesserung

Die Zertifizierung ist kein Endpunkt, sondern der Beginn eines kontinuierlichen Verbesserungsprozesses. Nach dem Erstaudit stehen an:

• Jährliches Überwachungsaudit: Der Auditor prüft die fortlaufende Wirksamkeit des ISMS
• Rezertifizierung alle 3 Jahre: Vollstaendiges Audit ähnlich dem Erstaudit
• Korrekturmaßnahmen umsetzen: Findings aus dem Audit systematisch abarbeiten und dokumentieren
• ISMS weiterentwickeln: Neue Risiken bewerten, Maßnahmen anpassen und das Sicherheitsniveau kontinuierlich steigern