VdS-10000-Audit: Vorbereitung und Ablauf

VdS-10000-Audit: So bereitest du dich optimal vor

Das VdS-10000-Zertifizierungsaudit prueft, ob dein Informationssicherheits-Managementsystem (ISMS) die Anforderungen der Richtlinie erfuellt. Eine gute Vorbereitung entscheidet darueber, ob du das Audit auf Anhieb bestehst oder Nachbesserungen vornehmen musst. Dieser Leitfaden zeigt dir den kompletten Audit-Ablauf, typische Findings und praktische Tipps fuer den Audit-Tag.

Der Audit-Ablauf im Detail

Das VdS-10000-Audit gliedert sich in drei Phasen:

Phase 1: Dokumentenpruefung (Stufe 1)

Der Auditor prueft vorab deine ISMS-Dokumentation auf Vollstaendigkeit und formale Korrektheit. Diese Phase findet in der Regel remote statt und umfasst:

• Leitlinie zur Informationssicherheit: Genehmigt durch die Geschaeftsleitung, mit klaren Zielen und Geltungsbereich
• Risikoanalyse und -behandlung: Dokumentierte Informationswerte, Bedrohungen, Schwachstellen und abgeleitete Massnahmen
• Richtlinien und Verfahren: Zugangssteuerung, Datensicherung, Vorfallsbehandlung, Lieferantenmanagement
• Schulungsnachweise: Dokumentation durchgefuehrter Awareness-Schulungen
• Interner Audit-Bericht: Ergebnisse der internen Ueberpruefung und eingeleitete Korrekturmassnahmen
• Managementbewertung: Protokoll des Management-Reviews mit Bewertung des ISMS

Nach der Dokumentenpruefung erhaeltst du ein Feedback mit ggf. offenen Punkten, die du vor dem Vor-Ort-Audit klaeren solltest.

Phase 2: Vor-Ort-Audit (Stufe 2)

Im Vor-Ort-Audit prueft der Auditor, ob die dokumentierten Prozesse tatsaechlich gelebt werden. Typischer Ablauf:

• Eroeffnungsgespraech: Vorstellung des Audit-Plans, Klaerung organisatorischer Fragen
• Interviews: Gespraeche mit ISB, IT-Leitung, Geschaeftsleitung und ausgewaehlten Mitarbeitern
• Begehung: Pruefung physischer Sicherheitsmassnahmen (Serverraum, Zutrittskontrolle, Clean Desk)
• Stichproben: Ueberpruefung von Berechtigungen, Backup-Protokollen, Patch-Staenden und Protokolldaten
• Abschlussgespraech: Zusammenfassung der Ergebnisse, Benennung von Abweichungen und Empfehlungen

Das Vor-Ort-Audit dauert fuer KMU typischerweise 1-2 Tage.

Phase 3: Nachaudit (bei Bedarf)

Werden im Audit Hauptabweichungen festgestellt, erhaeltst du eine Frist (in der Regel 3 Monate), um diese zu beheben. Anschliessend findet ein Nachaudit statt, das die Behebung der Abweichungen prueft. Nebenabweichungen koennen oft im Rahmen des naechsten Ueberwachungsaudits nachgewiesen werden.

Audit-Kriterien: Was wird geprueft?

Der Auditor prueft alle 75 VdS-10000-Massnahmen nach folgenden Kriterien:

• Dokumentation: Ist die Massnahme formal dokumentiert und freigegeben?
• Implementierung: Ist die Massnahme tatsaechlich umgesetzt und wirksam?
• Nachweisbarkeit: Gibt es Belege (Protokolle, Screenshots, Berichte), die die Umsetzung bestaetigen?
• Aktualitaet: Sind Dokumente und Massnahmen auf dem aktuellen Stand?
• Wirksamkeit: Wurde die Wirksamkeit geprueft, z. B. durch Tests oder interne Audits?

Typische Findings und wie du sie vermeidest

Aus der Audit-Praxis ergeben sich wiederkehrende Schwachstellen. Wenn du diese kennst, kannst du sie gezielt vermeiden:

Haeufige Hauptabweichungen

• Fehlende Risikoanalyse: Keine oder nur oberflaechliche Risikobewertung durchgefuehrt
• Unvollstaendige Dokumentation: Zentrale Richtlinien fehlen oder sind veraltet
• Kein interner Audit: Die interne Ueberpruefung wurde nicht durchgefuehrt
• Fehlende Managementbewertung: Die Geschaeftsleitung hat das ISMS nicht formal bewertet

Haeufige Nebenabweichungen

• Backup-Tests nicht dokumentiert: Backups werden durchgefuehrt, aber die Wiederherstellung wurde nie getestet
• Schulungsnachweise unvollstaendig: Nicht alle Mitarbeiter haben an der Awareness-Schulung teilgenommen
• Veraltete Berechtigungen: Zugriffsrechte ausgeschiedener Mitarbeiter wurden nicht entzogen
• Fehlende Patch-Dokumentation: Sicherheitsupdates werden installiert, aber nicht protokolliert

Do's und Don'ts im Audit

Checkliste fuer den Audit-Tag

Nutze diese Checkliste, um am Tag des Vor-Ort-Audits optimal vorbereitet zu sein:

• Raum vorbereiten: Besprechungsraum mit Beamer/Bildschirm, Internetzugang und Verpflegung bereitstellen
• Dokumentation griffbereit: Alle ISMS-Dokumente digital oder gedruckt zugaenglich machen
• Ansprechpartner briefen: ISB, IT-Leitung, Geschaeftsleitung und ausgewaehlte Mitarbeiter ueber den Ablauf informieren
• Serverraum aufgeraeumt: Zutrittslisten aktuell, Verkabelung ordentlich, Klimatisierung funktionsfaehig
• Nachweise aktualisieren: Backup-Protokolle, Patch-Berichte und Schulungslisten auf aktuellem Stand
• Notfallplaene zeigen koennen: Notfallhandbuch griffbereit, Ergebnisse des letzten Notfalltests dokumentiert
• Clean Desk pruefen: Alle Arbeitsplaetze raumen (vertrauliche Dokumente wegschliessen, Bildschirme sperren)

Die vollstaendige Schritt-fuer-Schritt-Anleitung findest du in unserer VdS-10000-Checkliste.

Die Rolle des ISB im Audit

Der Informationssicherheitsbeauftragte (ISB) ist der zentrale Ansprechpartner fuer den Auditor. Er fuehrt durch das Audit, beantwortet Fachfragen und koordiniert die Bereitstellung von Nachweisen. Eine gute Vorbereitung des ISB ist entscheidend:

• Kenntnis aller 75 Massnahmen: Der ISB muss wissen, wie jede Massnahme umgesetzt ist und wo die Nachweise liegen
• Risikolandschaft erklaeren: Die Risikoanalyse nachvollziehbar darstellen und begruenden, warum bestimmte Risiken akzeptiert oder behandelt wurden
• Verbesserungsprozess zeigen: Nachweisen, dass aus Findings, Vorfaellen und internen Audits Verbesserungen abgeleitet werden
• Kommunikation mit der Geschaeftsleitung: Belegen, dass die Geschaeftsleitung regelmaessig informiert wird und das ISMS unterstuetzt

Auswahl der Zertifizierungsstelle

Die VdS-10000-Zertifizierung wird von der VdS Schadenverhutung GmbH oder von durch VdS anerkannten Prueforganisationen durchgefuehrt. Bei der Auswahl solltest du auf Branchenerfahrung, Verfuegbarkeit und Kosten achten. Alle Details findest du auf unserer Seite zu den VdS-10000-Zertifizierungsstellen.

Nach dem Audit: Kontinuierliche Verbesserung

Die Zertifizierung ist kein Endpunkt, sondern der Beginn eines kontinuierlichen Verbesserungsprozesses. Nach dem Erstaudit stehen an:

• Jaehrliches Ueberwachungsaudit: Der Auditor prueft die fortlaufende Wirksamkeit des ISMS
• Rezertifizierung alle 3 Jahre: Vollstaendiges Audit aehnlich dem Erstaudit
• Korrekturmassnahmen umsetzen: Findings aus dem Audit systematisch abarbeiten und dokumentieren
• ISMS weiterentwickeln: Neue Risiken bewerten, Massnahmen anpassen und das Sicherheitsniveau kontinuierlich steigern