Internes Audit Checkliste: Fragenkatalog für ISO 27001, DORA und NIS2
Wozu dieser Fragenkatalog?
Ein internes Audit ohne strukturierten Fragenkatalog gleicht einer Systemprüfung ohne Protokoll: Sie finden vielleicht etwas, aber Sie wissen nicht, was Sie übersehen haben.
Dieser Fragenkatalog gibt Ihnen 80+ praxiserprobte Prüffragen für die wichtigsten deutschen Compliance-Frameworks. Die Fragen sind so formuliert, dass sie:
- In Interviews direkt gestellt werden können
- Dokumente und Nachweise benennen, die zu prüfen sind
- Abweichungen erkennbar machen, ohne interpretationsbedürftig zu sein
- ISO 19011-konform** die Auditprinzipien einhalten
Hinweis: Dieser Fragenkatalog ersetzt kein risikobasiertes Auditprogramm. Priorisieren Sie Fragen nach dem tatsächlichen Risikoniveau Ihrer Organisation.
Modul 1: Allgemeine Managementsystem-Anforderungen
Diese Fragen gelten für alle Managementsystem-Frameworks (ISO 9001, ISO 27001, ISO 14001 etc.).
Leadership & Governance
| Nr. |
Prüffrage |
Nachweis |
| 1.1 |
Liegt eine schriftlich verabschiedete Informationssicherheits- bzw. Qualitätspolitik vor, die vom Top-Management unterzeichnet ist? |
Policy-Dokument mit Freigabe-Datum |
| 1.2 |
Sind Rollen, Verantwortlichkeiten und Befugnisse für das Managementsystem schriftlich definiert und kommuniziert? |
Organigramm, RACI-Matrix, Stellenbeschreibungen |
| 1.3 |
Findet ein regelmäßiges Management-Review statt? Wann war das letzte? Liegen Protokolle vor? |
Management-Review-Protokolle (min. 1x/Jahr) |
| 1.4 |
Werden Ressourcen (Personal, Budget, Tools) ausreichend für die Compliance-Funktion bereitgestellt? |
Budgetplanung, Stellenpläne |
Dokumentenmanagement
| Nr. |
Prüffrage |
Nachweis |
| 2.1 |
Gibt es ein Verfahren zur Kontrolle dokumentierter Informationen (Versionierung, Freigabe, Verteilung)? |
Dokumentenkontrollverfahren |
| 2.2 |
Sind alle relevanten Dokumente aktuell und mit Versions- und Freigabedatum versehen? |
Stichprobe: 5 aktuelle Dokumente prüfen |
| 2.3 |
Werden veraltete Dokumente erkennbar als solche gekennzeichnet oder aus dem Verkehr gezogen? |
Archivierungsprotokoll |
| 2.4 |
Sind Aufbewahrungsfristen für Compliance-Aufzeichnungen definiert? |
Aktenplan, Archivierungsrichtlinie |
Interne Audits (Meta-Check)
| Nr. |
Prüffrage |
Nachweis |
| 3.1 |
Liegt ein dokumentiertes Auditprogramm für das laufende Jahr vor? |
Auditprogramm/-plan |
| 3.2 |
Wurden alle geplanten Audits des Vorjahres durchgeführt? |
Auditberichte mit Datum |
| 3.3 |
Sind Auditoren unabhängig vom geprüften Bereich? |
Auftragsdokument, Qualifikationsnachweise |
| 3.4 |
Werden Abweichungen aus Audits systematisch nachverfolgt? Sind alle Major-Abweichungen geschlossen? |
Maßnahmenliste mit Status |
Modul 2: ISO 27001:2022 – Informationssicherheit
| Nr. |
Prüffrage |
Nachweis |
| 4.1 |
Liegt ein dokumentierter Risikobewertungsprozess vor? Wann wurde er zuletzt angewendet? |
Risikobewertungsverfahren, aktuelles Risikoregister |
| 4.2 |
Sind alle identifizierten Risiken bewertet (Eintrittswahrscheinlichkeit × Auswirkung) und behandelt? |
Risikoregister mit Bewertungsfeldern |
| 4.3 |
Ist für jedes akzeptierte Risiko eine Entscheidung durch den Risikoinhaber dokumentiert? |
Risk Acceptance Records |
| 4.4 |
Gibt es ein Statement of Applicability (SoA) mit allen Anhang-A-Controls und Begründungen für Ausschlüsse? |
Statement of Applicability (aktuell) |
Zugangssteuerung (A.5.15–A.8.18)
| Nr. |
Prüffrage |
Nachweis |
| 5.1 |
Gibt es eine dokumentierte Zugriffssteuerungsrichtlinie? Wann wurde sie zuletzt überprüft? |
Zugriffssteuerungsrichtlinie |
| 5.2 |
Werden Benutzerrechte nach dem Least-Privilege-Prinzip vergeben? |
Rollenkonzept, Access-Reviews |
| 5.3 |
Findet ein regelmäßiges User-Access-Review statt (mind. jährlich für privilegierte Accounts)? |
Access-Review-Protokolle |
| 5.4 |
Werden Zugriffsrechte beim Ausscheiden von Mitarbeitenden sofort entzogen? |
Offboarding-Prozess, Ticket-Belege |
| 5.5 |
Sind privilegierte Accounts (Admins) von regulären Accounts getrennt? Ist MFA aktiviert? |
IAM-Konfiguration, Screenshot |
Vorfallsmanagement (A.5.24–A.5.28)
| Nr. |
Prüffrage |
Nachweis |
| 6.1 |
Gibt es eine dokumentierte Richtlinie zur Behandlung von Sicherheitsvorfällen? |
Incident-Response-Richtlinie |
| 6.2 |
Wie werden Vorfälle gemeldet? Ist der Meldeprozess allen Mitarbeitenden bekannt? |
Kommunikationskanal (z.B. security@firma.de), Schulungsnachweis |
| 6.3 |
Sind die letzten 3 Sicherheitsvorfälle dokumentiert, inklusive Root-Cause-Analyse und Maßnahmen? |
Incident-Protokolle |
| 6.4 |
Werden Lessons Learned aus Vorfällen systematisch ins Risikomanagement überführt? |
Nachweisbare Verbindung Incident → Risikoregister |
| Nr. |
Prüffrage |
Nachweis |
| 7.1 |
Liegen Business-Impact-Analysen für kritische Prozesse vor? |
BIA-Dokumente |
| 7.2 |
Gibt es getestete Business-Continuity-Pläne (BCP)? Wann war der letzte Test? |
BCP-Dokumente, Testprotokoll |
| 7.3 |
Sind RTO und RPO für kritische Systeme definiert und technisch umsetzbar? |
RTO/RPO-Tabelle, Backup-Konfiguration |
Modul 3: DORA – Digital Operational Resilience Act
| Nr. |
Prüffrage |
Nachweis |
| 8.1 |
Ist ein IKT-Risikomanagement-Rahmenwerk dokumentiert und vom Leitungsorgan genehmigt? |
IKT-Risikomanagement-Rahmenwerk |
| 8.2 |
Wurde eine vollständige Inventarisierung der IKT-Assets (Hard-/Software, Daten, Dienste) durchgeführt? |
IKT-Asset-Register |
| 8.3 |
Sind Kritikalitätsbewertungen für alle IKT-Assets vorgenommen worden? |
Kritikalitätsbewertung im Asset-Register |
| 8.4 |
Gibt es dokumentierte Netzwerktopologien und Abhängigkeiten zwischen IKT-Assets? |
Netzwerkdiagramm, Abhängigkeitskarte |
Drittanbieter-Risikomanagement (Art. 28–30)
| Nr. |
Prüffrage |
Nachweis |
| 9.1 |
Liegt ein Register aller IKT-Drittanbieter vor, inklusive Klassifizierung nach Kritikalität? |
Drittanbieter-Register (CTPP-Register) |
| 9.2 |
Sind für kritische IKT-Drittanbieter schriftliche Vereinbarungen mit den DORA-Pflichtklauseln vorhanden? |
Vertragsexzerpte mit DORA-Klauseln |
| 9.3 |
Werden kritische IKT-Drittanbieter regelmäßig auf ihre Resilience geprüft? Wann war das letzte Audit? |
Auditbericht oder Assessment-Fragebogen |
| 9.4 |
Gibt es Ausstiegsstrategien für kritische IKT-Drittanbieter? |
Exit-Plan-Dokumentation |
| 9.5 |
Ist die Konzentration bei IKT-Drittanbietern bewertet? (Abhängigkeit von einem Anbieter > 30%?) |
Konzentrations-Risikoanalyse |
Incident Reporting (Art. 17–23)
| Nr. |
Prüffrage |
Nachweis |
| 10.1 |
Gibt es eine dokumentierte Klassifizierungsmethodik für IKT-bezogene Vorfälle? |
Incident-Klassifizierungsmatrix |
| 10.2 |
Wurden Major IKT-Incidents der BaFin gemäß DORA-Meldepflichten gemeldet? |
Meldungsbelege oder „keine Major Incidents" |
| 10.3 |
Sind die Meldefristen bekannt und im Prozess verankert? (Erstmeldung: 4h; Zwischenmeldung: 24h; Abschlussbericht: 1 Monat) |
Incident-Response-Prozess mit Zeitplan |
Resilience Testing (Art. 24–27)
| Nr. |
Prüffrage |
Nachweis |
| 11.1 |
Liegt ein jährliches Programm für digitale Resilience-Tests vor? |
Testprogramm |
| 11.2 |
Werden regelmäßig Penetrationstests (VA/PT) für kritische IKT-Systeme durchgeführt? |
Pentest-Berichte (max. 12 Monate alt) |
| 11.3 |
Werden Schwachstellen aus Tests nachverfolgt und behoben? |
Vulnerability-Tracker mit Status |
Modul 4: NIS2 – Netzwerk- und Informationssicherheit
Governance (Art. 20)
| Nr. |
Prüffrage |
Nachweis |
| 12.1 |
Hat das Leitungsorgan eine Schulung zu Cybersicherheitsrisiken absolviert? Gibt es Nachweis? |
Schulungsnachweis mit Datum |
| 12.2 |
Ist Cybersicherheit formell in die Unternehmensgovernance eingebunden (Vorstandsberichte, Risikoberichte)? |
Vorstandsprotokolle, Risikoberichte |
Sicherheitsmaßnahmen (Art. 21)
| Nr. |
Prüffrage |
Nachweis |
| 13.1 |
Wird eine risikobasierte Informationssicherheitspolitik implementiert und regelmäßig überprüft? |
IS-Politik mit Überprüfungsdatum |
| 13.2 |
Sind Sicherheitsmaßnahmen für alle 10 NIS2-Kategorien dokumentiert und umgesetzt? |
NIS2-Kontroll-Mapping |
| 13.3 |
Werden Backups regelmäßig erstellt und auf Wiederherstellbarkeit getestet? |
Backup-Protokolle, Restore-Test-Protokolle |
| 13.4 |
Ist Multi-Faktor-Authentifizierung für kritische Systeme und privilegierte Zugriffe aktiviert? |
MFA-Konfiguration |
| 13.5 |
Wird Verschlüsselung für Daten in Ruhe und in der Übertragung eingesetzt? |
Verschlüsselungskonzept, technische Konfiguration |
Incident Reporting (Art. 23)
| Nr. |
Prüffrage |
Nachweis |
| 14.1 |
Kennt das Team die NIS2-Meldepflichten und die Fristen? (24h Frühwarnung; 72h Meldung; Abschluss: 1 Monat) |
Prozessdokumentation, Schulungsnachweis |
| 14.2 |
An wen wird gemeldet? (BSI für Deutschland) Ist der Meldeprozess getestet? |
Kontaktliste BSI, Testmeldung |
Modul 5: Mitarbeitersensibilisierung
Diese Fragen gelten für alle Frameworks.
| Nr. |
Prüffrage |
Nachweis |
| 15.1 |
Durchlaufen alle neuen Mitarbeitenden ein Sicherheitsbewusstseinstraining bei der Einstellung? |
Onboarding-Checkliste, Schulungsnachweis |
| 15.2 |
Erhalten alle Mitarbeitenden regelmäßige Sicherheitsschulungen? (mind. 1x/Jahr) |
Schulungsplan, Teilnahmeliste |
| 15.3 |
Gibt es spezifische Schulungen für Hochrisiko-Gruppen (IT-Admins, Finanzteam, Führungskräfte)? |
Rollenspezifische Schulungsnachweise |
| 15.4 |
Werden Phishing-Simulationen durchgeführt? Wie ist die Klickrate? |
Phishing-Simulation-Berichte |
| 15.5 |
Sind Mitarbeitende über aktuelle Bedrohungen (Social Engineering, CEO Fraud) informiert? |
Awareness-Newsletter, Kommunikationsbelege |
Verwendung des Fragenkatalogs
Als Auditcheckliste
Übertragen Sie die relevanten Module in Ihr Audittools. Für jeden Punkt:
- Status: ✅ Konform / ⚠️ Teilkonform / ❌ Abweichung / N/A
- Nachweis-ID: Referenz auf geprüftes Dokument oder Aussage
- Bemerkung: Freitext für Details
Als Lückenanalyse
Führen Sie eine Selbstbewertung durch, bevor Sie ein formales Audit starten. Für jede ❌ oder ⚠️: Erstellen Sie eine Maßnahme mit Owner und Frist.
Als Interviewleitfaden
Formulieren Sie die Fragen in der zweiten Person: „Können Sie mir zeigen, wie Sie Zugriffsrechte vergeben?" statt der Tabellenform.
Nächste Schritte nach dem Audit
- Befundliste erstellen: Alle Abweichungen mit Klassifizierung (Major/Minor/OFI)
- Ursachenanalyse: Für jede Major-Abweichung (5-Why oder Ishikawa)
- Maßnahmenplan: Owner, Frist, Wirksamkeitsprüfung für jede Abweichung
- Auditbericht: Vollständig dokumentieren (ISO 19011)
- Follow-up-Termin: Wirksamkeitsprüfung nach Fristablauf einplanen
Audit-Software für professionelle Fragenkataloge
Matproof enthält vordefinierte Fragenkataloge für ISO 27001:2022, DORA, NIS2, ISO 9001 und weitere Frameworks. Auditoren können Fragen direkt im System bearbeiten, Nachweise hochladen und Befunde automatisch in Maßnahmen überführen – ohne Papierchaos oder Excel-Patchwork.
Matproof Audit-Checklisten ansehen →
Weiterführende Artikel: