top of page

Es muss nicht immer Kaviar (Audit) sein

  • klauskilvinger
  • Mar 25
  • 3 min read

Über alternative Möglichkeiten der Förderung einer kontinuierlichen Verbesserung


"Es muss nicht immer Kaviar sein" ist der Titel eines Romans von Johannes Mario Simmel, der 1960 veröffentlicht wurde und damals sehr populär war. Es handelt sich um eine Mischung aus Spionage-, Abenteuer- und Liebesroman mit einer guten Portion Humor und kulinarischen Einlagen.


Daher ist der Titel auch doppeldeutig: Es geht nicht immer nur um ein formelles Audit (Kaviar), sondern auch um einfache, aber raffinierte Lösungen, um Ziele mit Beachtung von Kosten und Zeitlimitationen kreativ und abwechslungsreich zu erreichen.


Warum sprechen wir alternative Audit-Methoden im ISMS an?


Klassische Audits im Rahmen einer ISO 27001-Zertifizierung sind streng reglementiert und folgen festen Vorgaben.


Während sie essenziell für die formale Nachweisführung sind, können sie in der Praxis manchmal zu starr oder ineffektiv sein, wenn es darum geht, tatsächliche Sicherheitsrisiken aufzudecken oder Awareness zu steigern.


Alternative Methoden können den Auditprozess auflockern, sie helfen dabei, Schwachstellen praxisnah zu identifizieren, die Sicherheitskultur zu stärken und eine lebendige ISMS-Strategie zu fördern. Wir haben 5 verschiedene Ansätze zusammengestellt:


1. Gamification in ISMS-Audits


  • Grund: Viele Mitarbeiter empfinden Audits als stressig oder unangenehm. Gamification nimmt den Druck und fördert eine spielerische Auseinandersetzung mit Sicherheitsrichtlinien.

  • Vorteile: Höhere Motivation, kreatives Denken, Förderung der Teamarbeit in Sicherheitsfragen.

  • Nachteile: Kann zu wenig ernst genommen werden, nicht für alle Audit-Bereiche anwendbar.

  • Vergleich zum klassischen Audit: Weniger formell, aber besser geeignet, um die Sicherheitskultur langfristig zu etablieren.

  • Kultureller Effekt: Sicherheitsbewusstsein wird nicht als Zwang, sondern als Teil der Unternehmenskultur empfunden.


2. Stresstest für IT-Notfälle


  • Grund: Klassische Audits prüfen oft nur Papierprozesse – Stresstests zeigen, wie ein Unternehmen real unter Druck funktioniert.

  • Vorteile: Realitätsnahe Ergebnisse, bessere Vorbereitung auf echte Cyberangriffe.

  • Nachteile: Kann stressig für Mitarbeiter sein, benötigt mehr Planung und Ressourcen.

  • Vergleich zum klassischen Audit: Zertifizierungsaudits fragen Notfallprozesse nur theoretisch ab – Stresstests zeigen, ob sie tatsächlich funktionieren.

  • Kultureller Effekt: Fördert Resilienz und Teamgeist, da Mitarbeiter lernen, in Krisensituationen besonnen zu handeln.


3. Gemba-Walk für Informationssicherheit


  • Grund: Papier ist geduldig – aber wie sieht die Realität am Arbeitsplatz aus? Gemba-Walks zeigen ungeschönte Prozesse und Sicherheitsrisiken im echten Arbeitsumfeld. Das Wort „Gemba“ kommt aus Japan und heißt in etwa „der reale Ort“.

  • Vorteile: Direkte Beobachtung, Identifikation von Schatten-IT und unsicheren Arbeitsweisen.

  • Nachteile: Kann Widerstand auslösen, wenn Mitarbeiter sich „kontrolliert“ fühlen.

  • Vergleich zum klassischen Audit: Zertifizierungsaudits verlassen sich auf Dokumentationen, während der Gemba-Walk tatsächliche Abläufe überprüft.

  • Kultureller Effekt: Fördert eine offene Fehlerkultur, in der Probleme frühzeitig erkannt und behoben werden.


4. Cross-Audit zwischen Abteilungen


  • Grund: IT-Sicherheit ist nicht nur Sache der IT. Durch gegenseitige Audits verstehen verschiedene Abteilungen, wie Sicherheitsmaßnahmen untereinander greifen.

  • Vorteile: Förderung von interdisziplinärer Zusammenarbeit, Entdeckung von Prozesslücken.

  • Nachteile: Bedarf guter Planung, um effektive Audits durchzuführen.

  • Vergleich zum klassischen Audit: Klassische Audits sind oft Top-down, während Cross-Audits Best Practices zwischen Teams fördern.

  • Kultureller Effekt: Baut Sicherheitsbewusstsein in allen Abteilungen auf und reduziert Silodenken.


5. Ad-hoc-ISMS-Audit


  • Grund: Viele Sicherheitsprobleme entstehen durch mangelnde Disziplin im Alltag. Spontane Audits decken unvorhergesehene Schwächen auf.

  • Vorteile: Enthüllt real existierende Schwachstellen, schnelle Reaktion auf Sicherheitsvorfälle möglich.

  • Nachteile: Kann als unfair empfunden werden, wenn Mitarbeiter unvorbereitet sind.

  • Vergleich zum klassischen Audit: Zertifizierungsaudits werden lange im Voraus geplant – spontane Audits zeigen, ob die Regeln im Alltag wirklich gelebt werden.

  • Kultureller Effekt: Fördert eine ständige Wachsamkeit für Sicherheitsfragen und verhindert das „Abhaken“ von Maßnahmen ohne echte Umsetzung.



Fazit: Alternative Methoden können die Sicherheitskultur verändern


Alternative Audit-Methoden sind praxisnaher und dynamischer als klassische Zertifizierungsaudits. Während ISO 27001-Audits für die Zertifizierung notwendig sind, helfen unkonventionelle Methoden dabei, Sicherheitsbewusstsein zu stärken und echte Schwachstellen zu entdecken.


Kulturelle Vorteile alternativer Methoden sind:

  • Von „Pflichtübung“ zu gelebter Sicherheitskultur: Mitarbeiter erleben ISMS nicht nur als bürokratische Vorgabe, sondern als echte Schutzmaßnahme.

  • Mehr Eigenverantwortung: Durch praxisnahe Tests werden Mitarbeiter motiviert, sich selbstständig mit Sicherheitsfragen auseinanderzusetzen.

  • Offene Fehlerkultur: Anstatt Fehler zu verstecken, werden Probleme frühzeitig identifiziert und gelöst.

  • Interdisziplinäre Zusammenarbeit: Sicherheitsbewusstsein wird unternehmensweit gestärkt – nicht nur in der IT-Abteilung.


Die ideale Lösung ist eine Kombination:

  • Klassisches Audit für formale Compliance

  • Alternative Methoden für realitätsnahe Sicherheitsüberprüfung


Nur so wird Informationssicherheit nicht nur eine formelle Pflicht, sondern ein natürlicher Teil der Unternehmenskultur.


Hinweis: Die o. g. Methoden wurden dem Methodenbaukasten des bewährten klassischen Qualitätsmanagements entnommen, weitere Informationen dazu finden Sie unter www.dgq.de

 
 
bottom of page