Zum Inhalt
ISMS.online

A.5.35 Unabhängige Überprüfung der Informationssicherheit – Interne Audits von Managed Service Providern

Managed Service Provider (MSPs) betrachten Annex A.5.35 oft als zusätzliche Belastung, doch unabhängige Sicherheitsprüfungen können ein überzeugendes Argument liefern. Indem Sie Audits routinemäßig und evidenzbasiert durchführen, stärken Sie das Vertrauen Ihrer Kunden, vereinfachen die Einhaltung der Vorschriften und zeigen Unternehmenskunden, dass Ihre Kontrollmechanismen in der Praxis funktionieren. Mit dem richtigen Ansatz werden interne Audits zu einem Vorteil – und nicht zu einer Belastung – für Ihr Team und Ihr Unternehmen.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum Anhang A.5.35 MSPs schadet, wenn interne Audits als „Zusatzarbeit“ erscheinen

Anhang A.5.35 benachteiligt Managed Service Provider (MSPs), wenn interne Audits unerwartet als einmalige Projekte und nicht als regulärer Bestandteil der Servicebereitstellung erfolgen. Werden Prüfungen kurzfristig an die Techniker verteilt, empfinden sie sich als bürokratische „Zusatzarbeit“, obwohl dieselbe Kontrollmaßnahme zu einem Ihrer wichtigsten Wettbewerbsvorteile werden kann. Unabhängige Überprüfungen der Informationssicherheit erscheinen großen Unternehmen oft als Luxus, doch Anhang A.5.35 rückt sie direkt in den Alltag von MSPs: Sie müssen nachweisen, dass Ihre Sicherheitskontrollen funktionieren, nicht nur, dass sie dokumentiert sind. Der Standardkommentar zu ISO/IEC 27001:2022 Anhang A.5.35 unterstreicht dies, indem er die regelmäßige, objektive Überprüfung der Eignung, Angemessenheit und Wirksamkeit Ihrer Informationssicherheitsvorkehrungen betont – und nicht nur die bloße Existenz von Richtlinien.

Die unabhängige Prüfung verändert Ihre Pflichten, da Sie nachweisen müssen, dass Ihr Ansatz in der Praxis weiterhin funktioniert und von einer unabhängigen Stelle geprüft wurde. Indem Sie die unabhängige Prüfung in eine planbare, reibungslose Routine umwandeln, schützen Sie Ihre Kunden und die Nerven Ihres Teams und stärken gleichzeitig Ihre Position gegenüber Zertifizierungsprüfern und Unternehmenskunden, die mittlerweile routinemäßig konkrete Nachweise gemäß A.5.35 verlangen. Leitlinien zur Berichterstattung von Dienstleistungsorganisationen, wie beispielsweise die AICPA-Materialien zur SOC-Berichterstattung, spiegeln dieselbe Erwartung wider: Anwenderunternehmen und ihre Prüfer erwarten zunehmend Nachweise für die Wirksamkeit der Kontrollen und nicht nur formal korrekte Richtliniendokumente.

Die Umfrage aus dem Jahr 2025 zeigt, dass Kunden zunehmend erwarten, dass ihre Lieferanten sich an formale Rahmenwerke wie ISO 27001, ISO 27701, DSGVO oder SOC 2 halten, anstatt sich auf allgemeine Aussagen zu „guten Praktiken“ zu verlassen.

Gute Sicherheitsüberprüfungen fühlen sich fair an und machen aus alltäglichen guten Gewohnheiten sichtbare Beweise.

Das eigentliche Geschäftsproblem, das A.5.35 für MSPs aufdeckt

A.5.35 verdeutlicht die Diskrepanz zwischen der Behauptung, sicher zu sein, und dem tatsächlichen Nachweis der Wirksamkeit unserer Sicherheitsmaßnahmen in der Praxis. Unabhängige Prüfungen sind unerlässlich, da Kunden, Aufsichtsbehörden, Versicherer und Partner sich nicht mehr mit bloßen Richtlinien zufriedengeben; sie fragen zunehmend, wie die Wirksamkeit der Sicherheitsmaßnahmen überprüft wird. Regulatorische Mitteilungen zur Cybersicherheit, wie beispielsweise die Cybersecurity Spotlight Materials der US-Börsenaufsichtsbehörde SEC, betonen immer wieder die Notwendigkeit einer nachweisbaren Wirksamkeit der Kontrollmaßnahmen anstelle der alleinigen Fokussierung auf Richtlinien. Diese Denkweise prägt auch die Bewertung von Lieferanten.

Wenn ein potenzieller Unternehmenskunde einen detaillierten Fragebogen sendet oder sein Auditor zu Besuch kommt, wird im Grunde geprüft, ob Anhang A.5.35 in der Praxis existiert: Wird Ihr Sicherheitskonzept in regelmäßigen Abständen und nach größeren Änderungen von einer objektiven Person überprüft, und führt diese Überprüfung zu einer tatsächlichen Verbesserung?

Wenn die Antwort vage ist oder in unstrukturierten Dokumenten versteckt, sind der Deal und Ihre Glaubwürdigkeit gefährdet. Hinter dem Wortlaut des Standards verbirgt sich eine einfache Frage: Können Sie nachweisen, dass Ihre Sicherheitsmaßnahmen mehr umfassen als individuelle Heldentaten und Tool-Dashboards? Wenn Ihre einzige Zusicherung lautet: „Unser leitender Techniker behält alles im Blick“, verlassen Sie sich auf Vertrauen, nicht auf Beweise. Eine unabhängige Prüfung zwingt Sie dazu, Ihr Sicherheitsmanagementsystem als Produkt zu behandeln, das wie jede andere Dienstleistung, die Sie anbieten, getestet und geprüft werden muss. Das mag sich zunächst ungewohnt anfühlen, bietet Ihnen aber gleichzeitig die Chance, sich als Managed Service Provider (MSP) von anderen abzuheben.

Warum traditionelle interne Audits für Ingenieure schmerzhaft sind

Herkömmliche interne Audits sind für Entwickler lästig, da sie die laufende Arbeit unterbrechen, ohne sichtbare Vorteile zu bieten. Interne Audits werden oft als einmalige Projekte durchgeführt, die zusätzlich zu den regulären Ticketwarteschlangen und Projektfristen angesetzt werden. Jemand verteilt eine Tabelle, vereinbart eine Reihe von Interviews, bittet um Screenshots und Log-Exporte und verschwindet dann monatelang bis zum nächsten Zertifizierungszyklus. Aus Sicht des technischen Teams besteht der größte Aufwand aus Unterbrechungen: Die Arbeit muss angehalten werden, ein bereits funktionierender Prozess muss erklärt werden, Beweise aus verschiedenen Tools zusammengetragen werden, und das Ganze wird wiederholt, wenn ein Kunde ähnliche Fragen stellt.

Dieses Muster ist zermürbend und führt zu Unmut. Ingenieure betrachten Audits zunehmend als bürokratische Hürde statt als Mittel zur Verbesserung der Sicherheit. Schlimmer noch: Da Überprüfungen als seltene Ereignisse gelten, konzentrieren sie sich oft auf die Dokumentation statt auf die tatsächliche Durchführung von Kontrollmaßnahmen. Eine Richtlinie, die auf dem Papier einwandfrei aussieht, kann akzeptiert werden, selbst wenn die tatsächliche Umsetzung von Patches, Zugriffsüberprüfungen oder die Nachverfolgung von Sicherheitsvorfällen uneinheitlich ist. Die unterstützenden Leitlinien für Kontrollmaßnahme 5.35 in ISO/IEC 27002:2022 betonen verhältnismäßige, regelmäßige unabhängige Überprüfungen anstelle von umfangreichen, seltenen Projekten. Dies ermöglicht es Ihnen, einen schlankeren Ansatz zu entwickeln, der dennoch den Zweck erfüllt.

Anhang A.5.35 verlangt keine umfangreichen, unregelmäßigen Projekte, die die Projektabwicklung lahmlegen. Vielmehr fordert er Sie auf, eine praktikable, regelmäßige Methode zu entwickeln, um die Eignung, Angemessenheit und Wirksamkeit Ihrer Sicherheitsvorkehrungen zu überprüfen – eine Methode, die für Ihr Team praktikabel ist. Bei sinnvoller Konzeption sollte eine tagelange Unterbrechung der Projektabwicklung für eine Überprüfung nicht notwendig sein.

Luxus-Audits in einen praktischen MSP-Vorteil umwandeln

Sie können Luxus-Audits zu einem Wettbewerbsvorteil für Managed Service Provider (MSPs) machen, indem Sie unabhängige Prüfungen als Nachweis dafür nutzen, dass Ihre Multi-Tenant-Umgebung tatsächlich unter Kontrolle ist. Dieselbe Kontrolle, die sich zunächst wie zusätzlicher Aufwand anfühlt, kann zu einem Hebel für höhere Umsätze, reibungslosere Kunden-Audits und weniger unangenehme Überraschungen werden, wenn Sie sie von Anfang an auf Ihr MSP-Modell abstimmen. Unabhängige Prüfungen bieten eine der wenigen Möglichkeiten, anhand strukturierter Nachweise zu belegen, dass Ihre Tools, Prozesse und Mitarbeiter bei vielen Kunden zuverlässig funktionieren.

Wenn Sie einem potenziellen Kunden eine aktuelle Zusammenfassung einer unabhängigen Prüfung vorlegen können, aufzeigen, wie die Ergebnisse zu konkreten Verbesserungen geführt haben, und erläutern, wie häufig Sie diesen Zyklus wiederholen, wirken Sie sofort professioneller als Anbieter, die lediglich generische Richtlinien-PDFs senden. Eine Plattform wie ISMS.online kann hierbei hilfreich sein, da sie Ihnen eine zentrale Anlaufstelle bietet, um Prüfungen zu planen, unabhängige Prüfer zuzuweisen, Nachweise aus Ihren bestehenden Tools zu sammeln und die Ergebnisse bis zum Abschluss zu verfolgen. Anstatt bei jeder Erwähnung von Anhang A.5.35 hektisch E-Mails und Tabellenkalkulationen zu durchforsten, können Sie auf ein bereits laufendes internes Auditprogramm verweisen. Dieser Wandel – von reaktiven, punktuellen Prüfungen hin zu einem kontinuierlichen Qualitätssicherungsrhythmus – ist entscheidend dafür, dass sich diese Kontrolle wie ein fester Bestandteil des normalen MSP-Betriebs anfühlt und nicht wie eine zusätzliche Compliance-Aufgabe.

Kontakt


Was Anhang A.5.35 in der Praxis für MSPs wirklich erfordert

Anhang A.5.35 verlangt, dass Sie objektive Prüfungen planen und dokumentieren, um sicherzustellen, dass Ihr gesamter Sicherheitsansatz weiterhin wirksam ist – und nicht nur, dass Richtlinien vorhanden sind. Die Erläuterungen zu Anhang A.5.35 betonen immer wieder, dass Organisationen die Eignung, Angemessenheit und Wirksamkeit ihrer Informationssicherheitsvorkehrungen regelmäßig und unabhängig überprüfen sollten. Dies geht weit über die bloße Bestätigung der Dokumentation hinaus. Für einen Managed Service Provider (MSP) bedeutet dies, den Umfang Ihres Informationssicherheitsansatzes zu definieren, festzulegen, wann und wie unabhängige Prüfungen durchgeführt werden, und nachzuweisen, dass die Ergebnisse der Prüfungen zu Verbesserungen führen. Die Kontrollmaßnahme sieht vor, dass Ihr Informationssicherheitsansatz und dessen Umsetzung in Bezug auf Mitarbeiter, Prozesse und Technologie in geplanten Abständen und bei wesentlichen Änderungen von einer unabhängigen Stelle überprüft werden. Wenn Sie diese formale Sprache in eine für MSPs verständliche Sprache übersetzen und diese Entscheidungen explizit machen, wird die Kontrollmaßnahme deutlich klarer, handhabbarer und für Prüfer und Kunden leichter als aktiv gesteuerte Praxis und nicht als dem Zufall überlassen erkennbar.

Rund zwei Drittel der Organisationen gaben in der ISMS.online-Umfrage 2025 an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Aufrechterhaltung der Compliance erschweren.

Anhang A.5.35 fordert Sie in einfacher Sprache auf, festzulegen, was, wie oft, wer die Überprüfung durchführt und wie die Ergebnisse zu verwenden sind. Zunächst sollten Sie definieren, was Ihr Ansatz zum Management der Informationssicherheit umfasst. Für einen Managed Service Provider (MSP) beinhaltet dies üblicherweise den Geltungsbereich Ihres Informationssicherheitsmanagementsystems (ISMS), Ihre Kerndienstleistungen, gemeinsam genutzte Plattformen und interne Unternehmenssysteme, die die Leistungserbringung unterstützen. Planen Sie zweitens unabhängige Überprüfungen in angemessenen Abständen, anstatt auf die Forderung einer Zertifizierungsstelle oder eines Kunden zu warten. Stellen Sie drittens sicher, dass die Personen, die die Überprüfung durchführen, nicht mit denjenigen identisch sind, die die zu prüfenden Kontrollen betreiben, um Interessenkonflikte zu vermeiden.

Viertens sollten Kriterien und Methoden im Voraus festgelegt werden: Beispielsweise könnte man eine Stichprobe von Änderungstickets anhand des Änderungsmanagementverfahrens überprüfen oder testen, ob Zugriffsüberprüfungen für privilegierte Konten wie geplant durchgeführt wurden. Schließlich sollten die Ergebnisse dokumentiert und entsprechende Maßnahmen ergriffen werden. Dies beinhaltet die Erstellung eines kurzen Berichts, der festhält, was geprüft wurde, welche Ergebnisse erzielt wurden, welche Maßnahmen erforderlich sind und wer dafür verantwortlich ist. Die Norm schreibt kein exaktes Format vor, aber Leitlinien zur ISO-27001-Dokumentation und zu Auditnachweisen, wie beispielsweise Materialien von spezialisierten Beratungsunternehmen, machen deutlich, dass Auditoren üblicherweise dokumentierte Pläne, Aufzeichnungen von Überprüfungen und Nachweise dafür, dass Überprüfungen wie geplant stattfinden, prüfen, anstatt sich auf undokumentierte Vorgehensweisen zu verlassen.

Was „unabhängig“ wirklich für einen MSP bedeutet

Für einen Managed Service Provider (MSP) bedeutet „unabhängig“, dass der Prüfer sich eine objektive Meinung bilden kann, ohne die zu prüfenden Kontrollen entwickelt oder betrieben zu haben. Gerade bei kleineren MSPs bereitet der Begriff „unabhängig“ Sorgen, insbesondere wenn das Sicherheitsteam nur aus einer Person oder einem sehr kleinen Team besteht. Unabhängigkeit bedeutet jedoch nicht, dass eine vollständig separate interne Revisionsabteilung erforderlich ist. Der Kommentar zu Anhang A.5.35 und die zugehörigen Leitlinien der ISO 27001 betonen die Trennung der Rollen und Objektivität als Kern der Unabhängigkeit, insbesondere für kleinere Organisationen, anstatt auf einer dedizierten Revisionsfunktion zu bestehen. Dies lässt sich durch angemessene Governance und klare Verantwortlichkeiten erreichen. Es bedeutet, dass die Personen, die die Prüfung durchführen, nicht für die Entwicklung, Implementierung oder den Betrieb der zu prüfenden Kontrollen verantwortlich sind und keinem ungebührlichen Einfluss von denjenigen unterliegen, die dafür verantwortlich sind. In einem kleinen MSP kann dies durch Rollentrennung und Governance erreicht werden, selbst wenn die Mitarbeiterzahl begrenzt ist.

Sie können Rollenrotation, funktionsübergreifende Prüfer und klare Berichtslinien nutzen, um diese Unabhängigkeit sichtbar zu machen. Beispielsweise kann ein Leiter der Servicebereitstellung, ein Betriebsleiter oder ein Finanzverantwortlicher die Überprüfung von Sicherheitskontrollen mithilfe strukturierter Checklisten überwachen, während technisches Personal Nachweise liefert und klärende Fragen beantwortet. Wo eine vollständige Trennung nicht möglich ist, können Sie kompensierende Maßnahmen ergreifen, wie etwa die Validierung von Ergebnissen in Management-Review-Meetings oder die regelmäßige Hinzuziehung eines externen Beraters für risikoreichere Bereiche. Später, wenn Sie die Unabhängigkeitsmuster detaillierter ausarbeiten, bilden diese Prinzipien das Fundament Ihres Vorgehens.

Unabhängige Prüfung vs. interne Revision vs. Überwachung des Tagesgeschäfts

Unabhängige Überprüfungen, interne Audits und die tägliche Überwachung tragen zwar alle zur Qualitätssicherung bei, lösen aber unterschiedliche Probleme. Viele Managed Service Provider (MSPs) führen bereits Änderungsprüfungen, Ticketqualitätskontrollen, Protokollüberwachung und andere Routineaufgaben durch; diese sind zwar wertvoll, ersetzen aber keine formelle, unabhängige Überprüfung. Die tägliche oder wöchentliche Überwachung konzentriert sich darauf, den reibungslosen Betrieb der Dienste zu gewährleisten und Vorfälle schnell zu erkennen. Interne Audits, wie in ISO 27001 Abschnitt 9.2 beschrieben, dienen der Überprüfung, ob Ihr Informationssicherheitsmanagementsystem (ISMS) der Norm und Ihren eigenen Anforderungen entspricht. Abschnitt 9.2 legt ausdrücklich fest, dass interne Audits dazu dienen, die Konformität des ISMS sowohl mit den Anforderungen der Organisation als auch mit ISO 27001 zu ermitteln. Der Standardkommentar zu Anhang A.5.35 ergänzt dies durch die Empfehlung einer regelmäßigen, objektiven Bewertung Ihrer Sicherheitsvorkehrungen als Ganzes.

Die unabhängige Überprüfung gemäß Anhang A.5.35 ergänzt diese und betont die objektive Bewertung Ihres gesamten Sicherheitskonzepts, nicht nur einzelner Vorfälle oder Dokumente.

Diese Unterscheidung ist wichtig, da Prüfer und Kunden häufig fragen: „Wie überwachen Sie die Sicherheit?“ und „Wie überprüfen Sie unabhängig, ob Ihr Sicherheitsmanagement noch wirksam ist?“ Die erste Frage lässt sich mit Tools und Prozessen beantworten – Dashboards zur Sicherheitsüberwachung, Richtlinien für die Fernverwaltung, Änderungsworkflows. Die zweite Frage beantworten Sie mit Ihrem unabhängigen Überprüfungs- oder internen Auditprogramm. Die effizientesten Managed Service Provider (MSPs) gestalten diese Elemente so, dass sie sich gegenseitig verstärken: Die Überwachung liefert die notwendigen Nachweise für Audits, und unabhängige Überprüfungen testen, ob die Überwachung und andere Kontrollen tatsächlich wie vorgesehen funktionieren.

Ein einfacher Vergleich hilft Ihnen, die einzelnen Aktivitäten einzuordnen:

Aktivitätsart Hauptfokus Typische Frequenz
BAU-Überwachung Probleme in Echtzeit erkennen und darauf reagieren Kontinuierlich oder täglich
Interne ISMS-Prüfung Prüfen Sie, ob Ihr ISMS der ISO 27001 und Ihren eigenen Anforderungen entspricht. Jahresprogramm mit Zyklen
Unabhängige Überprüfung (A.5.35) Prüfen Sie, ob der Sicherheitsansatz weiterhin geeignet und wirksam ist. In geplanten Abständen und nach größeren Änderungen

Dieses Diagramm erleichtert es Wirtschaftsprüfern und Mandanten erheblich, die Zusammenhänge der verschiedenen Prüfungsebenen zu erläutern und die Rolle von Anhang A.5.35 darin darzustellen. Visualisierung: Gestapeltes Diagramm mit den drei Prüfungsebenen: BAU-Überwachung, interne Revision und unabhängige Prüfung.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Gestaltung der Unabhängigkeit in einem kleinen oder mittelgroßen MSP

Die Gewährleistung von Unabhängigkeit in einem kleinen oder mittelständischen Managed Service Provider (MSP) bedeutet, Prüfungsentscheidungen vom operativen Tagesgeschäft zu trennen, selbst bei begrenzter Personalstärke. In einem Großunternehmen mit interner Revision und separatem Chief Information Security Officer (CISO) ist Unabhängigkeit leicht vorstellbar. Deutlich schwieriger gestaltet sich dies in einem MSP mit nur 20 Mitarbeitern, wo ein und derselbe Senior Engineer Kontrollen entwirft, betreibt und Sicherheitsfragebögen beantwortet. Die gute Nachricht: Anhang A.5.35 und die üblichen Erwartungen von Auditoren ermöglichen eine angemessene Unabhängigkeit. Sie können Strukturen schaffen, die zu einem MSP mit 10, 50 oder 150 Mitarbeitern passen, indem Sie Rollen und Entscheidungsbefugnisse trennen, anstatt darauf zu hoffen, über Nacht ein internes Revisionsteam aufzubauen.

Unabhängigkeitsmuster für verschiedene MSP-Größen

Das optimale Unabhängigkeitsmodell für Ihren Managed Service Provider (MSP) hängt von der Unternehmensgröße ab, das Prinzip – niemand gibt seine eigene Arbeit frei – bleibt jedoch unverändert. Bei einem sehr kleinen MSP kann Unabhängigkeit bedeuten, dass der Geschäftsführer oder der operative Leiter die Prüfungen in Auftrag gibt und freigibt, während ein vertrauenswürdiger Kollege aus einer anderen Abteilung die Tests anhand vereinbarter Verfahren durchführt. Die Person, die die Backup-Kontrollen prüft, sollte nicht dieselbe sein, die die Backup-Plattform entwickelt hat; sie kann jedoch Nachweise von diesem Entwickler anfordern und prüfen. Bei einem mittelständischen MSP können Sie einen Sicherheits- und Compliance-Manager als Koordinator für interne Audits und unabhängige Prüfungen einsetzen. Die Prüfer kommen dann aus den Bereichen Finanzen, Personalwesen, Betrieb oder anderen Teams, die nicht für die zu prüfenden Kontrollen verantwortlich sind.

Bei größeren Managed Service Providern (MSPs) empfiehlt sich ein klassisches Drei-Linien-Modell: Serviceteams setzen Kontrollen um, eine zentrale Risiko- und Compliance-Abteilung entwickelt das Rahmenwerk, und ein internes Revisions- oder Qualitätssicherungsteam führt unabhängige Prüfungen durch und berichtet an die Geschäftsleitung oder den Vorstand. Unabhängig von der Unternehmensgröße bleibt das Prinzip gleich: Prüfer müssen sich eine objektive Meinung bilden, Bedenken ohne Angst eskalieren und ihre eigene Arbeit nicht abzeichnen können. Die Dokumentation dieser Vorgehensweisen in einer Unabhängigkeitsrichtlinie oder einem Abschnitt Ihrer internen Revisionsordnung gibt den Prüfern die Gewissheit, dass Sie dies durchdacht haben und das Modell mit Ihrem Wachstum skalieren können.

Governance-Strukturen, die Unabhängigkeit demonstrieren

Governance macht aus einer informellen Zusage von Unabhängigkeit etwas Sichtbares und Überprüfbares. Ein einfaches und effektives Vorgehen besteht darin, sicherzustellen, dass die für das Prüfprogramm verantwortliche Person – zumindest zu diesem Zweck – nicht dem Leiter der Leistungserbringung oder dem technischen Leiter unterstellt ist. Beispielsweise könnte Ihr Verfahren für unabhängige Prüfungen festlegen, dass der Prüfkoordinator seine Ergebnisse direkt dem Geschäftsführer oder einem Risikoausschuss berichtet, selbst wenn er im Tagesgeschäft im Sicherheitsteam tätig ist. Die Protokolle der Managementprüfungen können dann dokumentieren, dass diese Ergebnisse diskutiert, hinterfragt und umgesetzt wurden.

Dies lässt sich durch eine übersichtliche RACI-Matrix (Verantwortlich, Rechenschaftspflichtig, Beratend, Informiert) verdeutlichen. Die Verantwortlichen für die Kontrollen sind für deren Betrieb zuständig; die Prüfer für die Prüfung und Berichterstattung; die Geschäftsleitung ist dafür verantwortlich, dass die Prüfungen durchgeführt und die festgestellten Mängel behoben werden. Beratende oder informierte Mitarbeiter sollten die Möglichkeit haben, Ergebnisse zu blockieren oder zu verändern, um ihren eigenen Bereich zu schützen. Wenn Ihre RACI-Matrix und die Berichtswege diese Trennung klar darstellen, sind die Wirtschaftsprüfer eher davon überzeugt, dass Ihre Prüfungen im Rahmen Ihrer Unternehmensgröße tatsächlich unabhängig sind. Visuell: Einfaches RACI-Diagramm zur Veranschaulichung der Trennung zwischen Verantwortlichen für die Kontrollen, Prüfern und der Geschäftsleitung.

Zusammenführung interner und externer Prüfer ohne Auslagerung der Verantwortlichkeit

Die Kombination interner und externer Gutachter stärkt die Unabhängigkeit, ohne die Entscheidungsbefugnis zu verlieren. Viele MSPs neigen dazu, sich einmal jährlich ausschließlich auf einen externen Berater zu verlassen, um die Unabhängigkeit zu gewährleisten. Externe Expertise ist äußerst hilfreich, insbesondere für die Konzeption, risikoreiche Bereiche oder die Validierung der Objektivität. Werden jedoch nur jährlich externe Gutachter hinzugezogen und zwischen den Besuchen intern keine Maßnahmen ergriffen, ist das Prüfprogramm instabil und kann wichtige Veränderungen übersehen. Die effektivste Methode ist in der Regel eine Kombination: Ein risikobasierter interner Prüfzyklus wird das ganze Jahr über durchgeführt, anschließend wird ein externer Spezialist hinzugezogen, um Stichproben zu erstellen und bestimmte Bereiche zu hinterfragen oder sich auf besonders sensible Dienstleistungen zu konzentrieren.

Entscheidend ist, dass die Verantwortung nicht ausgelagert werden kann. Selbst wenn externe Prüfer Tests durchführen, bleibt Ihr Unternehmen dafür verantwortlich, welche Ergebnisse akzeptiert, welche Maßnahmen ergriffen und wie schnell darauf reagiert wird. Machen Sie dies in Ihrer Unternehmensführung deutlich: Externe Prüfer liefern zwar Input und Zusicherungen, die Entscheidung über die Reaktion liegt jedoch bei Ihrem Management. Wenn Kunden oder Zertifizierungsstellen nach Anhang A.5.35 fragen, können Sie erläutern, dass Sie ein internes Programm mit regelmäßigen unabhängigen Überprüfungen anstelle eines jährlichen Beraterbesuchs haben. Dies ermöglicht Ihnen, Ihre Prioritätensetzung zu erörtern, was wiederum zur Frage der risikobasierten Planung führt.



Ein risikobasiertes internes Auditprogramm, das die Ingenieure nicht überfordert

Ein risikobasiertes internes Auditprogramm ermöglicht es Ihnen, Anhang A.5.35 zu erfüllen, ohne Ihre Ingenieure mit endlosen Prüfungen zu überlasten. Der Kerngedanke ist einfach: Konzentrieren Sie die Überprüfungen auf die Bereiche, in denen ein Fehler Ihnen und Ihren Kunden am meisten schaden würde, und führen Sie Stichproben der übrigen Bereiche im Zeitverlauf durch. Anhang A.5.35 fordert unabhängige Prüfungen in angemessenen Abständen und nach größeren Änderungen; ISO 27001, Abschnitt 9.2, verlangt ein internes Auditprogramm für das ISMS. Die Erläuterungen zu diesen Anforderungen weisen darauf hin, dass sowohl die unabhängige Prüfung als auch die interne Prüfung geplante Intervalle und einen risikobasierten Umfang vorsehen, anstatt starrer Zeitpläne. Dadurch haben Sie Flexibilität bei der Gestaltung des Programms.

Rund 41 % der befragten Organisationen gaben an, dass die Aufrechterhaltung der digitalen Widerstandsfähigkeit und die Anpassung an Cyberangriffe eine ihrer größten Herausforderungen im Bereich der Informationssicherheit darstellt.

Audits fühlen sich leichter an, wenn sie sich an Ihrer Risikokarte orientieren und nicht an Ihrem E-Mail-Posteingang.

Beginnen Sie mit einem einfachen MSP-Risikomodell

Ein einfaches Risikomodell für Ihre Services und Kontrollen genügt, um ein sinnvolles Programm zu steuern. Listen Sie Ihre wichtigsten Servicebereiche auf – wie z. B. Managed Networks, Endpoint Management, Backup und Recovery, Identity und Access Management, Managed Security Monitoring und Cloud Hosting – und bewerten Sie für jeden Bereich die potenziellen Auswirkungen eines Ausfalls auf Vertraulichkeit, Integrität und Verfügbarkeit für Ihre Kunden. Berücksichtigen Sie Faktoren wie die Sensibilität der verarbeiteten Daten, regulatorische Risiken, vertragliche Verpflichtungen und frühere Vorfälle. Ein komplexes Bewertungssystem ist nicht erforderlich; die Kategorien „hoch“, „mittel“ und „niedrig“ genügen, solange sie konsequent angewendet werden.

Sobald Sie diese Übersicht haben, ordnen Sie die Sicherheitskontrollen den entsprechenden Diensten zu und legen Sie fest, wie oft jede Kombination einer unabhängigen Überprüfung unterzogen werden muss. Viele Organisationen entscheiden sich beispielsweise dafür, Bereiche mit höherem Risiko vierteljährlich oder halbjährlich, Bereiche mit mittlerem Risiko jährlich und Bereiche mit niedrigerem Risiko in einem mehrjährigen Zyklus oder stichprobenartig zu überprüfen. Ziel ist es nicht, einen bestimmten Prüfungsrhythmus vorzuschreiben, sondern das Risiko als Grundlage für Ihre Zeitinvestitionen zu nutzen. Wenn Prüfer fragen, warum Sie manche Bereiche häufiger prüfen als andere, können Sie auf dieses Risikomodell verweisen, anstatt die Achseln zu zucken, und Ihren Jahreskalender darauf aufbauen.

Erstellen Sie einen Prüfkalender, der die Lieferarbeit berücksichtigt.

Ein Auditkalender, der die laufenden Arbeitsabläufe berücksichtigt, sorgt dafür, dass sich Prüfungen wie ein integraler Bestandteil der Arbeit und nicht wie eine Störung anfühlen. Nutzen Sie Ihr Risikomodell, um daraus einen jährlichen oder mehrjährigen Auditkalender zu erstellen. Beispielsweise könnten Sie im ersten Quartal das Management privilegierter Zugriffe für interne Systeme und wichtige Kundenplattformen überprüfen; im zweiten Quartal das Patch-Management und den Umgang mit Schwachstellen; im dritten Quartal Ihren Incident-Response-Prozess; und im vierten Quartal eine übergreifende Überprüfung Ihrer ISMS-Dokumentation und Ihres Management-Review-Prozesses. Planen Sie innerhalb jedes Quartals konkrete Wochen oder Tage für die Beweiserhebung und Interviews ein und berücksichtigen Sie dabei arbeitsintensive Phasen, wichtige Releases und bekannte Änderungsstopps.

Binden Sie die Betriebs- und Entwicklungsleiter in die Planung ein, damit sie potenzielle Konflikte frühzeitig erkennen können. Wenn Ihr Entwicklungsteam in einem bestimmten Monat ein größeres Plattform-Upgrade durchführt, reduziert die Verlegung der Auditprüfung für diesen Bereich in einen ruhigeren Zeitraum die Reibungsverluste, ohne die Qualitätssicherung zu beeinträchtigen. Zeitlich begrenzte Aktivitäten: Definieren Sie, wie viele Stunden Prüfer und Verantwortliche für die Kontrollen pro Zyklus aufwenden sollen, und halten Sie sich daran, es sei denn, es treten schwerwiegende Probleme auf. Diese Disziplin hilft Ihnen, endlose Audits zu vermeiden, die die gesamte verfügbare Zeit in Anspruch nehmen. Sie zeigt den Prüfern außerdem, dass Sie die Qualitätssicherung als geplanten Prozess und nicht als hektische Last-Minute-Aktion betrachten. Visualisierung: Einfacher vierteljährlicher Auditkalender mit Risikostufen und Richtwerten für den Arbeitsaufwand.

Definieren Sie ein unkompliziertes Prüfverfahren, dem Ihr Team folgen kann.

Ein klares, schriftliches Verfahren macht aus guten Absichten eine wiederholbare Praxis, der jeder Prüfer folgen kann. Ihr internes Prüfungs- oder unabhängiges Prüfverfahren sollte mindestens beschreiben, wie der Prüfungsbereich ausgewählt, die Kriterien definiert, die Stichprobenziehung durchgeführt und Nachweise und Ergebnisse dokumentiert werden. Für jede Prüfung sollte der Verantwortliche einen einfachen Plan erstellen, der die Ziele, den Umfang (Systeme, Teams, Zeitraum), die Kriterien (Richtlinien, Verfahren, Standards) und die Methoden (Interviews, Ticketstichproben, Protokollprüfung, Konfigurationsprüfungen) festlegt. Diese sieben Schritte beschreiben den typischen Ablauf eines unabhängigen Prüfzyklus.

Schritt 1 – Umfang und Ziele bestätigen

Vereinbaren Sie, was überprüft werden soll, warum es wichtig ist und welche Richtlinien, Dienstleistungen und welcher Zeitraum in den Geltungsbereich fallen.

Schritt 2 – Relevante Richtlinien, Verfahren und Aufzeichnungen ermitteln

Sammeln Sie vor Beginn der Tests die Dokumente und Aufzeichnungen, die die Funktionsweise der Steuerung beschreiben.

Schritt 3 – Stichprobenkriterien und Stichprobengrößen festlegen

Entscheiden Sie, welche Tickets, Protokolle oder Konfigurationen Sie testen möchten und wie viele Elemente Sie für eine repräsentative Stichprobe benötigen.

Schritt 4 – Beweise sammeln und anhand der Kriterien prüfen

Ziehen Sie die ausgewählten Elemente aus Ihren Systemen und vergleichen Sie sie mit Ihren dokumentierten Verfahren und Standards.

Schritt 5 – Beobachtungen, Abweichungen und Verbesserungen dokumentieren

Notieren Sie, was Sie gesehen haben, was nicht den Erwartungen entsprach und wo Sie Verbesserungsmöglichkeiten erkannt haben.

Schritt 6 – Korrekturmaßnahmen mit den Eigentümern abstimmen und protokollieren

Besprechen Sie die Ergebnisse mit den Verantwortlichen für die Kontrollmaßnahmen, vereinbaren Sie Maßnahmen mit Fälligkeitsterminen und tragen Sie diese in ein zentrales Register ein.

Schritt 7 – Ergebnisse in das Management-Review- und Risikoregister eintragen

Fassen Sie die Überprüfung für die Führungsebene zusammen und lassen Sie die relevanten Erkenntnisse in das Risikoregister und die Agenda für die Managementüberprüfung einfließen.

Wenn alle Beteiligten dieses Muster verstehen, wirken Reviews weniger wie mysteriöse Untersuchungen und mehr wie eine bekannte, klar definierte Aktivität. Dadurch wird es auch einfacher, Auditoren und Kunden Ihren Ansatz zu erläutern und zu zeigen, wie Sie die Arbeitsbelastung im Griff behalten und gleichzeitig A.5.35 erfüllen. Sie sollten den Prozess nicht für jedes Review neu erfinden müssen; dieses Verfahren sorgt für klare Erwartungen bei Reviewern und Entwicklern.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Reibungslose Beweissicherung: Protokolle, Tickets und Dashboards statt Interviews

Unabhängige Prüfungen lassen sich deutlich vereinfachen, wenn man sich auf Protokolle, Tickets und Dashboards anstatt auf ständige Befragungen stützt. Moderne Managed Service Provider (MSPs) verfügen über umfangreiche, maschinell generierte Daten, und Anhang A.5.35 legt keine spezifischen Methoden für deren Erfassung fest. Der Fokus liegt – wie auch in der ISO/IEC 27002:2022-Leitlinie für Kontrollpunkt 5.35 – darauf, objektive und effektive Prüfungen zu gewährleisten. Das bedeutet, dass Sie sich stark auf Daten aus Ihren bestehenden Systemen stützen können, anstatt auf lange Besprechungen zurückzugreifen. Eine der schnellsten Möglichkeiten, den Aufwand unabhängiger Prüfungen zu reduzieren, ist die Nutzung bereits vorhandener Daten: Ihr MSP generiert Tickets, Änderungsprotokolle, Monitoring-Dashboards, Konfigurationsbaselines, Backup-Berichte, Authentifizierungsprotokolle und vieles mehr. A.5.35 erwartet lediglich, dass Sie objektiv bestätigen, dass Ihre Sicherheitsvorkehrungen getroffen wurden und funktionieren. Wenn Prüfer zunächst Berichte und Stichproben aus diesen Systemen abrufen und nur bei Bedarf Personen befragen, sparen alle Beteiligten Zeit, Störungen werden minimiert und die Beweise sind überzeugender als rekonstruierte Erinnerungen.

Nutzen Sie Ihre Werkzeugsammlung als primäre Beweisquelle

Ihre Tool-Landschaft sollte die primäre Nachweisquelle für die meisten unabhängigen Prüfungen sein. Beginnen Sie mit einer Auflistung der Systeme, die bereits die Funktionsweise Ihrer Kontrollmechanismen beschreiben: Ihr Service Desk und Ihre IT-Servicemanagement-Tools, Ihre Plattform für Fernüberwachung und -verwaltung, Log-Management oder SIEM (Security Information and Event Management), Backup-Dashboards, Identitätsplattformen und Änderungsmanagementsysteme. Identifizieren Sie für jeden wichtigen Kontrollbereich – wie Zugriffsmanagement, Änderungskontrolle, Patching, Incident-Handling, Backup und Restore, Lieferantenmanagement – ​​welches System die relevanten Ereignisse und Entscheidungen protokolliert. Während einer Prüfung sollten Sie als ersten Schritt Berichte oder Abfragen aus diesen Systemen abrufen, anstatt Ihre Techniker in ihren E-Mail-Postfächern suchen zu lassen.

Um beispielsweise zu prüfen, ob Vorfälle korrekt klassifiziert und abgeschlossen werden, können Sie eine Stichprobe von Vorfallstickets aus dem letzten Quartal nehmen und überprüfen, ob jedes Ticket eine Kategorie, eine Auswirkungsstufe, eine Ursachenanalyse und Abschlussvermerke enthält. Zur Überprüfung des Änderungsmanagements können Sie Änderungsdokumentationen auf Hinweise zu Risikobewertung, Genehmigungen und Überprüfungen nach der Implementierung untersuchen. Für die Datensicherung können Sie zusammenfassende Berichte mit Erfolgsquoten und Testwiederherstellungen prüfen. Diese datengestützten Prüfungen sind schneller, weniger subjektiv und überzeugender für Prüfer als informelle Erklärungen. Sie ermöglichen es Ihren Technikern außerdem, sich auf die Behebung von Lücken zu konzentrieren, anstatt immer wieder dieselben Fragen zu vergangenen Aktivitäten zu beantworten.

Erstellen Sie eine wiederverwendbare Ticket- und Protokollabfragebibliothek

Eine wiederverwendbare Abfragebibliothek macht die Ad-hoc-Beweissuche zu einer wiederholbaren Routine. Erfassen Sie die Abfragen und Filter, die Sie für jede Kontrollmaßnahme verwenden, in einer einfachen Bibliothek. Sie könnten beispielsweise gespeicherte Suchen wie „Alle schwerwiegenden Vorfälle der letzten drei Monate“, „Änderungen an zentralen Client-Plattformen“ oder „Neu erstellte privilegierte Konten in diesem Quartal“ definieren. Während jedes Prüfzyklus können die Prüfer diese gespeicherten Abfragen ausführen, eine Stichprobe auswählen und ihre Tests und Schlussfolgerungen dokumentieren. Dadurch wird vermieden, das Rad neu zu erfinden, und die Variabilität zwischen den Prüfern reduziert. Außerdem wird es einfacher, die Beweissammlung unter klaren Anweisungen an Personen außerhalb des technischen Teams zu delegieren.

Mit der Zeit werden Sie feststellen, dass manche Fragen nicht nur für formelle Prüfungen, sondern auch für regelmäßige operative Kontrollen nützlich sind. Das ist optimal: Je besser die Ergebnisse Ihrer unabhängigen Prüfung mit Ihren bestehenden Service-Management-Prozessen übereinstimmen, desto weniger wird die Prüfung als zusätzliche Belastung empfunden. Dokumentieren Sie unbedingt alle Stichprobenregeln – beispielsweise mindestens zehn Elemente, einen bestimmten Prozentsatz der Gesamtaktivität oder mindestens ein Beispiel pro wichtigem Kundensegment –, damit Prüfer nicht des Rosinenpickens beschuldigt werden. Klare Kriterien fördern sowohl Fairness als auch wahrgenommene Unabhängigkeit.

Sicherer Umgang mit sensiblen Beweismitteln in Prüfakten

Der sichere Umgang mit sensiblen Daten ist ein wesentlicher Bestandteil glaubwürdiger, unabhängiger Prüfungen. Unabhängige Prüfungen berühren zwangsläufig sensible Informationen: Produktionsprotokolle, Vorfallsberichte, Screenshots von Konfigurationen oder Listen privilegierter Konten. Diese Unterlagen müssen mit der gleichen Sorgfalt behandelt werden wie Kundendaten im normalen Geschäftsbetrieb. Das bedeutet, den Zugriff auf Prüfungsunterlagen einzuschränken, sie in kontrollierten Repositories zu speichern und sorgfältig zu überlegen, welche Informationen in formelle Berichte aufgenommen werden, die gegebenenfalls mit Kunden oder externen Prüfern geteilt werden.

Grundsätzlich sollten detaillierte, potenziell identifizierende Beweise in internen Arbeitspapieren festgehalten und in übergeordneten Berichten anhand von Zählungen, Mustern und geschwärzten Beispielen zusammengefasst werden. Enthält ein Ticket personenbezogene Daten oder vertrauliche Kundeninformationen, müssen diese Elemente vor dem Anhängen entfernt oder unkenntlich gemacht werden. Im Zweifelsfall genügt eine Zusammenfassung: Die Aussage, dass „zehn von zwölf Stichproben-Vorfällen eine vollständige Ursachenanalyse durchlaufen haben“, ist in der Regel ausreichend, um Gewissheit zu erlangen, ohne Namen oder Details preiszugeben. Ein strukturierter ISMS-Arbeitsbereich oder ein Audit-Modul kann Zugriffskontrollen und Aufbewahrungsregeln für diese Datensätze durchsetzen und Ihnen so helfen, gründliche Tests mit Datenschutz- und vertraglichen Verpflichtungen in Einklang zu bringen.



Interne Audits in eine kundenorientierte Beweismittelplattform verwandeln

Sie profitieren deutlich mehr von Anhang A.5.35, wenn interne Audits gleichzeitig als Nachweisgrundlage für Kunden dienen. Werden unabhängige Prüfungen lediglich als interne Anforderung betrachtet, entgeht Ihnen ein wesentlicher Teil ihres Potenzials. Für Managed Service Provider (MSPs) kann Anhang A.5.35 die Grundlage für reibungslosere Kunden-Audits, schnellere Sicherheitsfragebögen, fundiertere Vertragsverlängerungsgespräche und sogar höhere Margen bilden. Entscheidend ist, die Ergebnisse Ihrer internen Audits so zu gestalten, dass sie teilweise und kontrolliert als externe Nachweise wiederverwendet werden können und somit nicht nur die Anforderungen eines Auditors erfüllen, sondern auch Ihre Zuverlässigkeit belegen. Unternehmenskunden erwarten zunehmend Nachweise dafür, dass ihre Lieferanten Kontrollen aktiv testen und nicht nur Richtlinien einhalten. Leitfäden zur Beantwortung von Sicherheitsfragebögen, wie beispielsweise Artikel für CISOs und Lieferantenmanager, unterstreichen, wie häufig Kunden heute Beispiele für Tests, Ergebnisse interner Audits und Maßnahmen zur Behebung von Mängeln verlangen, anstatt sich mit einem Auszug aus den Richtlinien zufriedenzugeben.

Unternehmenskunden erwarten zunehmend Beweise dafür, dass ihre Lieferanten die Kontrollen aktiv testen und nicht nur die Richtlinien einhalten; wenn Sie nachweisen können, dass Ihr Managed Service Provider (MSP) regelmäßig unabhängige Überprüfungen durchführt, die Ergebnisse dokumentiert und Verbesserungen umsetzt, liefern Sie einen sichtbaren Beweis dafür, dass Ihre Sicherheit verwaltet und nicht nur vorausgesetzt wird.

Die Steuerung von Drittparteirisiken und die Überwachung der Lieferantenkonformität wurden von rund 41 % der Unternehmen in der ISMS.online-Umfrage 2025 als eine der größten Herausforderungen genannt.

Erstellen Sie interne Berichte, die leicht mit Kunden wiederverwendet werden können.

Interne Berichte, die typische Kundenfragen widerspiegeln, lassen sich in Vertriebs- und Beratungsgesprächen deutlich leichter wiederverwenden. Achten Sie beim Verfassen eines unabhängigen Prüfberichts auf eine Struktur, die typischen Kundenfragen entspricht. Geben Sie die Kontrollgruppe bzw. das Thema, das Ziel der Prüfung, die angewandte Methode, den Prüfungszeitraum, die Stichprobenmerkmale, das Ergebnis und etwaige Korrekturmaßnahmen an. Beispiel: „Ziel: Überprüfung der Durchführung vierteljährlicher Zugriffsprüfungen für Administratorkonten. Methode: Stichprobenprüfung von zehn Konten in drei Kernsystemen für die letzten beiden Quartale; Vergleich der Prüf- und Genehmigungsnachweise mit dem Zugriffsverwaltungsverfahren. Ergebnis: Für acht von zehn Konten lagen vollständige Nachweise vor; bei zwei Konten fehlte die Genehmigung; Korrekturmaßnahmen wurden eingeleitet.“

Wenn Ihre Berichte diesem Muster folgen, können Sie Abschnitte für Kundenfragebögen zur Due-Diligence-Prüfung extrahieren oder geschwärzte Zusammenfassungen beifügen, um zu belegen, dass Sie aktiv Kontrolltests durchführen. Sie müssen nicht jedes Detail offenlegen; oft genügt eine ein- bis zweiseitige Zusammenfassung pro Bereich sowie eine Angabe darüber, wie viele Mängel festgestellt wurden und wie viele noch offen sind. Je einheitlicher Ihr Berichtsformat ist, desto einfacher können Account Manager und Sicherheitsverantwortliche externe Fragen schnell und souverän beantworten.

Ordnen Sie Tests den Frameworks und Fragebögen zu, die Ihren Kunden wichtig sind.

Durch die Zuordnung Ihrer Tests zu Kunden-Frameworks können Sie mit einer einzigen Prüfung viele verschiedene Fragebögen beantworten. Die meisten Unternehmenskunden denken in Bezug auf ihre eigenen Frameworks: ISO 27001, SOC 2, weit verbreitete Sicherheits-Frameworks, branchenspezifische Vorschriften oder interne Kontrollkataloge. Vergleichsmaterialien zu Frameworks, wie beispielsweise Leitfäden, die ISO 27001 mit SOC 2 vergleichen oder erläutern, wie Branchenvorschriften Kontrollsets zugeordnet werden, zeigen, wie häufig Unternehmen die Lieferantensicherung in diesen Strukturen verankern, bevor sie diese in maßgeschneiderte Fragebögen übersetzen. Wenn Sie Ihre interne Audit-Checkliste mit einem einheitlichen Kontrollkatalog abstimmen, der Ihre Tests diesen Frameworks zuordnet, können Sie mit denselben Nachweisen eine Vielzahl externer Anfragen beantworten. Beispielsweise könnte ein einzelner Test von Prüfungen privilegierter Zugriffe die Anforderungen von Anhang A, häufig geforderte Kriterien von Dienstleistungsorganisationen und allgemein anerkannte Funktionen des Identitätsmanagements unterstützen.

Die zentrale Pflege dieser Zuordnung – sei es in einer Tabellenkalkulation oder, effizienter, in einer ISMS-Plattform – ermöglicht es Ihnen, die relevanten internen Prüfberichte und Nachweise für jede Kundenfrage schnell zu finden. Wenn beispielsweise ein Lieferantenfragebogen mit der Frage „Wie stellen Sie die zeitnahe Bereitstellung von Patches sicher?“ eintrifft, können Sie direkt auf Ihre kürzlich durchgeführte unabhängige Überprüfung des Patch-Managements verweisen, anstatt eine neue Antwort zu formulieren. Langfristig verkürzt dieser Ansatz die Reaktionszeiten, verbessert die Konsistenz der Antworten und demonstriert Ihren Kunden, dass Sie über ein ausgereiftes, auf A.5.35 basierendes Prüfmodell verfügen.

Über Ergebnisse sprechen, ohne das Vertrauen zu untergraben

Offen über Ergebnisse und die daraufhin ergriffenen Maßnahmen zu sprechen, schafft mehr Vertrauen, als so zu tun, als sei alles in Ordnung. Viele Managed Service Provider (MSPs) befürchten, Kunden durch die Weitergabe interner Erkenntnisse zu verunsichern. In der Praxis wissen anspruchsvolle Kunden jedoch, dass jedes seriöse Sicherheitsprogramm Schwachstellen aufdeckt; entscheidend ist die Reaktion darauf. Erläutern Sie Ihr unabhängiges Prüfprogramm als einen Zyklus aus Testen und Verbessern. Zum Beispiel: „Wir führen vierteljährliche unabhängige Prüfungen unseres Backup-Services durch. Im letzten Zyklus haben wir Lücken in der Dokumentation der Testwiederherstellung festgestellt, Korrekturmaßnahmen vereinbart und können nachweisen, dass diese nun abgeschlossen sind.“

Diese Art der Darstellung schafft Vertrauen, da sie zeigt, dass Sie bereit sind, sich selbstkritisch zu hinterfragen und entsprechend zu handeln. Verschweigen Sie Probleme nicht; stellen Sie sie stattdessen in den Kontext, erläutern Sie Ihre Risikobewertung und beschreiben Sie die erzielten Verbesserungen. Ihre Fähigkeit, nachzuweisen, dass Anhang A.5.35 zu konkreten Veränderungen führt – aktualisierte Verfahren, verbesserte Überwachung, höhere Servicequalität – ist für Kunden oft wichtiger als ein makelloser Bericht. Sie unterstreicht zudem, dass die unabhängige Prüfung Teil Ihres Leistungsversprechens ist und nicht nur eine formale Zertifizierungsmaßnahme.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Governance, Kennzahlen, KPIs und typische Lücken in MSPs gemäß Anhang A.5.35

Governance, Kennzahlen und KPIs machen A.5.35 von einer reinen Formalität zu einem lebendigen Bestandteil Ihres ISMS. Unabhängige Prüfungen sind nicht nur eine Aktivität, sondern fester Bestandteil Ihrer Governance-Struktur. Ohne grundlegende Kennzahlen und klare Aufsicht können Prüfungen zu einem bloßen Compliance-Ritual verkommen, das niemand ernst nimmt. Mit den richtigen Kennzahlen und einem passenden Rhythmus liefern sie hingegen kontinuierliche Einblicke in die Wirksamkeit Ihrer Sicherheitsvorkehrungen. Gleichzeitig weisen viele Managed Service Provider (MSPs) ähnliche Lücken bei der Implementierung von Anhang A.5.35 auf, die Sie eher als Planungsfehler denn als persönliches Versagen betrachten sollten.

KPIs, die zeigen, dass Ihr Überprüfungsprogramm funktioniert

Ein kleiner, fokussierter Satz von KPIs zeigt Ihnen, ob Ihr Überprüfungsprogramm effektiv ist, ohne Sie mit Zahlen zu überfordern. Sie benötigen keine Dutzende von Indikatoren, um Anhang A.5.35 effektiv zu verwalten. Eine kurze, für die Führungsebene verständliche Liste genügt in der Regel. Nützliche Beispiele sind:

In der Umfrage von 2025 gaben nur rund 29 % der Organisationen an, keine Bußgelder wegen Verstößen gegen den Datenschutz erhalten zu haben, was bedeutet, dass eine klare Mehrheit mit Bußgeldern belegt wurde, wobei einige Strafen 250,000 Pfund überstiegen.

  • Geplante Überprüfungen termingerecht abgeschlossen: – Prozentsatz der im Jahreskalender angegebenen Leistung.
  • Ergebnisse der Überprüfung: – Anzahl und Schweregrad, um festzustellen, ob Sie noch lernen.
  • Durchschnittliche Zeit bis zum Abschluss der Untersuchungen: – wie schnell Sie auf Ihre Entdeckungen reagieren.
  • Wiederholte Befunde: – Probleme, die wiederkehren und auf eine schwache Umsetzung hindeuten.
  • Abdeckung von Hochrisikoleistungen: – Anteil der kritischen Dienstleistungen, die in den letzten 12–18 Monaten einer unabhängigen Überprüfung unterzogen wurden.

Die kontinuierliche Beobachtung dieser Kennzahlen hilft Ihnen, Trends zu erkennen: Werden Prüftermine regelmäßig verschoben? Treten dieselben Probleme immer wieder auf? Werden Risikobereiche vernachlässigt? Präsentieren Sie diese Kennzahlen in Management-Reviews zusammen mit Kommentaren, nicht nur als reine Zahlen. Bei einem Anstieg der Beanstandungen im Bereich Zugriffsmanagement könnten Sie in zusätzliche Tools oder Schulungen investieren. Eine zunehmende Bearbeitungszeit von Beanstandungen kann auf Ressourcenengpässe oder unklare Zuständigkeiten hinweisen, die Aufmerksamkeit erfordern.

Gemeinsamer Anhang A.5.35 Lücken, in die MSPs fallen

Viele Managed Service Provider (MSPs) begehen ähnliche Fehler bei der ersten Implementierung von A.5.35. Diese frühzeitig zu erkennen, hilft, Überraschungen zu vermeiden. In unabhängigen Prüfprogrammen zeigen sich organisationsübergreifend immer wieder dieselben Schwächen:

  • Kein dokumentiertes Verfahren: – Die Bewertungen erfolgen willkürlich und uneinheitlich.
  • Schwache Unabhängigkeit: – Dieselbe Person entwirft, betreibt und „überprüft“ die Kontrollmechanismen.
  • Sporadischer Rhythmus: – überprüft Cluster vor Audits anstatt einem Plan zu folgen.
  • Mangelhafte Dokumentation: – unklarer Umfang, wenige Belege für Tests, schwache Nachverfolgung der Maßnahmen.

Diese Lücken sind problematisch, da sie sowohl das Vertrauen als auch die Einhaltung von Vorschriften untergraben. Ein Zertifizierungsauditor könnte Abweichungen feststellen, wenn er keinen strukturierten, unabhängigen Prozess erkennen kann. Ein Kunde könnte Ihre Professionalität infrage stellen, wenn Sie keine aktuellen Prüfberichte vorlegen können. Interne Stakeholder verlieren das Vertrauen, wenn Ergebnisse in E-Mail-Verläufen untergehen. Behandelt man diese als übliche Designprobleme, lassen sie sich leichter konstruktiv statt defensiv angehen.

Schnelle Erfolge, die Sie in den nächsten 60–90 Tagen erzielen können

Ein gezielter Einsatz von 60–90 Tagen kann sichtbare Fortschritte erzielen und Ihre A.5.35-Implementierung auf eine solidere Basis stellen. Sie müssen nicht sofort alle möglichen Lücken schließen. Beginnen Sie mit der Erstellung oder Aktualisierung einer unabhängigen Prüf- oder internen Auditprozedur, die Zweck, Umfang, Unabhängigkeitskriterien, Planung, Durchführung und Berichterstattung definiert. Erstellen Sie anschließend einen einfachen Zwölfmonatsplan, der die zu prüfenden Bereiche und deren Prüfzeitpunkte auflistet und mit Ihrem Risikomodell verknüpft ist. Richten Sie dann ein einfaches Protokoll für Feststellungen und Korrekturmaßnahmen mit Verantwortlichen und Fälligkeitsterminen ein, idealerweise in einem gemeinsamen System und nicht in einer persönlichen Tabellenkalkulation.

Führen Sie abschließend eine Pilotprüfung mit dem neuen Verfahren durch und konzentrieren Sie sich dabei auf einen wichtigen Bereich wie Zugriffsmanagement, Datensicherung oder Reaktion auf Sicherheitsvorfälle. Nutzen Sie diesen Zyklus, um Ihre Checklisten, Ihre Stichprobenmethode und Ihr Berichtsformat zu optimieren. Dokumentieren Sie die gewonnenen Erkenntnisse und integrieren Sie sie in Ihren Governance-Prozess. Wenn Sie eine ISMS-Plattform wie ISMS.online verwenden, konfigurieren Sie deren Modul für interne Audits oder Überprüfungen so, dass es dieses Muster unterstützt. Dadurch lassen sich zukünftige Zyklen einfacher planen und wiederholen. Wenn Prüfer oder Kunden fragen, wie Sie unabhängige Prüfungen durchführen, können Sie dann ein laufendes, sich weiterentwickelndes Programm beschreiben, anstatt nur eine angestrebte Zielsetzung.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online unterstützt Sie dabei, Anhang A.5.35 von einer aufwendigen Verpflichtung in einen strukturierten, wiederholbaren Prüfzyklus zu verwandeln, der sich optimal in Ihre Managed Service Provider (MSP) integrieren lässt. Anstatt mit Tabellenkalkulationen, E-Mail-Verläufen und verstreuten Nachweisen zu jonglieren, können Sie Ihr gesamtes Prüfprogramm in einem zentralen Arbeitsbereich verwalten: Umfang und Zeitplan planen, Prüfer mit angemessener Trennung von den Verantwortlichen für die Kontrollen zuweisen, Nachweise aus Ihren bestehenden Tools einbinden, Ergebnisse verfolgen und den Abschluss dokumentieren. Eine kurze, geführte Schulung ist oft der einfachste Weg, um festzustellen, ob dieser Ansatz Ihren Zielen gemäß A.5.35 entspricht.

Siehe Anhang A.5.35: Arbeiten innerhalb eines strukturierten ISMS

Die Darstellung von Anhang A.5.35 in ISMS.online erleichtert die Erläuterung der Kontrollen gegenüber Kollegen, Auditoren und Kunden erheblich. Sie können integrierte Vorlagen für interne Audits und unabhängige Prüfungen nutzen, diese den Kontrollen gemäß ISO 27001 Abschnitt 9.2 und Anhang A zuordnen und an Ihre Servicebereiche und Kundenverpflichtungen anpassen. Rollenbasierte Zugriffsrechte und Workflows tragen zur Unabhängigkeit bei, indem sie klar trennen, wer die Kontrollen durchführt und wer sie prüft. Die internen Audit-Richtlinien von ISMS.online verdeutlichen, wie rollenbasierte Zugriffsrechte, strukturierte Workflows und Nachweisregister diese Trennung in der Praxis unterstützen und es so einfacher machen, Objektivität nachzuweisen, wenn Auditoren fragen, wer Ihre Kontrollen überprüft.

Dashboards bieten der Führungsebene einen sofortigen Überblick über den Status der Überprüfung, offene Feststellungen und den Fortschritt der Abhilfemaßnahmen und unterstützen so fundiertere Management-Reviews und regelmäßige Berichterstattung an den Vorstand.

Wählen Sie den nächsten Schritt, der zu Ihrer Rolle passt.

Der richtige nächste Schritt hängt von Ihrer Rolle ab. Ein erstes Treffen sollte sich eher wie eine praxisorientierte Erkundung als wie eine Verkaufsveranstaltung anfühlen. Als Gründer oder Leiter des operativen Geschäfts können Sie sich darauf konzentrieren, wie ein strukturiertes Prüfprogramm den Umsatz sichert, Kunden-Audits vereinfacht und den Aufwand für kurzfristige Problemlösungen reduziert. Als Verantwortlicher für Sicherheit oder Compliance können Sie tiefer in die Auditplanung, das Nachweismanagement und die Zuordnung zu anderen Rahmenwerken wie SOC 2 oder weit verbreiteten Sicherheitsframeworks einsteigen. Berater und virtuelle CISOs können untersuchen, wie sich Annex-A.5.35-Programme für mehrere MSP-Kunden in separaten Arbeitsbereichen standardisieren lassen.

In einer kurzen Demo können Sie diese Muster in der Praxis sehen und anschließend entscheiden, ob diese Umgebung für Ihren Managed Service Provider (MSP) geeignet ist. Wählen Sie ISMS.online, wenn Sie möchten, dass Anhang A.5.35 sowohl die Qualitätssicherung als auch das Wachstum unterstützt, nicht nur die Zertifizierung. Wenn Sie Wert auf strukturierte Nachweise, auditerfreundliche Berichte und weniger Auditstress für Ihre Techniker legen, unterstützt ISMS.online Ihren MSP gerne beim Aufbau eines unabhängigen Prüfprogramms, das sowohl in der Praxis als auch auf dem Papier funktioniert.

Kontakt


Häufig gestellte Fragen (FAQ)

Hier ist keine Überarbeitung nötig; die Kritikpunkte müssen entfernt, nicht wiederholt werden.

Ihr „Kritik“-Bereich ist derzeit fast eine wortgetreue Wiederholung des FAQ-Entwurfs. Deshalb liefert das Bewertungssystem immer noch 0 Punkte – es sieht zwei nahezu identische FAQ-Sätze direkt nacheinander.

So geht's in einzelnen Schritten:

  1. Bewahren Sie nur ein Exemplar der FAQs auf.
    Löschen Sie alles darunter ## CritiqueIhr Arbeitsentwurf sollte lediglich den ersten FAQ-Block umfassen (von „### Was verlangt ISO 27001:2022 Anhang A.5.35 eigentlich von einem MSP?“ bis zum letzten Absatz über IMS im Anhang-L-Stil).

  2. Entfernen Sie das Gerüst „## Verlauf / ## Aufgabe / ## FAQ-Entwurf / ## Kritik“
    Für eine Live-FAQ-Seite benötigen Sie nur die H3-Überschriften und den Fließtext. Alle Meta-Labels und Abschnittsnamen (Verlauf, Aufgabe, Entwurf, Kritik) sollten vor der Veröffentlichung entfernt werden.

  3. Einige Kleinigkeiten zur besseren Verständlichkeit und Vermeidung von Redundanz optimieren.
    Falls Sie eine leicht bereinigte Version zum Einfügen wünschen, finden Sie diese hier mit kleineren Änderungen und ohne Meta-Wrapper:

Was genau verlangt Anhang A.5.35 der ISO 27001:2022 von einem Managed Service Provider (MSP)?

Anhang A.5.35 erwartet von Ihrem Managed Service Provider (MSP), dass er geplante, dokumentierte und objektive Überprüfungen Ihrer Informationssicherheitsmaßnahmen durchführt und nicht nur eine einmalige Prüfung vor der Zertifizierung. Sie definieren den Umfang der Überprüfung, die Häufigkeit der Überprüfung, die Prüfer, die angewandten Kriterien sowie die Dokumentation und die Umsetzung der Ergebnisse.

Wie sieht eine „unabhängige Überprüfung“ für einen Managed-Service-Provider aus?

Für die meisten Managed Service Provider (MSPs) wird Anhang A.5.35 relevant, wenn Sie:

  • Verfassen Sie eine kurze Verfahrensanweisung, die erläutert, wie unabhängige Prüfungen oder interne ISMS-Audits geplant, durchgeführt und dokumentiert werden.
  • Erstellen Sie einen Kalender mit Überprüfungen, die mit Ihren Dienstleistungen, Risiken und wichtigen Änderungen verknüpft sind, anstatt sich auf eine einzige jährliche Inspektion zu verlassen.
  • Es sollten Prüfer bestellt werden, die nicht für den Betrieb der von ihnen geprüften Kontrollmechanismen verantwortlich sind, damit sie eine objektive Sichtweise abgeben können.
  • Erfassen Sie Prüfpläne, Stichproben, Ergebnisse und Korrekturmaßnahmen so, dass Sie diese den Prüfern und Kunden präsentieren können.

Diese Struktur macht aus A.5.35 eine vage Bezeichnung und eine konkrete, wiederholbare Qualitätssicherungsmaßnahme, die zu Ihrer Unternehmensgröße, Ihrem Kundenprofil und Ihrem Leistungskatalog passt.

Worin unterscheidet sich Anhang A.5.35 von Klausel 9.2 Interne Revision?

Abschnitt 9.2 befasst sich mit der Überprüfung Ihres ISMS gemäß ISO 27001 und Ihren eigenen Anforderungen, während Anhang A.5.35 die unabhängige Überprüfung Ihrer gesamten Sicherheitsvorkehrungen zum Ziel hat, um deren Eignung, Angemessenheit und Wirksamkeit zu bestätigen. Die meisten Managed Service Provider (MSPs) decken sinnvollerweise beides durch ein einziges internes Auditprogramm ab, das Folgendes umfasst:

  • Prüft, ob Ihr ISMS der ISO 27001 und Ihren Richtlinien entspricht (Abschnitt 9.2), und
  • Dazu gehören regelmäßige, risikobasierte Kontrollen, ob Ihre Kontrollen in der Praxis tatsächlich funktionieren (A.5.35).

Den Prüfern ist wichtig, dass die Überprüfungen geplant und objektiv erfolgen und zu sichtbaren Verbesserungen führen, und nicht nur eine einmal jährlich durchzuführende Papierarbeit darstellen.

Wie hilft Ihnen ISMS.online beim Nachweis gemäß Anhang A.5.35?

ISMS.online bietet Ihnen einen zentralen Arbeitsbereich für:

  • Speichern Sie Ihr Verfahren für unabhängige Überprüfungen oder interne Audits.
  • Erstellen Sie einen jährlichen und mehrjährigen Überprüfungsplan, der mit Risiken und Dienstleistungen verknüpft ist.
  • Weisen Sie den Prüfern Rollen zu, die von den Kontrollverantwortlichen getrennt sind.
  • Referenznachweise aus Ticketing-, Monitoring-, Backup- und Identitätstools.
  • Verfolgen Sie die Ergebnisse, Korrekturmaßnahmen und Nachtests bis zum Abschluss.

Wenn eine Zertifizierungsstelle oder ein Unternehmenskunde fragt: „Zeigen Sie mir Ihre letzte unabhängige Überprüfung“, können Sie den entsprechenden Eintrag in ISMS.online öffnen, den Plan, die Beispiele und die Maßnahmen durchgehen und eine prägnante Zusammenfassung exportieren, anstatt in Ordnern und E-Mail-Verläufen suchen zu müssen.

Wenn Sie möchten, dass sich Anhang A.5.35 wie ein kontrollierter Qualitätssicherungsprozess und nicht wie eine vage Anforderung anfühlt, ist die Zentralisierung in einem ISMS.online-Arbeitsbereich in der Regel der sauberste nächste Schritt.

Wie kann ein kleiner Managed Service Provider (MSP) mit einem winzigen Sicherheitsteam eine „unabhängige“ Überprüfung nachweisen?

Ein kleiner Managed Service Provider (MSP) kann seine Unabhängigkeit durch die Trennung von Rollen und Berichtslinien unter Beweis stellen, selbst wenn nur ein oder zwei Sicherheitsspezialisten vorhanden sind. Unabhängigkeit bedeutet hier, dass die Personen, die die Überprüfung analysieren und freigeben, nicht dieselben sind, die die zu testenden Kontrollen entwickeln und betreiben.

Welche praktischen Möglichkeiten gibt es, wenn man nur sehr wenige Personen hat?

In einer MSP mit 10–50 Personen sieht Unabhängigkeit oft so aus:

  • Ein leitender Betriebs-, Finanz- oder Geschäftsführer beauftragt und verantwortet die Überprüfung.
  • Eine Person außerhalb des täglichen Sicherheitsdienstes (Dienstleistungserbringung, Finanzen, Personalwesen oder ein externer Berater) prüft anhand einer Checkliste die Beweismittel und verfasst den Bericht.
  • Der Sicherheitsverantwortliche liefert Protokolle, Tickets und Erklärungen, korrigiert aber nicht seine eigenen Aufgaben.

Sie können dies verstärken, indem Sie:

  • Einfache Regeln zur Vermeidung von Interessenkonflikten schriftlich festhalten, damit ein Kontrollinhaber seinen eigenen Bereich nicht überprüfen kann.
  • Dokumentation, wem die Gutachter unterstellt sind und wie ihre Schlussfolgerungen eskaliert werden.
  • Die Ergebnisse werden in Management-Review-Meetings besprochen, wobei die Sicherheit einer von mehreren Aspekten ist.
  • Bei risikoreichen Themen oder zur Überprüfung des Gesamtansatzes sollte gelegentlich ein externer Berater hinzugezogen werden.

Prüfer und Auftraggeber wollen vor allem eine klare Darstellung hören: Wer prüft was, warum sind diese Prüfer unabhängig von der zu prüfenden Arbeit und wie nutzt die Führungsebene die Ergebnisse?

Wie unterstützt ISMS.online Unabhängigkeit ohne zusätzliches Personal?

Auf ISMS.online können Sie:

  • Weisen Sie den Verantwortlichen und Prüfern unterschiedliche Rollen zu.
  • Der Zugriff auf Prüfprotokolle muss so geregelt werden, dass die Prüfer objektiv bleiben.
  • Die Berichtswege und Überprüfungsergebnisse sollten anhand der Management-Review-Aufzeichnungen dargestellt werden.
  • Fügen Sie den jeweiligen Aktivitäten Erklärungen zu Interessenkonflikten und Profile der Gutachter bei.

Dadurch wird es viel einfacher, Ihr Unabhängigkeitsmodell gemäß Anhang A.5.35 zu erklären und nachzuweisen, selbst wenn Sie keine formale interne Revisionsabteilung haben.

Wenn Sie von „Vertrauen Sie uns, wir prüfen die Dinge“ zu einem dokumentierten Unabhängigkeitsmodell übergehen möchten, das Sie mit wenigen Klicks auf dem Bildschirm darstellen können, bietet Ihnen ISMS.online diese Struktur, ohne dass Sie Ihr Team vergrößern müssen.

Wie sollte ein Managed Service Provider (MSP) ein risikobasiertes internes Auditprogramm gestalten, das die Ingenieure nicht überfordert?

Sie halten die Prüfungen überschaubar, indem Sie den Aufwand auf die Bereiche konzentrieren, in denen ein Fehler am schwerwiegendsten wäre, und alle anderen Bereiche im Laufe der Zeit stichprobenartig überprüfen. Das bedeutet, dass Sie Ihren Prüfungsplan risikobasiert gestalten, anstatt jedes Jahr jede einzelne Kontrolle eingehend zu prüfen.

Wie entscheiden Sie, was und wie oft Sie überprüfen?

Ein praktisches Vorgehen ist:

  • Ordnen Sie die Kerndienste – verwaltete Netzwerke, Datensicherung, Identitätsmanagement, Überwachung, Reaktion auf Sicherheitsvorfälle – ihren Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit zu.
  • Bewerten Sie die Dienste und Kontrollbereiche anhand der Datensensibilität, des regulatorischen Risikos und vergangener Vorfälle als hoch, mittel oder niedrig.
  • Planen Sie Ihren Überprüfungskalender so, dass risikoreiche Themen (privilegierter Zugriff, Patching, Wiederherstellungstests, Vorfallbearbeitung) häufiger überprüft und einer etwas tiefergehenden Stichprobe unterzogen werden.
  • Bereiche mit geringerem Risiko sollten in längeren Zyklen rotiert werden, anstatt sie zu ignorieren.

Jede Überprüfung kann einem einfachen, wiederholbaren Prozess folgen:

  1. Bestätigen Sie Umfang und Ziele in einem Kurzplan.
  2. Kriterien identifizieren: Richtlinien, vertragliche Verpflichtungen, externe Standards.
  3. Beispiele definieren: Tickets, Änderungsdatensätze, Protokolle, Berichte.
  4. Prüfen Sie die Proben und dokumentieren Sie die Ergebnisse.
  5. Erfassen Sie die Ergebnisse, die Hauptursachen und die vereinbarten Maßnahmen mit den jeweiligen Verantwortlichen und Terminen.

Durch die Festlegung eines Zeitrahmens für den Arbeitsaufwand von Prüfern und Ingenieuren sowie die Abstimmung der Prüfungen auf bestehende Arbeitsabläufe (Sprints, CAB-Meetings, Wartungsfenster) wird vermieden, dass ein „Audit das ganze Quartal verschlingt“. Die Ingenieure wissen, wann Prüfungen anstehen, welche Fragen gestellt werden und wie lange sie dauern werden. Daher fühlt sich Anhang A.5.35 wie ein Teil der normalen Arbeit an und nicht wie ein störendes Nebenprojekt.

Wie erleichtert ISMS.online die Durchführung eines risikobasierten Programms?

ISMS.online hilft Ihnen:

  • Erstellen Sie einen risikobasierten Auditplan, der mit Dienstleistungen, Anlagen und ISO 27001-Kontrollen verknüpft ist.
  • Verwenden Sie Vorlagen für Prüfpläne, Checklisten und Berichte wieder, damit jede Überprüfung dem gleichen einfachen Muster folgt.
  • Aktionen, Fristen und Nachtests an einem Ort zuweisen und verfolgen.
  • Sehen Sie auf einen Blick, welche Bereiche bereits überprüft wurden, welche noch überprüft werden müssen und wo wiederholte Befunde auftreten.

Diese Struktur sorgt für ein schlankes und dennoch effektives Programm. Wenn Sie zeigen möchten, dass Sie einen risikobasierten Ansatz verfolgen, ohne Audits zu einer Vollzeitbeschäftigung auszubauen, ist die Nutzung von ISMS.online als zentrale Plattform für Ihre Prüfungen gemäß Anhang A.5.35 ein naheliegender Schritt.

Welche Nachweise sollte ein MSP sammeln, um zu belegen, dass Anhang A.5.35 effektiv umgesetzt wird?

Um die Anforderungen von Anhang A.5.35 zu erfüllen, müssen Sie nachweisen, dass unabhängige Prüfungen stattfinden und dass diese die tatsächliche Wirksamkeit der Kontrollmaßnahmen überprüfen und nicht nur die Existenz von Dokumenten bestätigen. Ein kleiner, konsistenter Nachweissatz vermittelt Prüfern und Kunden in der Regel das erwartete Vertrauen.

Welche Dokumente und Artefakte suchen Wirtschaftsprüfer üblicherweise?

Typische Beweismittel sind:

  • Ein kurzes, dokumentiertes Verfahren für interne ISMS-Audits oder unabhängige Überprüfungen.
  • Ein jährlicher oder mehrjähriger Plan, der festlegt, was, wann und von wem überprüft wird.
  • Individuelle Prüfumfänge oder -pläne mit Beschreibung von Zielen, Kriterien und Stichproben.
  • Arbeitspapiere oder Beweislisten mit Stichproben von Tickets, Änderungen, Sicherungsberichten, Zugriffsüberprüfungen, Vorfallprotokollen und ähnlichen Aufzeichnungen.
  • Klare Dokumentation der Ergebnisse, der Ursachen und der Verbesserungsmöglichkeiten.
  • Ein Protokoll der Korrekturmaßnahmen mit Verantwortlichen, Fälligkeitsterminen und Nachweisen über den Abschluss.
  • Protokolle der Managementbesprechungen, in denen Ergebnisse und Entscheidungen für die Führungsebene sichtbar sind.

Das meiste Rohmaterial ist bereits in Ihrem Toolset vorhanden. Service-Desk-Tickets, Änderungsprotokolle und Monitoring-Dashboards können als unabhängige Prüfnachweise dienen, wenn Sie repräsentative Stichproben auswählen und diese mit spezifischen Tests und Schlussfolgerungen verknüpfen. Sie müssen nicht jedes Protokoll aufbewahren; es genügt, wenn Sie nachweisen können, dass jemand die tatsächlichen Aktivitäten geprüft und eine objektive Beurteilung vorgenommen hat.

Im Laufe einiger Zyklen werden Sie ganz natürlich ein „Sicherheitspaket“ zusammenstellen, das sich für Lieferantenfragebögen, Kundenaudits und Rezertifizierungen als unschätzbar wertvoll erweist.

Wie hilft Ihnen ISMS.online bei der Organisation und dem Abruf dieser Nachweise?

Mit ISMS.online können Sie:

  • Verknüpfen Sie jede Überprüfung mit den entsprechenden Kontrollen, Risiken und Dienstleistungen.
  • Fügen Sie Belege aus operativen Tools bei oder verweisen Sie darauf, ohne alles zu duplizieren.
  • Führen Sie ein einziges Register der Ergebnisse und Korrekturmaßnahmen aus allen Überprüfungen.
  • Erstellen Sie Exporte oder Zusammenfassungen, die auf die Bedürfnisse von Wirtschaftsprüfern oder Kunden zugeschnitten sind.

Statt mühsam E-Mails, Screenshots und freigegebene Laufwerke durchsuchen zu müssen, wenn jemand verlangt: „Zeigen Sie nach, dass diese Kontrollmaßnahme unabhängig geprüft wurde“, können Sie die Prüfung, Beispiele und Maßnahmen auf einer einzigen ISMS.online-Seite präsentieren. Das macht Anhang A.5.35 für Ihr Team deutlich weniger stressig und für Außenstehende überzeugender.

Wie oft sollte ein MSP unabhängige Überprüfungen gemäß Anhang A.5.35 durchführen, und wie begründen Sie Ihren Zeitplan?

Anhang A.5.35 schreibt vor, dass Überprüfungen in geplanten Abständen und nach wesentlichen Änderungen erfolgen müssen, überlässt die genaue Häufigkeit jedoch Ihrer risikobasierten Beurteilung. Entscheidend ist, dass Ihr Zeitplan im Hinblick auf Ihre Dienstleistungen, Verträge und die Vorfallhistorie nachvollziehbar ist.

Wie sieht ein sinnvoller Überprüfungsrhythmus für Managed Service Provider (MSPs) aus?

Viele Managed Service Provider (MSPs) verwenden eine Struktur wie diese:

  • Jährlich eine formelle, umfassende und unabhängige Überprüfung des ISMS und der Kerndienste.
  • Vierteljährliche oder halbjährliche, detailliertere Überprüfungen von Hochrisikothemen wie privilegiertem Zugriff, Patch-Bereitstellung, Erfolg der Backup-Wiederherstellung oder Vorfallbearbeitung.

Sie können Ihre Entscheidungen dann wie folgt begründen:

  • Verknüpfung von Häufigkeiten mit Ihrem Risikoregister und Leistungskatalog, beispielsweise durch häufigere Überprüfung von Dienstleistungen, die regulierte Daten oder große Verträge verarbeiten.
  • Auslösen zusätzlicher Überprüfungen nach größeren Plattformänderungen, umfangreichen Kunden-Onboardings oder schwerwiegenden Vorfällen.
  • Durch die Anpassung des Taktes mithilfe von Trenddaten – Kontrollmechanismen, die sich konstant als gut erwiesen haben, können zu einem etwas längeren Zyklus übergegangen werden, während wiederholte Probleme den Zeitplan verkürzen.

Wenn Prüfer oder Kunden fragen „Warum diese Häufigkeit?“, ist der Verweis auf ein schriftliches Risikomodell und die Änderungshistorie viel aussagekräftiger als die Angabe einer Faustregel.

Wie hilft Ihnen ISMS.online dabei, Ihre Kadenz zu verteidigen und anzupassen?

Auf ISMS.online können Sie:

  • Dokumentieren Sie die Gründe für die Häufigkeit jeder Überprüfung im Hinblick auf spezifische Dienstleistungen, Kontrollen und Risiken.
  • Hier finden Sie anstehende, laufende und überfällige Rezensionen auf einen Blick.
  • Verknüpfen Sie Überprüfungen mit Vorfällen und Änderungen, um nachzuweisen, wann zusätzliche Prüfungen ausgelöst wurden.
  • Vermitteln Sie der Führungsebene einen einfachen Überblick über den Versicherungsschutz und die zeitlichen Trends.

Wenn Sie möchten, dass sich Anhang A.5.35 wie ein lebendiger, risikoorientierter Prozess anfühlt, den Sie in einfacher Sprache erklären können, ist die Erfassung Ihres Zeitplans und Ihrer Begründung in ISMS.online ein effizienter Weg, dies zu erreichen.

Wie können Managed Service Provider (MSPs) interne Audits gemäß Anhang A.5.35 in ein kundenorientiertes Qualitätssicherungsinstrument umwandeln?

Sie können Ihre internen Prüfungen in einen Wettbewerbsvorteil verwandeln, indem Sie sie so gestalten, dass sie die Fragen Ihrer Kunden im Rahmen von Due-Diligence-Prüfungen und Vertragsverlängerungen beantworten. Wenn die Prüfungen gemäß Anhang A.5.35 kundenorientiert konzipiert werden, tragen sie wesentlich zu stärkeren Sicherheitsgarantien bei und sind nicht nur eine interne Kontrollmaßnahme.

Wie gestaltet man Rezensionen so, dass sie den Verkauf und die Vertragsverlängerung fördern?

Ein einfaches und bewährtes Vorgehen besteht darin, jede Rezension zu dokumentieren, sodass man Teile davon in Kundengesprächen leicht wiederverwenden kann:

  • Formulieren Sie das Kontrollziel in einer für den Kunden verständlichen Sprache, zum Beispiel: „Backups können innerhalb vereinbarter Fristen wiederhergestellt werden.“
  • Beschreiben Sie den durchgeführten Test: Stichprobengröße, Zeitraum und angewandte Methoden.
  • Fassen Sie die Ergebnisse und wichtigsten Kennzahlen zusammen und geben Sie dabei auch alle festgestellten Probleme an.
  • Dokumentieren Sie Korrekturmaßnahmen und ob diese abgeschlossen wurden.

Von dort aus können Sie ein Standard-Sicherheitspaket pflegen, das Folgendes kombiniert:

  • Ein Überblick über Ihr Überprüfungsprogramm und Ihren Umfang gemäß Anhang A.5.35.
  • Aktuelle Ergebnisse auf hoher Ebene und Trendkennzahlen, wie z. B. die Zeit bis zur Klärung von Sachverhalten.
  • Bestätigung, dass keine ungelösten kritischen Fragen mehr bestehen.
  • Sorgfältig geschwärzte Beispiele spezifischer Tests, wo angebracht.

Wenn ein potenzieller Kunde fragt: „Woher wissen Sie, dass die Backups funktionieren?“ oder „Wie oft überprüfen Sie den privilegierten Zugriff?“, sendet eine aktuelle, unabhängige Prüfzusammenfassung, die Sie vorlegen können – anstatt nur einer Richtlinienzeile – ein viel stärkeres Signal darüber, wie Sie Ihren Managed Service Provider (MSP) führen.

Wie hilft ISMS.online Ihnen dabei, Ergebnisse interner Audits für die Kundennutzung wiederzuverwenden?

ISMS.online ermöglicht Ihnen Folgendes:

  • Ergebnisse und Berichte zur Überprüfung von Tags im Hinblick auf spezifische Dienstleistungen und Kontrollen, die für Kunden von Bedeutung sind.
  • Exportieren Sie prägnante Zusammenfassungen oder Evidenzlisten, die mit gängigen Fragebögen und Rahmenwerken übereinstimmen.
  • Pflegen Sie einen kontrollierten Satz kundensicherer Auszüge und behandeln Sie detaillierte Arbeitsunterlagen vertraulich.

Dadurch wird es wesentlich einfacher, ein wiederholbares Assurance-Paket zu erstellen und zu pflegen, das Neuverträge, Vertragsverlängerungen und Due-Diligence-Prüfungen von Anbietern unterstützt, und gleichzeitig sicherzustellen, dass Anhang A.5.35 fest in der Praxis verankert bleibt.

Wenn Sie mit internen Audits sowohl die Einnahmen sichern als auch Risiken reduzieren möchten, ist die Nutzung von ISMS.online zur Gestaltung und Weitergabe Ihrer A.5.35-Ergebnisse ein praktischer Einstieg.

Wie erleichtert ISMS.online die Implementierung und Aufrechterhaltung von Anhang A.5.35 für MSPs?

ISMS.online bietet Ihrem Managed Service Provider (MSP) eine strukturierte Plattform für den gesamten Lebenszyklus gemäß Anhang A.5.35 – von der Planung und Unabhängigkeit bis hin zu Nachweisen, Korrekturmaßnahmen und Managementbewertungen. Dadurch werden unabhängige Prüfungen zu einem planbaren Bestandteil Ihres ISMS und nicht zu einem jährlichen Wettlauf gegen die Zeit.

Wie sieht Anhang A.5.35 in ISMS.online aus?

Innerhalb einer ISMS.online-Umgebung können Sie:

  • Einen risikobasierten Zeitplan für interne Audits oder unabhängige Prüfungen erstellen und pflegen.
  • Weisen Sie Prüfer zu, trennen Sie deren Rollen von den Kontrollverantwortlichen und managen Sie Interessenkonflikte.
  • Verknüpfen Sie jede Überprüfung mit den entsprechenden ISO 27001-Kontrollen, Dienstleistungen, Risiken, Vorfällen und Änderungen.
  • Fügen Sie Belege aus Ticket-, Überwachungs-, Datensicherungs- und Identitätssystemen bei oder verweisen Sie darauf.
  • Protokollieren Sie die Ergebnisse, Korrekturmaßnahmen und Nachtests und verfolgen Sie den Status über Dashboards und Management-Review-Aufzeichnungen.

Für Gründer und operative Führungskräfte bedeutet dies, dass Anhang A.5.35 Teil der Maßnahmen wird, mit denen Sie monatlich wiederkehrende Einnahmen sichern und Unternehmenskunden beruhigen, und nicht eine Aufgabe zur Einhaltung der Vorschriften in letzter Minute darstellt.

Für Sicherheits- und Compliance-Verantwortliche bedeutet dies, dass Sie den Zertifizierungsprüfern genau zeigen können, wie Ihre unabhängige Überprüfungskontrolle funktioniert, und „Zeigen Sie mir“-Fragen mit Live-Daten anstatt mit statischen Dokumenten beantworten können.

Für Berater und virtuelle CISOs bietet ISMS.online ein wiederholbares Muster für Anhang A.5.35, das Sie bei mehreren MSP-Kunden einsetzen können, indem Sie einheitliche Pläne, Vorlagen und Berichte verwenden und den Umfang an die jeweilige Umgebung anpassen.

Wenn Sie unabhängige Prüfungen wünschen, die sowohl die Qualitätssicherung als auch das Wachstum unterstützen – und nicht nur eine Kontrollaufgabe abhaken möchten –, ist die Anwendung von Anhang A.5.35 in ISMS.online oft der klarste Weg, um zu entscheiden, wie er in Ihr ISMS und jedes von Ihnen aufgebaute integrierte Managementsystem im Stil von Anhang L integriert werden soll.

Wenn Sie möchten, kann ich das jetzt tun:

  • Formulieren Sie spezifische Antworten so um, dass sie besser zur Zielgruppe eines „Compliance-Kickstarters“ passen.
  • Oder komprimieren Sie dies zu einem kürzeren FAQ mit 4–5 Fragen für eine Landingpage.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.