Auditkommunikation zwischen Technik, Leitung und Prüfung: Wenn Audits an Sprache scheitern

Donnerstag, zehn Uhr. Kleiner Mittelständler, Erstzertifizierung. Der Auditor fragt nach Business Continuity Management (BCM). Die IT antwortet. Der QM-Beauftragte ergänzt. Die Geschäftsführung nickt. Zwanzig Minuten später liegt auf dem Tisch, was eigentlich nicht auf dem Tisch liegen sollte: Alle vier reden über BCM, aber jeder meint etwas anderes. Der Auditor hat eine Vorstellung im Kopf. Die Auditees haben drei weitere. Die Diskussion zieht sich über fast eine Stunde. Eine Hauptabweichung steht schon sichtbar im Raum. Erst der Rückgriff auf die explizite Formulierung der Norm bringt alle wieder auf denselben Nenner. Ergebnis: keine Abweichung, nicht einmal eine Verbesserung zum Thema. Die gesamte Auseinandersetzung war ein reines Übersetzungsproblem.

Solche Szenen sind keine Ausnahme. Sie sind das, was nach Erfahrung des Autors die meisten Audits wirklich aus der Spur bringt. Damit ist die zentrale These dieses Beitrags umrissen: Die meisten Audits scheitern nicht an fehlender Fachlichkeit, sondern daran, dass am selben Tisch zu viele unterschiedliche Sprachen gesprochen werden, ohne dass es jemand rechtzeitig bemerkt. An dieser Stelle ist der CISO gefragt, weniger als einer von vier Fachspielern, mehr als diejenige Instanz, die das gemeinsame Vokabular herstellt, bevor es teuer wird.

Was Audits wirklich sind

Wer Audits rein technisch liest, unterschätzt sie. Natürlich geht es um Nachweise, Verfahren, Protokolle, Freigaben und Verantwortlichkeiten. Ebenso geht es jedoch um das Gesamtbild, das dabei entsteht. Ein Audit ist immer auch ein Stresstest dafür, ob eine Organisation ihre eigene Komplexität noch erklären kann – belastbar, widerspruchsfrei und in einer Sprache, die über eine einzelne Zielgruppe hinausgeht.

Das gilt unabhängig davon, welche Art von Audit konkret ansteht: internes Audit, Zertifizierungsaudit nach ISO 27001 oder ISO 9001, TISAX-Assessment, Attestierung nach BSI C5, Kundenaudit oder eine aufsichtliche Prüfung im Rahmen von NIS-2 oder DORA. Die Spielregeln unterscheiden sich, das Muster bleibt dasselbe: Geprüft wird zum einen, wie reif die Kontrollen sind, und zum anderen, wie reif die Organisation über ihre Kontrollen sprechen kann.

Mit NIS-2 und DORA hat dieses Vokabular zudem eine regulatorische Dimension erhalten. Wenn Leitungsorgane persönlich in die Verantwortung für Cybersicherheit genommen werden, müssen sie verstehen können, was ihr CISO ihnen berichtet. Auditkommunikation ist damit nicht länger nur gute Praxis. Sie ist eine Voraussetzung dafür, dass Geschäftsleitungen ihre gesetzlichen Pflichten überhaupt wahrnehmen können. Wer diesen Aspekt als CISO nicht ernst nimmt, setzt im Zweifel nicht nur Auditergebnis aufs Spiel, sondern auch die Geschäftsleitung.

Ein Audit benötigt keine makellose Fassade. Es braucht belastbare Aussagen dazu, was umgesetzt ist, was noch offen ist und wie mit den offenen Punkten gesteuert umgegangen wird.

Fehler Nr. 1: Das Audit als Gegenspieler lesen

Einer der häufigsten Fehler setzt bereits vor dem ersten Gespräch ein – nämlich dann, wenn die Beteiligten das Audit innerlich als Angriff wahrnehmen, vergleichbar mit einer schulischen Prüfungssituation samt Versetzungsangst. Wer mit dieser Haltung ins Audit geht, agiert defensiv: Fragen wirken dann wie Vorwürfe, Rückfragen wie ein Ausdruck von Misstrauen, und aus einer einfachen Bitte um Einordnung wird rasch eine Rechtfertigungsrede.

Das Problem ist nicht der Ton. Das Problem ist der Effekt. Defensives Verhalten macht Aussagen unschärfer: lange Sätze, halbe Antworten, unnötige Abschweifungen. Im schlechtesten Fall folgt der Versuch, offene Punkte kleiner darzustellen, als sie sind. Auditoren bemerken das meist innerhalb weniger Minuten. Der Grund liegt nicht in hellseherischen Fähigkeiten, sondern in der Erfahrung: Ausweichende Kommunikation folgt nahezu immer denselben Mustern. Auditoren sind in ihrer Rolle nicht zuletzt darin geschult, solche Muster zu erkennen.

Ein Audit ist kein Boxkampf, eher ein Übersetzungstest unter Zeitdruck. Es geht nicht darum, fehlerfrei zu wirken, sondern realistisch und steuerungsfähig aufzutreten. Wer offen darlegen kann, wo eine Maßnahme steht, wer sie verantwortet, welche Abhängigkeiten bestehen und bis wann die entsprechenden Entscheidungen fallen, wirkt souveräner als jemand, der um jeden Preis Vollständigkeit vortäuscht.

Fehler Nr. 2: Fachsprache ohne Übersetzung

Informationssicherheit hat ihre eigene Sprache. Das ist weder neu noch per se problematisch. Segmentierung, Härtung, Berechtigungskonzept, Wiederanlaufplan oder Schutzbedarfsfeststellung sind im Fachkontext sinnvoll und notwendig, vergleichbar mit Fachtermini in der Medizin oder jedem anderen Fachgebiet. Kritisch wird es erst, wenn diese Sprache im Audit ungefiltert stehen bleibt.

Nicht jeder am Tisch hört dieselbe Botschaft oder versteht jeden Terminus. Die Auditoren wollen Nachvollziehbarkeit, die Geschäftsleitung will wissen, welche Maßnahme das Risiko reduziert hat und wo Entscheidungen anstehen, die Fachbereiche interessiert, was die jeweilige Maßnahme für Prozess und Alltag bedeutet. Wer hier nur IT-Sprech abliefert, schafft keine Klarheit – er schafft einen Fachmonolog. Korrekt im Wortlaut, aber am Verständnis des Gegenübers vorbei.

Anders formuliert: Eine Kontrolle ist erst dann vollständig erklärt, wenn die Beteiligten Zweck, Reichweite, Grenzen und Wirkung verstanden haben. „Das haben wir technisch gelöst“ hilft im Audit nur bedingt. Die eigentliche Frage lautet: Welches Risiko wird in welchem Umfang adressiert? Wie wird Wirksamkeit geprüft? Was bleibt offen? Erst mit der Beantwortung dieser Fragen wird aus Technik Steuerung.

An dieser Stelle schließt sich der Kreis. Die BCM-Szene vom Anfang des Beitrags ist kein Einzelfall: In nahezu jedem Audit steht irgendwann jemand auf, schlägt die Norm auf und liest vor. Erst dann bemerken alle Beteiligten, dass sie eine halbe Stunde lang über verschiedene Dinge gesprochen haben.

Fehler Nr. 3: Zuständigkeiten im Nebel

Alle sitzen am Tisch, aber niemand weiß genau, wer welche Aussage eigentlich vertreten darf und an welcher Stelle das Wort ergreifen muss. Die Sicherheit erklärt den Rahmen, der Betrieb verweist auf Dienstleister, der Fachbereich auf die IT, und irgendwo dazwischen geht die Verantwortung mit einem Cocktail in der Hand spazieren. Das wirkt im Audit immer schlechter, als es tatsächlich ist, denn aus Sicht der Auditoren sind unklare Zuständigkeiten ein Steuerungsproblem, kein Schönheitsfehler. Wenn nicht klar ist, wer über Risiken entscheidet, wer Maßnahmen priorisiert, wer Ausnahmen freigibt und wer Fristen verantwortet, liegt die Schwäche nicht mehr auf der kommunikativen Ebene, sondern eine Ebene tiefer.

Die saubere Variante setzt auf einen Dreiklang. Das hört sich nach einer Lehrbuchstrategie an, ist es auch, aber im Audit ist es ein Geschenk: Sicherheitsfunktion und Compliance als erste Linie steuernd, Fachbereich und IT als zweite Linie operativ, interne Revision als dritte Linie prüfend.

Sobald jeder am Tisch weiß, auf welcher Linie die eigene Rolle angesiedelt ist, löst sich ein Großteil der Unklarheiten über Verantwortlichkeiten von selbst. Wer diese Klärung versäumt, riskiert im Audit den Fall, dass drei Personen dieselbe Frage aus drei Rollen heraus beantworten – mit dem Risiko, dass der Auditor daraus seine eigenen Schlüsse zieht.

Fehler Nr. 4: Offene Baustellen zu spät ansprechen

Schlechte Nachrichten werden nicht besser, wenn man sie liegen lässt. Sie werden nur unangenehmer. Dennoch geschieht genau das regelmäßig. Offene Maßnahmen, ausstehende Freigaben, fehlende Budgets und technische Altlasten werden intern mitgeschleppt, bis sie im Audit als Überraschung zutage treten. Im Prüfungskontext ist so etwas erfahrungsgemäß selten hilfreich.

Der Grund: In einer solchen Situation steht nicht mehr allein die Lücke selbst zur Diskussion, sondern auch die Frage, warum sie nicht früher sichtbar gemacht oder eskaliert wurde. Im ungünstigsten Fall kommt zusätzlich die Schuldfrage hinzu. Aus einem fachlichen Defizit wird auf diese Weise innerhalb weniger Minuten ein Thema der Führungs- und Steuerungsqualität – im Auditjargon also eine Hauptabweichung in Führung und kontinuierlicher
Verbesserung.

Dabei wäre der Weg oft einfacher. Eine Schwäche verliert erheblich an Schärfe, wenn sie klar eingeordnet ist. Wer offen darlegen kann, dass ein Punkt bekannt ist, einen Eigentümer hat, in einem Maßnahmenplan steckt und auf Ebene der Geschäftsleitung adressiert wurde, verändert die gesamte Wahrnehmung. Die Lücke ist dann nicht weg, aber sie ist geführt. Und genau darin liegt im Audit oft der Unterschied zwischen Abweichung und Hinweis.

Fehler Nr. 5: Vollständigkeit vorspielen, obwohl der Umbau noch läuft

Viele Unternehmen befinden sich sicherheitstechnisch im laufenden Umbau. Neue Prozesse, nachgeschärfte Verantwortlichkeiten, konsolidierte Nachweise, abgelöste Altverfahren. Das ist eher die Regel als die Ausnahme und kein Anlass für Verlegenheit. Problematisch wird es erst, wenn diese Realität im Audit sprachlich in eine künstliche Vollständigkeit übertragen wird.

Dann fallen Sätze wie „Das haben wir im Griff“ oder „Das ist umgesetzt“. Solche Aussagen klingen zunächst stabil, werden aber rasch brüchig, sobald die Prüfung in die Tiefe geht. Nichts beschädigt Glaubwürdigkeit so schnell wie eine weitreichende Zusage auf einem schmalen Fundament.

Deutlich tragfähiger ist eine Sprache, die sauber trennt. Was ist beschlossen? Was ist umgesetzt? Was wird bereits gelebt? Was ist in Arbeit? Wo gibt es bewusst akzeptierte Restrisiken? Das wirkt auf den ersten Blick weniger glänzend, in Wirklichkeit aber ist es sehr viel professioneller. Ein Audit sucht nicht nach Perfektion, es sucht vielmehr nach realistischer Steuerungsfähigkeit. Nach einem System, das funktioniert und gelebt wird. Wer das verstanden hat, hat die halbe Prüfung schon hinter sich.

Fehler Nr. 6: Aktivitäten statt Wirkung reporten

Sicherheitsverantwortliche arbeiten oft unter Druck. Entsprechend groß ist die Versuchung, im Audit zunächst zu demonstrieren, wie viel bereits geleistet wurde: überarbeitete Richtlinien, geplante Schulungen, angepasste Prozesse, geprüfte Berechtigungen, angestoßene technische Vorhaben. All das ist sachlich richtig und notwendig. Reine Aktivität liefert jedoch noch keinen Nachweis für Wirkung – und eine Kiste voller Dokumente ersetzt keine belastbare Aussage.

Damit löst sich auch ein scheinbarer Widerspruch auf: Nachweise sind unverzichtbar, aber nicht alle auf einmal und nicht ungefiltert. Wer Auditierende mit Dokumenten erschlägt, signalisiert Unsicherheit statt der beabsichtigten Gründlichkeit. Kuratierte Nachweise, die zeigen, warum eine Maßnahme wirksam ist, sind das Format. Papierberge sind es nicht.

Für das Audit – und erst recht für die Geschäftsleitung – zählt am Ende etwas anderes als Aktivität: Was genau haben diese Maßnahmen in puncto Robustheit oder Transparenz bewirkt? Welche kritischen Prozesse sind besser geschützt? Welche Ausfallrisiken sind gesunken? Welche Entscheidungsgrundlage hat sich verbessert? Wer nur Tätigkeiten aufzählt, liefert Fleiß. Wer Wirkung beschreibt, liefert Steuerung.

Genau das unterscheidet Auditkommunikation von reiner Statusmeldung. Es reicht nicht, auf erfolgte Aktivitäten zu verweisen. Man muss auch sagen können, warum sie relevant waren. Andernfalls bleibt Sicherheit das, als was sie in vielen Organisationen ohnehin gilt: wichtig, doch losgelöst vom eigentlichen Geschäft.

Was in der Vorbereitung häufig schiefläuft

Viele Kommunikationsprobleme entstehen nicht im Termin selbst, sondern bereits Wochen zuvor, genauer gesagt dort, wo eine echte Vorbereitung ausbleibt. Kurz vor dem Audit bauen die Beteiligten hektisch an Foliensätzen, suchen Nachweise zusammen oder erzeugen sie kurzfristig und gießen offene Punkte in gefällige Formulierungen, in der Hoffnung, dass die Konstruktion im Termin trägt. Zwei Wochen Stress und plötzliche Geschäftigkeit sind ein bekanntes Muster, das in der Praxis selten verlässlich funktioniert.

Gute Auditvorbereitung ist keine Last-Minute-Disziplin. Sie bedeutet, Widersprüche vor dem Termin zu finden, nicht im Termin. Mit den Beteiligten einmal trocken durchgehen, welche Botschaft zu welcher Kontrolle vermittelt werden soll. Auf kritische Rückfragen vorbereitet sein, ohne in Abwehr oder Fachsimpelei zu verfallen. Und intern ehrlich genug sein, problematische Themen vorab sichtbar zu machen.

Probeläufe mit fachfremden Gesprächspartnern sind hier oft Gold wert. Wenn jemand aus der Geschäftsleitung, dem Einkauf oder einem anderen Bereich nach zwei Minuten nicht mehr folgen kann, verbessert sich die Situation im Audit erfahrungsgemäß nicht. Es geht darum, Fachlichkeit anschlussfähig und klar zu machen, ohne sie zu verwässern.

Was CISOS konkret anders machen können

Die gute Nachricht: Auditkommunikation lässt sich trainieren. Dafür braucht es kein rhetorisches Feuerwerk, eher Disziplin und Einordnung:

• Erstens: Vor jedem Audit sollte ein gemeinsames Vokabular stehen. Was meinen wir, wenn wir von „umgesetzt“, „eingeführt“, „überwacht“ oder „akzeptiert“ sprechen? Diese Begriffe klingen selbstverständlich. Sind sie aber nicht. Die BCM-Szene vom Anfang ist der beste Beweis.
• Zweitens: Jede relevante Maßnahme sollte in derselben Logik beschreibbar sein. Risiko, Maßnahme, Wirkung, Verantwortlichkeit, Restrisiko. Wer diesen Faden halten kann, bleibt auch unter Druck konsistent.
• Drittens: Offene Punkte gehören in die Steuerung, nicht ins Versteck. Eine bekannte Lücke mit Eigentümer, Termin und Eskalationsweg ist etwas anderes als eine Lücke, bei der plötzlich alle Anwesenden denken: „Wo kam das denn jetzt her?“
• Viertens: Der CISO sollte bewusst zwischen Technikdetail und Relevanz für die Geschäftsleitung hin- und herschalten können. Nicht jede Frage benötigt Tiefgang bis auf die unterste Dateiebene. Aber fast jede Frage braucht eine Einordnung, warum der Punkt für das Unternehmen bedeutsam ist.
• Fünftens: Nach dem Audit ist vor dem Audit. Wer Feststellungen, Rückfragen und Missverständnisse nicht systematisch auswertet, produziert die kommunikativen Stolpersteine beim nächsten Mal einfach neu.

Fazit: Der CISO als Dolmetscher unter Druck

Der Chief Information Security Officer ist im Audit nicht nur dafür da, Sicherheit zu vertreten. Er muss Sicherheit erklärbar und nachvollziehbar machen, was oft schwerer ist als die Maßnahme selbst. Technik lässt sich einführen, Prozesse lassen sich aufschreiben, Nachweise lassen sich sammeln. Aber eine Organisation so sprechen zu lassen, dass Technik, Fachbereich, Geschäftsleitung und Prüfung wirklich dasselbe Bild ergeben, ist eine eigene Disziplin.

Wer sie beherrscht, hat das angenehmere Audit und meist auch die reifere Sicherheitssteuerung, denn dort, wo offen, klar und widerspruchsfrei über Risiken, Maßnahmen und Grenzen gesprochen werden kann, ist Sicherheit in der Regel keine Brandbekämpfung mehr. Sie ist Teil der Unternehmensführung, und genau dort gehört sie hin.

Bleibt die BCM-Szene vom Anfang: keine Abweichung, nicht einmal eine Verbesserungsempfehlung, eine Stunde Diskussion ohne Befund. Das klingt erst einmal nach einem guten Ergebnis. Tatsächlich war es jedoch eine Stunde verlorene Audit-Zeit, die niemand zurückerhält und die in keinem Managementreview jemals auftaucht. Darin liegt der eigentliche Preis schlechter Auditkommunikation: Er erscheint nicht im Bericht, wird aber dennoch entrichtet.