Skip to main navigation Skip to main content Skip to page footer
Kämmer Consulting GmbH Kämmer Consulting GmbH

Nachweise sind der Unterschied im ISMS

Erstellt von Rene Telemann |

Nachweise sind der Unterschied zwischen „wir machen Security“ und „wir können es belegen“. Das klingt nach Papier ist aber in Wahrheit Betriebsfähigkeit.

Klingt nach Bürokratie, ist aber Resilienz.

Am 27.01.2026 berichtete Kommune21, dass das BSI der Südwestfalen IT ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz übergeben hat ein Label, das nur mit belastbarer Evidence entsteht.

Am 29.01.2026 erinnerte die US-Regulierungsbehörde FCC in ihrer Ransomware-Best-Practices-Notiz daran, im Incident Response Beweise zu sichern, inklusive System-Images und Logs.

Und genau daran scheitern in der Praxis nicht Tools sondern Entscheidungen. Der spannendste Teil ist nicht der Angriff, sondern was danach passiert.

Warum Nachweise meistens fehlen

Nachweise werden oft wie ein Nebenprodukt behandelt. Man macht die Maßnahme, plant den Beleg aber nicht mit.

Kurz vor dem Audit wird dann aus E-Mails, Screenshots und Excel-Dateien eine Story gebaut. Das ist teuer, fehleranfällig und wirkt auf Prüfer wie Theater.

Ownership ist häufig unscharf. Kontrollen haben keinen klaren Owner, keine Routine, kein Review. Ohne Routine gibt es keine Evidence – egal wie gut das Tooling ist.

Eine Kontrolle ohne Nachweis ist wie ein Prozess ohne Ausgang: Er kann existieren, aber niemand weiß, ob er heute noch funktioniert.

Obwohl Systeme Evidence produzieren, sammelt sie oft niemand gezielt ein: Logging, Ticketing, IAM, Backup, EDR, MDM alles erzeugt Spuren.

Wenn niemand definiert, welche Spuren als Nachweis gelten, werden sie überschrieben, gelöscht oder nicht mehr gefunden. Spätestens im Audit zeigt sich dann: Daten sind da aber keine Beweiskette.

Der häufigste blinde Fleck ist PDCA. Plan und Do funktionieren oft. Check und Act werden verdrängt, weil der Betrieb drückt.

Damit bleibt jede Kontrolle eine Momentaufnahme ohne Lernen.

Warum Nachweise wichtig sind auch ohne Zertifikat

Nachweise sind nicht für den Auditor. Nachweise sind für euch.

Sie beantworten drei entscheidende Fragen:

  • Was haben wir beschlossen?
  • Was haben wir getan?
  • Was wissen wir heute über die Wirksamkeit?

Die FCC fordert bei Ransomware explizit die Sicherung von Beweisen und Logs. Das ist keine Compliance-Floskel, sondern Grundlage für Ursachenanalyse, Scope-Bestimmung, Versicherungsfälle, Behördenmeldungen und Recovery.

Ohne Logs wird Incident Response zur Diskussion – statt zur Analyse.

Auch CISA betonte am 29.01.2026 mit dem POEM-Ansatz, dass Insider-Threat-Programme nur mit klaren Rollen, Routinen und Nachweisen funktionieren.

Evidence ist damit auch Kultur: Verantwortlichkeit, Regelmäßigkeit, Nachvollziehbarkeit.

Wie sich der ISMS-Kreislauf dadurch schließt

Ein ISMS lebt von Rückkopplung. Nachweise sind diese Rückkopplung.

Im PDCA-Zyklus bedeutet das:

  • Plan: Risiken und Kontrollen definieren
  • Do: Umsetzen
  • Check: Wirksamkeit prüfen
  • Act: Verbesserungen umsetzen

Ohne Evidence bricht der Kreis im „Check“.

Mit der Umsetzung von NIS2 steigt 2026 der Druck auf Dokumentation, Risiko- und Vorfallprozesse deutlich.

Wer Controls ohne Nachweise hat, kann weder steuern noch belegen. Wer Nachweise hat, kann priorisieren, Budgets begründen und Managemententscheidungen absichern.

Evidence by Design

Der Aha-Moment ist fast immer derselbe: Viele investieren zuerst in Controls und zu spät in Belegbarkeit.

Das ist, als würdet ihr ein Feuerlöschsystem kaufen, aber nie testen, ob Wasser aus der Wand kommt.

Bei Projekten der Kämmer Consulting GmbH wird Evidence deshalb von Anfang an mitgeplant als Produkt des Betriebs, nicht als Audit-Rettungsaktion.

Praktisch funktioniert das über kurze Evidence-Profile pro Kontrolle:

  • Was ist der Nachweis?
  • Wo liegt er?
  • Wie oft entsteht er?
  • Wer prüft ihn?
  • Was passiert bei Abweichung?

Typische Evidence-Arten sind: Patch-Reports, Access-Reviews, Backup-Restore-Tests, Awareness-Nachweise, Lieferantenbewertungen, Freigaben.

Besonders bei TISAX wird sichtbar: Auch niedrige Assessment-Level verlangen dokumentierte Nachweise.

Drei konkrete Schritte für die Praxis

  • Definiert pro Kontrolle ein Evidence-Profil mit Owner und Frequenz.
  • Schafft eine Nachweiskette aus Policy, Ticket, Logs und Review-Protokoll.
  • Plant regelmäßige Reviews, Tests und interne Audits als Terminserie.

Was ihr dadurch gewinnt

  • Schnellere Audits durch auffindbare Nachweise
  • Ruhe im Incident durch vorbereitete Daten
  • Klarheit für das Management
  • Besseres Standing bei Kunden und Partnern

Ihr behauptet nicht ihr zeigt!

Ihr nächster Schritt

Sie möchten wissen, wie belastbar Ihr ISMS heute wirklich ist? Ob Ihre Kontrollen prüfbar sind oder nur auf dem Papier existieren?

Wir analysieren gemeinsam Ihre Nachweisstruktur, identifizieren Lücken und entwickeln ein pragmatisches Evidence-Konzept für Ihren Betrieb.

👉 Vereinbaren Sie jetzt ein unverbindliches Erstgespräch.
Wir zeigen Ihnen konkret, wie Sie Auditfähigkeit, Resilienz und Managementsicherheit nachhaltig aufbauen.

Kontakt: Kämmer Consulting GmbH · Informationssicherheit & Datenschutz
E-Mail: isb-team@kaemmer-consulting.de

Zurück

Unsere Website verwendet Cookies

um Ihren Besuch auf dieser Website zu optimieren. Einige Cookies sind technisch notwendig, diese speichern aber keine personenbezogenen Daten. Cookies helfen aber auch dabei, unsere Inhalte individuell anzupassen und so die Performance für Sie als User zu verbessern. Mit dem Klick auf "Akzeptieren" stimmen Sie der Verwendung der gewählten Cookies zu. Detaillierte Informationen finden Sie in unseren Datenschutzhinweisen.

Cookie optin by Olli machts