Ihr erstes Überwachungsaudit nach ISO 27001:2022 ist der Zeitpunkt, an dem Auditoren nicht mehr nur "Migrationspläne" akzeptieren, sondern prüfen, ob Ihr Identitätsmanagement im Alltag tatsächlich funktioniert.

Bis 2026 wird das regulatorische Umfeld noch strenger. NIS2 gilt in der gesamten EU, DORA reguliert Finanzunternehmen, und die Compliance verlagert sich von bloßer Dokumentation hin zu belastbaren Nachweisen. Manuelle Zugriffsverwaltung und reine SSO-Setups reichen nicht mehr aus - sie werden sich als Prüfungsfeststellungen niederschlagen.

In diesem Leitfaden erfahren Sie:

  • Was sich in ISO 27001:2022 für Identität und Zugriff geändert hat
  • Wie Überwachungsaudits in Ihren dreijährigen ISO-Zyklus passen
  • Wie Sie das Identity Lifecycle Management vorbereiten, inklusive nicht-menschlicher Identitäten
  • Wie Sie Prüfungsnachweise aufbauen, die externe Auditoren und Aufsichtsbehörden jetzt verlangen
  • Wo Automatisierung und Plattformen wie Iden aus dem jährlichen Krisenmodus wiederholbare, stressarme Audits machen

Bevor Sie starten: Voraussetzungen für ein reibungsloses Überwachungsaudit

Bevor Sie sich an Checklisten und Werkzeuge machen, sollten diese Grundlagen sitzen:

  • Transition abgeschlossen
    ISO/IEC 27001 wurde 2022 überarbeitet und löste die Ausgabe von 2013 als aktuelle Fassung der Norm ab
    Organisationen, die nach ISO 27001:2013 zertifiziert waren, hatten bis zum 31. Oktober 2025 Zeit, ihre Zertifikate auf ISO 27001:2022 umzustellen; Zertifikate, die bis dahin nicht umgestellt wurden, sind erloschen
    Ihre Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) sollte den Kontrollkatalog von 2022 widerspiegeln.

  • Klarer Identitäts-Geltungsbereich
    Dokumentieren Sie die Geschäftsbereiche, Standorte und Systeme, die in den Geltungsbereich Ihres ISMS fallen - und damit auch in den Geltungsbereich von Anhang A 5.16 (Identitätsmanagement) und 5.17 (Authentifizierungsinformationen).

  • Definierte Quellen der Wahrheit
    Personalinformationssystem (HRIS) für Personaldaten, Verzeichnis/IdP (z. B. Okta/Entra) für Konten, CMDB oder Cloud-Inventar für Infrastruktur - jeweils mit eindeutigem Verantwortlichen.

  • Dokumentierte Joiner-Mover-Leaver-(JML-)Prozesse
    Auch teilweise manuelle Prozesse benötigen dokumentierte Verfahrensanweisungen, die zeigen, wie Identitäten angelegt, geändert und entfernt werden.

  • Nicht-menschliche Identitäten im Fokus
    Dienstkonten, SaaS-Bots, API-Schlüssel, CI/CD-Nutzer, RPA-Bots und Maschinenidentitäten müssen erfasst werden - sie dürfen nicht als "IT-Magie" im Hintergrund laufen.

  • Ein gewisser Grad an Zentralisierung
    Wenn Sie Zugriffe über E-Mails und Tabellenkalkulationen verwalten, können Sie eventuell noch bestehen, müssen aber mit mehr Feststellungen rechnen. Eine IGA-Plattform wie Iden ermöglicht es, Richtlinien, Workflows und Audit-Trails für menschliche und nicht-menschliche Identitäten zentral zu steuern.

Schritt 1: Ihr Überwachungsaudit im Regulierungskontext 2026 neu einordnen

Auditoren interessiert heute, wie sich Ihr ISMS vor realen regulatorischen Anforderungen behauptet - nicht nur vor dem ISO-Normtext.

Warum 2026 anders ist

  • Eine ISO 27001-Zertifizierung läuft in dreijährigen Zyklen mit jährlichen Überwachungsaudits in Jahr eins und zwei und einem Rezertifizierungsaudit in Jahr drei
    Wenn Sie 2024-2025 zertifiziert oder migriert haben, ist Ihr Audit 2026 das erste, das vollständig unter dem Kontrollsatz von 2022 durchgeführt wird.

  • NIS2 verpflichtete die EU-Mitgliedstaaten, ihre Anforderungen bis zum 17. Oktober 2024 in nationales Recht zu überführen und ab dem 18. Oktober 2024 anzuwenden
    Viele Technologie-, Finanz- und Professional-Services-Unternehmen in der EU sind nun als "wesentliche" oder "wichtige" Einrichtungen eingestuft.

  • Unter NIS2 drohen wesentlichen Einrichtungen bei schwerwiegender Nicht-Einhaltung Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist
    Die Risiken nachlässigen Zugriffsmanagements waren noch nie so hoch.

  • Der Digital Operational Resilience Act (DORA) der EU gilt seit dem 17. Januar 2025 für betroffene Finanzunternehmen und deren IKT-Dienstleister und führt harmonisierte Anforderungen an IKT-Risikomanagement und Vorfallreaktion ein
    Identitäts- und Zugriffskontrolle stehen im Zentrum dieser Anforderungen.

Ihr Auditor kennt diesen Kontext genau. Rechnen Sie mit Fragen wie:

  • "Weisen Sie nach, dass alle Zugriffsänderungen einer Identität und einer Genehmigung zugeordnet sind."
  • "Wie stellen Sie sicher, dass nicht-menschliche Identitäten regelmäßig überprüft und bei Nichtbedarf entzogen werden?"
  • "Wie stellen Sie sicher, dass SSO-Gruppen den tatsächlichen Rollen entsprechen und nicht veralteten Setups?"

Tipp
Positionieren Sie das Audit gegenüber der Geschäftsleitung als Teil Ihrer Vorbereitung auf NIS2, DORA, HIPAA oder CMMC - nicht nur als "ISO-Thema". ISO 27001 ist heute das Fundament Ihrer umfassenderen regulatorischen Compliance.

Schritt 2: Verstehen, was sich in ISO 27001:2022 für das Identitätsmanagement geändert hat

ISO 27001:2013 behandelte Zugriffskontrolle, aber die Revision von 2022 erhöht die Erwartungen an das Management menschlicher und nicht-menschlicher Identitäten.

Anhang A 5.16 - Identitätsmanagement

Anhang A 5.16 in ISO 27001:2022 verlangt von Organisationen, den vollständigen Lebenszyklus digitaler Identitäten so zu steuern, dass Zugriffe zurechenbar, autorisiert und nachvollziehbar sind; die Anforderung gilt ausdrücklich für menschliche und nicht-menschliche Identitäten

Auditoren achten auf:

  • Abdeckung des Lebenszyklus
    Prozesse zur Anlage, Änderung, Sperrung und Entziehung von Identitäten für alle Mitarbeitertypen und Systeme.

  • Prinzip "eine Person / eine Identität"
    Personenbezogene Konten statt geteilter Logins; klare Verantwortliche für nicht-menschliche Identitäten.

  • Risikobasierte Behandlung
    Strengere Prüfung privilegierter Konten (Admins, Produktion, CI/CD, Cloud-Control-Planes).

Anhang A 5.17 - Authentifizierungsinformationen

5.17 regelt, wie Sie Passwörter, Schlüssel, Token und andere Geheimnisse verwalten. Auditoren verknüpfen dies mit Ihrem Identitätslebenszyklus:

  • Werden Geheimnisse rotiert, wenn sich eine Identität oder ein Zugriff ändert?
  • Werden API-Schlüssel und Zugangsdaten für Dienstkonten ebenso gesteuert wie Benutzerkennwörter?

Häufiger Fehler
5.16 nur als eine weitere Zugriffskontrolle zu behandeln. Auditoren werden JML-Abläufe, nicht-menschliche Identitäten und Genehmigungen über mehrere Kontrollen hinweg stichprobenartig prüfen - nicht nur Ihr SSO.

Schritt 3: Vollständiges Identitätsinventar aufbauen (menschlich und nicht-menschlich)

Kontrolle beginnt mit einem vollständigen Bild aller Identitäten. Erstellen - und aktualisieren Sie laufend - ein vollständiges Inventar.

3.1 Mit menschlichen Identitäten beginnen

  1. Daten aus HRIS und Verzeichnis ziehen
    Exportieren Sie alle aktuellen und kürzlich inaktiven Mitarbeitenden aus HRIS und IdP.

  2. Identitätsschlüssel normalisieren
    Weisen Sie in allen Systemen eine eindeutige Kennung zu (Mitarbeiter-ID oder Personalnummer).

  3. Rollen und Bereichen zuordnen
    Sie brauchen kein perfektes rollenbasiertes Berechtigungsmodell, aber Sie müssen wissen, welchem Team oder Funktionsbereich jede Person angehört.

3.2 Nicht-menschliche Identitäten ergänzen

Nicht-menschliche Identitäten sind heute eine der häufigsten Quellen für Auditfeststellungen im Rahmen von ISO 27001:2022.

Erfassen Sie mindestens:

  • Dienstkonten (Datenbanken, Betriebssysteme, Backups)
  • Anwendungskonten für Integrationen
  • CI/CD-Nutzer und Deployment-Bots
  • API-Schlüssel, die von externen Diensten genutzt werden
  • SaaS-Bots und Automatisierungen
  • Maschinenidentitäten in der Infrastruktur (Container, VMs, IoT)

Für jede nicht-menschliche Identität halten Sie fest:

  • Zweck und zugehöriges System
  • Fachverantwortlicher (nicht nur "IT")
  • Technische verantwortliche Person
  • Genutzte Daten und Systeme
  • Authentifizierungsmethode
  • Verfahren für Anlage, Rotation und Entzug

Tipp
Nutzen Sie Logdaten als Ausgangspunkt: Cloud-IAM-Listen, IdP-Serviceprinzipale, Admin-Konsolen von SaaS-Anwendungen usw. Iden kann Identitäten aus SSO, HRIS und über 175 SaaS-Anwendungen konsolidieren - ohne dass Sie 30 verschiedene Admin-Oberflächen durchsuchen müssen.

Schritt 4: Lebenszyklusprozesse entwerfen und dokumentieren, die Auditoren prüfen werden

Mit einem Inventar in der Hand müssen Sie nachweisen, dass der Lebenszyklus jeder Identität gesteuert abläuft.

4.1 Joiners - Zugriffe ab dem ersten Tag

  • Auslöser: HR legt einen Datensatz an oder aktualisiert ihn.
  • Prozess:
    • Die Identität wird aus HR ins Verzeichnis/den IdP provisioniert.
    • Basiszugriffe (E-Mail, Kollaboration, Ticketing) werden basierend auf Rolle/Team vergeben.
    • Ausnahmen oder erhöhte Berechtigungen erfordern dokumentierte Genehmigungen.

Was Auditoren erwarten:

  • Nachweise, dass Zugriffe der Richtlinie entsprechen
  • Genehmigungsnachweise für Ausnahmen
  • Keine "Schattenkonten", die außerhalb dieses Prozesses angelegt wurden

4.2 Movers - Rollen- und Teamwechsel

Bei Movers entstehen typischerweise Berechtigungsanhäufungen und Trennung-von-Funktionen-Probleme.

  • Stellen Sie sicher, dass Rollenänderungen in HR eine Zugriffsüberprüfung auslösen.
  • Definieren Sie Regeln zum Entzug von Berechtigungen bei Rollen- oder Abteilungswechseln.
  • Erfassen Sie Genehmigungen für temporäre oder überlappende Zugriffe.

4.3 Leavers - Offboarding (inklusive nicht-menschlicher Identitäten)

Sie müssen zügig beantworten können: "Was passiert, wenn jemand das Unternehmen verlässt?"

Mindestens:

  • HR-Offboarding deaktiviert Konten automatisch.
  • Zugriffe auf kritische Systeme werden entzogen oder übertragen.
  • Nicht-menschliche Identitäten, die an die Person gekoppelt sind, werden identifiziert und entzogen oder neu zugewiesen.

Häufiger Fehler
Davon auszugehen, dass "das AD-Konto deaktivieren" ausreicht. Auditoren prüfen inzwischen stichprobenartig einzelne Personen und erwarten systembezogene Nachweise, dass Zugriffe entzogen wurden - einschließlich SaaS und weniger sichtbarer Anwendungen.

4.4 Zuerst dokumentieren, dann wo möglich automatisieren

Dokumentieren Sie Ihre JML-Abläufe und automatisieren Sie dann:

  • Identity Governance (Iden) für Richtlinien, Workflows, Genehmigungen
  • SSO/IdP für den Kontenlebenszyklus
  • HRIS als primären Auslöser

Iden automatisiert richtliniengesteuerte Onboardings, Änderungen und Offboardings über alle Identitäten hinweg (auch für Anwendungen ohne SCIM oder APIs) mit feingranularer Steuerung und Transparenz.

Schritt 5: Beweisführung über Ihren gesamten Stack automatisieren

Manuelle Nachweise (Screenshots, Tabellen) sind überholt. Auditoren verlangen aktuelle, konsistente Belege.

5.1 Starke Nachweise definieren

Für Identitätsmanagement-Kontrollen benötigen Sie:

  • Zentrale Protokolle (wer hat wann welche Berechtigung mit welcher Genehmigung erhalten)
  • Vollständige Übersichten über Nutzer und Zugriffe
  • Historische Berichte für zeitpunktbezogene Überprüfungen
  • Automatisierte Protokolle von Benutzerzugriffsüberprüfungen (User Access Reviews, UAR)

5.2 Grenzen von SSO-only kennen

SSO ist heute Grundvoraussetzung - aber kein vollständiger Schutz:

  • Viele Anwendungen unterstützen SCIM nicht oder verlangen Aufpreise dafür.
  • Feingranulare Berechtigungen (Kanäle, Repositories, Projekte) werden nicht immer über den IdP gesteuert.
  • Nicht-menschliche oder lokale Konten können SSO vollständig umgehen.

Iden schließt diese Lücken:

  • Anbindung jeder Anwendung - ob mit SCIM, API oder ohne
  • Feingranulare Berechtigungen (Arbeitsbereiche, Kanäle, Repositories, Projekte)
  • Automatisierte UARs und Beweissammlung

Iden automatisiert Bereitstellung und Governance für mehr als 175 Anwendungen, einschließlich Nischen- und nicht-SCIM-fähiger SaaS-Werkzeuge, mithilfe universeller Konnektortechnologie

Kunden, die Iden nutzen, verzeichnen in der Regel rund 80 % weniger manuelle Zugriffstickets und sparen etwa 120 Stunden pro Quartal bei Benutzerzugriffsüberprüfungen

Das sind keine "Nice-to-have"-Zahlen; sie versetzen Sie in die Lage, auditbereit zu sein - ohne jährlichen Ausnahmezustand.

Mit Iden sprechen

Tipp
Fragen Sie sich konsequent: "Wenn uns ein Auditor bittet, etwas nachzuweisen, das vor sechs Monaten passiert ist - welches Protokoll oder welcher Bericht zeigt das?" Ist die Antwort "eine Tabelle" oder "der Posteingang von jemandem", haben Sie eine Baustelle.

Schritt 6: Ein internes "Überwachungsaudit" für Identitäten durchführen

Eine interne Prüfung vor dem eigentlichen Audit macht aus großen Risiken kleine Hinweise - oder beseitigt Probleme ganz.

6.1 Kompakte Identitäts-Checkliste erstellen

Basierend auf Anhang A 5.16/5.17 und Ihren Risiken:

  • Gibt es ein aktuelles Inventar aller menschlichen und nicht-menschlichen Identitäten im Geltungsbereich?
  • Können wir JML-Nachweise für jüngste Joiners, Movers, Leavers vorlegen?
  • Sind privilegierte Konten und Dienstkonten namentlich Verantwortlichen zugeordnet?
  • Liegen aktuelle Benutzerzugriffsüberprüfungen für Hochrisikosysteme vor?
  • Werden Geheimnisse (Passwörter, Schlüssel, Token) gemäß Richtlinie verwaltet?

6.2 Reale Fälle stichprobenartig prüfen

Wählen Sie konkrete aktuelle Fälle:

  • Neueinstellungen (letzte 3-6 Monate)
  • Rollen- oder Abteilungswechsel
  • Austritte von Mitarbeitenden
  • Kritische Dienstkonten und Integrationen

Verfolgen Sie die Spur der Nachweise:

  • HR-Datensatz -> IdP-Konto -> Anwendungszugriffe -> Genehmigungen -> Offboarding-/Änderungsprotokolle

Mit Iden erhalten Sie einen Identitätssatz mit vollständigem Lebenszyklus- und Berechtigungshistorien - inklusive Bots und Dienstkonten.

More about Iden

Häufiger Fehler
Nur zu prüfen, ob Dokumentation existiert - nicht, ob Prozesse tatsächlich befolgt werden. Auditoren kontrollieren heute immer Letzteres.

Schritt 7: Den Tag des Überwachungsaudits meistern - und was danach kommt

7.1 Während des Audits

  • Transparent sein
    Wenn bestimmte Zugriffskontrollen noch manuell laufen, benennen Sie das offen - und zeigen Sie Ihre Automatisierungs-Roadmap.

  • Mit Nachweisen führen
    Wenn gefragt wird "Wie verwalten Sie nicht-menschliche Identitäten?", zeigen Sie Ihr Inventar oder Ihr IGA-Dashboard - nicht nur Folien.

  • Weiche Feststellungen ernst nehmen
    Kommentare wie "das wirkt fragil" sind Hinweise auf Verbesserungsbedarf - nutzen Sie sie, statt sie nur zu protokollieren.

7.2 Nach dem Audit

  • Feststellungen klassifizieren

    • Sofortmaßnahmen (z. B. fehlende Deprovisionierung)
    • Prozessverbesserungen (z. B. bessere HR-Trigger)
    • Strukturelle Weiterentwicklungen (z. B. Einführung von IGA)

  • Maßnahmen an Ihre Roadmap koppeln
    Nutzen Sie die Feststellungen, um den Übergang von manueller zu automatisierter Identity Governance über alle Anwendungen hinweg zu begründen - nicht nur bei den leicht integrierbaren.

  • Mehrere Rahmenwerke mitdenken
    Automatisierte JML-Prozesse, Management nicht-menschlicher Identitäten und UAR-Nachweise zahlen auf ISO 27001, HIPAA, SOC 2, CMMC, NIS2 und DORA ein. Iden ist darauf ausgelegt, die eine Identity-Governance-Schicht zu sein, die Sie dafür benötigen.

Nächste Schritte: Aus dem Überwachungsaudit ein Upgrade Ihres Identitätsmanagements machen

Für IT-Leiter und CISOs in SaaS-lastigen Organisationen geht es beim ersten Überwachungsaudit nach ISO 27001:2022 darum, Identity Governance - für menschliche und Maschinenidentitäten - in der Breite und unter realer Regulierungssichtbarkeit nachzuweisen.

Konkrete Schritte:

  • Nutzen Sie diesen Auditzyklus, um Ihr Identitätsinventar und Ihre JML-Prozesse zu baselinen
  • Priorisieren Sie Automatisierung dort, wo Auditrisko und Aufwand am höchsten sind: Offboarding, privilegierte Zugriffe, nicht-menschliche Identitäten und Zugriffsüberprüfungen
  • Führen Sie Nachweise aus SSO, HRIS und Anwendungen an einem zentralen, abfragbaren Ort zusammen - intern oder mit der einheitlichen Plattform von Iden

Richtig umgesetzt werden zukünftige Audits zur Routine - weil Ihre Identity Governance kontinuierlich läuft und nicht nur während der Auditsaison hochgefahren wird.

FAQ: Überwachungsaudits nach ISO 27001:2022 & Identitätsmanagement

1. Worin unterscheidet sich ein Überwachungsaudit von der initialen ISO 27001-Zertifizierung?

Das Erstzertifizierungsaudit (Stufe 1 + Stufe 2) bewertet Entwurf und Umsetzung des ISMS umfassend. Überwachungsaudits sind jährliche Überprüfungen, die Kontrollen stichprobenartig testen und die fortlaufende Verbesserung bestätigen.

In einem typischen ISO 27001-Programm ist die Zertifizierung drei Jahre gültig, mit jährlichen Überwachungsaudits in Jahr eins und zwei und einem vollständigen Rezertifizierungsaudit in Jahr drei

Im Identitätsmanagement werden Auditoren reale JML-Fälle, das Management nicht-menschlicher Identitäten und jüngste Zugriffsüberprüfungen testen - sie werden sich nicht mit der Einsicht in Verfahrensanweisungen begnügen.

2. Welche Identitätsnachweise erwarten Auditoren unter ISO 27001:2022?

Häufig verlangte Nachweise sind:

  • Aktuelle Inventare aller menschlichen und nicht-menschlichen Identitäten
  • Stichproben von JML-Workflows mit Zeitstempeln und Genehmigungen
  • Protokolle oder Berichte, die Kontenlebenszyklusereignisse über zentrale Systeme hinweg zeigen
  • Dokumentation zu Entscheidungen und Maßnahmen aus Benutzerzugriffsüberprüfungen (UAR)
  • Verfahren zum Management von Dienstkonten und API-Schlüsseln

Wenn Sie "Zeigen Sie mir"-Anfragen der Auditoren beantworten können, ohne Tabellen zusammensuchen zu müssen, sind Sie sehr gut aufgestellt.

3. Brauche ich eine vollwertige IGA-Plattform, um Anhang A 5.16 zu erfüllen?

Nicht nach dem Wortlaut der Norm; gut gestaltete manuelle Prozesse sind zulässig. Aber mit wachsender SaaS-Landschaft und mehr nicht-SCIM-fähigen Werkzeugen werden manuelle JML-Abläufe und tabellenbasierte Überprüfungen:

  • Kostspielig in Bezug auf Personalaufwand
  • Fehleranfällig (vergessenes Offboarding, anwachsende Privilegien)
  • Schwierig, konsistent nachweisbar zu machen

Deshalb setzen viele wachsende Organisationen auf Plattformen wie Iden: breite Anwendungsabdeckung, richtliniengesteuerte Workflows, automatisierte Nachweise - ohne die Komplexität klassischer IGA-Altprodukte.

4. Wie gehen wir mit nicht-menschlichen Identitäten für ISO 27001:2022 um?

Behandeln Sie nicht-menschliche Identitäten als vollwertige Elemente Ihres ISMS:

  • Beziehen Sie sie in Ihre Risikobewertung und Ihre SoA ein.
  • Ordnen Sie jeder Identität Verantwortliche, Zweck und Lebenszyklus zu.
  • Wenden Sie passende Richtlinien für Authentifizierung und Rotation an.
  • Überprüfen Sie ihre Zugriffe regelmäßig, insbesondere bei Produktionsdaten oder kritischen Systemen.

Die Vernachlässigung nicht-menschlicher Identitäten ist heute ein expliziter Auditmangel.

5. Wie unterstützt Identitätsmanagement nach ISO 27001:2022 die Anforderungen aus NIS2 und DORA?

NIS2 und DORA erwarten starke Zugriffskontrollen, klare Verantwortlichkeiten und den Nachweis, dass Sicherheitskontrollen in der Praxis wirksam sind. ISO 27001:2022 bietet:

  • Ein strukturiertes ISMS und risikobasierte Begründungen für Identitätskontrollen
  • Dokumentierte JML- und Prozesse für nicht-menschliche Identitäten
  • Einen Rahmen für Überwachung und kontinuierliche Verbesserung dieser Kontrollen

Wenn automatisierte Identity Governance und Audit-Trails diese Kontrollen stützen, erreichen Sie die kontinuierliche, nachweisgestützte Sicherheitslage, die Aufsichtsbehörden heute verlangen.

Mit Iden sprechen