In einem ISMS nach ISO 27001:2022 oder NIS‑2 ist die Wirk­sam­keits­prü­fung kein ein­ma­li­ges Ereig­nis, son­dern ein inte­gra­ler Bestand­teil des gesam­ten Manage­ment­sys­tems. Das Ziel ist es, sicher­zu­stel­len, dass die imple­men­tier­ten Maß­nah­men (Con­trols) tat­säch­lich das tun, was sie sol­len: Risi­ken reduzieren.

Wo ist Wirk­sam­keits­prü­fung in ISO 27001 gefordert?

Die Wirk­sam­keits­prü­fung ist in der ISO 27001 an meh­re­ren Stel­len expli­zit oder impli­zit gefordert:

1. Über­wa­chung, Mes­sung, Ana­ly­se und Bewer­tung (Kapi­tel 9.1)

Dies ist die wich­tigs­te Stel­le im Stan­dard. Die Orga­ni­sa­ti­on muss festlegen:

  • Was über­wacht und gemes­sen wer­den muss (ein­schließ­lich der Wirk­sam­keit von Informationssicherheitsmaßnahmen).
  • Wel­che Metho­den zur Über­wa­chung und Mes­sung ver­wen­det wer­den, um ver­gleich­ba­re und repro­du­zier­ba­re Ergeb­nis­se zu erzie­len, zu den häu­figs­ten Metho­den zählen: 
    • Self-Assess­ments: Ver­ant­wort­li­che bewer­ten die Wirk­sam­keit ihrer eige­nen Con­trols anhand eines Fra­ge­bo­gens. Self-Assess­ments sind oft Teil von Pro­zess­kon­trol­len eines inter­nen Kon­troll­sys­tems (IKS).
    • Inter­ne Audits: Sys­te­ma­ti­sche Über­prü­fung durch Befra­gung und Stich­pro­ben. Der Audi­tor lässt sich den Pro­zess „zei­gen“.
    • KPI-Moni­to­ring: Regel­mä­ßi­ge oder per­ma­nen­te Erfas­sung von Metri­ken über Dashboards.
  • Wann die Über­wa­chung durch­ge­führt wird und wann die Ergeb­nis­se ana­ly­siert werden.

KPIs zei­gen Ihnen sehr schnell, wo es brennt. Wenn Ihre Kenn­zahl für „Dau­er bis zum Patchen kri­ti­scher Lücken“ (Time-to-Patch) steigt, wis­sen Sie sofort, dass Sie mehr Per­so­nal oder bes­se­re Tools im Patch-Manage­ment benötigen.

Grafik von dem IST-Zustandt über eine Leistungsmessung zB. 98% über eine Qualitätsmessung z.B,. 85% zu einer Effizient mit Wiederherstellung

Bei­spiel: KPIs die hel­fen die Infor­ma­ti­ons­si­cher­heit zu erhöhen

Tipp: Ohne Kenn­zah­len (KPIs) oder kla­re Mess­kri­te­ri­en lässt sich die Wirk­sam­keit nicht objek­tiv nachweisen.

Lesen Sie dazu auch unse­ren wei­ter­füh­ren­den Artikel:
Infor­ma­ti­ons­si­cher­heit 2026: Die Top 7 ISMS KPI nach dem 💋 KISS Prinzip

2. Inter­nes Audit (Kapi­tel 9.2)

Das inter­ne Audit dient dazu, objek­tiv zu prü­fen, ob das ISMS:

  • Die Anfor­de­run­gen der Norm erfüllt.
  • Wirk­sam ver­wirk­licht und auf­recht­erhal­ten wird.

Der Audi­tor prüft hier­bei nicht nur, ob ein Pro­zess exis­tiert (Com­pli­ance), son­dern ob er in der Pra­xis funk­tio­niert (Wirk­sam­keit).

3. Manage­ment­be­wer­tung (Kapi­tel 9.3)

Die obers­te Lei­tung muss das ISMS in regel­mä­ßi­gen Abstän­den bewer­ten. Ein Pflicht­in­put für die­se Bewer­tung sind Infor­ma­tio­nen über die Infor­ma­ti­ons­si­cher­heits­leis­tung, ein­schließ­lich der Ergeb­nis­se aus den Wirk­sam­keits­prü­fun­gen (aus 9.1). Das Manage­ment ent­schei­det dann über not­wen­di­ge Res­sour­cen oder Änderungen.

4. Infor­ma­ti­ons­si­cher­heits­ri­si­ko­be­hand­lung (Kapi­tel 6.1.3)

Nach­dem Risi­ken iden­ti­fi­ziert und Maß­nah­men (Con­trols) aus dem Anhang A aus­ge­wählt wur­den, muss der Pro­zess sicher­stel­len, dass die­se Maß­nah­men das Risi­ko auf ein akzep­ta­bles Maß sen­ken. Die Wirk­sam­keit der gewähl­ten Maß­nah­men muss im Rah­men des Risi­ko­ma­nage­ments nach der Umset­zung vali­diert werden.

Bei der Defi­ni­ti­on einer Maß­nah­men zur Reduk­ti­on eines Risi­kos soll­ten die fol­gen­den Frag­stel­lun­gen berück­sich­tigt werden:

  1. Wel­che Wir­kung wol­len wir mit der Maß­nah­me erreichen?
  2. Wie kann die Wir­kung nach­ge­wie­sen werden?

Die­se Aspek­te füh­ren in der Pra­xis häu­fig dazu, dass bereits vor­ge­se­he­ne Maß­nah­men einer erneu­ten Über­prü­fung und Anpas­sung unter­zo­gen wer­den, da die tat­säch­li­chen Wir­kun­gen und deren Nach­wei­se nun trans­pa­ren­ter und nach­voll­zieh­ba­rer dar­ge­stellt wer­den können.

5. Fort­lau­fen­de Ver­bes­se­rung (Kapi­tel 10.1 & 10.2)

Wenn bei der Beur­tei­lung der  Wirk­sam­keit des ISMS fest­ge­stellt wird, dass eine Maß­nah­me nicht den Vor­ga­ben ent­spricht (Nicht­kon­for­mi­tät), müs­sen Kor­rek­tur­maß­nah­men ergrif­fen wer­den. Dies kann zum einen bedeu­ten, dass die Maß­nah­me selbst ver­bes­sert wird, oder das tat­säch­lich ergän­zen­de Maß­nah­men hinzukommen.

Der Kreis schließt sich, indem die Wirk­sam­keit der Kor­rek­tur­maß­nah­me erneut geprüft wird.

Wirk­sam­keits­prü­fung in NIS‑2

Die NIS-2-Richt­li­nie for­dert eine Wirk­sam­keits­prü­fung expli­zit. Sie ist nicht nur eine Emp­feh­lung, son­dern eine der gesetz­li­chen Min­dest­an­for­de­run­gen an das Risikomanagement.

In der Richt­li­nie fin­det sich dies in Arti­kel 21 Absatz 2 Buch­sta­be h. Das ent­spre­chen­de deut­sche Umset­zungs­ge­setz (NIS2UmsuCG bzw. das neue BSIG) und öster­rei­chi­sche NISG 2026 sind bereits in Kraft und macht die­se Prü­fung zur Pflicht für alle “wesent­li­chen” und “wich­ti­gen” Einrichtungen.

Wo genau steht das in der NIS‑2?

Die Richt­li­nie lis­tet 10 Min­dest­maß­nah­men auf, die jedes betrof­fe­ne Unter­neh­men umset­zen muss. Punkt (h) lautet:

[…] Ver­fah­ren zur Bewer­tung der Wirk­sam­keit von Risi­ko­ma­nage­ment­maß­nah­men im Bereich der Cybersicherheit.“

Das bedeu­tet konkret:

  • Kein “Set and For­get”: Es reicht nicht, eine Fire­wall zu kau­fen oder eine Richt­li­nie zu schrei­ben. Sie müs­sen nach­wei­sen, dass die­se Maß­nah­men das Risi­ko auch real senken.
  • Doku­men­ta­ti­ons­pflicht: Sie müs­sen schrift­lich fixier­te Kon­zep­te haben, wie und in wel­chen Abstän­den Sie die Wirk­sam­keit prü­fen (z. B. durch Pro­zess­kon­trol­len, Audits oder Pentests).

Wie sieht die Umset­zung in der Pra­xis aus?

Da die NIS‑2 einen “Gefahren­über­grei­fen­den Ansatz” ver­folgt, ori­en­tiert sich die Wirk­sam­keits­prü­fung an gän­gi­gen Stan­dards wie der ISO 27001, die oben erklärt sind. Typi­sche Instru­men­te sind:

  1. Tech­ni­sche Über­prü­fun­gen: Regel­mä­ßi­ge Schwach­stel­len­scans und Pene­tra­ti­ons­tests (um die Wirk­sam­keit tech­ni­scher Con­trols zu prüfen).
  2. Audits & Self-Assess­ments: Inter­ne oder exter­ne Audits, die prü­fen, ob die Pro­zes­se gelebt werden.
  3. Busi­ness Con­ti­nui­ty Tests: Übun­gen, um zu sehen, ob Back­up- und Wie­der­her­stel­lungs­plä­ne im Ernst­fall funktionieren.
  4. Kenn­zah­len (KPIs): Mes­sung von Vor­fäl­len (z. B. “Wie vie­le Phis­hing-Mails wur­den durch Fil­ter abge­fan­gen vs. wie vie­le wur­den von Mit­ar­bei­tern geklickt?”).

Bei­spie­le für erfolg­rei­che Wirksamkeitsprüfungen

Gibt es Wirk­sam­keits­prü­fung für Back­up & Recovery?

Ja, näm­lich die Durch­füh­rung eines Res­to­re-Tests. Es wird nicht nur geprüft, ob das Back­up funk­tio­niert, son­dern ob die Daten in der defi­nier­ten Zeit (RTO) feh­ler­frei wie­der­her­ge­stellt wer­den können.

Die Wirk­sam­keit des Patch-Manage­ment prüfen?

Ein Schwach­stel­len­scan (Vul­nerabi­li­ty Scan) nach dem Patch-Day star­ten. Er zeigt, ob die Patches tat­säch­lich über­all instal­liert wur­den oder ob Sys­te­me ver­ges­sen wurden.

Wie gelingt eine Prü­fung der Netz­werk-Sicher­heit lt. Anfor­de­rung ISO 27001:2022 A8.20 Netz­werk­si­cher­heit und A8.22 Tren­nung von Netzwerken?

Sehr ein­fach durch einen Pene­tra­ti­ons­test. Hier wird geprüft, ob die Fire­wall und Seg­men­tie­rung einen geziel­ten Angriffs­ver­such tat­säch­lich abweh­ren können.

Und wie kann man die Effek­ti­vi­tät der Zutritts­kon­trol­le prüfen?

Durch den Ver­such eines “Tail­ga­ting” (hin­ter jeman­dem her­ge­hen) oder durch eine Prü­fung, ob alarm­ge­si­cher­te Türen beim Offen­ste­hen wirk­lich eine Mel­dung in der Zen­tra­le auslösen.

Kann man auch die Wirk­sam­keit des Inci­dent Respon­se prüfen?

Ja, im Zuge der Durch­füh­rung einer Table-Top-Übung (Tro­cken­übung). Ein fik­ti­ver Ran­som­wa­re-Befall wird durch­ge­spielt. Wirk­sam­keits­kri­te­ri­um: Wis­sen alle Betei­lig­ten, was zu tun ist? Sind die Not­fall­kon­tak­te aktuell?

Gibt es per­so­nel­le Wirk­sam­keits­prü­fun­gen aus dem Awa­re­ness Bereich?

Da der Mensch oft das Ziel von Angrif­fen ist, muss auch hier die Abwehr­kraft gemes­sen werden.

  • Phis­hing-Simu­la­tio­nen: Man sen­det eine fin­gier­te Phis­hing-Mail an die Belegschaft. 
    • Schlech­te Metrik: Wie vie­le haben geklickt?
    • Gute Wirk­sam­keits-Metrik: Wie vie­le haben die Mail kor­rekt über den Mel­de-But­ton gemel­det? (Das zeigt die akti­ve Wirk­sam­keit der Schulung).
  • Social Engi­nee­ring Tests: Ein Tes­ter ver­sucht per Tele­fon (Vis­hing), Pass­wör­ter von IT-Sup­port-Mit­ar­bei­tern zu erschlei­chen. Die Wirk­sam­keit ist bewie­sen, wenn der Mit­ar­bei­ter das Gespräch gemäß Richt­li­nie abbricht und meldet.

Das Fazit für CISOs

Die Wirk­sam­keits­prü­fung ist das schla­gen­de Herz eines jeden moder­nen Sicher­heits­frame­works. Ob nach ISO 27001:2022 oder der NIS-2-Richt­li­nie: Es genügt im Jahr 2026 nicht mehr, Sicher­heits­maß­nah­men ledig­lich zu imple­men­tie­ren,  son­dern  man muss bewei­sen, dass sie im Ernst­fall auch funk­tio­nie­ren.

Nut­zen Sie das Prin­zip der “Mess­ba­ren Kenn­zah­len” (KPIs). Anstatt zu sagen “Unse­re Fire­wall ist gut”, sagen Sie “Unse­re Fire­wall hat im letz­ten Monat 98% aller bekann­ten Exploit-Ver­su­che laut IDS-Log blockiert”.

Beson­ders unter NIS‑2 rückt die Wirk­sam­keits­prü­fung in den Fokus der Geschäfts­füh­rung. Die Über­wa­chung der Maß­nah­men ist kei­ne rei­ne IT-Auf­ga­be mehr, son­dern eine zen­tra­le Pflicht der Unter­neh­mens­lei­tung zur Ver­mei­dung per­sön­li­cher Haf­tung, wel­che durch ein nach­weis­ba­res Orga­ni­sa­ti­ons­ver­schul­den ein­tre­ten können.

Die Wirk­sam­keits­prü­fung ver­wan­delt ein theo­re­ti­sches Sicher­heits­kon­zept in eine belast­ba­re Ver­tei­di­gungs­stra­te­gie. Sie ist der Unter­schied zwi­schen „glau­ben, dass man sicher ist“ und „wis­sen, dass man geschützt ist“.