ISO 27001 Firewall-Audit-Checkliste: Die 12 Controls die Prüfer wirklich prüfen
Bei jedem ISO 27001 Audit — ob Erstzertifizierung oder Überwachungsaudit — prüfen Auditoren gezielt die Firewall-Kontrollen. Trotzdem bereiten sich viele Security-Teams vor, indem sie den kompletten Annex A durcharbeiten, statt sich auf das zu konzentrieren, was der Prüfer tatsächlich sehen will. Diese Checkliste deckt die 12 Controls ab, die bei Firewall-Audits am häufigsten geprüft werden — und die meisten Findings verursachen.
Egal ob Sie sich auf die Erstzertifizierung oder Ihr jährliches Überwachungsaudit vorbereiten: Dieser Guide ordnet jedes Control konkreten Nachweisanforderungen zu, damit Ihr Team genau weiß, was vorbereitet werden muss.
Warum Firewalls im Mittelpunkt jedes ISO 27001 Audits stehen
Firewalls liegen an der Schnittstelle mehrerer Annex A Kontrollbereiche: Netzwerksicherheit, Zugriffskontrolle, Change Management, Logging und Incident Response. Eine einzige Firewall berührt Controls aus mindestens vier verschiedenen Kategorien. Das macht die Firewall zum am häufigsten untersuchten Asset während eines ISO 27001 Audits.
Auditoren wissen das. Bei einem Überwachungsaudit verbringen sie typischerweise 2–4 Stunden ausschließlich mit Firewall-Controls, bei der Erstzertifizierung 4–8 Stunden. Sie werden Konfigurationen, Änderungsprotokolle, Freigabenachweise, Review-Dokumentation und Zugriffslisten sehen wollen. Wer darauf vorbereitet ist, besteht das Audit sauber — wer nicht, bekommt einen Korrekturmaßnahmenplan.
Die 12 Controls, die Auditoren tatsächlich prüfen
Die folgenden Controls aus ISO 27001:2022 Annex A betreffen direkt das Firewall-Management. Für jedes Control beschreiben wir, worauf Prüfer achten und welche Nachweise Sie benötigen.
1. A.8.20 — Netzwerksicherheit
Das zentrale Firewall-Control. Auditoren prüfen, ob Netzwerkdienste einschließlich Firewalls identifiziert, dokumentiert und mit definierten Sicherheitsanforderungen verwaltet werden. Sie wollen ein Netzwerksicherheits-Architekturdiagramm sehen, das zeigt, wo Firewalls eingesetzt sind, was sie schützen und wie sie auf übergeordneter Ebene konfiguriert sind.
Erforderliche Nachweise
- Netzwerkdiagramm mit allen Firewall-Standorten und Trust-Zonen
- Firewall-Inventar mit Hersteller, Modell, Firmware-Version und zuständigem Team
- Sicherheitsanforderungen als Dokument, das definiert, was jede Firewall durchsetzen muss
2. A.8.21 — Sicherheit von Netzwerkdiensten
Dieses Control erweitert A.8.20 um Managed Services und Netzwerksicherheit durch Dritte. Wenn Sie Managed-Firewall-Dienste, Cloud Security Groups oder SASE-Plattformen nutzen, prüfen Auditoren, ob Service Level Agreements Sicherheitsanforderungen enthalten und ob Sie Einblick in die von Dritten verwalteten Konfigurationen haben.
3. A.8.22 — Netzwerksegmentierung
Netzwerksegmentierung gehört zu den am genauesten geprüften Controls. Auditoren verifizieren, dass verschiedene Sicherheitszonen (Produktion, Entwicklung, DMZ, Management) durch Firewalls mit entsprechenden Regeln getrennt sind. Sie werden konkrete Regeln sehen wollen, die die Segmentierung durchsetzen, und können Nachweise verlangen, dass die Segmentierung regelmäßig getestet wird. Das hängt eng mit Ihrer Multi-Vendor Firewall-Verwaltung zusammen, wenn Sie verschiedene Firewalls für unterschiedliche Segmente einsetzen.
4. A.5.1 — Informationssicherheitsrichtlinien
Auditoren erwarten eine dokumentierte Firewall-Management-Richtlinie, die Regelerstellung, -änderung, -löschung, -prüfung und Notfalländerungen abdeckt. Diese Richtlinie muss auf die übergeordnete Informationssicherheitsrichtlinie verweisen und Rollen, Verantwortlichkeiten sowie Eskalationsverfahren für das Firewall-Management definieren.
5. A.8.9 — Konfigurationsmanagement
Dieses Control verlangt, dass Firewall-Konfigurationen über einen definierten Prozess verwaltet werden. Auditoren prüfen, ob Konfigurationen als Baseline gesichert, Änderungen nachvollzogen und unautorisierte Modifikationen erkannt werden. Genau hier wird die automatisierte Abweichungserkennung (Policy Drift Detection) unverzichtbar — sie liefert den laufenden Nachweis, dass Konfigurationen mit ihren freigegebenen Baselines übereinstimmen.
6. A.8.32 — Change Management
Beim Change Management treten die meisten Audit-Findings auf. Auditoren wählen eine Stichprobe von Firewall-Änderungen der letzten 12 Monate und verfolgen jede einzelne durch den vollständigen Change-Management-Workflow: Antrag, Risikobewertung, Freigabe, Umsetzung und Verifizierung. Fehlt bei auch nur einer geprüften Änderung ein Schritt, ergibt sich eine Nichtkonformität.
Was Auditoren als Stichprobe ziehen
- 3–5 Standard-Änderungen der letzten 12 Monate (vollständige Workflow-Verfolgung)
- 1–2 Notfalländerungen (nachträgliche Dokumentation und Review)
- 1 abgelehnte Änderung (beweist, dass der Freigabeprozess tatsächlich greift)
7. A.5.15 — Zugriffskontrolle
Auditoren prüfen, ob der Zugriff auf Firewall-Management-Oberflächen auf autorisiertes Personal beschränkt ist. Das bedeutet: dokumentierte Zugriffslisten, wer sich bei welcher Firewall anmelden darf, Multi-Faktor- Authentifizierung für den Verwaltungszugriff und Nachweise, dass Zugriffsberechtigungen mindestens jährlich überprüft werden. Geteilte Konten oder generische “admin”-Credentials sind ein sofortiges Finding.
8. A.8.15 — Protokollierung (Logging)
Firewall-Logging muss sowohl Traffic-Logs (was die Firewall erlaubt und blockiert hat) als auch Management-Logs (wer hat sich angemeldet, was wurde geändert, wann) umfassen. Auditoren prüfen, ob Logs an ein zentrales System gesendet, für den in Ihrer Richtlinie definierten Zeitraum aufbewahrt (typischerweise mindestens 12 Monate) und vor Manipulation geschützt werden. Sie können verlangen, konkrete Logeinträge für geprüfte Änderungen zu sehen.
9. A.8.16 — Überwachung
Über das reine Logging hinaus wollen Auditoren Nachweise, dass Firewall-Ereignisse aktiv überwacht werden. Dazu gehören Alarme bei fehlgeschlagenen Anmeldeversuchen, Konfigurationsänderungen außerhalb genehmigter Wartungsfenster und Traffic-Anomalien. Falls Sie eine SIEM-Integration haben, sollten Sie die Alarmregeln und Eskalationsverfahren zeigen können.
10. A.8.8 — Schwachstellenmanagement
Dieses Control umfasst Firewall-Firmware-Patching und Schwachstellen-Scanning. Auditoren prüfen, ob Firewalls auf unterstützten Firmware-Versionen laufen, bekannte Schwachstellen innerhalb definierter Fristen behoben werden und der Schwachstellenmanagement-Prozess auch die Netzwerkinfrastruktur abdeckt — nicht nur Server und Endpunkte.
11. A.5.36 — Einhaltung von Richtlinien
Auditoren prüfen, ob regelmäßige Reviews bestätigen, dass Firewall-Konfigurationen den dokumentierten Richtlinien entsprechen. Das ist das Regel-Rezertifizierungs-Control. Nachweise müssen belegen, dass Regel-Reviews in der in Ihrer Richtlinie definierten Frequenz stattfinden (typischerweise vierteljährlich oder halbjährlich), dass Findings bis zur Behebung nachverfolgt werden und dass eine Person mit entsprechender Befugnis das Review abzeichnet.
12. A.5.24 — Management von Informationssicherheitsvorfällen
Firewall-bezogene Vorfälle müssen über den Incident-Management-Prozess abgewickelt werden. Auditoren fragen nach Beispielen für Firewall-Vorfälle (abgewehrte Angriffe, Fehlkonfigurationen mit Ausfall, unautorisierte Änderungen) und wie diese erkannt, bearbeitet und dokumentiert wurden. Das verbindet sich direkt mit Ihren Notfall-Change-Verfahren.
Die 5 häufigsten Audit-Findings — und wie Sie sie vermeiden
| Finding | Control | Gegenmaßnahme |
|---|---|---|
| Fehlende Freigabe für geprüfte Regeländerung | A.8.32 | Automatisierter Change-Workflow, der nicht freigegebene Änderungen blockiert |
| Kein Nachweis für regelmäßiges Regel-Review | A.5.36 | Terminierte Rezertifizierung mit dokumentierter Abzeichnung |
| Geteilte Firewall-Admin-Zugangsdaten | A.5.15 | Individuelle Konten mit MFA, jährliche Zugriffsprüfung |
| Firewall-Logs nicht zentral gesammelt | A.8.15 | SIEM-Integration mit 12 Monaten Aufbewahrung |
| Veraltetes Netzwerkdiagramm | A.8.20 | Vierteljährliche Diagramm-Reviews, automatisch generierte Topologie-Maps |
Zeitplan für die Audit-Vorbereitung
Beginnen Sie mindestens 8 Wochen vor Ihrem Audit-Termin mit der Vorbereitung. Hier ein bewährter Zeitplan:
- 8 Wochen vorher: Vollständiges Firewall-Regel-Audit über alle Firewalls durchführen. Findings identifizieren und beheben.
- 6 Wochen vorher: Überfällige Regel-Rezertifizierungen abschließen. Sicherstellen, dass alle Änderungen der letzten 12 Monate vollständig dokumentiert sind.
- 4 Wochen vorher: Netzwerkdiagramme und Firewall-Inventar aktualisieren. Firmware-Versionen auf Aktualität und Support prüfen.
- 2 Wochen vorher: Probe-Audit durchführen. 5 zufällige Änderungen auswählen und den kompletten Workflow nachvollziehen. Lücken schließen.
- 1 Woche vorher: Nachweispakete zusammenstellen: Änderungsprotokolle, Freigabenachweise, Review-Berichte, Zugriffslisten, Log-Aufbewahrungsnachweise.
Wie FwChange auf ISO 27001 Controls einzahlt
FwChange automatisiert die Nachweissammlung für 9 der 12 genannten Controls. Der Change-Management-Workflow (A.8.32) erfasst jeden Antrag, jede Freigabe und jede Umsetzung automatisch. Die Regelanalyse deckt Konfigurationsmanagement (A.8.9) und Compliance-Reviews (A.5.36) ab. Die Abweichungserkennung erfüllt die Überwachungsanforderung (A.8.16). Die Compliance-Reporting- Engine generiert audit-fertige Nachweispakete auf Knopfdruck.
Häufig gestellte Fragen
Wie viele Firewall-Änderungen prüft der Auditor als Stichprobe?
Typischerweise 3–5 Standard-Änderungen und 1–2 Notfalländerungen der letzten 12 Monate. Auditoren verlangen häufig auch eine abgelehnte Änderung, um zu verifizieren, dass der Freigabeprozess in beide Richtungen funktioniert. Bei Organisationen mit hohem Änderungsvolumen kann die Stichprobe auf 8–10 steigen. Der Auditor wählt die Stichprobe — Sie können nicht bestimmen, welche Änderungen geprüft werden.
Muss jede einzelne Firewall-Regel dokumentiert werden?
ISO 27001 verlangt nicht explizit eine Dokumentation jeder einzelnen Regel. Aber jede Regel muss auf eine geschäftliche Begründung zurückführbar sein und die Änderung, die sie erzeugt hat, muss den Change-Management-Prozess durchlaufen haben. In der Praxis heißt das: Jede Regel sollte einen zugehörigen Change Request haben. Alt-Regeln, die vor dem ISMS entstanden sind, müssen durch ein Baseline-Review abgedeckt werden.
Was ist der Unterschied zwischen ISO 27001 und TISAX bei Firewall-Anforderungen?
TISAX basiert auf dem VDA Information Security Assessment (ISA), das eng an ISO 27001 angelehnt ist, aber automobilspezifische Anforderungen ergänzt. Für Firewalls kommen bei TISAX explizite Anforderungen zum Prototypen-Datenschutz, zur Lieferanten-Netzwerksegmentierung und zu strengeren Change-Management-Fristen hinzu. Wer die ISO 27001 Firewall-Anforderungen erfüllt, deckt bereits rund 80% der TISAX-Anforderungen ab.
Wie oft müssen Firewall-Regeln für ISO 27001 geprüft werden?
Der Standard schreibt keine bestimmte Frequenz vor, aber Auditoren erwarten mindestens jährliche Reviews. Best Practice ist vierteljährlich für Hochrisiko-Firewalls (internetexponiert, DMZ) und halbjährlich für interne Firewalls. Welche Frequenz Sie auch in Ihrer Richtlinie festlegen — Sie müssen die Einhaltung nachweisen können. Das BSI IT-Grundschutz empfiehlt vierteljährliche Reviews als Baseline.
Welche Rolle spielt die Firewall-Regel-Optimierung bei der Zertifizierung?
Optimierte Firewall-Regeln erleichtern das Audit erheblich. Überflüssige, doppelte oder zu weit gefasste Regeln erhöhen die Angriffsfläche und erzeugen Findings bei der Konfigurationsprüfung (A.8.9). Eine systematische Regel-Optimierung vor dem Audit reduziert die Regelanzahl, verbessert die Nachvollziehbarkeit und vereinfacht die Stichprobenprüfung für den Auditor.
Weiterführende Guides
- Firewall Change Management Prozess — Der vollständige Guide
- Firewall-Regel-Rezertifizierung — Schritt für Schritt
- Firewall-Regel-Optimierung — Weniger Regeln, mehr Sicherheit
- Multi-Vendor Firewall-Verwaltung — Komplexe Umgebungen im Griff
ISO 27001 Audit-Vorbereitung in Minuten statt Wochen
FwChange generiert audit-fertige Nachweise für 9 der 12 ISO 27001 Firewall-Controls automatisch. Starten Sie mit einem kostenlosen Scan Ihrer Regelbasis und sehen Sie Ihren aktuellen Compliance-Status.
Kostenloses Firewall-Audit starten →See How Your Firewall Rules Score
Upload your config and get a free compliance report with shadow rule detection, conflict analysis, and optimization recommendations.
Stay Updated
Get firewall management tips, compliance guides, and product updates.
No spam. Unsubscribe anytime.