Whitepaper NIS2-Check EN

Compliance

ISO 27001 Firewall-Audit: Checkliste mit 12 Controls

NF Nick Falshaw· 27. März 2026· 7 Min. Lesezeit
ISO 27001 Firewall-AuditISO 27001 Firewall-ChecklisteISO 27001 Annex A Firewall
An ISO 27001 checklist auditing firewall controls

Bei jedem Überwachungs- und Rezertifizierungsaudit prüfen ISO-27001-Zertifizierungsauditoren ganz bestimmte Firewall-Controls. Dennoch bereiten sich die meisten Sicherheitsteams vor, indem sie das gesamte Annex-A-Control-Set durchlesen, anstatt sich auf das zu konzentrieren, was Auditoren tatsächlich untersuchen, wenn sie sich mit Ihrem Firewall-Management-Team zusammensetzen. Diese Checkliste behandelt die 12 Controls, auf die es am meisten ankommt – diejenigen, die Findings erzeugen, Zertifizierungen ins Wanken bringen und die größten Schmerzen verursachen, wenn sie fehlen.

Ob Sie sich auf Ihre Erstzertifizierung nach ISO 27001 oder auf Ihr jährliches Überwachungsaudit vorbereiten – dieser Leitfaden ordnet jedes Control konkreten Firewall-Nachweisanforderungen zu, damit Ihr Team genau weiß, was vorzubereiten ist.

Warum Firewalls im Zentrum von ISO-27001-Audits stehen

Firewalls liegen an der Schnittstelle mehrerer Annex-A-Control-Domänen: Netzwerksicherheit, Zugangssteuerung, Change-Management, Protokollierung und Incident Response. Eine einzige Firewall berührt Controls aus mindestens vier verschiedenen Kategorien. Das macht die Firewall zu einem der am häufigsten geprüften Assets während eines ISO-27001-Audits.

Auditoren wissen das. Sie verbringen während eines Überwachungsaudits typischerweise 2–4 Stunden gezielt mit Firewall-Controls und 4–8 Stunden bei der Erstzertifizierung. Sie werden Konfigurationen, Change-Logs, Freigabenachweise, Review-Nachweise und Zugangssteuerungslisten einsehen wollen. Auf diese Anforderungen vorbereitet zu sein, macht den Unterschied zwischen einem sauberen Audit und einem Korrekturmaßnahmenplan aus.

Die 12 Controls, die Auditoren wirklich prüfen

Die folgenden Controls aus ISO 27001:2022 Annex A wirken sich unmittelbar auf das Firewall-Management aus. Zu jedem Control nennen wir, worauf Auditoren achten und welche Nachweise Sie benötigen.

1. A.8.20 — Netzwerksicherheit

Dies ist das primäre Firewall-Control. Auditoren überprüfen, dass Netzwerkdienste einschließlich Firewalls identifiziert, dokumentiert und mit definierten Sicherheitsanforderungen verwaltet werden. Sie wollen ein Dokument zur Netzwerksicherheitsarchitektur sehen, das zeigt, wo Firewalls eingesetzt werden, was sie schützen und wie sie auf hoher Ebene konfiguriert sind.

Erforderliche Nachweise

  • Netzwerkdiagramm, das alle Firewall-Platzierungen und Trust-Zonen zeigt
  • Firewall-Inventar mit Hersteller, Modell, Firmware-Version und verantwortlichem Team
  • Dokument zu den Sicherheitsanforderungen, das festlegt, was jede Firewall durchsetzen muss

2. A.8.21 — Sicherheit von Netzwerkdiensten

Dieses Control erweitert A.8.20 auf Managed Services und Netzwerksicherheit durch Dritte. Wenn Sie Managed-Firewall-Dienste, Cloud-Security-Groups oder SASE-Plattformen nutzen, prüfen Auditoren, ob die Service-Level-Agreements Sicherheitsanforderungen enthalten und ob Sie Transparenz über die von Dritten verwalteten Konfigurationen haben.

3. A.8.22 — Trennung in Netzwerken

Die Netzwerksegmentierung ist eines der am genauesten geprüften Controls. Auditoren überprüfen, dass verschiedene Sicherheitsdomänen (Produktion, Entwicklung, DMZ, Management) durch Firewalls mit angemessenen Regeln voneinander getrennt sind. Sie werden konkrete Regeln einsehen wollen, die die Segmentierung durchsetzen, und gegebenenfalls Nachweise verlangen, dass die Segmentierung periodisch getestet wird. Dies hängt eng mit Ihrer Multi-Vendor-Firewall-Management-Strategie zusammen, falls Sie für verschiedene Segmente unterschiedliche Firewalls einsetzen.

4. A.5.1 — Richtlinien für die Informationssicherheit

Auditoren erwarten eine dokumentierte Firewall-Management-Richtlinie, die Regelerstellung, -änderung, -löschung, -überprüfung und Notfalländerungen abdeckt. Diese Richtlinie sollte auf die übergeordnete Informationssicherheitsrichtlinie der Organisation verweisen und Rollen, Verantwortlichkeiten sowie Eskalationsverfahren für das Firewall-Management definieren.

5. A.8.9 — Konfigurationsmanagement

Dieses Control verlangt, dass Firewall-Konfigurationen über einen definierten Prozess verwaltet werden. Auditoren prüfen, dass Konfigurationen mit einer Baseline versehen sind, Änderungen nachverfolgt werden und ein Prozess existiert, um unautorisierte Modifikationen zu erkennen. Hier wird die Erkennung von Policy-Drift unverzichtbar – sie liefert den fortlaufenden Nachweis, dass Konfigurationen ihren freigegebenen Baselines entsprechen.

6. A.8.32 — Change-Management

Beim Change-Management-Control treten die meisten Audit-Findings auf. Auditoren wählen eine Stichprobe von Firewall-Änderungen der letzten 12 Monate aus und verfolgen jede einzelne durch den vollständigen Change-Management-Workflow: Antrag, Risikobewertung, Freigabe, Umsetzung und Verifizierung. Fehlt auch nur bei einer einzigen Stichprobenänderung ein Schritt, erzeugt das eine Nichtkonformität.

Was Auditoren als Stichprobe ziehen

  • 3–5 Standardänderungen aus den letzten 12 Monaten (vollständige Workflow-Nachverfolgung)
  • 1–2 Notfalländerungen (nachträgliche Dokumentation und Überprüfung)
  • 1 abgelehnte/zurückgewiesene Änderung (beweist, dass der Freigabeprozess Zähne hat)

7. A.5.15 — Zugangssteuerung

Auditoren überprüfen, dass der Zugriff auf Firewall-Management-Schnittstellen ausschließlich auf autorisiertes Personal beschränkt ist. Das bedeutet dokumentierte Zugangssteuerungslisten dazu, wer sich an jeder Firewall anmelden darf, Multi-Faktor-Authentifizierung für den Management-Zugriff und Nachweise, dass Zugriffsüberprüfungen mindestens jährlich durchgeführt werden. Gemeinsam genutzte Konten oder generische „admin“-Anmeldedaten sind ein sofortiges Finding.

8. A.8.15 — Protokollierung

Die Firewall-Protokollierung muss sowohl Traffic-Logs (was die Firewall erlaubt und verweigert hat) als auch Management-Logs (wer sich angemeldet hat, was geändert wurde, wann) umfassen. Auditoren prüfen, dass Logs an ein zentrales System gesendet werden, für den in Ihrer Richtlinie definierten Zeitraum aufbewahrt werden (typischerweise mindestens 12 Monate) und gegen Manipulation geschützt sind. Sie können für Stichprobenänderungen die Einsicht in bestimmte Log-Einträge verlangen.

9. A.8.16 — Überwachungsaktivitäten

Über die reine Protokollierung hinaus wollen Auditoren Nachweise, dass Firewall-Ereignisse aktiv überwacht werden. Dazu gehören Alarme für fehlgeschlagene Authentifizierungsversuche, Konfigurationsänderungen außerhalb freigegebener Zeitfenster und Traffic-Anomalien. Wenn Sie über eine SIEM-Integration verfügen, sollten Sie darauf vorbereitet sein, die Alarmierungsregeln und Eskalationsverfahren vorzuzeigen.

10. A.8.8 — Handhabung technischer Schwachstellen

Dieses Control umfasst das Patchen der Firewall-Firmware und das Vulnerability-Scanning. Auditoren prüfen, dass Firewalls auf unterstützten Firmware-Versionen laufen, dass bekannte Schwachstellen nachverfolgt und innerhalb definierter Fristen behoben werden und dass der Schwachstellenmanagement-Prozess die Netzwerkinfrastruktur abdeckt (nicht nur Server und Endpunkte).

11. A.5.36 — Einhaltung von Richtlinien

Auditoren überprüfen, dass regelmäßige Reviews bestätigen, dass Firewall-Konfigurationen den dokumentierten Richtlinien entsprechen. Dies ist das Control zur Regel-Rezertifizierung. Die Nachweise müssen belegen, dass Regelüberprüfungen in der in Ihrer Richtlinie definierten Häufigkeit stattfinden (typischerweise vierteljährlich oder halbjährlich), dass Findings bis zur Behebung nachverfolgt werden und dass jemand mit entsprechender Befugnis das Review abzeichnet.

12. A.5.24 — Management von Informationssicherheitsvorfällen

Firewall-bezogene Vorfälle müssen über den Incident-Management-Prozess abgewickelt werden. Auditoren können Beispiele für Firewall-Vorfälle verlangen (abgewehrte Angriffe, Fehlkonfigurationen mit Ausfällen, unautorisierte Änderungen) und wie diese erkannt, behandelt und dokumentiert wurden. Dies verbindet sich mit Ihren Verfahren für Notfalländerungen.

Die 5 häufigsten Audit-Durchfaller und wie man sie vermeidet

FindingControlVermeidung
Fehlende Change-Freigabe für eine stichprobenartig geprüfte RegelA.8.32Automatisierter Change-Workflow, der nicht freigegebene Änderungen blockiert
Kein Nachweis einer periodischen RegelüberprüfungA.5.36Geplante Rezertifizierung mit Abzeichnungsnachweisen
Gemeinsam genutzte Firewall-Admin-AnmeldedatenA.5.15Individuelle Konten mit MFA, jährliche Zugriffsüberprüfungen
Firewall-Logs nicht zentral erfasstA.8.15SIEM-Integration mit 12-monatiger Aufbewahrung
Veraltetes NetzwerkdiagrammA.8.20Vierteljährliche Diagrammüberprüfungen, automatisch generierte Topologiekarten

Zeitplan für die Audit-Vorbereitung

Beginnen Sie mindestens 8 Wochen vor Ihrem Audit-Termin mit der Vorbereitung. Hier ein vorgeschlagener Zeitplan:

  • 8 Wochen vorher: Führen Sie ein vollständiges Firewall-Regel-Audit über alle Firewalls hinweg durch. Identifizieren und beheben Sie Findings.
  • 6 Wochen vorher: Schließen Sie alle überfälligen Regel-Rezertifizierungen ab. Überprüfen Sie, dass alle Änderungen der letzten 12 Monate vollständig dokumentiert sind.
  • 4 Wochen vorher: Aktualisieren Sie Netzwerkdiagramme und Firewall-Inventar. Überprüfen Sie, dass die Firmware-Versionen aktuell und unterstützt sind.
  • 2 Wochen vorher: Führen Sie ein Probeaudit durch. Ziehen Sie 5 zufällige Änderungen als Stichprobe und verfolgen Sie sie durch den vollständigen Workflow. Beheben Sie etwaige Lücken.
  • 1 Woche vorher: Bereiten Sie die Nachweispakete vor: Change-Logs, Freigabenachweise, Review-Berichte, Zugriffslisten, Nachweise zur Log-Aufbewahrung.

Wie FwChange den ISO-27001-Controls zugeordnet ist

FwChange automatisiert die Nachweiserhebung für 9 der 12 oben aufgeführten Controls. Der Change-Management-Workflow (A.8.32) erfasst jeden Antrag, jede Freigabe und jede Umsetzung automatisch. Die Regelanalyse deckt das Konfigurationsmanagement (A.8.9) und die Compliance-Reviews (A.5.36) ab. Die Erkennung von Policy-Drift erfüllt die Überwachungsanforderung (A.8.16). Die Engine für Compliance-Reporting erzeugt auditfertige Nachweispakete auf Abruf.

Häufig gestellte Fragen

Wie viele Firewall-Änderungen wird der Auditor als Stichprobe ziehen?

Typischerweise 3–5 Standardänderungen und 1–2 Notfalländerungen aus den letzten 12 Monaten. Auditoren können auch eine abgelehnte Änderung verlangen, um zu überprüfen, dass der Freigabeprozess in beide Richtungen funktioniert. Bei Organisationen mit hohem Änderungsvolumen kann der Stichprobenumfang auf 8–10 ansteigen. Der Auditor wählt die Stichprobe aus – Sie haben keinen Einfluss darauf, welche Änderungen geprüft werden.

Müssen wir jede einzelne Firewall-Regel dokumentieren?

ISO 27001 verlangt nicht ausdrücklich eine Dokumentation für jede Regel, fordert aber, dass Regeln auf eine geschäftliche Begründung zurückverfolgt werden können und dass die Änderung, die sie erzeugt hat, den Change-Management-Prozess durchlaufen hat. In der Praxis bedeutet das, dass zu jeder Regel ein zugehöriger Change-Request gehören sollte. Altregeln, die älter als Ihr ISMS sind, sollten durch ein Baseline-Review abgedeckt sein.

Was ist der Unterschied zwischen den Firewall-Anforderungen von ISO 27001 und TISAX?

TISAX basiert auf dem VDA Information Security Assessment (ISA), das sich eng an ISO 27001 anlehnt, aber automobilspezifische Anforderungen hinzufügt. Für Firewalls ergänzt TISAX ausdrückliche Anforderungen rund um den Schutz von Prototypendaten, die Netzwerktrennung von Lieferanten und stärker vorschreibende Change-Management-Fristen. Wenn Sie die Firewall-Anforderungen von ISO 27001 erfüllen, decken Sie etwa 80 % der TISAX-Anforderungen ab.

Hilft ISO 27001 bei SOC 2 Type II?

Ja – rund 60 % der ISO-27001-Controls lassen sich SOC 2 zuordnen, sodass eine bestehende Zertifizierung ein SOC-2-Programm spürbar beschleunigt. Wenn Sie zudem in den US-Markt verkaufen, siehe SOC 2 Type II für europäische Unternehmen.

Wie oft sollten Firewall-Regeln für ISO 27001 überprüft werden?

Der Standard schreibt keine bestimmte Häufigkeit vor, aber Auditoren erwarten mindestens jährliche Überprüfungen. Best Practice ist vierteljährlich für Hochrisiko-Firewalls (internetzugewandt, DMZ) und halbjährlich für interne Firewalls. Welche Häufigkeit Sie auch in Ihrer Richtlinie festlegen – Sie müssen deren Einhaltung nachweisen. Der BSI IT-Grundschutz empfiehlt vierteljährliche Überprüfungen als Mindestmaß.

Bereiten Sie Ihr ISO-27001-Audit in Minuten vor, nicht in Wochen

FwChange erzeugt automatisch auditfertige Nachweise für 9 der 12 ISO-27001-Firewall-Controls. Beginnen Sie mit einem kostenlosen Scan Ihres Regelwerks, um Ihre aktuelle Compliance-Lage zu sehen.

Kostenlosen NIS2-Readiness-Check starten →
NF

Nick Falshaw

Principal Security Architect & AI Systems Engineer

17+ Jahre Firewall- und Netzwerksicherheit in europäischen Großunternehmen und KRITIS-regulierten Umgebungen. Autor von FwChange und des 280-Migrationen-Datensatzes.

Ähnliche Beiträge

Compliance

Der Cyber Resilience Act: Was Security-Teams dokumentieren müssen

27. Mai 2026
Compliance

PCI-DSS-4.0-Compliance-Automatisierung: kontinuierliche Validierung

27. Mai 2026
Compliance

SOC 2 Type II für europäische Unternehmen: 5 Kriterien + DSGVO

27. Mai 2026
Neuerer BeitragNotfall-Firewall-Änderungen: Der 5-Schritte-Workflow