Bildquelle: Pexels / Foto-ID 3184292 / https://www.pexels.com/photo/3184292/
Ein Zertifikat kann Türen öffnen, Ausschreibungen erleichtern und Führungskräften Sicherheit geben. Im IT-Betrieb beginnt die entscheidende Arbeit aber danach. Wer Nachweise nur für den Prüfungstag sammelt, bekommt zwar einen Ordner voller Belege. Er weiß im Störungsfall trotzdem nicht automatisch, welche Kontrolle heute trägt.
Zertifizierungen wie ISO/IEC 27001 oder servicebezogene Prüfungen wie SOC-Berichte sollen zeigen, dass eine Organisation bestimmte Managementsysteme, Kontrollen oder Prozesse nachvollziehbar betreibt. Sie sind kein einzelner Techniktest, sondern ein strukturierter Blick auf Verantwortung, Risiken, Dokumentation und Wirksamkeit. Für ITSM-Generalisten ist der Punkt wichtig: Ein Zertifikat ersetzt keinen laufenden Betriebsnachweis. Es macht nur dann stark, wenn die geprüften Regeln auch im Alltag sichtbar und aktuell bleiben.
ISO beschreibt ISO/IEC 27001 als Standard für ein Informationssicherheits-Managementsystem. Die AICPA ordnet SOC-Leistungen als Berichte über Kontrollen in Organisationen ein. Das NIST Cybersecurity Framework verbindet Schutz, Erkennung, Reaktion und Wiederherstellung mit kontinuierlicher Steuerung. AXELOS stellt ITIL als Service-Management-Ansatz dar, der Wertschöpfung, Praktiken und Verbesserung im Servicebetrieb verbindet. Zusammengenommen zeigen diese Quellen: Prüfbare Ordnung ist wichtig, aber sie muss mit dem echten Betrieb zusammenlaufen.
Das Audit sieht einen Zeitpunkt, der Betrieb sieht jeden Tag
Ein Audit prüft Stichproben, Prozesse, Rollen und Belege in einem bestimmten Zeitraum. Das ist wertvoll, weil es blinde Flecken sichtbar machen kann. Der Betrieb arbeitet aber nicht in Stichproben. Neue Systeme kommen hinzu, Lieferanten ändern Schnittstellen, Berechtigungen wandern, Notfallkontakte altern und Dokumentationen verlieren leise ihre Gültigkeit.
Darum entsteht ein Risiko, wenn Zertifizierung und Servicebetrieb getrennte Welten sind. Die Prüfnachweise liegen dann in einem Governance-Ordner, während der Service Desk, das Plattformteam oder die Sicherheitsverantwortlichen im Alltag mit anderen Listen arbeiten. Sobald ein Ausfall, eine Kundenfrage oder eine Sicherheitsmeldung kommt, beginnt die Suche nach der aktuellen Wahrheit.
Nachweise müssen zu Services passen
Für den Servicebetrieb reicht es nicht, allgemeine Kontrollen zu kennen. Entscheidend ist die Übersetzung auf konkrete Services. Welche Anwendung ist kritisch? Welche Kontrolle schützt sie? Wer prüft sie? Wo liegt der letzte Nachweis? Welche Ausnahme ist genehmigt? Was passiert, wenn die Kontrolle ausfällt oder ein Lieferant sie nicht mehr erfüllt?
Diese Fragen verbinden Zertifizierung mit ITSM. Ein Servicekatalog, ein Risikoregister und ein Kontrollnachweis dürfen nicht nebeneinanderstehen, ohne sich zu kennen. Ein guter Betriebsnachweis zeigt nicht nur, dass es eine Richtlinie gibt. Er zeigt, welcher Service betroffen ist, welcher Eigentümer zuständig ist, wann zuletzt geprüft wurde und welche Lücke noch offen ist.
Dokumente altern schneller als Richtlinien
Richtlinien werden oft jährlich geprüft. Betriebsdokumente altern manchmal innerhalb weniger Wochen. Eine Architekturzeichnung stimmt nicht mehr, weil ein neuer Cloud-Dienst angebunden wurde. Eine Kontaktliste ist falsch, weil ein Dienstleister gewechselt hat. Ein Wiederanlaufplan nennt noch ein System, das längst ersetzt wurde. Genau hier entscheidet sich, ob ein Zertifikat nur formale Sicherheit liefert oder echte Handlungsfähigkeit unterstützt.
Der einfache Gegenentwurf ist ein Aktualitätsrhythmus nahe am Betrieb. Änderungen mit Sicherheits- oder Serviceauswirkung lösen nicht nur ein Ticket aus, sondern auch eine Nachweisfrage. Muss ein Kontrolltext angepasst werden? Braucht der Servicekatalog einen neuen Eintrag? Ändert sich ein Wiederherstellungsschritt? Wird ein Risiko höher oder niedriger? So wird Nachweispflege Teil der Änderung, nicht Nacharbeit vor dem nächsten Audit.
Ausnahmen brauchen Ablauf und Rückfrage
Fast jeder Betrieb kennt Ausnahmen. Ein Altsystem erfüllt eine technische Vorgabe nicht. Ein Lieferant liefert einen Nachweis später. Ein Service braucht vorübergehend eine Sonderfreigabe. Solche Ausnahmen sind nicht automatisch schlechte Praxis. Gefährlich werden sie, wenn niemand mehr weiß, warum sie erlaubt wurden und wann sie enden sollten.
Ein belastbarer Ausnahmeprozess enthält deshalb mindestens vier Dinge: Grund, Eigentümer, Ablaufdatum und nächste Prüfung. Dazu gehört eine Betriebsfrage. Was muss der Service Desk wissen, falls diese Ausnahme zu einem Problem führt? Welche Kunden, Fachbereiche oder internen Nutzer wären betroffen? Welche Kompensation schützt den Service, solange die Ausnahme besteht?
Der beste Nachweis ist im Alltag auffindbar
Nachweise werden oft für Prüfer gebaut. Besser ist es, sie zuerst für den Betrieb nutzbar zu machen. Ein Incident Lead braucht keine lange Auditgeschichte, sondern eine schnelle Antwort: Welche Abhängigkeit ist betroffen, welche Kontrolle sollte greifen, wer entscheidet und welcher Nachweis ist aktuell? Ein Service Owner braucht eine Sicht auf offene Lücken, nicht nur eine abgeschlossene Prüfung.
Das spricht für eine einfache Nachweiskarte pro kritischem Service. Sie kann technische Kontrollen, organisatorische Kontrollen, Lieferantennachweise, letzte Tests, offene Ausnahmen und verantwortliche Rollen zusammenführen. Wichtig ist nicht ein neues Großsystem. Wichtig ist ein verlässlicher Ort, an dem Betrieb, Security und Governance dieselbe Lage sehen.
Prüffragen für ITSM und IT-Management
- Gibt es pro kritischem Service eine aktuelle Verbindung zwischen Service, Risiko, Kontrolle und Nachweis?
- Weiß der Service Desk, welche Informationen bei auditnahen Kundenfragen belastbar sind?
- Werden Nachweise nach relevanten Änderungen geprüft, nicht nur kurz vor dem Audit?
- Haben Ausnahmen ein Ablaufdatum, einen Eigentümer und eine sichtbare Kompensation?
- Kann der Betrieb im Ausfall schnell erkennen, welche Kontrolle oder welcher Lieferant betroffen ist?
- Werden Auditbefunde in echte Serviceverbesserungen übersetzt?
Zertifikate bleiben wertvoll. Sie schaffen Struktur, externe Vergleichbarkeit und Vertrauen. Ihr Betriebswert entsteht aber erst, wenn Nachweise lebendig bleiben. ITSM kann genau diese Brücke bauen: vom Prüfbericht zur Servicefrage, von der Richtlinie zur täglichen Änderung, vom Zertifikat zur handlungsfähigen Lage.
Quellen und Einordnung: ISO zu ISO/IEC 27001 und Informationssicherheits-Managementsystemen, AICPA zu SOC-Berichten, NIST Cybersecurity Framework, AXELOS ITIL Service Management. Stand der Quellenprüfung: 25.06.2026.
