Am Frankfurter Hauptbahnhof treffe ich meinen alten Freund, der in den nächsten Tage in der Rolle des Lead Auditors stecken wird. Gemeinsam fahren wir im Auto nach Wuppertal. Deutsches Auto, ungarische Musik, tunesische Wurzeln. Schon auf der Fahrt tauschen wir uns über die kommenden Tage aus, über die Schwerpunkte des Audits, aber auch über viele andere Themen, die uns als Auditoren seit Jahren begleiten. Die gemeinsame Arbeit verbindet uns, doch es ist ebenso die Freundschaft, die auf vielen Reisen gewachsen ist. In Wuppertal angekommen, bereiten wir uns auf das dreitägige Audit vor, welches auf der Prüfgrundlage der ISO/IEC 27001 auditiert wird. Der Kunde ist in einer Branche tätig, in der zuverlässige Systeme und reibungslose Abläufe essenziell sind. Sicherheit, Verfügbarkeit und Vertrauen stehen dabei an oberster Stelle. Genau dafür dient das Managementsystem, das wir in den kommenden Tagen prüfen. Am Montagmorgen starten wir das Audit. Nach der Eröffnung gemäß Auditplan teilen wir uns auf. Mein Freund übernimmt als Lead Auditor die Leitung, ich begleite als Coauditor. Wir sehen Vorgabedokumente ein, gleichen Prozesse mit der Norm ab und prüfen Nachweise. Alles geschieht in enger Abstimmung mit den Verantwortlichen des Unternehmens, die ihre Unterlagen bereitstellen und uns durch die Abläufe führen.
Im Laufe des Tages wechseln wir zwischen Interviews mit Fachbereichen und dem Abgleich der Dokumentation. Wir stellen Fragen, lassen uns Prozesse erklären und suchen die Schnittstellen der Systeme, an denen Informationssicherheit besonders relevant ist. Die ISO/IEC 27001 bietet dafür den klaren Rahmen, in dem Verantwortlichkeiten, Abläufe und Kontrollen verankert sind. Am Ende des ersten Tages haben wir bereits einen guten Überblick und bereiten unsere Notizen für den nächsten Tag vor. Am Abend setzen wir uns in ein Restaurant in der Nähe. Bei gutem Essen sprechen wir nicht nur über die Ereignisse des Tages, sondern auch über frühere Audits, die uns in verschiedene Städte geführt haben, wie z.B. kritische Infrastrukturen. Wir reden über aktuelle Ziele, die wir im Beruf verfolgen, aber auch über langfristige Pläne, die sich weit über den Alltag hinaus erstrecken.
Am zweiten Tag führen wir weitere Gespräche mit den Beschäftigten, lassen uns technische Nachweise zeigen und betrachten Sicherheitsmaßnahmen vor Ort. Immer wieder prüfen wir die Übereinstimmung mit den Anforderungen der Norm. Dabei achten wir nicht nur auf schriftliche Vorgaben, sondern auch auf die praktische Umsetzung. Prozesse gewinnen erst dann an Bedeutung, wenn sie gelebt werden. Mit dieser Perspektive sammeln wir die notwendigen Erkenntnisse, die später in das Audit-Ergebnis einfließen. Der Lead Auditor führt die Begehung durch, und befragt weitere Beschäftigte. Außerhalb des Audits sprechen wir über vergangene Projekte, über Entwicklungen in der Normenwelt und über die vielen Veränderungen, die Informationssicherheit in den letzten Jahren erfahren hat. Der Austausch ist wie immer super und spaßig.
Am dritten Tag schließen wir die Interviews und Nachweissichtungen ab. Wir verdichten unsere Ergebnisse, gleichen offene Punkte ab und bereiten das Abschlussgespräch vor. Gemeinsam gehen wir die Themen durch, die im Auditplan vorgesehen sind. Jeder Abschnitt folgt einer klaren Struktur, damit die Verantwortlichen nachvollziehen können, welche Aspekte betrachtet wurden und welche Beobachtungen sich ergeben haben. Das Abschlussgespräch ist der letzte offizielle Teil. Wir danken allen Beteiligten für die Zusammenarbeit, die Offenheit und die gute Organisation.
Während der drei Tage informieren wir uns über Wuppertal: Die Stadt ist bekannt für ihre Schwebebahn, die schon seit über hundert Jahren Menschen durch das Tal befördert. Eine technische Meisterleistung, die im Jahr 1950 durch den Elefanten Tuffi Berühmtheit erlangte, als er während einer Werbefahrt in die Wupper sprang 🐘. Die Geschichte ist legendär und macht die Stadt einzigartig. Die Schwebebahn wirkt wie eine Erfindung aus der Zukunft, fast so, als sei sie direkt aus einem Science-Fiction-Film wie „Das fünfte Element“ entnommen worden. Die drei Tage vergehen schnell. Wir haben gemeinsam geprüft, dokumentiert und reflektiert. Am Ende bleibt Dankbarkeit für die Zusammenarbeit, für die Gastfreundschaft und für die Gelegenheit, ein Stück Verantwortung für Informationssicherheit mitzuerleben und zu begleiten. Danke an alle Beteiligten für die Zusammenarbeit.
See english below 🇬🇧:
Together we audit, together we grow – three days of auditing in Wuppertal
At Frankfurt Central Station, I meet my old friend, who will be stepping into the role of Lead Auditor in the coming days. Together we drive to Wuppertal by car. A German car, Hungarian music, Tunisian roots. Already during the journey, we exchange thoughts about the upcoming days, the audit focus areas, but also many other topics that have accompanied us as auditors for years. Our work connects us, but so does the friendship that has grown over many trips.
Once in Wuppertal, we prepare for the three-day audit, which will be conducted based on the ISO/IEC 27001 standard. The client operates in an industry where reliable systems and smooth processes are essential. Security, availability, and trust are top priorities. This is exactly what the management system we are about to audit is designed for.
On Monday morning, we begin the audit. After the opening according to the audit plan, we divide the work. My friend takes the lead as Lead Auditor, while I support as Co-Auditor. We review guiding documents, compare processes with the standard, and verify evidence. Everything happens in close coordination with the company representatives, who provide us with documentation and guide us through the processes.
Throughout the day, we switch between interviews with departments and reviewing documentation. We ask questions, have processes explained, and look for system interfaces where information security is especially critical. ISO/IEC 27001 provides a clear framework for responsibilities, processes, and controls. By the end of the first day, we have a solid overview and prepare our notes for the next day.
In the evening, we sit down in a nearby restaurant. Over good food, we talk not only about the day’s events but also about earlier audits that took us to different cities, such as critical infrastructures. We discuss current goals in our profession as well as long-term plans beyond everyday work.
On the second day, we continue with further interviews, review technical evidence, and examine security measures on-site. Again and again, we check alignment with the requirements of the standard. We focus not only on written procedures but also on practical implementation. Processes matter only when they are truly lived. With this perspective, we gather insights that will later flow into the audit results. The Lead Auditor conducts the walkthrough and interviews more employees. Outside of the audit, we exchange stories about past projects, new developments in standards, and the many changes information security has undergone in recent years. The exchange is, as always, both insightful and fun.
On the third day, we wrap up interviews and evidence reviews. We consolidate results, clarify open issues, and prepare the closing meeting. Together we go through all planned topics, ensuring the company can follow what was reviewed and what observations were made. The closing meeting is the final official part. We thank all participants for their cooperation, openness, and good organization.
During the three days, we also explore Wuppertal: the city is famous for its suspension railway, which has been transporting people through the valley for more than a hundred years. A technical masterpiece that became world-famous in 1950 when the elephant Tuffi jumped into the Wupper River during a promotional ride 🐘. This legendary story makes the city unique. The suspension railway feels like an invention from the future, almost as if taken straight from a science fiction film like The Fifth Element.
The three days pass quickly. We have audited, documented, and reflected together. In the end, there remains gratitude—for the cooperation, the hospitality, and the opportunity to contribute to information security. Thanks to everyone involved.
Véase más abajo en español.🇪🇸:
Auditar juntos, crecer juntos – tres días de auditoría en Wuppertal
En la estación central de Fráncfort me encuentro con mi viejo amigo, que en los próximos días asumirá el papel de Lead Auditor. Juntos viajamos en coche hacia Wuppertal. Coche alemán, música húngara, raíces tunecinas. Ya en el camino hablamos sobre los próximos días, sobre los enfoques de la auditoría, pero también sobre muchos otros temas que nos han acompañado durante años como auditores. Nuestro trabajo nos une, pero también la amistad que ha crecido en muchos viajes.
En Wuppertal nos preparamos para la auditoría de tres días, basada en la norma ISO/IEC 27001. El cliente pertenece a un sector en el que los sistemas fiables y los procesos fluidos son esenciales. Seguridad, disponibilidad y confianza son lo más importante. Para eso está diseñado el sistema de gestión que vamos a auditar.
El lunes por la mañana comenzamos la auditoría. Tras la apertura según el plan de auditoría, nos dividimos el trabajo. Mi amigo asume la dirección como Lead Auditor, y yo lo acompaño como Co-Auditor. Revisamos documentos, comparamos procesos con la norma y verificamos evidencias. Todo en estrecha coordinación con los responsables de la empresa, que nos facilitan documentación y nos guían por los procesos.
A lo largo del día alternamos entre entrevistas con los departamentos y la revisión documental. Hacemos preguntas, pedimos explicaciones y buscamos los puntos de conexión donde la seguridad de la información es especialmente crítica. La ISO/IEC 27001 proporciona el marco claro de responsabilidades, procesos y controles. Al final del primer día ya tenemos una buena visión general y preparamos las notas para el día siguiente.
Por la noche, cenamos en un restaurante cercano. Con buena comida, hablamos no solo del día, sino también de auditorías pasadas en distintas ciudades, como en infraestructuras críticas. Conversamos sobre metas profesionales actuales y también sobre planes a largo plazo.
El segundo día continuamos con entrevistas, revisión de evidencias técnicas y observación de medidas de seguridad in situ. Comprobamos repetidamente la conformidad con los requisitos de la norma. No solo nos fijamos en los procedimientos escritos, sino también en la práctica. Los procesos solo cobran valor cuando se viven realmente. Con esta perspectiva, reunimos los conocimientos necesarios que se incorporarán al resultado de la auditoría. El Lead Auditor dirige la visita y entrevista a más empleados. Fuera de la auditoría, compartimos experiencias de proyectos anteriores, cambios en las normas y la evolución de la seguridad de la información. El intercambio, como siempre, resulta enriquecedor y divertido.
El tercer día finalizamos entrevistas y revisiones. Consolidamos resultados, aclaramos temas pendientes y preparamos la reunión de cierre. Repasamos juntos todos los temas previstos en el plan, de forma que la empresa pueda seguir lo que se revisó y lo que se observó. La reunión de cierre es la parte final oficial. Agradecemos a todos la colaboración, la apertura y la buena organización.
Durante los tres días también descubrimos Wuppertal: la ciudad es famosa por su tren colgante, que lleva más de cien años transportando personas por el valle. Una obra maestra técnica que se hizo famosa en 1950 cuando el elefante Tuffi saltó al río Wupper durante un viaje promocional 🐘. Una historia legendaria que hace única a la ciudad. El tren colgante parece sacado del futuro, casi de una película de ciencia ficción como El quinto elemento.
Los tres días pasan rápido. Hemos auditado, documentado y reflexionado juntos. Al final queda la gratitud por la colaboración, la hospitalidad y la oportunidad de contribuir a la seguridad de la información. Gracias a todos los implicados.
Voir ci-dessous en français 🇫🇷:
Auditer ensemble, grandir ensemble – trois jours d’audit à Wuppertal
À la gare centrale de Francfort, je retrouve mon vieil ami, qui assumera dans les prochains jours le rôle de Lead Auditor. Ensemble, nous prenons la route vers Wuppertal. Voiture allemande, musique hongroise, racines tunisiennes. Déjà en chemin, nous échangeons sur les jours à venir, les priorités de l’audit, mais aussi sur bien d’autres sujets qui nous accompagnent depuis des années dans notre métier d’auditeurs. Notre travail nous unit, mais aussi l’amitié, née de nombreux voyages partagés.
Arrivés à Wuppertal, nous nous préparons pour l’audit de trois jours, réalisé sur la base de la norme ISO/IEC 27001. Le client évolue dans un secteur où des systèmes fiables et des processus fluides sont essentiels. Sécurité, disponibilité et confiance sont primordiales. C’est précisément l’objectif du système de management que nous allons auditer.
Le lundi matin, l’audit commence. Après l’ouverture selon le plan d’audit, nous nous répartissons les tâches. Mon ami dirige en tant que Lead Auditor, et je l’accompagne en tant que Co-Auditor. Nous consultons les documents, comparons les processus avec la norme et examinons les preuves. Tout se fait en étroite collaboration avec les responsables de l’entreprise, qui nous fournissent les documents et nous guident dans les processus.
Au fil de la journée, nous alternons entre entretiens avec les services et vérification de la documentation. Nous posons des questions, faisons expliquer les processus et cherchons les points d’interface où la sécurité de l’information est particulièrement critique. L’ISO/IEC 27001 offre un cadre clair pour les responsabilités, les processus et les contrôles. À la fin du premier jour, nous avons déjà une bonne vue d’ensemble et préparons nos notes pour le lendemain.
Le soir, nous allons dîner dans un restaurant à proximité. Autour d’un bon repas, nous parlons non seulement des événements de la journée, mais aussi des audits passés qui nous ont menés dans différentes villes, notamment dans des infrastructures critiques. Nous évoquons nos objectifs professionnels actuels, mais aussi des projets à long terme.
Le deuxième jour, nous poursuivons les entretiens, consultons des preuves techniques et observons les mesures de sécurité sur site. Nous vérifions sans cesse la conformité avec les exigences de la norme. Nous prêtons attention non seulement aux procédures écrites, mais aussi à leur mise en pratique. Un processus ne prend tout son sens que lorsqu’il est réellement vécu. Avec cette approche, nous collectons les éléments nécessaires qui alimenteront le résultat final de l’audit. Le Lead Auditor mène la visite et interroge d’autres employés. En dehors de l’audit, nous échangeons sur des projets passés, les évolutions normatives et les nombreux changements qu’a connus la sécurité de l’information. Comme toujours, les échanges sont enrichissants et conviviaux.
Le troisième jour, nous terminons les entretiens et l’examen des preuves. Nous consolidons nos résultats, clarifions les points en suspens et préparons la réunion de clôture. Ensemble, nous passons en revue tous les thèmes prévus par le plan, afin que les responsables puissent suivre ce qui a été examiné et les observations faites. La réunion de clôture constitue la dernière étape officielle. Nous remercions tous les participants pour leur collaboration, leur ouverture et leur bonne organisation.
Pendant ces trois jours, nous découvrons aussi Wuppertal : la ville est connue pour son train suspendu, qui transporte les habitants à travers la vallée depuis plus de cent ans. Une prouesse technique qui est devenue célèbre en 1950, lorsqu’un éléphant nommé Tuffi a sauté dans la Wupper lors d’un trajet promotionnel 🐘. Une histoire légendaire qui rend la ville unique. Le train suspendu donne l’impression d’une invention futuriste, presque sortie d’un film de science-fiction comme Le Cinquième Élément.
Ces trois jours passent vite. Nous avons audité, documenté et réfléchi ensemble. Ce qu’il reste à la fin, c’est de la gratitude – pour la coopération, l’hospitalité et l’occasion de contribuer à la sécurité de l’information. Merci à tous les participants.
#informationssicherheit #audit #iso27001 #wuppertal #suhlingtooling