Zum Inhalt gehen
ISO 27001

ISO 27001: Definition, Nutzen und Bedeutung für Unternehmen

·
13 Minuten Lesezeit
HR auf der einen Seite, IT auf der anderen?
Verwalten Sie Geräte, Lizenzen und Sicherheit an einem Ort. Synchronisiert mit den Ein- und Austritten Ihres Teams. Entdecken Sie Factorial IT
Verfasst von

Informationssicherheit ist längst keine Angelegenheit mehr, die ausschließlich die IT-Abteilung betrifft. Ransomware-Angriffe, Datenlecks und Vorfälle in der Lieferkette treffen Unternehmen jeder Größe, und die durchschnittlichen Kosten pro Vorfall steigen Jahr für Jahr weiter. Parallel dazu ist der regulatorische Rahmen deutlich anspruchsvoller geworden. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes, den verschärften Vorgaben des BSI und dem wachsenden Druck von Kunden und Partnern, ausschließlich mit zertifizierten Anbietern zu arbeiten, ziehen immer mehr deutsche Unternehmen die Zertifizierung nach ISO 27001 in Betracht.

In diesem Artikel erklären wir Ihnen, was diese Norm genau ist, wozu sie dient, wie sie aufgebaut ist und warum sie sich zum Referenzstandard für das Management der Informationssicherheit in jeder Organisation entwickelt hat — unabhängig von Größe und Branche.

Was ist die ISO 27001?

Die ISO 27001, offiziell ISO/IEC 27001, ist die internationale Norm, die die Anforderungen an die Einführung, den Betrieb und die kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) in einem Unternehmen festlegt. Anders gesagt: Sie definiert, wie Sie alles strukturieren, was Ihr Unternehmen unternimmt, um seine Informationen zu schützen — von der Frage, wer auf welche Dokumente zugreifen darf, bis hin zur Passwortverwaltung oder dem Vorgehen, wenn ein Mitarbeitender seinen Firmenlaptop verliert. Der doppelte Name erklärt sich dadurch, dass die Norm gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt wird.

In der Praxis besteht das Ziel darin, die drei Säulen der Informationssicherheit gegen interne und externe Bedrohungen zu schützen:

  • Vertraulichkeit: Nur autorisierte Personen erhalten Zugriff auf die jeweiligen Daten.
  • Integrität: Informationen werden nicht ohne Berechtigung verändert oder gelöscht.
  • Verfügbarkeit: Informationen stehen zur Verfügung, wenn sie benötigt werden.

Um das zu erreichen, beschränkt sich die Norm nicht auf die Empfehlung technischer Maßnahmen wie Virenschutz oder Backups. Sie schlägt einen umfassenden Managementrahmen vor, der Richtlinien, Prozesse, Menschen und Technologie abdeckt — damit Informationssicherheit nicht länger vom punktuellen Einsatz einer einzelnen Person abhängt, sondern fest im Tagesgeschäft des Unternehmens verankert ist.

Obwohl die Norm freiwillig ist, hat sich die Zertifizierung in Branchen wie IT, Finanzwesen oder Gesundheitswesen — und besonders bei der Zusammenarbeit mit der öffentlichen Verwaltung — faktisch zu einer unverzichtbaren Voraussetzung entwickelt.

Entstehung und Entwicklung der ISO 27001

Die ISO 27001 ist nicht aus dem Nichts entstanden. Ihre Wurzeln liegen im BS 7799, einem britischen Standard, der 1995 vom BSI (British Standards Institution) veröffentlicht wurde und bewährte Verfahren der Informationssicherheit zusammenfasste. Im Jahr 2005 übernahm die ISO diese Grundlage und veröffentlichte die erste offizielle Version der Norm. Seitdem hat sie zwei wichtige Aktualisierungen erfahren:

  • ISO 27001:2005: erste internationale Fassung.
  • ISO 27001:2013: grundlegende Neuordnung der Struktur und der Maßnahmen.
  • ISO 27001:2022: aktuell geltende Version, angepasst an die neuen digitalen Risiken wie Cloud, Homeoffice, Lieferkette oder Künstliche Intelligenz.

Jede Überarbeitung spiegelt die Entwicklung der Cybersicherheitslandschaft wider. Die Version 2022 führt beispielsweise spezifische Controls für Cloud-Umgebungen, kontinuierliche Überwachung und das Management von Bedrohungen in der Lieferkette ein — Szenarien, die 2013 erst am Anfang ihrer Entwicklung standen.

Die wichtigsten Unterschiede zwischen 27001:2013 und 27001:2022

Die Version 2022 behält den grundsätzlichen Aufbau der Norm bei, überarbeitet jedoch grundlegend den Anhang A, also die offizielle Liste konkreter Sicherheitsmaßnahmen, die die Norm zum Schutz von Informationen vorschlägt. Jede dieser Maßnahmen wird als „Control“ bezeichnet (zum Beispiel die Pflicht zu starken Passwörtern oder die Verschlüsselung der Festplatten von Laptops). Das sind die wichtigsten Änderungen:

  • Die Gesamtzahl der Controls sinkt: von 114 auf 93 — der Anspruch bleibt allerdings derselbe. Viele Controls wurden zusammengeführt oder neu formuliert, und 11 neue kamen hinzu, um Bedrohungen abzudecken, die es zuvor noch nicht gab.
  • Die Gruppierung ändert sich: Die bisherigen 14 thematischen Gruppen (die sogenannten „Domänen“) werden zu 4 übersichtlicheren Kategorien zusammengefasst: organisatorische Controls (Richtlinien, Verfahren, Rollen), personenbezogene Controls (Schulungen, Verantwortlichkeiten, Personalmanagement), physische Controls (Zutritt zu Räumen, Schutz von Geräten) und technologische Controls (Verschlüsselung, Backups, Zugriffsmanagement).
  • Es kommen moderne Controls hinzu: Threat Intelligence (Erhebung und Auswertung von Informationen über laufende Angriffe), Cloud-Sicherheit, Data Loss Prevention oder sichere Softwareentwicklung gehören zu den wichtigsten Neuerungen.
  • Jede Control wird mit Attributen versehen: Das ist ein neues System, mit dem sich Controls nach Art der Maßnahme (präventiv, detektiv oder korrektiv), nach Anwendungsbereich oder nach geschützter Eigenschaft (Vertraulichkeit, Integrität oder Verfügbarkeit) filtern lassen. In der Praxis erleichtert das die Auswahl der passenden Controls für jede Situation.

Die Übergangsfrist von der Version 2013 endete am 31. Oktober 2025. Seit diesem Datum sind die nach der Vorgängerversion ausgestellten Zertifikate nicht mehr gültig, und alle zertifizierten Unternehmen müssen die Anforderungen der 27001:2022 erfüllen.

Wozu dient die ISO 27001?

Unternehmen, die sich zertifizieren lassen, tun dies aus einer Mischung von externem Druck und interner Chance. Das sind die häufigsten Beweggründe:

  • Zugang zu Kunden und Ausschreibungen: Immer mehr Großunternehmen und Behörden setzen die ISO 27001 als Vorbedingung für eine Geschäftsbeziehung voraus, besonders im Finanz-, Gesundheits- und Technologiesektor. Ohne Zertifikat scheiden Sie aus dem Vertriebsprozess aus, bevor das erste Gespräch überhaupt stattgefunden hat.
  • Differenzierung vom Wettbewerb: In Bereichen, in denen praktisch alle behaupten, sie würden „die Sicherheit ernst nehmen“, verwandelt das Zertifikat ein Versprechen in eine extern auditierte Tatsache.
  • Erfüllung verwandter Regelwerke: NIS2, DSGVO und der BSI-IT-Grundschutz teilen einen erheblichen Teil der Anforderungen mit der ISO 27001. Wer die Norm bereits umgesetzt hat, verkürzt den Weg zu allen anderen Regelwerken, statt doppelte Arbeit zu leisten.
  • Expansion in internationale Märkte: Im Vereinigten Königreich, in den Niederlanden, in den nordeuropäischen Ländern oder bei US-amerikanischen Großkunden wird die Zertifizierung in der Lieferantenbewertung schlicht vorausgesetzt. Ohne sie schließen sich Türen, die im Gespräch gar nicht erwähnt werden.
  • Echte Risikoanalyse: Der Prozess zwingt dazu, Vermögenswerte zu inventarisieren, Bedrohungen zu bewerten und Controls zu priorisieren. Viele Unternehmen entdecken dabei erhebliche Schwachstellen, die sie zuvor nie quantifiziert hatten — schlicht deshalb, weil bis dahin niemand die Aufgabe hatte, sie zu prüfen.
  • Dokumentierte Incident Response: Wenn etwas schiefläuft, sind Verfahren schriftlich festgehalten, Verantwortliche benannt und Reaktionszeiten definiert. Das verringert wirtschaftliche und operative Folgen jedes Vorfalls und erleichtert zudem die Verhandlungen mit Cyber-Versicherern, die zertifizierte Unternehmen mit günstigeren Prämien und besseren Konditionen belohnen.

Für welche Unternehmen gilt die ISO 27001?

Die ISO 27001 ist eine freiwillige Norm, die als universeller Standard konzipiert wurde. Sie gilt für jedes Unternehmen, das mit sensiblen Informationen umgeht — unabhängig von Größe oder Branche. Obwohl kein Gesetz zur Zertifizierung verpflichtet, gibt es Kontexte, in denen sie sich von einer Best Practice zu einer faktischen Voraussetzung entwickelt hat.

Jede Größe und jede Branche

Die Norm schreibt weder eine Mindestgröße vor noch schließt sie eine Branche aus. Sowohl ein Start-up mit fünf Personen als auch ein internationaler Konzern können sich zertifizieren lassen, denn jede Organisation legt den Geltungsbereich ihres ISMS abhängig von Größe, Risiken und Ressourcen fest. Ein KMU wird nicht dieselben Controls in derselben Detailtiefe umsetzen wie ein Unternehmen mit mehreren Tausend Beschäftigten — beide können die Norm jedoch gleichermaßen erfüllen.

Das erklärt, warum sich die Zertifizierung in sehr unterschiedlichen Branchen durchgesetzt hat. Jedes Unternehmen, das von seinen Informationen abhängt — Kundendaten, geistiges Eigentum, Quellcode, Verträge, Patientenakten —, hat einen Anreiz, sie umzusetzen. Und da heute praktisch jedes Unternehmen von digitalen Informationen abhängt, ist die potenzielle Zielgruppe enorm.

Branchen, in denen sie de facto Pflicht ist

Es gibt Branchen, in denen sich der Betrieb ohne Zertifizierung zunehmend schwierig gestaltet:

  • IT und Tech: SaaS-Anbieter, Hosting-Dienstleister, Cybersicherheitsfirmen, MSPs oder Softwareentwickler treffen auf Kunden, die die ISO 27001 vor jeder Vertragsunterschrift voraussetzen.
  • Finanz- und Versicherungswesen: Banken, FinTechs und Versicherer verarbeiten kritische Daten und unterliegen der Aufsicht von Behörden wie der BaFin und der Deutschen Bundesbank.
  • Gesundheitswesen: Krankenhäuser, Kliniken, Labore und digitale Gesundheitsplattformen arbeiten mit Patientendaten, die der DSGVO und branchenspezifischen Vorgaben unterliegen.
  • Öffentlicher Sektor und seine Auftragnehmer: Der BSI-IT-Grundschutz verlangt Maßnahmen, die vielen Controls der 27001 entsprechen, und die Zertifizierung wird bei öffentlichen Ausschreibungen positiv bewertet — oder direkt verlangt.
  • Kritische Infrastrukturen und Telekommunikation: Unternehmen aus den Bereichen Energie, Verkehr, Wasser und Telekommunikation fallen in den Anwendungsbereich von NIS2 und müssen einen hohen Reifegrad in der Informationssicherheit nachweisen.

Über diese Branchen hinaus ziehen auch Unternehmen mit internationalen Großkunden die Zertifizierung häufig als geschäftliches Muss in Betracht. Jedes Unternehmen mit Kunden in den USA, im Vereinigten Königreich oder in den Niederlanden hört früher oder später die Frage: „Sind Sie nach ISO 27001 zertifiziert?“.

Vorteile der Einführung der ISO 27001

Die Einführung der ISO 27001 bringt Vorteile, die weit über das Zertifikat an der Wand hinausgehen. Einige zeigen sich unmittelbar — etwa der Zugang zu bestimmten Vertriebsprozessen. Andere wirken sich mittelfristig aus: weniger Vorfälle, weniger parallel laufende Audits und eine reifere Informationssicherheitsorganisation.

  • Stärkt das Vertrauen von Kunden, Partnern und Mitarbeitenden: Das Zertifikat dient als objektiver Nachweis dafür, wie Ihr Unternehmen mit sensiblen Informationen umgeht — ohne dass jede einzelne Maßnahme erklärt werden muss.
  • Öffnet die Tür zu Ausschreibungen, Großkunden und internationalen Märkten: Immer mehr Unternehmen und Behörden verlangen die ISO 27001 als Voraussetzung für die Aufnahme in den Lieferantenkreis — vor allem in regulierten Branchen und im Geschäft mit Kunden in den USA, im Vereinigten Königreich oder in den nordeuropäischen Ländern.
  • Reduziert Wahrscheinlichkeit und Auswirkung von Sicherheitsvorfällen: Präventive Controls verhindern Angriffe, die unter anderen Umständen erfolgreich wären, und Notfall- und Kontinuitätspläne verkürzen die Wiederherstellungszeit, wenn doch einmal etwas schiefläuft.
  • Beschleunigt die Erfüllung von NIS2, BSI und DSGVO: Die 27001 deckt einen Großteil der Anforderungen dieser Regelwerke ab, sodass Rechts- und Sicherheitsteams Richtlinien, Nachweise und Controls wiederverwenden können, statt sie doppelt zu erstellen.
  • Schafft eine bereichsübergreifende Sicherheitskultur: Die verpflichtende Schulung der Mitarbeitenden und die klare Zuweisung von Verantwortlichkeiten sorgen dafür, dass Informationssicherheit nicht mehr nur „eine Sache der IT“ ist, sondern Teil des Alltags in allen Abteilungen wird.
  • Erleichtert die Integration mit anderen Managementsystemen: Die 27001 teilt die Grundstruktur mit anderen bekannten ISO-Normen wie der 9001 (Qualität) oder der 22301 (Business Continuity). Wenn Ihr Unternehmen bereits weitere Zertifizierungen besitzt, lassen sich Richtlinien, Audits und Dokumentation leichter zusammenführen.
  • Kann die Prämien für Cyber-Versicherungen senken: Immer mehr Versicherer berücksichtigen die Zertifizierung bei der Berechnung von Prämien oder Versicherungsbedingungen, weil sie auf einen hohen Reifegrad im Risikomanagement hindeutet.

Aufbau der ISO 27001

Die ISO 27001 gliedert sich in einen normativen Teil mit elf Abschnitten (von 0 bis 10) sowie einen Anhang A mit 93 konkreten Sicherheits-Controls, die das Unternehmen anwenden kann. Die ersten vier Abschnitte sind einleitend; das Audit konzentriert sich auf die sieben darauffolgenden (4 bis 10), in denen die verpflichtenden Anforderungen an das ISMS gebündelt sind:

  • 0: Einleitung. Stellt das Ziel der Norm, ihren risikobasierten Ansatz und die Kompatibilität mit anderen Managementsystemen vor.
  • 1: Anwendungsbereich. Erläutert, wozu die Norm dient und an welche Art von Organisationen sie sich richtet.
  • 2: Normative Verweisungen. Listet die Dokumente auf, die zusätzlich zur 27001 herangezogen werden — in erster Linie die ISO/IEC 27000.
  • 3: Begriffe und Definitionen. Offizielles Glossar der in der Norm verwendeten Begriffe.
  • 4: Kontext der Organisation. Verlangt, das Geschäft des Unternehmens, seine interessierten Parteien (Kunden, Mitarbeitende, Lieferanten, Aufsichtsbehörden) und die zu schützenden Informationen zu verstehen. Hier wird der Geltungsbereich des ISMS festgelegt.
  • 5: Führung. Die oberste Leitung muss sich zur Informationssicherheit bekennen, Rollen zuweisen und die Sicherheitsrichtlinie freigeben. Ohne dieses Bekenntnis funktioniert die 27001 nicht.
  • 6: Planung. Hier finden die Risikoanalyse, die Festlegung der Sicherheitsziele und die Planung von Änderungen statt.
  • 7: Unterstützung. Umfasst Ressourcen (Personen, Budget, Infrastruktur), Schulungen, Kommunikation und Dokumentation des ISMS.
  • 8: Betrieb. Das tägliche Geschäft. Die definierten Controls anwenden, die identifizierten Risiken steuern und auftretende Vorfälle bearbeiten.
  • 9: Bewertung der Leistung. Interne Audits, Kennzahlen und Managementbewertung. Dient dazu, sicherzustellen, dass das ISMS wie vorgesehen funktioniert.
  • 10: Verbesserung. Nichtkonformitäten beheben, Korrekturmaßnahmen umsetzen und kontinuierliche Verbesserungen einführen.

Die sieben verpflichtenden Abschnitte folgen der Logik des PDCA-Zyklus (Plan, Do, Check, Act), der die Grundlage aller modernen Managementsystem-Normen bildet und es ermöglicht, dass sich das ISMS gemeinsam mit dem Unternehmen weiterentwickelt. Die 93 Controls des Anhangs A, die wir im folgenden Abschnitt im Detail betrachten, sind diejenigen, die das Unternehmen nach Maßgabe der in Abschnitt 6 ermittelten Risiken auswählt.

Der Anhang A der ISO 27001

Der Anhang A der ISO 27001 ist der Teil der Norm, der die offizielle Liste der Sicherheits-Controls enthält, die ein Unternehmen zum Schutz seiner Informationen anwenden kann. In der Version 2022 sind es 93 Controls, gegliedert in vier große Kategorien entsprechend der Art der jeweiligen Maßnahme. Es ist nicht erforderlich, alle umzusetzen: Jedes Unternehmen wählt die Controls aus, die seinen identifizierten Risiken entsprechen, und begründet die Ausschlüsse in einem Dokument namens Erklärung zur Anwendbarkeit (SoA, Statement of Applicability).

  • Organisatorische Controls (37 Controls): die umfangreichste Gruppe. Sie deckt alles ab, was mit Richtlinien, Prozessen, Rollen und Beziehungen zu Dritten zu tun hat. Dazu gehören die allgemeine Sicherheitsrichtlinie, die Klassifizierung von Informationen, das Lieferantenmanagement, die Incident Response, Threat Intelligence oder Business Continuity.
  • Personenbezogene Controls (8 Controls): Sie behandeln den Faktor Mensch — also wie Mitarbeitende mit Zugang zu sensiblen Informationen ausgewählt, geschult und geführt werden. Dazu zählen Background-Checks vor der Einstellung, Vertraulichkeitsvereinbarungen, Sicherheitsschulungen, Verantwortlichkeiten nach Vertragsende oder disziplinarische Maßnahmen bei Verstößen.
  • Physische Controls (14 Controls): Sie schützen die materiellen Vermögenswerte und die Umgebung, in der Informationen verarbeitet werden. Sie umfassen die Zutrittskontrolle zu Büros und Rechenzentren, Maßnahmen gegen Diebstahl oder Naturereignisse, die Sicherheit der Verkabelung, die Wartung der Geräte oder den Umgang mit Wechseldatenträgern.
  • Technologische Controls (34 Controls): die technischen Controls, die auf Systeme, Netzwerke und Endgeräte angewendet werden. Hierzu zählen Zugriffsmanagement, Verschlüsselung, Authentifizierung, Backups, Data Loss Prevention (DLP), Webfilterung, Aktivitätsüberwachung und sichere Softwareentwicklung.

Wie führt man die ISO 27001 Schritt für Schritt ein?

Die Einführung eines ISMS nach ISO 27001 dauert zwischen sechs Monaten und zwei Jahren, abhängig von der Unternehmensgröße, dem festgelegten Geltungsbereich und dem bestehenden Reifegrad in der Informationssicherheit. Der gesamte Prozess lässt sich in sechs Schritte gliedern.

1. Bekenntnis der Geschäftsleitung und Festlegung des Geltungsbereichs

Ohne ausdrückliche Rückendeckung der Geschäftsleitung trägt kein ISMS dauerhaft. Die oberste Leitung muss das Projekt freigeben, ein Budget zuweisen und eine interne Verantwortlichkeit benennen (in der Regel ein CISO, ein Sicherheitsverantwortlicher oder ein ISMS-Koordinator).

Gleichzeitig muss der Geltungsbereich abgegrenzt werden — also für welche Teile des Unternehmens die Norm gelten soll. Übliche Optionen sind:

  • die gesamte Organisation;
  • eine bestimmte Geschäftseinheit;
  • ein konkretes Produkt oder eine Dienstleistung (zum Beispiel ausschließlich die SaaS-Plattform des Unternehmens);
  • ein bestimmter Standort oder eine Tochtergesellschaft.

Je weiter der Geltungsbereich gefasst ist, desto aufwendiger ist die Umsetzung und desto höher sind die Auditkosten.

2. Informationswerte inventarisieren und klassifizieren

Bevor man etwas schützen kann, muss klar sein, was geschützt werden soll. In dieser Phase wird ein detailliertes Inventar aller Informationswerte des Unternehmens erstellt und jedem Wert ein Kritikalitätsniveau zugewiesen. Mögliche Vermögenswerte sind:

  • Daten: Kundendatenbanken, geistiges Eigentum, Verträge, Quellcode.
  • Software: Anwendungen, Betriebssysteme, SaaS-Tools.
  • Hardware: Server, Laptops, Mobilgeräte, Netzwerkkomponenten.
  • Dienste: Cloud, Hosting, Konnektivität.
  • Personen: Mitarbeitende mit privilegierten Zugriffen, Systemadministrierende.

Jeder Wert wird in der Regel in drei oder vier Stufen klassifiziert (öffentlich, intern, vertraulich, streng vertraulich) — je nach Auswirkung eines Verlusts oder einer unbefugten Offenlegung.

3. Risiken analysieren und bewerten

Dieser Schritt ist wahrscheinlich der technisch anspruchsvollste. Für jeden ermittelten Vermögenswert muss geprüft werden, welchen Bedrohungen er ausgesetzt ist (Angriff, menschliches Versagen, Hardwareausfall), welche Schwachstellen ausgenutzt werden können und welche Auswirkungen ein Vorfall für das Unternehmen hätte. Die Kombination aus Eintrittswahrscheinlichkeit und Auswirkung ergibt das Risikoniveau.

Ausgehend von diesem Niveau entscheidet das Unternehmen, wie mit jedem Risiko umzugehen ist. Es gibt vier Optionen: das Risiko mindern, indem entsprechende Controls eingeführt werden, es übertragen (etwa durch Abschluss einer Cyber-Versicherung), es akzeptieren, sofern es innerhalb der tolerierten Schwelle liegt, oder es vermeiden, indem die risikoverursachende Tätigkeit eingestellt wird. Diese Entscheidung wird im Risikobehandlungsplan dokumentiert.

4. Controls auswählen und umsetzen

Sobald der Risikobehandlungsplan steht, geht es darum, die Controls aus Anhang A auszuwählen, die angewendet werden sollen. Jede ausgewählte Control muss begründet und mit einem oder mehreren der im vorherigen Schritt identifizierten Risiken verknüpft sein. Das Gleiche gilt für Ausschlüsse.

Das Ergebnis wird in der Erklärung zur Anwendbarkeit (SoA) festgehalten — einem Dokument, das für jede der 93 Controls angibt, ob sie angewendet wird, wie sie umgesetzt wurde und im Fall eines Ausschlusses warum. Es ist eines der Dokumente, die im externen Audit am genauesten geprüft werden.

Sobald die SoA freigegeben ist, wird aus Theorie Praxis. Die Sicherheitsrichtlinien werden erstellt, die technischen Controls konfiguriert (Festplattenverschlüsselung, MFA, Zugriffsmanagement, Monitoring), Vertraulichkeitsvereinbarungen mit Mitarbeitenden und Lieferanten unterzeichnet und die operativen Prozesse des ISMS gestartet.

5. Mitarbeitende schulen und sensibilisieren

Die meisten Sicherheitsvorfälle beginnen mit einem Klick — deshalb ist Schulung kein Nice-to-have, sondern ein verpflichtender Baustein des ISMS. Jeder Mitarbeitende muss wissen, welche Informationen er bearbeitet, wie er sie schützt und an wen er sich bei Auffälligkeiten wendet. Die Schulungen umfassen typischerweise Best Practices zu Passwörtern, das Erkennen von Phishing, den verantwortungsvollen Umgang mit Firmengeräten und das Vorgehen bei Sicherheitsvorfällen.

6. Internes Audit und Zertifizierung

Vor der Anmeldung zur Zertifizierung muss sich das Unternehmen selbst auditieren. Das interne Audit wird von qualifiziertem Personal durchgeführt (intern oder extern, aber unabhängig vom ISMS) und prüft Folgendes:

  • Ob die Dokumentation vollständig und aktuell ist.
  • Ob die Controls so funktionieren, wie sie beschrieben sind.
  • Ob die Nachweise nachvollziehbar und überprüfbar sind.
  • Ob die festgestellten Nichtkonformitäten behoben wurden.

Anschließend überprüft die Geschäftsleitung den Gesamtzustand des ISMS, bewertet die Kennzahlen und gibt die Verbesserungsmaßnahmen frei.

Danach folgt das externe Audit, das von einer unabhängigen, akkreditierten Stelle durchgeführt wird (in Deutschland erfolgt die Akkreditierung durch die DAkkS; zu den bekanntesten Zertifizierungsstellen gehören unter anderem TÜV Süd, TÜV Rheinland, TÜV Nord, DEKRA, DQS, DNV und Bureau Veritas). Es gliedert sich in zwei Phasen. In Phase 1 prüft der Auditor die ISMS-Dokumentation, vergewissert sich, dass der Geltungsbereich klar definiert ist, und bereitet das eigentliche Vor-Ort-Audit vor. In Phase 2 bewertet er die tatsächliche Umsetzung der Controls anhand von Interviews, Nachweisprüfungen und Tests in den Systemen.

Ist alles in Ordnung, wird das Zertifikat ausgestellt — mit einer Gültigkeit von drei Jahren. In diesem Zeitraum finden jährliche Überwachungsaudits statt, und nach drei Jahren steht ein vollständiges Rezertifizierungsaudit an.

Häufige Fehler bei der Einführung der ISO 27001

Die meisten ins Stocken geratenen Einführungen scheitern an Denkfehlern beim Ansatz. Das sind die sechs Fehler, die am häufigsten vorkommen.

  • Die Norm als einmaliges Projekt behandeln: Die ISO 27001 wird nicht wie eine Prüfung bestanden, sondern aufrechterhalten. Unternehmen, die nach der Zertifizierung das Tempo drosseln, erreichen das nächste Audit mit einem zur Hälfte veralteten ISMS.
  • Den Geltungsbereich zu eng fassen: Wer den Geltungsbereich auf die am besten vorbereitete Abteilung beschränkt, senkt zwar die Auditkosten — das Zertifikat spiegelt aber nur diesen Teil wider. Aufmerksame Kunden bemerken das sofort beim ersten Lesen.
  • Für den Auditor dokumentieren statt für den Betrieb: Eine Richtlinie, die im Tagesgeschäft niemand nutzt, dient nur dazu, das Audit zu bestehen. Beim nächsten Vorfall wird sie niemandem helfen.
  • Die Verwaltung des Geräteparks unterschätzen: Ohne aktuelles Inventar und einheitliche Controls auf Laptops und Mobilgeräten fallen mehrere Controls aus Anhang A gleichzeitig im Audit durch. Ein nicht verwaltetes Endgerät ist eines der einfachsten Einfallstore für Angreifer.
  • Alles an eine Beratung auslagern: Eine Beratung unterstützt — sie ersetzt nicht das interne Team. Wenn das Wissen außerhalb des Unternehmens bleibt, steht das Unternehmen beim ersten Wechsel des Dienstleisters mit leeren Händen da.
  • Schulungen als Pflichtübung abhaken: Ein 30-minütiges E-Learning einmal im Jahr sensibilisiert niemanden. Nötig sind rollenspezifische Schulungen, regelmäßige Auffrischungen und realistische Simulationen (Phishing, Incident Response).

Wie Factorial IT Sie bei der ISO-27001-Zertifizierung unterstützt

Factorial IT deckt aus einer einzigen Plattform die technischen Bereiche ab, die in einem ISO-27001-Audit am intensivsten geprüft werden (Identitäten, Endgeräte, SaaS-Zugriffe, Virenschutz und Mitarbeitende). So entstehen die vom Auditor geforderten Nachweise wie von selbst im täglichen Betrieb — am Audittag muss nichts mehr rekonstruiert werden. Das sind die sechs Bausteine, die automatisiert werden:

factorial it Plattform

  • Inventar der IT-Vermögenswerte: automatischer Katalog der Geräte, Software und Zugriffe des Unternehmens — stets aktuell und für das Audit exportierbar.
  • Zugriffsmanagement: zentrale Verwaltung der SaaS-Zugriffe mit Berechtigungen, die je nach Rolle der Mitarbeitenden automatisch zugewiesen und entzogen werden.
  • Gerätesicherheit: Verschlüsselung, Passwörter und Sperren werden automatisch auf jedem Gerät durchgesetzt. Kompatibel mit Mac, iOS, Windows und Linux.
  • Sicheres Offboarding: Sobald ein Austritt im HR-System erfasst wird, werden alle Zugriffe der betreffenden Person ohne manuellen Eingriff und ohne verwaiste Accounts geschlossen.
  • Schutz vor Malware: moderner Virenschutz auf jedem Endgerät, mit Erkennung von Malware, Ransomware und Zero-Day-Bedrohungen.
  • Auditnachweise: Protokolle und Compliance-Berichte werden automatisch erstellt — bereit zum Export und zur Vorlage beim Auditor zu jedem Zeitpunkt.

Ähnliche Beiträge