ISMS Copilot
Unterstützte Frameworks

ISO 27001 Informationssicherheits-Managementsystem

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie bietet einen systematischen Ansatz zur Verwaltung sensibler Informationen, der Menschen, Prozesse und Technologie umfasst. Eine ISO 27001-Zertifizierung zeigt Kunden, Aufsichtsbehörden und Partnern, dass Ihr Unternehmen umfassende Kontrollen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten implementiert hat.

ISO 27001 ist weltweit anerkannt und gilt für jede Organisation, unabhängig von Größe oder Branche. Sie wird häufig von Unternehmenskunden, bei Regierungsaufträgen und in regulierten Sektoren gefordert.

Wer benötigt ISO 27001?

ISO 27001 ist für Organisationen in allen Branchen relevant:

  • Technologieunternehmen: SaaS-Anbieter, Cloud-Infrastruktur, Softwarehersteller, Managed Service Provider

  • Finanzdienstleistungen: Banken, Zahlungsabwickler, Fintech-Plattformen, Versicherungsunternehmen

  • Gesundheitswesen: Elektronische Patientenaktensysteme, Telemedizin-Plattformen, Medizinproduktehersteller

  • Professionelle Dienstleistungen: Beratungsfirmen, Anwaltskanzleien, Wirtschaftsprüfungsgesellschaften, die mit vertraulichen Kundendaten umgehen

  • Staatliche Auftragnehmer: Organisationen, die sich um öffentliche Aufträge bewerben, welche eine Zertifizierung für Informationssicherheit erfordern

  • Partner in der Lieferkette: Anbieter, die Unternehmenskunden oder kritische Infrastrukturen unterstützen

Obwohl ISO 27001 in den meisten Rechtsordnungen nicht gesetzlich vorgeschrieben ist, ist sie eine De-facto-Anforderung für Geschäfte mit sicherheitsbewussten Kunden, insbesondere in Europa.

Struktur der ISO 27001

Die Norm ist in zwei Teile gegliedert:

Hauptklauseln (4-10): Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung eines ISMS

  • Klausel 4: Kontext der Organisation (Anwendungsbereich, Stakeholder, gesetzliche Anforderungen)

  • Klausel 5: Führung (Engagement des Top-Managements, Rollen, Richtlinien)

  • Klausel 6: Planung (Risikobewertung, Risikobehandlung, Ziele)

  • Klausel 7: Unterstützung (Ressourcen, Kompetenz, Bewusstsein, Kommunikation, Dokumentation)

  • Klausel 8: Betrieb (Umsetzung von Risikobehandlungsplänen, Kontrollen)

  • Klausel 9: Bewertung der Leistungsfähigkeit (Überwachung, internes Audit, Managementbewertung)

  • Klausel 10: Verbesserung (Umgang mit Nichtkonformitäten, Korrekturmaßnahmen, fortlaufende Verbesserung)

Anhang A: 93 Sicherheitskontrollen (Maßnahmen), organisiert in 4 Themenbereiche und 14 Kategorien

Organisationen wählen die anwendbaren Kontrollen aus Anhang A basierend auf ihrer Risikobewertung aus und dokumentieren die Begründungen für Ausschlüsse in einer Erklärung zur Anwendbarkeit (Statement of Applicability, SoA).

Themenbereiche der Anhang A Maßnahmen

Die 93 Maßnahmen (Version ISO 27001:2022) sind wie folgt gruppiert:

Organisatorische Maßnahmen (37 Maßnahmen):

  • Richtlinien, Rollen und Verantwortlichkeiten, Aufgabentrennung

  • Asset-Management, zulässige Nutzung, Rückgabe von Werten

  • Personalsicherheit (Hintergrundüberprüfungen, Sicherheitsschulungen, Disziplinarverfahren)

  • Lieferantenbeziehungen (Sicherheitsbewertungen für Anbieter, Verträge, Überwachung)

  • Compliance (gesetzliche Anforderungen, Datenschutz, geistiges Eigentum, Audits)

Personenbezogene Maßnahmen (8 Maßnahmen):

  • Überprüfung, Beschäftigungsbedingungen, Schulungen zum Sicherheitsbewusstsein

  • Disziplinarverfahren, Verantwortlichkeiten nach Beendigung des Arbeitsverhältnisses

  • Remote-Arbeit und Sicherheit mobiler Geräte

Physische Maßnahmen (14 Maßnahmen):

  • Physische Sicherheitsbereiche, Zutrittskontrollen, Sicherung von Büros und Einrichtungen

  • Gerätesicherheit (Aufstellung, Schutz, Wartung, Entsorgung)

  • Clean-Desk- und Clear-Screen-Richtlinien

Technische Maßnahmen (34 Maßnahmen):

  • Zugriffskontrolle (Benutzerregistrierung, Passwortverwaltung, Überprüfung von Zugriffsrechten)

  • Kryptografie (Verschlüsselungsrichtlinien, Schlüsselmanagement)

  • Netzwerksicherheit (Segmentierung, Intrusion Detection, Firewall-Regeln)

  • Systemsicherheit (Härtung, Patch-Management, Protokollierung, Überwachung)

  • Anwendungssicherheit (sichere Entwicklung, Tests, Änderungsmanagement)

  • Backup, Business Continuity, Disaster Recovery

  • Incident Management (Erkennung, Reaktion, Forensik, gewonnene Erkenntnisse)

Nicht alle Maßnahmen gelten für jede Organisation. Ein SaaS-Startup könnte physische Perimeter-Kontrollen ausschließen, wenn es Colocation-Rechenzentren nutzt, muss den Ausschluss jedoch begründen.

Die Revision der ISO 27001 aus dem Jahr 2022 reduzierte die Anzahl der Maßnahmen von 114 auf 93 und organisierte sie in 4 Themenbereiche um. Wenn Sie nach der Version von 2013 zertifiziert waren, müssen Sie bis Oktober 2025 auf die Struktur von 2022 umstellen.

Risikobewertung und -behandlung

ISO 27001 erfordert einen strukturierten Risikomanagementprozess:

  1. Identifizierung von Werten (Assets): Daten, Systeme, Personal, Einrichtungen, Reputation

  2. Identifizierung von Bedrohungen und Schwachstellen: Cyberangriffe, Insider-Bedrohungen, Naturkatastrophen, menschliches Versagen, Ausfälle bei Drittanbietern

  3. Bewertung von Wahrscheinlichkeit und Auswirkungen: Quantitative oder qualitative Bestimmung der Risikoniveaus

  4. Festlegung des Risikoappetits: Definition, welches Risikoniveau akzeptabel ist

  5. Auswahl der Risikobehandlung: Mindern (Maßnahmen anwenden), Akzeptieren (Begründung dokumentieren), Transferieren (Versicherung, Outsourcing) oder Vermeiden (riskante Aktivitäten einstellen)

  6. Dokumentation im Risikobehandlungsplan: Liste der ausgewählten Maßnahmen, Verantwortlichkeiten, Zeitpläne, Ressourcen

Die Risikobewertung bestimmt, welche Maßnahmen aus Anhang A Sie implementieren. Risiken mit hoher Priorität erfordern stärkere Kontrollen; Risiken mit niedriger Priorität können akzeptiert oder mit leichteren Maßnahmen adressiert werden.

Erklärung zur Anwendbarkeit (SoA)

Die SoA ist ein kritisches Dokument, das Ihre Risikobewertung den Maßnahmen aus Anhang A zuordnet:

  • Auflistung aller 93 Maßnahmen aus Anhang A

  • Für jede Maßnahme angeben: Anwendbar oder Nicht anwendbar

  • Falls anwendbar: Beschreibung der Umsetzung, Verweis auf Richtlinien/Verfahren

  • Falls nicht anwendbar: Begründung des Ausschlusses basierend auf der Risikobewertung

Auditoren prüfen die SoA genau, um zu verifizieren, dass die Maßnahmen angemessen und Ausschlüsse gerechtfertigt sind. Mangelhafte Begründungen (z. B. „nicht relevant“ ohne Erläuterung) führen zu Nichtkonformitäten.

Das Ausschließen von Maßnahmen ohne ordnungsgemäße Begründung ist eine häufige Fehlerquelle bei Audits. Dokumentieren Sie, warum jeder Ausschluss basierend auf dem Kontext, den Werten und dem Risikoprofil Ihres Unternehmens akzeptabel ist.

Zertifizierungsprozess

Das Erreichen der ISO 27001-Zertifizierung folgt in der Regel diesem Zeitplan:

  1. Gap-Analyse (1-2 Monate): Bewertung des aktuellen Sicherheitsstatus im Vergleich zu den ISO 27001-Anforderungen

  2. ISMS-Design (2-4 Monate): Definition des Geltungsbereichs (Scope), Durchführung der Risikobewertung, Erstellung der SoA, Entwurf von Richtlinien

  3. Implementierung (4-12 Monate): Einführung von Maßnahmen, Schulung der Mitarbeiter, Dokumentation von Verfahren, Sammeln von Nachweisen

  4. Internes Audit (1 Monat): Testen der ISMS-Effektivität, Identifizierung von Nichtkonformitäten, Behebung

  5. Managementbewertung: Die Geschäftsführung bewertet die ISMS-Leistung und Verbesserungsmöglichkeiten

  6. Stufe-1-Audit (Dokumentenprüfung): Ein externer Auditor prüft die ISMS-Dokumentation und identifiziert Lücken

  7. Behebung: Bearbeitung der Ergebnisse aus Stufe 1 vor dem Stufe-2-Audit

  8. Stufe-2-Audit (Implementierungsaudit): Ein externer Auditor testet Maßnahmen, interviewt Mitarbeiter und prüft Nachweise

  9. Zertifizierung: Das Zertifikat wird für 3 Jahre ausgestellt, mit jährlichen Überwachungsaudits

Eine Erstzertifizierung kann je nach Größe und Reifegrad des Unternehmens 6 bis 18 Monate dauern.

Überwachung und Rezertifizierung

Die ISO 27001-Zertifizierung ist 3 Jahre lang gültig, verbunden mit fortlaufenden Verpflichtungen:

  • Jährliche Überwachungsaudits: Ein externer Auditor prüft jedes Jahr einen Teil der Maßnahmen, um die kontinuierliche Einhaltung sicherzustellen

  • Interne Audits: Durchführung mindestens einmal jährlich, um Probleme vor externen Audits zu erkennen

  • Managementbewertung: Die Führungsebene überprüft die ISMS-Leistung mindestens einmal im Jahr

  • Kontinuierliche Verbesserung: Behebung von Nichtkonformitäten, Aktualisierung von Risikobewertungen, Anpassung an neue Bedrohungen

  • Rezertifizierungsaudit (Jahr 3): Umfassendes Audit zur Erneuerung des Zertifikats um weitere 3 Jahre

Das Nichtbestehen eines Überwachungsaudits kann zur Aussetzung oder zum Entzug des Zertifikats führen, weshalb eine kontinuierliche Überwachung entscheidend ist.

Wichtige Dokumentation

ISO 27001 erfordert dokumentierte Informationen, einschließlich:

  • ISMS-Anwendungsbereich: Grenzen des ISMS (welche Abteilungen, Standorte und Systeme abgedeckt sind)

  • Informationssicherheitsrichtlinie: Verpflichtung der obersten Leitung zur Sicherheit, unterzeichnet von der Geschäftsführung

  • Methodik der Risikobewertung: Wie Sie Risiken identifizieren und bewerten

  • Ergebnisse der Risikobewertung: Inventar der Werte, Bedrohungs-/Schwachstellenanalyse, Risikobewertungen

  • Risikobehandlungsplan: Ausgewählte Maßnahmen, Verantwortliche, Zeitpläne

  • Erklärung zur Anwendbarkeit (SoA): Alle 93 Anhang A Maßnahmen mit Anwendbarkeit und Details zur Implementierung

  • Unterstützende Richtlinien und Verfahren: Zugriffskontrollrichtlinie, Richtlinie zur zulässigen Nutzung, Notfallreaktionsplan, Backup-Richtlinie, Änderungsmanagement usw.

  • Nachweise des Maßnahmenbetriebs: Protokolle, Audit-Trails, Schulungsnachweise, Zugriffsprüfungen, Vorfallsberichte, Patch-Management-Aufzeichnungen

  • Berichte interner Audits: Feststellungen, Nichtkonformitäten, Korrekturmaßnahmen

  • Protokolle der Managementbewertung: Entscheidungen der Führungsebene, Maßnahmenkataloge

Wahl einer Zertifizierungsstelle

Wählen Sie eine akkreditierte Zertifizierungsstelle (CB) mit ISO 27001-Erfahrung:

  • Überprüfen Sie die Akkreditierung durch eine anerkannte Stelle (z. B. DAkkS, UKAS, ANAB)

  • Prüfen Sie, ob der Geltungsbereich der Stelle Ihre Branche und Region abdeckt

  • Fragen Sie nach Referenzen von Unternehmen vergleichbarer Größe

  • Vergleichen Sie die Preise (Zertifizierungskosten liegen je nach Umfang und Unternehmensgröße typischerweise zwischen 15.000 $ und über 100.000 $)

  • Bewerten Sie die Fachkompetenz der Auditoren (technische Tiefe, Branchenkenntnis)

Gängige Zertifizierungsstellen sind unter anderem TÜV, BSI, SGS, DNV, Bureau Veritas und A-LIGN.

ISO 27001 vs. SOC 2

Organisationen vergleichen oft ISO 27001 und SOC 2:

Aspekt

ISO 27001

SOC 2

Geografie

International (ISO-Standard)

Fokus auf USA (AICPA-Standard)

Anwendbarkeit

Jede Organisation

Nur Dienstleister

Ergebnis

Öffentliches Zertifikat

Vertraulicher Audit-Bericht

Maßnahmen

Vorschreibend (93 Anhang A Maßnahmen)

Flexibel (vom Auditor bestimmt)

Kosten

15.000 $ – 100.000 $+ / Jahr

20.000 $ – 75.000 $+ / Jahr

Zeitplan

6-12 Monate

9-18 Monate (Typ II)

Viele Organisationen streben beides an: ISO 27001 für europäische Kunden und öffentliche Glaubwürdigkeit, SOC 2 für US-Kunden und SaaS-Anbieterbewertungen.

Wie ISMS Copilot hilft

ISMS Copilot wurde speziell für die ISO 27001-Compliance entwickelt:

  • Erstellung von Richtlinien: Erstellen Sie ISO 27001-konforme Richtlinien (Informationssicherheit, Zugriffskontrolle, Vorfallreaktion, zulässige Nutzung, Backup, Änderungsmanagement)

  • Risikobewertung: Erstellen Sie Frameworks für die Risikobewertung, Asset-Inventare und Matrizen für Bedrohungen/Schwachstellen

  • Gap-Analyse: Laden Sie bestehende Richtlinien hoch, um Lücken gegenüber ISO 27001-Anforderungen zu identifizieren

  • Erklärung zur Anwendbarkeit: Generieren Sie SoA-Vorlagen mit allen 93 Anhang A Maßnahmen

  • Anleitung zur Maßnahmenumsetzung: Fragen Sie nach spezifischen Kontrollen (z. B. „Wie implementiere ich A.8.1 Benutzer-Endgeräte?“)

  • Dokumentationsvorlagen: Incident Response Playbooks, Checklisten für Zugriffsprüfungen, Leitfäden zur Sammlung von Audit-Nachweisen

  • Audit-Vorbereitung: Erstellen Sie interne Audit-Pläne und Berichte über Korrekturmaßnahmen

Die Wissensdatenbank von ISMS Copilot basiert auf echter ISO 27001-Beratungserfahrung, sodass sie die Erwartungen der Auditoren und häufige Fallstricke kennt.

Versuchen Sie zu fragen: „Erstelle eine ISO 27001 Informationssicherheitsrichtlinie“ oder „Welche Nachweise benötige ich für Maßnahme A.5.23 (Informationssicherheit für Cloud-Dienste)?“

Erste Schritte

Vorbereitung auf ISO 27001 mit ISMS Copilot:

  1. Erstellen Sie einen dedizierten Arbeitsbereich für Ihr ISO 27001-Projekt

  2. Definieren Sie Ihren ISMS-Anwendungsbereich (welche Teile der Organisation zertifiziert werden sollen)

  3. Führen Sie eine Gap-Analyse durch, um den aktuellen Reifegrad zu bewerten

  4. Nutzen Sie die KI, um Kernrichtlinien zu erstellen (Informationssicherheit, zulässige Nutzung, Zugriffskontrolle, Vorfallreaktion, Backup)

  5. Führen Sie eine Risikobewertung durch (Identifizierung von Werten, Bedrohungen, Schwachstellen, Auswirkungen)

  6. Erstellen Sie eine Erklärung zur Anwendbarkeit (SoA) basierend auf Ihrer Risikobewertung

  7. Entwickeln Sie Verfahren und Nachweise für Maßnahmen mit hoher Priorität

  8. Führen Sie ein internes Audit durch, um die ISMS-Effektivität zu testen, bevor Sie eine Zertifizierungsstelle beauftragen

Weiterführende Ressourcen

  • Offizieller Standard ISO 27001:2022 (erhältlich bei der ISO oder nationalen Normungsorganisationen wie dem Beuth Verlag)

  • ISO 27002:2022 (Leitfaden zur Umsetzung der Maßnahmen aus Anhang A)

  • Verzeichnisse von Zertifizierungsstellen (DAkkS, UKAS, ANAB, IAF für akkreditierte Auditoren)

  • Leitfaden zur Umstellung auf ISO 27001 (von Version 2013 auf 2022)

War das hilfreich?