ISMS Copilot
ISO 27001 Glossar

Was sind die Kontrollmaßnahmen von Anhang A in ISO 27001:2022?

Übersicht

Anhang A Kontrollmaßnahmen (Annex A Controls) sind die 93 Informationssicherheitsmaßnahmen, die im Anhang A der ISO 27001:2022 aufgeführt sind und aus denen Organisationen wählen können, um identifizierte Informationssicherheitsrisiken zu adressieren. Sie stellen international anerkannte Sicherheits-Best-Practices dar, die in vier Themenbereiche unterteilt sind: Organisatorisch, Personenbezogen, Physisch und Technologisch.

Was das in der Praxis bedeutet

Stellen Sie sich Anhang A als ein umfassendes Menü an Sicherheitsmaßnahmen vor. Basierend auf Ihrer Risikobeurteilung wählen Sie aus diesem Menü aus, welche Maßnahmen implementiert werden sollen. Sie sind nicht verpflichtet, alle 93 umzusetzen – nur diejenigen, die Risiken in Ihrem spezifischen Kontext adressieren.

Praxisbeispiel: Wenn Ihre Risikobeurteilung den Datenmissbrauch durch Mitarbeiter als Risiko identifiziert, könnten Sie A.5.10 (Richtlinie zur zulässigen Nutzung), A.6.3 (Sensibilisierungstraining) und A.8.15 (Protokollierung) auswählen. Wenn Sie ein reines Cloud-Unternehmen sind, könnten Sie A.7.1-A.7.14 (Physische Kontrollen) als nicht anwendbar für Ihre Infrastruktur ausschließen.

Die vier Themenbereiche der Kontrollmaßnahmen

Organisatorische Maßnahmen (A.5.1 - A.5.37) – 37 Kontrollen

Kontrollen auf Managementebene für Governance, Richtlinien, Risikomanagement, Asset-Management, Lieferantensicherheit, Incident-Management, Business Continuity und Compliance.

Wichtige Beispiele:

  • A.5.1 - Informationssicherheitsrichtlinien

  • A.5.7 - Bedrohungserkennung (Threat Intelligence)

  • A.5.9 - Inventar der Informationen und Assets

  • A.5.19 - Informationssicherheit in Lieferantenbeziehungen

  • A.5.24 - Planung des Informationssicherheits-Vorfallmanagements

Personenbezogene Maßnahmen (A.6.1 - A.6.8) – 8 Kontrollen

Maßnahmen zur Steuerung menschlicher Sicherheitsrisiken über den gesamten Beschäftigungszyklus hinweg, von der Einstellung bis zum Ausscheiden.

Wichtige Beispiele:

  • A.6.1 - Überprüfung (Background-Checks)

  • A.6.3 - Sensibilisierung, Aus- und Weiterbildung zur Informationssicherheit

  • A.6.7 - Remote-Arbeit

  • A.6.8 - Meldung von Informationssicherheitsereignissen

Physische Maßnahmen (A.7.1 - A.7.14) – 14 Kontrollen

Maßnahmen zum Schutz der physischen Umgebung, in der Informations-Assets gespeichert oder verarbeitet werden.

Wichtige Beispiele:

  • A.7.1 - Physische Sicherheitsperimeter

  • A.7.2 - Physische Zutrittskontrollen

  • A.7.4 - Physische Sicherheitsüberwachung

  • A.7.10 - Management von Speichermedien

Technologische Maßnahmen (A.8.1 - A.8.34) – 34 Kontrollen

Technische und IT-Sicherheitskontrollen, einschließlich Zugriffsmananagement, Kryptografie, Netzwerksicherheit, sichere Entwicklung und Schwachstellenmanagement.

Wichtige Beispiele:

  • A.8.2 - Privilegierte Zugriffsrechte

  • A.8.5 - Sichere Authentifizierung

  • A.8.8 - Management technischer Schwachstellen

  • A.8.13 - Informations-Backup

  • A.8.16 - Überwachungsaktivitäten

Verteilung der Kontrollen: Die meisten Organisationen implementieren je nach Größe, Komplexität und Risikoprofil 40–70 Kontrollen. Kleine Cloud-native Startups implementieren oft weniger physische Kontrollen, während regulierte Unternehmen in der Regel mehr als 80 Kontrollen umsetzen.

Änderungen gegenüber ISO 27001:2013

Neu strukturiert und konsolidiert

Die Version 2022 reduzierte 114 Kontrollen in 14 Domänen auf 93 Kontrollen in 4 Themenbereichen, was das Framework übersichtlicher und logischer macht.

11 neue Kontrollen für moderne Bedrohungen

  • A.5.7 - Bedrohungserkennung (Threat Intelligence)

  • A.5.23 - Informationssicherheit bei der Nutzung von Cloud-Diensten

  • A.8.9 - Konfigurationsmanagement

  • A.8.10 - Löschen von Informationen

  • A.8.11 - Datenmaskierung

  • A.8.12 - Vermeidung von Datenabfluss (DLP)

  • A.8.16 - Überwachungsaktivitäten

  • A.8.23 - Web-Filterung

  • A.8.28 - Sichere Programmierung

  • A.7.4 - Physische Sicherheitsüberwachung

  • A.8.9 - Konfigurationsmanagement

24 Kontrollen zusammengeführt

Zugehörige Kontrollen aus 2013 wurden konsolidiert, um Redundanzen zu vermeiden. Beispielsweise wurden mehrere Anforderungen zur Zugriffskontrolle in gestrafften Maßnahmen zusammengefasst.

Hinweis zum Übergang: Wenn Sie nach ISO 27001:2013 zertifiziert sind, müssen Sie bis zum 31. Oktober 2025 auf die Kontrollstruktur von 2022 umstellen. Dies erfordert eine Neuzuordnung Ihrer Erklärung zur Anwendbarkeit (SoA) auf die neue Nummerierung und die Berücksichtigung aller neuen, für Ihre Risiken relevanten Kontrollen.

So wählen Sie Kontrollmaßnahmen aus

Schritt 1: Risikobeurteilung abschließen

Identifizieren Sie die Informationssicherheitsrisiken, denen Ihre Organisation gegenübersteht. Maßnahmen werden ausgewählt, um diese Risiken zu adressieren, und nicht blind implementiert.

Schritt 2: Anwendbarkeit der Kontrollen bestimmen

Prüfen Sie für jedes identifizierte Risiko den Anhang A, um Maßnahmen zu finden, die das Risiko auf ein akzeptables Maß reduzieren würden.

Schritt 3: Optionen zur Risikobehandlung prüfen

Sie können Risiken wie folgt behandeln:

  • Implementierung von Maßnahmen: Anhang A Kontrollen anwenden, um das Risiko zu senken

  • Risikovermeidung: Die riskante Aktivität einstellen

  • Risikotransfer: Versicherungen nutzen oder an Dritte auslagern

  • Risikoakzeptanz: Risiken unterhalb Ihres Schwellenwerts formal akzeptieren

Schritt 4: Dokumentation in der Erklärung zur Anwendbarkeit (SoA)

Erstellen Sie Ihre SoA, in der alle 93 Kontrollen mit Inklusions-/Exklusionsstatus und Begründungen basierend auf der Risikobeurteilung aufgeführt sind.

Schritt 5: Implementierung der ausgewählten Maßnahmen

Setzen Sie die einbezogenen Maßnahmen mit angemessenem Umfang, Zeitplan und Ressourcen gemäß der Risikopriorität um.

Tipp zur Auswahl: Beginnen Sie mit Basismaßnahmen, die andere ermöglichen – Richtlinien (A.5.1), Asset-Inventar (A.5.9), Zugriffskontrolle (A.5.15), Backup (A.8.13) und Überwachung (A.8.16). Diese bilden die Infrastruktur für weitere Kontrollen.

Leitfaden zur Implementierung

Ergänzender Standard ISO 27002:2022

Während ISO 27001 die Kontrollziele auflistet, bietet ISO 27002 detaillierte Implementierungsleitfäden für jede Maßnahme, einschließlich Zweck, Umsetzungshinweisen und weiterführenden Informationen.

Kontrollattribute in ISO 27002

Die Version 2022 führte Kontrollattribute ein, die Ihnen helfen zu verstehen:

  • Kontrolltyp: Präventiv, detektivisch oder korrektiv

  • Informationssicherheitseigenschaften: Vertraulichkeit, Integrität, Verfügbarkeit

  • Cybersecurity-Konzepte: Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen

  • Operative Fähigkeiten: Welche Sicherheitsfunktionen die Maßnahme unterstützt

  • Sicherheitsdomänen: Governance, Schutz, Verteidigung, Resilienz

Anpassung an den Kontext

ISO 27001 erwartet, dass Maßnahmen verhältnismäßig implementiert werden. Die „sichere Programmierung“ (A.8.28) eines 10-Personen-Startups wird sich vom Ansatz einer Bank unterscheiden, aber beide können konform sein, wenn sie ihrem Risiko und Kontext entsprechen.

Beispiel für Verhältnismäßigkeit: Für A.6.3 (Sensibilisierungstraining) könnte eine kleine Organisation monatliche „Lunch-and-Learn“-Sitzungen abhalten, während ein großes Unternehmen ein LMS mit rollenbasierten Lehrplänen, vierteljährlichen Phishing-Simulationen und Zertifizierungsprogrammen einsetzen könnte. Beide erfüllen die Kontrolle, wenn sie ihrer Größe und ihrem Risiko angemessen sind.

Gängige Muster bei der Implementierung

Kontrollen mit hoher Priorität für die meisten Organisationen

Basierend auf gängigen Risikoprofilen werden diese Kontrollen typischerweise einbezogen:

  • Organisatorisch: A.5.1 (Richtlinien), A.5.9 (Asset-Inventar), A.5.15 (Zugriffskontrolle), A.5.24 (Incident-Management)

  • Personen: A.6.3 (Schulung), A.6.8 (Ereignismeldung)

  • Technologisch: A.8.2 (Privilegierter Zugriff), A.8.5 (Authentifizierung), A.8.8 (Schwachstellenmanagement), A.8.13 (Backup), A.8.16 (Monitoring)

Häufig ausgeschlossene Kontrollen

Je nach Kontext schließen Organisationen häufig aus:

  • Physische Kontrollen (A.7.x): Cloud-only Organisationen ohne eigene Rechenzentren

  • Entwicklungskontrollen (A.8.25-A.8.34): Organisationen, die keine Software entwickeln

  • Lieferantenkontrollen (A.5.19-A.5.22): Organisationen mit minimalen Abhängigkeiten von Drittanbietern

Prüfung von Ausschlüssen: Auditoren prüfen Ausschlüsse sehr genau. Generische Begründungen wie „nicht anwendbar“ reichen nicht aus. Verweisen Sie auf spezifische Ergebnisse der Risikobeurteilung (z. B. „Cloud-only Architektur validiert in Risikoassessment RA-2024-001“).

Deep Dive: Organisatorische Maßnahmen (A.5.x)

Informationssicherheitsrichtlinien (A.5.1 - A.5.4)

  • A.5.1 - Informationssicherheitsrichtlinien

  • A.5.2 - Rollen und Verantwortlichkeiten in der Informationssicherheit

  • A.5.3 - Aufgabentrennung

  • A.5.4 - Verantwortlichkeiten des Managements

Kontaktmanagement (A.5.5 - A.5.6)

  • A.5.5 - Kontakt mit Behörden

  • A.5.6 - Kontakt mit Interessengruppen

Bedrohungs- und Projektmanagement (A.5.7 - A.5.8)

  • A.5.7 - Bedrohungserkennung (Threat Intelligence)

  • A.5.8 - Informationssicherheit im Projektmanagement

Asset-Management (A.5.9 - A.5.14)

  • A.5.9 - Inventar der Informationen und anderer zugehöriger Assets

  • A.5.10 - Zulässige Nutzung von Informationen und anderen zugehörigen Assets

  • A.5.11 - Rückgabe von Assets

  • A.5.12 - Klassifizierung von Informationen

  • A.5.13 - Kennzeichnung von Informationen

  • A.5.14 - Informationsübertragung

Zugriffskontrolle (A.5.15 - A.5.18)

  • A.5.15 - Zugangskontrolle

  • A.5.16 - Identitätsmanagement

  • A.5.17 - Authentifizierungsinformationen

  • A.5.18 - Zugriffsrechte

Lieferantenbeziehungen (A.5.19 - A.5.23)

  • A.5.19 - Informationssicherheit in Lieferantenbeziehungen

  • A.5.20 - Behandlung der Informationssicherheit in Lieferantenverträgen

  • A.5.21 - Management der Informationssicherheit in der IKT-Lieferkette

  • A.5.22 - Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten

  • A.5.23 - Informationssicherheit bei der Nutzung von Cloud-Diensten (NEU in 2022)

Incident-Management (A.5.24 - A.5.28)

  • A.5.24 - Planung und Vorbereitung des Informationssicherheits-Vorfallmanagements

  • A.5.25 - Beurteilung und Entscheidung über Informationssicherheitsereignisse

  • A.5.26 - Reaktion auf Informationssicherheitsvorfälle

  • A.5.27 - Lernen aus Informationssicherheitsvorfällen

  • A.5.28 - Sammeln von Beweismitteln

Business Continuity (A.5.29 - A.5.30)

  • A.5.29 - Informationssicherheit bei Unterbrechungen

  • A.5.30 - IKT-Bereitschaft für Business Continuity

Compliance (A.5.31 - A.5.37)

  • A.5.31 - Gesetzliche, behördliche, regulatorische und vertragliche Anforderungen

  • A.5.32 - Geistige Eigentumsrechte

  • A.5.33 - Schutz von Aufzeichnungen

  • A.5.34 - Datenschutz und Schutz von PII

  • A.5.35 - Unabhängige Überprüfung der Informationssicherheit

  • A.5.36 - Einhaltung von Richtlinien und Standards für Informationssicherheit

  • A.5.37 - Dokumentierte Betriebsverfahren

Nachweisanforderungen für Kontrollen

Was Auditoren prüfen

Für jede einbezogene Maßnahme fordern Auditoren Nachweise, dass:

  • Maßnahme existiert: Dokumentierte Richtlinien, Verfahren oder Konfigurationen

  • Maßnahme funktioniert: Aufzeichnungen, Protokolle oder Ausgaben, die den laufenden Betrieb belegen

  • Maßnahme ist effektiv: Ergebnisse zeigen die Risikoreduzierung (z. B. Schwachstellenscans belegen die Wirksamkeit von Patches)

Beispiele für Nachweise nach Kontrolltyp

  • Richtlinien-Kontrollen: Genehmigte Richtliniendokumente, Bestätigungsnachweise

  • Prozess-Kontrollen: Verfahrensdokumente, Checklisten, Workflow-Tickets

  • Technische Kontrollen: Konfigurations-Screenshots, Systemprotokolle, Scan-Berichte

  • Schulungs-Kontrollen: Schulungsnachweise, Testergebnisse, Anwesenheitslisten

Strategie zur Beweissicherung: Warten Sie nicht bis zum Audit. Implementieren Sie eine systematische Beweissicherung als Teil des Kontrollbetriebs – vierteljährliche Zugriffsüberprüfungen generieren Beweise für A.5.18, Backup-Protokolle für A.8.13, Schulungsberichte unterstützen A.6.3.

Zusätzliche Kontrollen über Anhang A hinaus

Wenn Anhang A nicht ausreicht

Wenn Ihre Risikobeurteilung Risiken identifiziert, die durch die 93 Standardkontrollen nicht angemessen abgedeckt werden, können Sie zusätzliche, kontextspezifische Kontrollen implementieren.

Dokumentation zusätzlicher Kontrollen

Listen Sie zusätzliche Kontrollen in Ihrer SoA auf oder führen Sie ein ergänzendes Kontrollregister. Verknüpfen Sie diese klar mit den spezifischen Risiken, die sie adressieren.

Beispiele für zusätzliche Kontrollen

  • Branchenspezifische Kontrollen (PCI-DSS-Anforderungen für Zahlungsabwickler)

  • Regulatorische Anforderungen (HIPAA-Kontrollen für das Gesundheitswesen)

  • Zukunftstechnologie-Kontrollen (KI/ML-Sicherheit, die im Standard nicht voll abgedeckt ist)

  • Organisationsspezifische Risiken (einzigartige operative oder geografische Risiken)

Verwandte Konzepte

Hilfe erhalten

Beschleunigen Sie die Auswahl und Implementierung von Kontrollen mit ISMS Copilot. Erhalten Sie Unterstützung dabei, welche Maßnahmen Ihre spezifischen Risiken adressieren, erstellen Sie Implementierungsdokumentationen und generieren Sie Pläne zur Beweissammlung für die Audit-Bereitschaft.

War das hilfreich?