ISMS Copilot
ISO 27001 Glossar

Was ist eine Control in ISO 27001?

Überblick

Eine Control (Maßnahme) in ISO 27001 ist eine Vorkehrung, die das Informationssicherheitsrisiko modifiziert oder reduziert. Controls sind Richtlinien, Verfahren, Praktiken, Organisationsstrukturen oder technische Mechanismen, welche die Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten schützen.

Was es in der Praxis bedeutet

Controls sind das „Wie“ der Sicherheit – die spezifischen Maßnahmen, die Sie ergreifen, um identifizierten Risiken zu begegnen. Nachdem eine Risikobeurteilung Bedrohungen identifiziert hat, sind Controls die Gegenmaßnahmen, die Sie implementieren, um diese Risiken auf ein akzeptables Maß zu senken.

Praxisbeispiel: Wenn die Risikobeurteilung den „unbefugten Zugriff auf die Kundendatenbank“ als hohes Risiko identifiziert, könnten Sie unter anderem folgende Controls implementieren: Zugriffssteuerungsrichtlinie (organisatorisch), Multifaktor-Authentifizierung (technisch) und Schulungen zum Sicherheitsbewusstsein (personenbezogen). Zusammen reduzieren diese Controls das Risiko.

Arten von Controls

Nach Funktion

  • Präventive Controls: Verhindern Sicherheitsvorfälle, bevor sie eintreten (Zugriffskontrollen, Firewalls, Verschlüsselung)

  • Detektive Controls: Identifizieren Sicherheitsvorfälle, wenn sie passieren (Monitoring, Protokollierung, Angriffserkennung)

  • Korrektive Controls: Reduzieren die Auswirkungen nach einem Vorfall (Wiederherstellung von Backups, Verfahren zur Vorfallreaktion)

Nach Beschaffenheit

  • Technische Controls: Technologiebasierte Maßnahmen (Verschlüsselung, Authentifizierung, Schutz vor Schadsoftware)

  • Organisatorische Controls: Richtlinien, Verfahren und Managementpraktiken (Risikomanagement, Klassifizierung von Werten)

  • Physische Controls: Schutz der physischen Umgebung (Schlösser, Überwachung, Zutrittskontrolle zu Gebäuden)

  • Personenbezogene Controls: Auf den Menschen ausgerichtete Maßnahmen (Schulungen, Überprüfung von Mitarbeitern, Vertraulichkeitsvereinbarungen)

Nach Implementierungsansatz

  • Administrative Controls: Dokumentierte Regeln und Verfahren

  • Logische Controls: Software- und systembasierte Kontrollen

  • Physische Controls: Greifbare Schutzmaßnahmen

Annex A Controls

Der Anhang A der ISO 27001:2022 listet 93 spezifische Controls auf, die in vier Themenbereiche unterteilt sind und aus denen Organisationen basierend auf ihrer Risikobeurteilung wählen können:

  • Organisatorische Controls (A.5.1-A.5.37): 37 Controls für Governance, Richtlinien, Asset-Management, Lieferantenmanagement, Vorfallsmanagement

  • Personenbezogene Controls (A.6.1-A.6.8): 8 Controls für den Beschäftigungszyklus und menschliche Risiken

  • Physische Controls (A.7.1-A.7.14): 14 Controls für Gebäudesicherheit und den Schutz physischer Werte

  • Technologische Controls (A.8.1-A.8.34): 34 Controls für IT-Sicherheit, Zugriffsmanagement und technische Schutzvorkehrungen

Auswahl der Controls: Sie sind nicht verpflichtet, alle 93 Controls aus Anhang A zu implementieren. Ihre Risikobeurteilung bestimmt, welche Maßnahmen notwendig sind. Dokumentieren Sie Ihre Auswahlentscheidungen in der Erklärung zur Anwendbarkeit (Statement of Applicability).

Maßnahmenziele vs. Controls

Maßnahmenziel (Control objective)

Das gewünschte Ergebnis oder Sicherheitsziel (z. B. „unbefugten Zugriff auf sensible Daten verhindern“).

Control

Die spezifische Maßnahme, die das Ziel umsetzt (z. B. „Multifaktor-Authentifizierung für alle Benutzer, die auf die Kundendatenbank zugreifen“).

Warum die Unterscheidung wichtig ist

ISO 27001 Anhang A listet Maßnahmenziele auf. Wie Sie jede Control implementieren, hängt von Ihrem organisatorischen Kontext, Ihrer Technologie und Ihrem Risikoprofil ab. Zwei Unternehmen können dasselbe Ziel mit unterschiedlichen Umsetzungen erreichen.

Proportionale Implementierung: Ein kleines Startup könnte „Schulungen zum Sicherheitsbewusstsein“ (A.6.3) durch monatliche Teambesprechungen umsetzen, während ein Großunternehmen ein Learning Management System mit rollenbasierten Lehrplänen nutzt. Beide erfüllen das Maßnahmenziel, wenn es ihrem Kontext entspricht.

Wirksamkeit von Controls

Was eine Control effektiv macht

Controls müssen das Risiko tatsächlich reduzieren und dürfen nicht nur auf dem Papier existieren. Effektive Controls sind:

  • Implementiert: Tatsächlich eingeführt und betriebsbereit

  • Angemessen: Geeignet für das Risiko und den organisatorischen Kontext

  • Messbar: Die Funktionsweise kann überprüft werden

  • Konsistent: Einheitliche Anwendung im gesamten Unternehmen

  • Gepflegt: Aktuell gehalten bei Änderungen von Risiken und Umgebungen

Prüfung der Wirksamkeit von Controls

  • Dokumentenprüfung: Überprüfung, ob die Dokumentation der Control existiert und aktuell ist

  • Beobachtung: Beobachten der Controls im laufenden Betrieb

  • Befragung: Bestätigen, dass Mitarbeiter die Verfahren der Controls verstehen und befolgen

  • Technische Prüfung: Überprüfung, ob technische Controls wie konfiguriert funktionieren

  • Stichprobenprüfung: Durchsicht von Aufzeichnungen, die den laufenden Betrieb der Control belegen

Häufige Audit-Feststellung: Controls sind in Richtlinien dokumentiert, werden aber nicht tatsächlich implementiert oder gepflegt. Auditoren prüfen die effektive Arbeitsweise der Controls, nicht nur das Vorhandensein schöner Dokumentationen.

Kompensierende Controls

Wann kompensierende Controls eingesetzt werden

Manchmal kann eine spezifische Control aufgrund technischer Einschränkungen, Kosten oder betrieblicher Gründe nicht implementiert werden. Kompensierende Controls sind alternative Maßnahmen, die dieselbe Risikoreduzierung erreichen.

Anforderungen an kompensierende Controls

  • Sie bieten eine ähnliche oder bessere Risikoreduzierung als die ursprüngliche Control

  • Sie adressieren dasselbe Maßnahmenziel

  • Sie müssen in der Erklärung zur Anwendbarkeit dokumentiert und begründet werden

  • Sie müssen für Auditoren und Stakeholder akzeptabel sein

Beispiele

  • Ursprüngliche Control: Netzsegmentierung zur Isolierung sensibler Systeme

  • Kompensierende Control: Erweitertes Monitoring und Zugriffskontrollen, falls die Netzarchitektur eine Segmentierung verhindert

  • Ursprüngliche Control: Biometrischer Zugang für den Serverraum

  • Kompensierende Control: Ausweiskontrolle mit Videoüberwachung und Zutrittsprotokollen, falls Biometrie nicht machbar ist

Nachweise für Controls (Evidence)

Worauf Auditoren achten

Für jede implementierte Control fordern Auditoren Nachweise für:

  • Existenz: Die Control ist etabliert (Richtliniendokumente, Systemkonfigurationen)

  • Betrieb: Die Control funktioniert regelmäßig (Logs, Berichte, Aufzeichnungen)

  • Wirksamkeit: Die Control reduziert das Risiko (Metriken, Testergebnisse, Vorfallsdaten)

Beispiele für Nachweise nach Control-Typ

  • Richtlinien-Controls: Genehmigte Richtliniendokumente, Versionshistorie, Bestätigungen der Mitarbeiter

  • Technische Controls: Screenshots von Konfigurationen, Systemprotokolle, Scan-Berichte

  • Prozess-Controls: Ausgefüllte Checklisten, Workflow-Tickets, Prüfprotokolle

  • Schulungs-Controls: Abschlusszertifikate, Anwesenheitslisten, Testergebnisse

Strategie für Nachweise: Integrieren Sie die Erfassung von Nachweisen von Anfang an in den Betrieb der Controls. Quartalsweise Zugriffsprüfungen generieren Nachweise für das Zugriffsmanagement, Backup-Protokolle belegen die Backup-Controls und Schulungsberichte stützen die Awareness-Maßnahmen.

Lebenszyklus einer Control

1. Auswahl (Planung)

Basierend auf der Risikobeurteilung identifizieren, welche Controls die Risiken adressieren. Dokumentation in der Erklärung zur Anwendbarkeit.

2. Implementierung (Bereitstellung)

Bereitstellung der ausgewählten Controls mit angemessenem Umfang, Zeitplan und Ressourcen. Richtlinien erstellen, Systeme konfigurieren, Personal schulen.

3. Betrieb (Tagesgeschäft)

Ausführung der Controls als Teil des normalen Geschäftsbetriebs. Generierung von Nachweisen durch Logs, Berichte und Aufzeichnungen.

4. Überwachung (Laufend)

Verfolgung der Wirksamkeit durch Metriken, Reviews und Tests. Frühzeitige Identifizierung von Fehlern oder Schwachstellen.

5. Überprüfung (Periodisch)

Bewertung, ob Controls bei Änderungen von Risiken, Technologie und Geschäft noch angemessen sind. Aktualisierung oder Ausmusterung von Controls nach Bedarf.

6. Verbesserung (Kontinuierlich)

Optimierung von Controls basierend auf Vorfällen, Audit-Ergebnissen, neuen Bedrohungen oder technologischen Verbesserungen.

Häufige Fehler bei der Implementierung von Controls

Implementierung von Controls ohne Risikobeurteilung

Auswahl von Controls basierend auf Vorlagen oder „Best Practices“ anstatt auf Ihrer tatsächlichen Risikobeurteilung. Dies verschwendet Ressourcen und kann Lücken hinterlassen.

Über-Dokumentation bei mangelnder Implementierung

Erstellung umfangreicher Richtlinien und Verfahren, ohne die Controls tatsächlich einzuführen oder zu betreiben.

„Set-and-forget“-Mentalität

Einmalige Implementierung der Controls während der Zertifizierungsvorbereitung, ohne sie danach zu pflegen oder kontinuierlich Nachweise zu sammeln.

Keine Messung der Wirksamkeit

Annahme, dass Controls funktionieren, ohne deren Auswirkungen auf die Risikoreduzierung zu testen oder zu messen.

Punktlösungen statt Defense-in-Depth

Verlassen auf einzelne Controls statt auf mehrschichtige Verteidigung. Der Ausfall einer Maßnahme sollte nicht zur vollständigen Kompromittierung führen.

Best Practice: Implementieren Sie Controls in Schichten (Defense-in-Depth). Schützen Sie sensible Daten zum Beispiel durch: Klassifizierungsrichtlinie (organisatorisch), Zugriffskontrollen (technisch), Verschlüsselung (technisch), Monitoring (detektiv) und Backups (korrektiv). Wenn eine Control versagt, bieten die anderen weiterhin Schutz.

Reifegrade von Controls

Stufe 1: Initial/Ad-hoc

Controls existieren informell oder inkonsistent. Keine Dokumentation oder Standardisierung.

Stufe 2: Wiederholbar

Controls sind dokumentiert und werden generell befolgt, aber die Umsetzung variiert je nach Abteilung oder Person.

Stufe 3: Definiert

Controls sind standardisiert, dokumentiert und werden unternehmensweit konsistent implementiert.

Stufe 4: Gemanagt

Controls werden gemessen und überwacht. Metriken verfolgen Wirksamkeit und Leistung.

Stufe 5: Optimiert

Controls werden basierend auf Metriken, Vorfällen und dem sich ändernden Risikoumfeld kontinuierlich verbessert.

Eine ISO 27001-Zertifizierung erfordert in der Regel Stufe 3 (definiert und konsistent). Reife Organisationen streben Stufe 4-5 an.

Controls in verschiedenen Frameworks

ISO 27001 Controls

93 Controls in Anhang A, risikobasierte Auswahl, international anerkannt.

NIST Frameworks

NIST CSF nutzt fünf Funktionen (Identify, Protect, Detect, Respond, Recover). NIST 800-53 bietet einen detaillierten Maßnahmenkatalog, primär für US-Behördensysteme.

SOC 2 Trust Service Criteria

Kriterien für Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz mit spezifischen Anforderungen für Dienstleistungsunternehmen.

PCI DSS Anforderungen

12 Anforderungen mit Fokus auf den Schutz von Zahlungskartendaten, verpflichtend für Organisationen, die Kartenzahlungen verarbeiten.

Viele Controls überschneiden sich in verschiedenen Frameworks. Der risikobasierte Ansatz der ISO 27001 deckt oft Anforderungen mehrerer Frameworks gleichzeitig ab.

Verwandte Konzepte

Hilfe erhalten

Nutzen Sie den ISMS Copilot, um angemessene Controls für Ihre Risiken zu identifizieren, Dokumentationen zur Implementierung zu erstellen und Strategien zur Erfassung von Nachweisen für die Audit-Bereitschaft zu entwickeln.

War das hilfreich?