ISMS Copilot
ISO 27001 Glossar

Was ist eine Nichtkonformität in ISO 27001?

Überblick

Eine Nichtkonformität ist die Nichterfüllung einer Anforderung in Ihrem ISMS. Gemäß ISO 27001:2022 verlangt Klausel 10.2 von Organisationen, Nichtkonformitäten zu identifizieren, darauf zu reagieren und sie zu korrigieren, wenn sie auftreten. Zudem müssen Korrekturmaßnahmen ergriffen werden, um deren Grundursachen zu beseitigen und ein erneutes Auftreten zu verhindern.

Nichtkonformitäten werden bei internen Audits, Managementbewertungen, externen Zertifizierungsaudits oder im täglichen Betrieb entdeckt. Ihre Behebung ist entscheidend für die Aufrechterhaltung der Zertifizierung und die Verbesserung Ihres ISMS.

Nichtkonformitäten in der Praxis

Eine Nichtkonformität liegt vor, wenn Ihr ISMS eine Anforderung aus den folgenden Bereichen nicht erfüllt:

  • Anforderungen der Norm ISO 27001:2022 (Klauseln 4-10)

  • Ihre eigenen dokumentierten ISMS-Anforderungen (Richtlinien, Verfahren, Ziele)

  • Anwendbare gesetzliche, regulatorische oder vertragliche Verpflichtungen

Nichtkonformitäten können von geringfügigen Dokumentationslücken bis hin zu schwerwiegenden Kontrollfehlern reichen, welche die Informationssicherheit gefährden.

Bei Zertifizierungsaudits können schwerwiegende Nichtkonformitäten die Zertifizierung verzögern oder verhindern. Kleinere Nichtkonformitäten erfordern Korrekturmaßnahmen, blockieren die Zertifizierung jedoch in der Regel nicht, wenn sie zeitnah behoben werden.

Arten von Nichtkonformitäten

Schwerwiegende Nichtkonformität (Major Nonconformity)

Ein wesentlicher Fehler, der die Fähigkeit des ISMS beeinträchtigt, beabsichtigte Ergebnisse zu erzielen oder Anforderungen zu erfüllen.

Beispiele:

  • Vollständiges Fehlen eines erforderlichen Prozesses (z. B. keine Risikobewertung durchgeführt)

  • Systematisches Versagen einer Kontrolle (z. B. Zugriffsprüfungen wurden seit 18 Monaten nicht mehr durchgeführt)

  • Erhebliche Nichteinhaltung gesetzlicher Anforderungen (z. B. Benachrichtigung bei DSGVO-Verstößen nicht eingehalten)

  • Mehrere zusammenhängende kleinere Nichtkonformitäten, die auf systemische Probleme hinweisen

Auswirkung: Zertifizierungsstellen verlangen in der Regel die Behebung schwerwiegender Nichtkonformitäten, bevor eine Zertifizierung erteilt oder aufrechterhalten wird.

Neben-Nichtkonformität (Minor Nonconformity)

Ein isolierter Vorfall oder ein Versäumnis, das die Wirksamkeit des ISMS nicht schwerwiegend beeinträchtigt.

Beispiele:

  • Fehlende Unterschrift auf einem einzelnen Richtliniendokument

  • Ein Einzelfall, in dem ein Mitarbeiter die Sicherheitsschulung nicht rechtzeitig abgeschlossen hat

  • Unvollständige Dokumentation für eine kürzlich durchgeführte Managementbewertung

  • Eine implementierte, aber nicht vollständig dokumentierte Kontrolle

Auswirkung: Muss korrigiert werden, verhindert aber normalerweise nicht die Zertifizierung, wenn die Behebung innerhalb eines angemessenen Zeitrahmens erfolgt.

Beobachtung / Verbesserungspotenzial (Opportunity for Improvement)

Technisch gesehen keine Nichtkonformität, sondern eine Feststellung, die auf potenzielle künftige Probleme oder Bereiche für Verbesserungen hindeutet.

Beispiele:

  • Inhalte der Sicherheitsschulung sind veraltet (keine aktuelle Anforderung verletzt)

  • Der Risikobewertungsprozess funktioniert, könnte aber effizienter sein

  • Überwachungskennzahlen stimmen nicht optimal mit den Informationssicherheitszielen überein

Auswirkung: Keine sofortigen Korrekturmaßnahmen erforderlich, sollte aber für die kontinuierliche Verbesserung in Betracht gezogen werden.

Zertifizierungsauditoren stufen Feststellungen als schwerwiegende Nichtkonformität, Neben-Nichtkonformität oder Beobachtung ein. Interne Audits sollten die gleichen Klassifizierungen verwenden, um sich auf externe Audits vorzubereiten.

Häufige Quellen für Nichtkonformitäten

Interne Audits (Klausel 9.2)

Ihr eigenes Auditprogramm identifiziert Nichtkonformitäten vor den Zertifizierungsaudits.

Beispiel: Ein internes Audit stellt fest, dass die Backup-Wiederherstellung seit 14 Monaten nicht getestet wurde, was gegen Ihre Backup-Richtlinie verstößt, die vierteljährliche Tests vorschreibt.

Externe Zertifizierungsaudits

Zertifizierungsstellen bewerten die Konformität während der Stufe 1, Stufe 2 und bei Überwachungsaudits.

Beispiel: Ein Zertifizierungsauditor findet keine dokumentierten Beweise für eine Managementbewertung in den letzten 12 Monaten (Verstoß gegen Klausel 9.3).

Operative Überwachung (Klausel 9.1)

Leistungsmessungen decken Abweichungen von den Anforderungen auf.

Beispiel: Die Überwachung zeigt eine durchschnittliche Reaktionszeit bei Vorfällen von 8 Stunden, womit Ihr Ziel von 4 Stunden überschritten wird.

Sicherheitsvorfälle

Datenschutzverletzungen oder Beinahe-Vorfälle decken Kontrollfehler auf.

Beispiel: Ein erfolgreicher Phishing-Angriff zeigt auf, dass Mitarbeiter keine Sicherheitsschulung erhalten haben (Nichtkonformität zu Klausel 7.2 und A.6.3).

Feedback von Stakeholdern

Kunden, Regulierungsbehörden oder Mitarbeiter melden Probleme.

Beispiel: Ein Kundenaudit stellt fest, dass Bewertungen von Drittanbietern nicht dokumentiert wurden (Nichtkonformität zu A.5.19).

Reaktion auf Nichtkonformitäten (Klausel 10.2)

ISO 27001:2022 schreibt eine strukturierte Reaktion beim Auftreten von Nichtkonformitäten vor:

1. Auf die Nichtkonformität reagieren

  • Sofortige Maßnahmen ergreifen, um die Situation zu kontrollieren und zu korrigieren

  • Sich mit den Folgen befassen (Schaden begrenzen, betroffene Parteien benachrichtigen)

Beispiel: Entdeckung einer Nichtkonformität bei der Zugriffskontrolle. Sofortmaßnahme: Unbefugten Zugriff entziehen, Sicherheitsteam benachrichtigen, alle kürzlich erteilten Zugriffe prüfen.

2. Bewertung der Notwendigkeit von Maßnahmen zur Beseitigung der Ursachen

  • Untersuchen, warum die Nichtkonformität aufgetreten ist (Ursachenanalyse/Root Cause Analysis)

  • Feststellen, ob ähnliche Nichtkonformitäten existieren oder anderswo auftreten könnten

Beispiel: Grundursache: Keine automatische Erinnerung für vierteljährliche Zugriffsprüfungen. Ähnliches Risiko: Auch für andere periodische Aufgaben könnten Erinnerungen fehlen.

3. Korrekturmaßnahme implementieren

  • Maßnahmen ergreifen, um die Grundursache zu beseitigen und ein erneutes Auftreten zu verhindern

  • Sicherstellen, dass die Maßnahmen der Bedeutung der Nichtkonformität angemessen sind

Beispiel: Korrekturmaßnahme: Implementierung einer automatisierten Aufgabenplanung für alle periodischen ISMS-Aktivitäten (Zugriffsprüfungen, Backup-Tests, Richtlinienprüfungen).

4. Wirksamkeit der Korrekturmaßnahme überprüfen

  • Überprüfen, ob die Maßnahme die Nichtkonformität behoben und ein erneutes Auftreten verhindert hat

  • Überwachen, um sicherzustellen, dass das Problem nicht zurückkehrt

Beispiel: Nach 6 Monaten bestätigt eine Prüfung, dass alle geplanten Aufgaben dank automatisierter Erinnerungen pünktlich abgeschlossen werden.

5. Das ISMS bei Bedarf aktualisieren

  • Überarbeitung dokumentierter Informationen (Richtlinien, Verfahren, Kontrollen)

  • Aktualisierung der Risikobewertung, falls neue Risiken identifiziert wurden

Beispiel: Aktualisierung des Change-Management-Verfahrens, um die automatisierte Aufgabenverfolgung für alle periodischen Aktivitäten einzuschließen.

Dokumentieren Sie alle Nichtkonformitäten und Korrekturmaßnahmen in einem Register. Dies sollte enthalten: Beschreibung, Klassifizierung, Datum der Entdeckung, Grundursache, ergriffene Maßnahmen, Verantwortliche, Frist und Ergebnisse der Wirksamkeitsprüfung.

Techniken zur Ursachenanalyse

Wirksame Korrekturmaßnahmen erfordern die Identifizierung der wahren Grundursachen, nicht nur der Symptome:

5 Whys (5-Warum-Methode)

Wiederholen Sie die Frage „Warum“, um zur Grundursache vorzudringen.

Beispiel:

  • Warum trat der Vorfall auf? → Mitarbeiter klickte auf Phishing-Link.

  • Warum hat er geklickt? → Er erkannte ihn nicht als verdächtig.

  • Warum erkannte er ihn nicht? → Fehlende Sicherheitsschulung.

  • Warum fehlte die Schulung? → Neue Mitarbeiter werden nicht automatisch angemeldet.

  • Warum keine automatische Anmeldung? → Fehlende Prozessintegration mit dem HR-System.

  • Grundursache: Sicherheitsschulung ist nicht in den Onboarding-Prozess integriert.

Fischgräten-Diagramm (Ishikawa)

Kategorisieren Sie potenzielle Ursachen (Mensch, Prozess, Technik, Umwelt), um beitragende Faktoren zu identifizieren.

Fehlermöglichkeits- und Einflussanalyse (FMEA)

Systematische Bewertung, wie Prozesse fehlschlagen können und welche Konsequenzen dies hat.

Beispiele nach ISO 27001-Klauseln

Klausel 5.2 - Informationssicherheitsleitlinie

Nichtkonformität: Die Leitlinie wurde nicht von der obersten Leitung genehmigt oder die Verpflichtung zur kontinuierlichen Verbesserung fehlt.

Korrekturmaßnahme: Unterschrift des Geschäftsführers einholen, Klausel zur kontinuierlichen Verbesserung hinzufügen, aktualisierte Richtlinie kommunizieren.

Klausel 6.1.2 - Risikobewertung

Nichtkonformität: Die Risikobewertung wurde trotz wesentlicher geschäftlicher Änderungen seit 24 Monaten nicht aktualisiert.

Korrekturmaßnahme: Aktualisierte Risikobewertung durchführen, jährlichen Überprüfungsplan mit Kalendererinnerungen festlegen.

Klausel 7.2 - Kompetenz

Nichtkonformität: Keine Aufzeichnungen vorhanden, die belegen, dass das IT-Personal die erforderlichen Sicherheitszertifizierungen oder Schulungen besitzt.

Korrekturmaßnahme: Aktuelle Kompetenzen dokumentieren, Schulungslücken identifizieren, Mitarbeiter für erforderliche Kurse anmelden, Schulungsnachweise führen.

Klausel 9.2 - Internes Audit

Nichtkonformität: Das interne Audit wurde von derselben Person durchgeführt, die für die geprüften Kontrollen verantwortlich ist (fehlende Unabhängigkeit).

Korrekturmaßnahme: Auditprogramm überarbeiten, um Auditoren unabhängig von den geprüften Bereichen zuzuweisen; Schulung der Auditoren zu Unabhängigkeitsanforderungen.

Anhang A.8.8 - Management von technischen Schwachstellen

Nichtkonformität: Kritische Schwachstellen wurden in Scans identifiziert, aber nicht innerhalb des definierten Zeitrahmens behoben.

Korrekturmaßnahme: Anfällige Systeme sofort patchen, automatisierte Patch-Bereitstellung implementieren, SLA-Überwachung für Schwachstellen einrichten.

Nutzen Sie den ISMS Copilot, um Ursachenanalysen für Nichtkonformitäten durchzuführen, Korrekturmaßnahmenpläne zu erstellen oder Vorlagen für Register zur Verfolgung von Nichtkonformitäten zu generieren.

Anforderungen an die Dokumentation

Klausel 10.2 verlangt dokumentierte Informationen als Nachweis für:

  • Die Art der Nichtkonformitäten und die ergriffenen Maßnahmen

  • Die Ergebnisse von Korrekturmaßnahmen

Ihr Nichtkonformitätsregister sollte Folgendes enthalten:

  • ID der Nichtkonformität und Datum der Entdeckung

  • Quelle (internes Audit, externes Audit, Vorfall, Überwachung)

  • Klassifizierung (schwerwiegend, Neben-Nichtkonformität, Beobachtung)

  • Detaillierte Beschreibung und betroffene Anforderung

  • Ergebnisse der Ursachenanalyse

  • Korrekturmaßnahmenplan mit Verantwortlichkeiten und Fristen

  • Statusverfolgung (offen, in Bearbeitung, abgeschlossen)

  • Ergebnisse der Wirksamkeitsprüfung

Vorbeugungsmaßnahmen in ISO 27001:2022

Anders als in früheren Versionen enthält ISO 27001:2022 keine separate Klausel für „Vorbeugungsmaßnahmen“. Die Prävention ist durch folgende Aspekte in die Norm integriert:

  • Risikobewertung, die potenzielle Probleme identifiziert, bevor sie auftreten

  • Kontinuierliche Verbesserung (Klausel 10.1), um das ISMS proaktiv zu stärken

  • Korrekturmaßnahmen, die Grundursachen adressieren, um ein erneutes Auftreten zu verhindern

Verwandte Begriffe

  • Internes Audit – Identifiziert Nichtkonformitäten

  • Kontinuierliche Verbesserung – Geht über die Behebung von Nichtkonformitäten hinaus, um das ISMS zu optimieren

  • Managementbewertung – Überprüft Trends bei Nichtkonformitäten und Korrekturmaßnahmen

  • ISMS – Das System, dessen Nichterfüllung von Anforderungen durch Nichtkonformitäten angezeigt wird

War das hilfreich?