ISO 27001

Angesichts steigender Cyberbedrohungen zeigt unser Überblick, wie Unternehmen mit der ISO 27001 ihre Informationssicherheit stärken und welche Schritte dafür notwendig sind.

Schließen Sie sich 4.000+ Unternehmen an, die ihre Security & Compliance Ziele mit DataGuard erreichen

Einleitung in die ISO 27001
Was ist ISO 27001?
Was ist der Unterschied zwischen der ISO 27001:2013 und der ISO 27001:2022?
ISO 27001: Für wen ist die Norm wichtig?
Vorteile der ISO 27001
Umsetzung der ISO 27001 Controls und Aufbau eines ISMS
Was ist ein ISMS?
Wie funktioniert die ISO 27001?
ISO 27001:2022 Controls: Welche Maßnahmen gibt es in Anhang A?
Controls mit dem größten Fehlerpotenzial
Ist die ISO 27001 Pflicht für Unternehmen?
Unsere Checkliste: Wie erlangt man ISO 27001-Konformität?
Was kostet eine ISO 27001-Zertifizierung?
ISO 27001: Mit dem Framework zu mehr Sicherheit

Einleitung in die ISO 27001

Wachsende Bedrohung durch Cyberangriffe, Datenlecks und immer strengere Regularien – Informationssicherheit sollte heutzutage in jedem Unternehmen höchste Priorität haben.

136.865 Cyberangriffe zählte das BKA im vorigen Jahr – die Konsequenzen sind enorme finanzielle Schäden. Die ISO 27001-Norm gibt Unternehmen deswegen Maßnahmen an die Hand, mit denen Sie Informationswerte Ihrer Organisation sicher schützen können. Höchste Zeit, sich mit der eigenen Informationssicherheit konkret auseinanderzusetzen – aber wie geht das am besten?

Was genau ist die ISO 27001 und welche Schritte bringen Unternehmen erfolgreich zur Informationssicherheit? In unserem Überblick erhalten Sie die wichtigsten Infos und einen Leitfaden durch die wichtigsten Maßnahmen der ISO 27001.

Was ist ISO 27001?

Die ISO 27001 ist der international anerkannter Standard zur Regelung der Informationssicherheit in Unternehmen. Sie bietet einen Leitfaden für den Aufbau, die Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS), das Organisationen bei dem Schutz Ihrer Informationswerte unterstützt.

2022 fand die dritte Überarbeitung der Norm statt – die ISO 27001:2022 ist die aktuelle Version der Anforderungen.

Was ist ISO 27001? Erfahren Sie jetzt mehr in unserem Video.

Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen (Insbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt.

Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.

Definition ISO 27001: Wer steckt dahinter?

Der offizielle Titel der deutschen Fassung lautet momentan noch DIN EN ISO/IEC 27001:2022 Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022), da sich die Fassung noch im Entwurf befindet. Das Regelwerk wird gemeinsam von der International Standardization Organization (ISO) und der International Electrotechnical Commission (IEC) herausgegeben.

ISO und IEC: Was bedeutet das?

ISO steht für International Standardization Organization. Als internationale Organisation für Normung ist sie eine internationale regierungsunabhängige Vereinigung nationaler Normierungsorganisationen aus 167 Mitgliedsstaaten (Stand 2022). Ihre Rolle besteht darin, für nahezu alle Bereiche Standards und Normen zu erarbeiten und herauszugeben.

Die Internationale Elektrotechnische Kommission (IEC, International Electrotechnical Commission) ist ebenfalls eine internationale Standardisierungsorganisation, deren Fokus allerdings ausschließlich auf dem Bereich der Elektrik, Elektronik und damit verbundenen Technologien liegt. Diese als „Elektrotechnik“ bezeichneten Aspekte liegen ausschließlich im Zuständigkeitsbereich der IEC und werden nicht von der ISO abgedeckt.

Um für den Bereich der Informations- und Kommunikationstechnik international gültige Normen zu entwickeln, haben die ISO und IEC daher ein gemeinsames technisches Komitee (JTC) aufgesetzt.

Warum ISO 27001? Der Zweck der Zertifizierung

Was bringt ISO 27001 einer Organisation und welchen Zweck erfüllt sie? ISO 27001 ist der Standard für Informationssicherheit – international anerkannt. Sie stellt Organisationen damit unabhängig von Größe und Branche, anerkannte Richtlinien, Verfahren und Maßnahmen (Controls) zur Verfügung, die das Risiko von Verstößen gegen die Informationssicherheit abmildern.

Zu den Risiken gehören zum Beispiel:

Physische Gefahren (Brandgefahr und daraus resultierender Datenverlust)
Risiken durch Mitarbeitende (nicht ausreichend geschult bzw. fahrlässig im Umgang mit Daten oder vorsätzlicher Datendiebstahl)
System- und Prozessrisiken durch veraltete Software
Gefahr durch Cyberangriffe oder Ransomware

Die ISO 27001:2022 Norm gibt zu allen organisatorischen, personenbezogenen, physischen und technologischen Risiken Maßnahmen an. So lässt sich der Schutz von Daten und Informationen in Organisationen gezielt und strukturiert umsetzen

2023 kommen immer mehr Herausforderungen auf Unternehmen im Bereich Informationssicherheit zu – Hacker entwickeln neue Methoden, Angriffszahlen steigen und es fehlen Fachkräfte. Lesen Sie in unserem Artikel, wie Sie sich am besten darauf einstellen.

Was ist der Unterschied zwischen der ISO 27001:2013 und der ISO 27001:2022?

2022 wurde die internationale Norm ISO 27001 erneut überarbeitet - als Version 2022. Dabei wurden einige wesentliche und längst überfällige Änderungen vorgenommen. Im August wurde die ISO/IEC 27001:2022 vom International Accreditation Forum (IAF) veröffentlicht. Sie ersetzt die vorherige ISO 27001:2013.

In der neuen 2022 Version der ISO 27001 wurden neben einer Namensänderung und einigen redaktionellen Änderungen vor allem die Controls überarbeitet, ergänzt und neu sortiert.

114 Controls und 14 Kategorien wurden auf 93 Controls in vier Kategorien reduziert. Zusätzlich wurden elf Controls ergänzt. Erfahren Sie mehr dazu in unserem Kapitel zum Thema ISO 27001 Controls aus Anhang A.

Welche Auswirkungen hat die ISO 2022 für Unternehmen?

Die Änderungen der neuen ISO 2022 machen sich zwar bemerkbar – aber keine Sorge. Für eine Umstellung ist kein völlig neuer Ansatz notwendig. Vielmehr nähern sich die Anpassungen einem wachsenden Verständnis von Informationssicherheit.

Wichtig zu wissen: Es gibt eine 36-monatige Übergangsfrist, während der zertifizierte Unternehmen ihre Maßnahmen der neuen Version anpassen können, um rezertifiziert zu werden. Das entspricht dem regulären Auditablauf, nachdem zertifizierte Organisationen ihren Auditprozess alle drei Jahre wiederholen müssen, um ihre Zertifizierung zu erhalten.

Alle wichtigen Daten im Überblick:

Die ISO 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Die Übergangsfrist wurde auf drei Jahre (36 Monate) festgelegt. Daraus ergeben sich für Normanwender folgende Zeiträume und Fristen für den Übergang:

Zertifizierungsbereitschaft nach ISO/IEC 27001:2022

→ voraussichtlich ab Februar ‑ April 2023 (abhängig von der Deutschen Akkreditierungsstelle GmbH)

Letzter Termin für Erst- und Rezertifizierungsaudits nach der früheren ISO 27001:2013

→ Bis spätestens Ende 30.04.2024

Umstellung aller bestehenden Zertifikate auf die neue ISO/IEC 27001:2022

→ 3 Jahre, bezogen auf letzten Tag des Ausgabemonats von ISO/IEC 27001:2022 (Oktober 2025)

Das heißt: Vor dem nächsten Re-Audit müssen alle Dokumentationen an die neuen Controls angepasst und aktualisiert werden. Wenn alle Vorbereitungen der neuen Version entsprechend angepasst wurden, kann das nächste Audit ganz einfach für den Übergang zur Zertifizierung nach ISO 27001:2022 genutzt werden.

ISO 27001: Für wen ist die Norm wichtig?

Informationssicherheit spielt in beinahe jedem Unternehmen eine Rolle. Deswegen ist die ISO 27001 für fast jedes Unternehmen relevant, das mit Informationen und Daten umgeht. Was genau ist aber eine ISO 27001-Zertifizierung und wen betrifft das konkret?

ISO 27001-Zertifizierung: Was ist das?

Die ISO 27001-Zertifizierung bestätigt Ihrem Unternehmen, dass Sie die Anforderungen der ISO 27001-Norm erfüllen. Wenn Sie Ihr Informationssicherheits-Managementsystem (ISMS) nach den Richtlinien der ISO 27001 Norm eingerichtet haben, führt eine unabhängige, akkreditierte Zertifizierungsstelle ein Audit durch und bestätigt nach erfolgreichem Abschluss Ihr Ergebnis mit einem ISO 27001-Zertifikat.

Wer braucht eine ISO 27001-Zertifizierung?

Eine ISO 27001-Zertifizierung ist zwar nicht verpflichtend, aber gängige Praxis und vor allem Voraussetzung für wichtige Geschäftsbeziehungen. Denn: Ohne nachvollziehbare Richtlinien und Maßnahmen zur Risikobewältigung in Ihrem Unternehmen sind ihre Informationen gefährdet.

Es gibt einige Branchen, die besonders von Cyberangriffen und Ransomware bedroht werden. In diesen Organisationen wird die Anwendung der ISO 27001 zur Norm. In folgenden Branchen ist der meiste Umsatz seit 2019 entgangen:

Hightech
Biowissenschaften
Automobilindustrie
Konsumgüter und Dienstleistungen
Banking
Gesundheit
Einzelhandel
Versicherungen
Maschinenbau
Kommunikation und Medium

Angesichts steigender Cyberkriminalität müssen sich jedoch alle Unternehmen – von KMU bis zum Großkonzern -Gedanken über ihre Informationssicherheit machen.

Die ISO 27001 Controls sind dabei ein klarer Fahrplan, nach dem Unternehmen ihre Informationssicherheit ganz leicht priorisieren können.

Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.

Vorteile der ISO 27001

Ganz klar, das Erkennen und Beheben von Sicherheitsrisiken ist für jedes Unternehmen von Vorteil. Die ISO 27001 Controls leisten einen wichtigen Beitrag zur klaren Kategorisierung potenzieller Risiken. Welche Vorteile leistet die Eindämmung von Risiken aber konkret?

1. Stärkt das Vertrauen aller Beteiligten

Die ISO 27001 stattet Organisationen mit den nötigen Informationen aus, um durch Anwendung einer guten Informationssicherheitspraxis wertvolle Daten zu schützen. Die ISO 27001-Konformität einer Organisation gibt ihren Kunden, Partnern und wichtigen Interessengruppen die Gewissheit, dass sie die nötigen Sicherheitsmaßnahmen getroffen hat, um wertvolle Informationen und sensible Daten angemessen zu behandeln.

2. Schützt Organisationen vor Verstößen gegen den Datenschutz

Die ISO 27001-Norm definiert Richtlinien und Verfahren für Sicherheitsmaßnahmen, die – wenn sie getroffen werden – eine Organisation vor unbefugtem Zugriff auf ihre Daten und vor vollständigem Datenverlust schützen.

Durch Implementierung der vorgeschlagenen Maßnahmen sinkt zudem das Risiko, dass Datenschutzverstöße auftreten oder Bußgelder für derartige Vorfälle anfallen. Die Richtlinien decken die Informationssicherheit bereichsübergreifend ab.

Allerdings gilt es zu beachten, dass die ISO 27001 keine absolute Garantie gegen Sicherheitsvorfälle oder Datenschutzverletzungen bietet. Sie schafft jedoch einen Rahmen, um die Wahrscheinlichkeit solcher Vorfälle zu verringern und die Fähigkeit einer Organisation zu stärken, auf sie angemessen zu reagieren. Die genaue Umsetzung und Wirksamkeit der Maßnahmen hängen von der individuellen Organisation und ihrer Umgebung ab.

Für den Fall, dass doch einmal Daten in irgendeiner Weise kompromittiert werden, zeigt die ISO 27001-Norm Verfahren für verantwortungsvolles und effektives Vorfallsmanagement auf.

3. Sichert die persönlichen Daten von Mitarbeitenden ab

Unter ISO 27001 werden nicht nur sensible Daten von Dritten geschützt, sondern auch die persönlichen Daten der Mitarbeitenden einer Organisation. Eine Organisation ist dazu verpflichtet, die von ihr getroffenen Informationssicherheitsmaßnahmen allen Parteien gegenüber offenzulegen, damit diese davon Kenntnis haben, mit ihnen einverstanden sind und ihnen zustimmen können.

Dies ist eine der Voraussetzungen, damit eine Organisation unter dieser Norm als konform mit Branchenvorgaben und Arbeitsanweisungen gilt.

Vertrauen und Sicherheit im Unternehmen und der Schutz wichtiger Daten sorgt daneben auch für einige Wettbewerbsvorteile.

Risiken werden vermieden - Geschäftsabschlüsse potenziell erhöht. Denn in der Regel überzeugen zertifizierte Unternehmen in der Wahrnehmung ihrer Geschäftspartner eher als nicht-zertifizierte Mitbewerber und schließen leichter neue Geschäftsverträge ab. Von den weiteren zahlreichen Vorteilen sind dies nur einige:

- Verbesserung der Wettbewerbsfähigkeit
- Deutlich verringertes Risiko von Bußgeldern und finanziellen Verlusten durch Datenschutzverstöße
- Wahrnehmung der Marke verbessert sich stetig.
- Erlangen von Konformität in allen Bereichen (geschäftlich, rechtlich, wirtschaftlich und gesetzlich)
- Verbesserte Struktur und Fokus
- Anzahl der erforderlichen Audits sinkt
- Sie erhalten eine unvoreingenommene Bewertung zu ihrer Sicherheitslage.

Zu diesem Zweck ist jede Organisation und jedes Unternehmen dazu angehalten, ein Informationssicherheits-Managementsystem (ISMS) einzurichten – ein effizientes, technologieunabhängiges, risikobasiertes Mittel zur Absicherung von Informationswerten, das auf regelmäßigen Information Security Assessments (ISA) zur Risikobewertung beruht.

Was ist ein ISMS?

Ein Informationssicherheits-Managementsystem (ISMS) ist ein Managementsystem zur Wahrung der Informationssicherheit einer Organisation oder eines Unternehmens. Es setzt sich aus einer Reihe von Maßnahmen zusammen, die eine Organisation implementieren sollte, damit sie …

weiß, wer ihre Interessengruppen sind und welche Erwartungen diese hinsichtlich der Informationssicherheit ihrer Organisation haben,
weiß, welchen Risiken die Informationen ausgesetzt sind,
die definierten Anforderungen erreichen und dazu die Risiken managen, Maßnahmen (Sicherungsmechanismen) entwickeln und sonstige Strategien zur Schadensminderung einrichten kann,
klare Ziele definieren kann, welche Mindestmaßnahmen im Hinblick auf die Informationssicherheit zu ergreifen sind,
alle nötigen Maßnahmen und sonstigen Strategien zur Risikominderung implementieren kann,
regelmäßig überprüfen kann, inwieweit die eingerichteten Maßnahmen plangemäß funktionieren, und
fortlaufende Verbesserungen an der Gesamtleistung des ISMS vornehmen kann.

Grundsätzlich ergeben sich aus einem nach ISO 27001 zertifizierten ISMS für eine Organisation folgende Vorteile:

Konformität mit rechtlichen Vorgaben
Wettbewerbsvorteile gegenüber Mitbewerbern
Kostenreduktion oder -wegfall
Verbesserte Organisationsstruktur

Das ISMS nach ISO 27001 zertifizieren zu lassen, ist in einigen Branchen unverzichtbar, wenn es um den Abschluss großer Verträge geht. Die Zertifizierung stärkt das Vertrauen aller Geschäftspartner und trägt so zum Ausbau von Geschäftsmöglichkeiten bei.

Die ISO 27001 ist inzwischen zum „Goldstandard“ für Managementsysteme zur Informationssicherheit avanciert und wird in zahlreichen Organisationen als integraler Bestandteil ihrer Verfahren für IT-Governance-, Risiko- und Compliance-Management eingesetzt.

Nachdem wir den Begriff ISMS nun geklärt haben, sehen wir uns an, wie das ISO 27001-Framework (Rahmenwerk) eingesetzt wird und wie die beiden zusammenhängen.

Wie funktioniert die ISO 27001?

ISO 27001 ist eine Herangehensweise an Informationen, bei der die Risiken, Datenschutz und Cybersecurity im Mittelpunkt stehen. Ihr Hauptanliegen besteht darin, Risiken zur Informationssicherheit zu erkennen und sie systematisch mittels Kontrollmaßnahmen zu beheben.

Die ISO 27001-Norm ist zur klaren Strukturierung des vorgegebenen Rahmens in sogenannte Clauses (Klauseln) und Controls (Maßnahmen) unterteilt.

ISO 27001 Clauses: Was ist das und welche gibt es?

Die ISO 27001 ist der internationale Standard zur Umsetzung von Informationssicherheit. Aber wie wenden Unternehmen die Norm an und welche Anforderungen gibt es?

Diese Informationen sind in den Clauses (Klauseln) und Controls geregelt. Die Clauses erklären die Norm und geben einen detaillierten Überblick über die Anforderungen. Sie sind das Grundgerüst, dass Organisationen nutzen, um die Vorgaben des Standards zu erfüllen.

Allgemeine Clauses

Klausel 0: Einführung
Klausel 1: Anwendungsbereich
Klausel 2: Normative Bezüge
Klausel 3: Begriffe und Definitionen

Die Klauseln 0 bis 3 geben allgemeine Hinweise und führen in die Norm und ihre Begrifflichkeiten ein. Die Klauseln 4 bis 10 spezifizieren die Anforderungen, die eine Organisation für die Zertifizierung zwingend erfüllen muss.

Klausel 4: Kontext der Organisation

Diese Klausel unterstreicht die Wichtigkeit, den Kontext zu berücksichtigen, in dem sich eine Organisation bewegt. Erst der Kontext der Organisation bestimmt den Anwendungsbereich für das ISMS. Die Anforderungen können über die regulatorischen Aspekte hinausgehen. Unternehmen sollten den Kontext erkennen, die entsprechenden Anforderungen bestimmen und in ihrer Planung berücksichtigen.

Zudem ist ein wichtiger Punkt aus Clause 4, dass eine Organisation entsprechend der Anforderungen ein Informationssicherheits-Managementsystem, einschließlich der benötigten Prozesse und ihren Wechselwirkungen, aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern.

Klausel 5: Führung

Die vermutlich kritischste Komponente für den Erfolg eines ISMS ist das uneingeschränkte Engagement der obersten Führungsebene. Die Klausel verlangt von der Organisation eine Informationssicherheitspolitik zu etablieren, in der die Ziele, Rollen, Verantwortlichkeiten und Befugnisse im Bereich der Informationssicherheit eindeutig festgelegt und mit der strategischen Ausrichtung der Organisation vereinbar sind. Entsprechend sind auch die Ressourcen zur Verfügung zu stellen und die Anforderungen des ISMS in die Geschäftsprozesse der Organisation zu integrieren.

Klausel 6: Planung

Bei der Planung einer ISMS-Umgebung ist Folgendes zu berücksichtigen: Die Informationssicherheitsziele sollten sich auf die Risikobewertung stützen und mit den allgemeinen Organisationszielen einhergehen. Genauso sollten alle an der Organisation Beteiligten ihre Aktivitäten an diesen Sicherheitszielen ausrichten.

Außerdem müssen auch die Chancen durch ein ISMS bestimmt sowie die in Clause 4 definierten Themen berücksichtigt werden.

Klausel 7: Unterstützung

Bei der Einführung und Umsetzung von Informationssicherheitsrichtlinien in einer Organisation sind das Bewusstsein, die Kompetenz, die Kommunikation und das Commitment der Mitarbeiter sowie eine ordnungsgemäße Bestimmung und Bereitstellung der erforderlichen Ressourcen ausschlaggebend.

Die Klausel sieht außerdem vor, dass alle relevanten Informationen dokumentiert, erstellt, aktualisiert und kontrolliert werden. Die Intakthaltung dieser Informationen stellen die Grundlage für ein effektives ISMS dar.

Klausel 8: Betrieb

Die Organisation muss die Prozesse zur Erfüllung von Informationssicherheitsanforderungen planen und steuern, indem sie Kriterien festlegen und sicherstellen, dass die Prozesse wie vorgesehen durchgeführt werden. Es müssen außerdem regelmäßige Informationssicherheitsbeurteilungen durchgeführt und dokumentiert werden. Zudem müssen die geplanten Maßnahmen zur Behandlung von Risiken umgesetzt und ebenfalls dokumentiert werden, um ein effektives Informationssicherheitsmanagement sicherzustellen.

Klausel 9: Bewertung der Wirksamkeit

Zur Bestätigung und Bewertung der Wirksamkeit und Leistung des ISMS sowie der implementierten Maßnahmen sind interne Audits und Routineprüfungen durchzuführen. Die ISO 27001-Norm sieht zudem vor, die Zielerfüllung des ISMS anhand geeigneter Messgrößen durchgängig zu überwachen, messen, analysieren und evaluieren. Zudem muss die oberste Leitung das Informationssicherheits-Managementsystem der Organisation in geplanten Abständen bewerten, um dessen fortlaufende Eignung und Wirksamkeit sicherzustellen.

Klausel 10: Verbesserung

Zur regelmäßigen Behebung von Nichtkonformitäten und unwirksamen Maßnahmen sollte ein Prozess implementiert sein, der die stetige Verbesserung des ISMS unterstützt.

ISO 27001:2022 Controls: Welche Maßnahmen gibt es in Anhang A?

Die Controls aus der ISO 27001 Annex A (Anhang A) sind die Maßnahmen, die der Standard Unternehmen an die Hand gibt, um Risiken maßgeblich zu verringern. Welche Maßnahmen eine Organisation wählt, wird aus den vorher ermittelten Risiken bestimmt. Auf dieser Grundlage wird der Schwerpunkt festgelegt und die relevanten Kategorien gewählt.

Es gibt seit 2022 insgesamt 93 Controls, die in vier Kategorien eingeteilt sind. Elf der Controls wurden der ISO 27001 2022 neu hinzugefügt. Die vier Kategorien beschreiben dabei jeweils den Schwerpunkt des Anwendungsbereiches der Controls.

ISO 27001:2022: Elf neue Controls

Seit 2022 wurden der ISO 27001 elf neue Controls hinzugefügt, die unterschiedlichen Kategorien zugeordnet werden.

A.5.7 Erkenntnisse über Bedrohungen

Die Maßnahme „Threat intelligence“ verpflichtet Unternehmen sind dazu, Daten über potenzielle Gefahren für die Informationssicherheit zu erfassen und einer eingehenden Analyse zu unterziehen.

A.5.23 Informationssicherheit für die Nutzung von Cloud-Diensten

Unternehmen sind nach der Maßnahme „Information security for the use of cloud services“ dazu angehalten, die Informationssicherheit für die Nutzung von Cloud-Diensten festzulegen und zu verwalten.

A.5.30 IKT-Bereitschaft für Business Continuity

Unternehmen müssen einen IKT-Kontinuitätsplan erstellen, um die betriebliche Widerstandsfähigkeit aufrechtzuerhalten, damit sie die Maßnahme zur „ICT-readiness for business continuity“ erfüllen.

A.7.4 Physische Sicherheitsüberwachung

Es ist erforderlich, dass Unternehmen für die Maßnahme „Physical security monitoring“ geeignete Überwachungsinstrumente einsetzen, um externe und interne Eindringlinge zu erkennen und zu verhindern.

A.8.9 Konfigurationsmanagement

Unternehmen müssen während des „Configuration management“ Richtlinien für die Dokumentation, Implementierung, Überwachung und Überprüfung von Konfigurationen in ihrem gesamten Netzwerk festlegen.

A.8.10 Löschung von Informationen

Das Dokument „Information deletion“ enthält Anleitungen zur Verwaltung der Datenlöschung zur Einhaltung von Gesetzen und Vorschriften.

A.8.11 Datenmaskierung

Beim „Data masking“ werden Techniken zur Datenmaskierung für personenbezogene Daten (personal identifiable information, PII) zur Einhaltung von Gesetzen und Vorschriften bereitgestellt.

A.8.12 Verhinderung von Datenlecks

Unternehmen sind nach der „Data leakage prevention“ verpflichtet, technische Maßnahmen zu ergreifen, um die Offenlegung und/oder Extraktion von Informationen zu erkennen und zu verhindern.

A.8.16 Überwachung von Aktivitäten

Für die Maßnahme „Monitoring activities“ werden Richtlinien zur Verbesserung der Netzwerküberwachungsaktivitäten bereitgestellt, um anomales Verhalten zu erkennen und auf Sicherheitsereignisse und -vorfälle zu reagieren.

A.8.23 Webfilterung

Unternehmen müssen für das “Web filtering” Zugangskontrollen und Maßnahmen zur Beschränkung und Kontrolle des Zugangs zu externen Websites durchsetzen.

A.8.28 Sichere Kodierung

Die Unternehmen sind dazu verpflichtet, bewährte Grundsätze des secure coding zu implementieren, um Schwachstellen zu verhindern, die durch unzureichende Kodierungsmethoden verursacht werden könnten.

Controls nach ISO 27001: Die vier Kategorien

Die ISO 27001:2022 enthält in ihrer vollständigen Fassung 93 Controls die jeweils ihren entsprechenden Kategorien organsiatorische, personalbezogene, phasischeund technological zugeordnet sind. Die Gruppierung der Controls in vier Themenbereiche hilft Unternehmen dabei, zu entscheiden, wer für die Durchführung der Maßnahmen verantwortlich ist und welche Maßnahmen für den Kontext der Organisation relevant sind. Jede Kategorie kann einem bestimmten Schwerpunktbereich innerhalb Ihrer Organisation zugeordnet werden.

Das erleichtert es, die jeweiligen Controls selektiv auf Ihre Organisation anzuwenden. Organisatorische Controls (37 Maßnahmen)
Personalbezogene Controls (8 Maßnahmen)
Physische Controls (14 Maßnahmen)
Technologische Controls (34 Maßnahmen)

Organisatorische Controls: Maßnahmen zur organisatorischen Sicherheit

Die Risiken fallen nicht unter das Thema Personal, Technologie oder physische Sicherheit? Dann sind die organisatorischen Controls anzuwenden. Dazu gehören z.B. das Identitätsmanagement, Zuständigkeiten und das Sammeln von Beweisen.

Zu den neuen organisatorischen Controls gehören:

5.7: Erkenntnisse über Bedrohungen
5.23: Informationssicherheit für die Nutzung von Cloud-Diensten
5.30: IKT-Bereitschaft für Business Continuity

Besonders die Threat Intelligence ist eine wichtige Neuerung in diesem Bereich – denn diese Maßnahme geht über das Erkennen von bösartigen Domainnamen hinaus. Die Bedrohungsanalyse hilft Organisationen dabei, besser zu verstehen, wie sie angegriffen werden können und entsprechende Vorbereitungen zu treffen.

Personalbezogene Controls: Maßnahmen zum Schutz des Personals

Remote Work ist im Personalbereich in aller Munde. Aber die Neustrukturierung der Arbeitswelt ist auch mit Risiken verbunden – unter anderem dafür gibt es die personalbezogenen Maßnahmen der ISO 27001. Der sich auf das Personal beziehende Bereich umfasst nur acht Controls. Hier geht es vor allem um den Umgang der Mitarbeitenden mit sensiblen Informationen während ihrer täglichen Arbeit – dazu gehören z.B. die Themen Remote Work , aber auch Nondisclosure-Agreements und Screenings. Daneben sind aber auch Onboarding- und Offboarding-Prozesse sowie Verantwortlichkeiten für das Melden von Vorfällen relevant.

Physische Controls: Maßnahmen zum physischen Schutz der Organisation

Die physischen Controls umfassen die Sicherheitsüberwachung, die Wartung, die Sicherheit der Einrichtungen und die Speichermedien. In dieser Kategorie geht es darum, wie Sie sich gegen physische und umweltbedingte Bedrohungen wie Naturkatastrophen, Diebstahl und vorsätzliche Zerstörung schützen.

Zu den neuen physischen Controls gehört:

7.4: Physische Sicherheitsüberwachung

Technologische Controls: Maßnahmen zur technischen Sicherheit

Auch Technologie muss zum Schutz der Informationen ordnungsgemäß gesichert werden. Technologische Controls befassen sich daher mit Authentifizierung, Verschlüsselung und der Verhinderung von Datenlecks. Dabei helfen verschiedene Ansätze, wie Zugriffsrechte, Netzwerksicherheit und Datenmaskierung.

Zu den neuen technologischen Controls gehören:

8.1: Datenmaskierung
8.9: Konfigurationsmanagement
8.10: Löschung von Informationen
8.12: Verhinderung von Datenlecks
8.16: Überwachung von Aktivitäten
8.23: Webfilterung
8.28: Sichere Kodierung

In diesem Bereich ist eine Neuerung besonders wichtig – die Verhinderung von Datenlecks. Aber auch das Web filtering ist hilfreich: Diese Control beschreibt, wie Organisationen den Onlineverkehr filtern sollten, um zu verhindern, dass Nutzer potenziell schädliche Websites besuchen.

Sie möchten mehr zu den wichtigsten Controls der ISO 27001 wissen? Werfen Sie einen Blick in unseren Guide zu den 4 am häufigsten gescheiterten ISO 27001-Kontrollen.

Controls mit dem größten Fehlerpotenzial

Informationssicherheit ist nicht mehr nur ein Randthema – sie bildet die Grundlage für Resilienz, Erfolg und Wachstum eines Unternehmens. Viele Unternehmen fordern von ihren Geschäftspartnern und Lieferanten eine Informationssicherheitszertifizierung wie z. B. ISO/IEC 27001, in der die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) spezifiziert sind.

Ohne einen strukturierten Plan stellt die Umsetzung der ISO 27001 jedoch eine große Herausforderung dar. Auf Grundlage unserer Zusammenarbeit mit Kunden in den verschiedensten Branchen haben wir die vier häufigsten Fehler zusammengestellt, die bei der Umsetzung von Maßnahmen nach ISO 27001 auftreten – sowie Tipps, wie Ihr Unternehmen die gängigsten Fehler vermeiden kann.

Bevor wir tiefer einsteigen, sollten wir uns kurz ansehen, welche Maßnahmen die ISO 27001 vorsieht.

In der ISO 27001 gibt es insgesamt zehn Hauptkapitel sowie vier Maßnahmenkataloge im Anhang A, die insgesamt 93 detaillierte Zielsetzungen für Maßnahmen umfassen. Durch diese Maßnahmen werden u. a. Bereiche wie Kryptographie, Compliance, Betriebssicherheit abgedeckt.

Zusammenfassend kann Anhang A als ein Katalog von einzelnen Sicherheitsanforderungen verstanden werden. Wie Sie beim Aufbau Ihres ISMS auf diese Anforderungen reagieren, hängt von der Art Ihres Unternehmens ab.

Werfen wir also einen Blick auf einige der anspruchsvollsten Maßnahmen, die ein Unternehmen umsetzen muss – Lieferantensicherheit, Betriebssicherheit, Kommunikationssicherheit und Asset-Management.

Ist die ISO 27001 Pflicht für Unternehmen?

Die ISO 27001-Norm erkennt die Vielfalt der Bedürfnisse und Anforderungen in Bezug auf Informationssicherheit in jeder Organisation an. Sie legt nahe, dass die Sicherheitsmaßnahmen individuell angepasst werden sollten. Während die ISO 27001-Konformität nicht überall zwingend erforderlich ist, schreiben einige Länder für bestimmte Branchen die Einhaltung vor.

Sowohl öffentliche als auch private Organisationen haben die Möglichkeit, in ihren Verträgen und Abkommen von Partnern und Lieferanten die Einhaltung der ISO 27001 als vertragliche Bedingung zu fordern. Ebenso können Länder den Schutz der Bürgerdaten durch die in ihrem Land tätigen Organisationen durch ISO 27001-Konformität fordern und sicherstellen. Dies kann je nach Land und Branche variieren.

Unsere Checkliste: Wie erlangt man ISO 27001-Konformität?

Selbst wenn sie keine offizielle Zertifizierung anstreben, besteht für Organisationen jederzeit die Option, Konformität mit den ISO 27001-Standardvorgaben zu verfolgen. Die folgende Auflistung zeigt, welche Best Practices Sie hierzu am besten umsetzen, und lässt sich sehr gut als Checkliste verwenden:

Ermitteln Sie in Gesprächen mit Ihren Interessengruppen, welche Erwartungen an die Informationssicherheit bei ihnen bestehen.
Stecken Sie den Anwendungsbereich Ihres ISMS sowie die Maßnahmen zur Informationssicherheit ab.
Definieren Sie eine klare Sicherheitsrichtlinie.
Führen Sie eine ISO 27001-Risikobewertung durch, um jegliche bestehenden und potenziellen Risiken hinsichtlich Ihrer Informationssicherheit aufzudecken.
Führen Sie Maßnahmen und Risikomanagementmethoden ein, die klare Ziele vorgeben.
Evaluieren Sie die Wirksamkeit Ihrer Praktiken zur Informationssicherheit fortlaufend und führen Sie diesbezüglich regelmäßig Risikobewertungen durch.

Checkliste: ISO 27001-Konformität

In Einzelschritte aufgebrochen, sieht der Weg zur ISO 27001-Konformität wie folgt aus:

1. Bereiten Sie sich gut vor

Beim Durchlesen der Norm erhalten Sie bereits einen guten Einblick in die ISO 27001 und ihre Anforderungen. Darüber hinaus gibt es zahlreiche Möglichkeiten, sich weiteres Wissen zur ISO 27001 anzueignen.

Bei uns können Sie sich kostenlos eine Roadmap zur Implementierung herunterladen, die diese Norm ausführlich bespricht.

2. Definieren Sie Ihren Kontext, Anwendungsbereich und Ihre Ziele

Als zentrales Kriterium für den Erfolg hat sich bewährt, zuallererst die Projekt- und ISMS-Ziele und damit einhergehend den Budget- und Zeitrahmen festzulegen. Außerdem braucht es an diesem Punkt eine Entscheidung, ob Sie zur Umsetzung dieses Vorhabens intern über die nötigen Fachkenntnisse und Ressourcen verfügen oder besser einen Berater hinzuziehen.

3. Involvieren Sie das Management ordnungsgemäß und frühzeitig

Ein Management-Framework definiert sämtliche Verfahren, die eine Organisation zur Erreichung ihrer ISO 27001-Implementierungsziele umsetzen muss.

Die Accountability also, wer im Management das ISMS verantwortet, ein Zeitplan aller Aktivitäten und die regelmäßige Überprüfung des ISMS auf seine Wirksamkeit gehören zu den Mechanismen, die zyklisch für Verbesserung des ISMS sorgen.

4. Führen Sie eine Risikobeurteilung durch

Die ISO 27001 verlangt zwar die Durchführung einer formellen Risikobewertung, gibt dafür aber keine Methodik vor.

Als „formell“ gilt: Die Vorgehensweise zur Risikobewertung wird im Vorfeld geplant und die zugehörigen Daten, Analysen und Ergebnisse werden dokumentiert.

5. Implementieren Sie Maßnahmen zur Risikobehandlung

Es ist Aufgabe der Organisation festzulegen, wie mit den aufgedeckten Risiken im Weiteren zu verfahren ist. Sollen sie vermieden, transferiert, akzeptiert oder mitigiert werden?

Sämtliche Entscheidungen, die zur Risikobehandlung getroffen werden, sind zu dokumentieren. Diese wird ein Auditor während eines Registrierungs- bzw. Zertifizierungsaudits sehen wollen. Wenn Sie sich für die Mitigation von Risiken entschieden haben, ist es wichtig, dass Sie die Maßnahmen, bspw. auf Grundlage der Controls aus der ISO 27002, entsprechend implementieren.

6. Überprüfen und aktualisieren Sie die zugehörige Dokumentation

Dokumentation ist eine der Anforderungen, um die Sie bei ISO 27001 nicht herumkommen – Sie müssen alle Prozesse, Regeln und Verfahren, die zu Ihrem ISMS gehören, dokumentieren, um ihre angemessene Umsetzung sicherstellen zu können. Die Norm verlangt die Dokumentation folgender Aspekte:

- Verstehen der Organisation und ihres Kontextes (bspw. durch eine Umweltanalyse)
- Identifizierung der interessierten Parteien
- Anwendungsbereich des ISMS
- Management Commitment kommuniziert
- Rollen und Verantwortlichkeiten im Rahmen des ISMS
- Chancen und Risiken Management
- Change Management Planung
- Ressourcenplanung
- Protokolle zu Entscheidungen in Bezug auf das Risikomanagement
- Schulungen
- Kommunikationsmatrix
- Planung/Richtlinie zum Dokumentenmanagement
- Framework mit Informationssicherheitsrichtlinien sowie die Informationssicherheitsleitlinie
- Verfahren zum Risikomanagement in Bezug auf Informationssicherheit
- Statement of Applicability (SoA, Erklärung zur Anwendbarkeit)
- Ziele zur Informationssicherheit
- Nachweis der Kompetenz
- Informationen, die aus Sicht der Organisation für die Wirksamkeit des ISMS erforderlich sind
- Kontrolle und Planung von Tätigkeiten
- Nachweise zur Ergebnisüberwachung und –messung und Bewertung
- Verfahrensweise für interne Audits
- Verfahrensweise zum Management Review
- Nachweise zum Audit-Programm sowie seinen Audit-Ergebnissen
- Nachweise zu den Ergebnissen von Management Reviews
- Nachweise zu der Art aufgetretener Nichtkonformitäten und aller daraufhin getroffenen Maßnahmen
- Nachweise zu den Ergebnissen sämtlicher Korrektur- und Verbesserungsmaßnahmen, die getroffen wurden

7. Stellen Sie sich selbst auf den Prüfstand – Messen, Nachverfolgen und Evaluieren

Fortlaufende Verbesserung ist einer der Eckpfeiler der ISO 27001. Hierzu müssen Sie wissen, wie wirksam die Maßnahmen Ihres ISMS greifen und wie ISMS-konform Sie in der Organisation agieren. Fortlaufende Überwachung und Analysen enthüllen, an welchen der bestehenden Prozesse und Maßnahmen Änderungen nötig sind.

8. Führen Sie ein internes Audit durch

Interne Audits Ihres ISMS sind nach ISO 27001 regelmäßig durchzuführen. Hierzu benötigt der durchführende interne Auditor, die die Prüfung der Konformität mit ISO 27001 verantwortet, praktisches Wissen zur Vorgehensweise als Lead Auditor, sowie die Objektivität und Unparteilichkeit sichergestellt werden

An dieser Stelle bietet sich auch die ISO 27001-Zertifizierung an, sofern Ihre Organisation bereits volle Konformität erreicht hat – insbesondere dann, wenn Sie sich an die Best Practices gehalten haben und die Informationssicherheitsverfahren Ihrer Organisation bereits den Anforderungen der Norm folgen.

Was kostet eine ISO 27001-Zertifizierung?

Die Kostenfrage zur Zertifizierung nach ISO 27001 lässt sich nicht pauschal beantworten. Es gilt: Je komplexer die Anforderungen, desto aufwendiger ist die Vorbereitung. Die Kosten variieren also, je nach Bedarf und Grad der Umsetzung. Sowohl die Projektdauer, der Einsatz eigener Ressourcen, der Umfang der bestehenden Infrastruktur als auch die Größe des eigenen Unternehmens beeinflussen die Kostenschätzung.

Organisationsgröße und Komplexität der Informationsprozesse
Anwendungsbereiche des ISO 27001-Zertifikats
Reifegrad des bereits bestehenden ISMS
Größe der Diskrepanz zwischen dem aktuellen Status und dem Zielstatus für das Kontrollsystem
Interne Ressourcen zur Umsetzung der ISO 27001
Zeitrahmen, der für die Zertifizierung zur Verfügung steht
Externe Beratung
Kosten für die externen Audits durch eine Zertifizierungsstelle

Eine detaillierte Kostenaufstellung finden Sie in unserem Leitfaden zu den Kosten einer ISO 27001-Zertifizierung

ISO 27001: Mit dem Framework zu mehr Sicherheit

Eine Zertifizierung nach ISO 27001 erleichtert die Einhaltung gesetzlicher Anforderungen, unterstreicht die Vertrauenswürdigkeit Ihres Unternehmens gegenüber Ihren Geschäftspartnern und ist ein Beweis für Ihr Engagement, die höchsten Informationssicherheitsstandards zu erfüllen. Ihr Markenwert wird eindeutig gesteigert und führt zweifellos zu einer Win-Win-Situation. Informieren Sie sich in unserer ISO 27001 Checkliste darüber, welche Maßnahmen Sie zur Umsetzung der ISO 27001 implementieren müssen.

Benötigen Sie Orientierungshilfen im Bereich der Informationssicherheit oder bei der Vorbereitung auf ein Zertifizierungsaudit? Wir helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Informationssicherheitsexperten.