Warum die ISO 27001 für jedes KMU ein Muss ist & sie davon profitieren

In diesem Beitrag haben wir alles Wichtige für Sie zusammengestellt: was ISO 27001 genau ist, wie dieser Standard Sie und ihr KMU unterstützen kann, welche Möglichkeiten zur ISO 27001-Zertifizierung es gibt, welche Voraussetzungen Sie dafür erfüllen müssen, wie lange es dauert und einiges mehr.

Was ist ISO 27001 und die ISO 27001-Zertifizierung – eine Kurzübersicht 

Lassen Sie uns zunächst einen Blick darauf werfen, worum es sich bei dem ISO 27001-Standard handelt und in welchem Zusammenhang die ISO 27001-Zertifizierung dazu steht.

• Die ISO 27001 ist ein internationaler Standard zur Regelung der Informationssicherheit in Organisationen, der weltweit anerkannt ist. Ihr Hauptzweck besteht darin, in Unternehmen dafür zu sorgen, dass ihre Daten bei Bedarf leicht abrufbar sind, jedoch nur Personen darauf zugreifen und sie ändern können, die dafür auch autorisiert sind.
  
  
• ISO 27001 bietet Unternehmen jeder Größe und Branche einen Rahmen, wie sie ein effektives und zuverlässiges System zur sicheren Verwaltung ihrer Daten aufsetzen können. Sogenannte Clauses (Klauseln) definieren in diesem Rahmen die Anforderungen, während ein Regelsatz, der als Controls (Maßnahmen) bezeichnet wird, die Regeln für ein Informationssicherheits-Managementsystem (ISMS) vorgibt.

• Unternehmen, die ihr ISMS den Anforderungen der ISO 27001 gemäß aufsetzen, können sich nach ISO 27001 zertifizieren lassen, also die ISO 27001-Zertifizierung erlangen. (Kurz gesagt bedeutet dies, dass Ihr ISMS von einem unabhängigen Zertifizierungsgremium als konform bestätigt wird.)

Der wichtigste Punkt hier ist, dass der ISO 27001-Standard von jeder Organisation dazu genutzt werden kann, um ein eigenes Informationssicherheitssystem umzusetzen, das internationalen Sicherheitsstandards entspricht. Für Sie bietet dies den Vorteil, dass Ihre Systeme und die von Ihnen gesammelten Informationen zum einen gut organisiert werden und zum anderen vor allerlei Arten von Bedrohungen abgesichert sind – auch zukünftigen.

Nachdem Sie nun wissen, worum es sich bei der ISO 27001 handelt, werfen wir einen Blick darauf, was es Ihrem Unternehmen bringen kann, Ihre Systeme ISO 27001-konform zu gestalten: 

Welche Vorteile hat die ISO 27001-Konformität und in welcher Weise profitieren KMU davon?

1. Sie erhöht Ihre Glaubwürdigkeit
   Als international anerkannter Standard steigert die ISO 27001 das Vertrauen von Konsumenten weltweit, da die Konformität aus ihrer Sicht die Glaubwürdigkeit eines Unternehmens unterstreicht. Die Konsumenten können erkennen, dass Sie zum Schutz ihrer persönlichen Daten internationale Standards anwenden, was ihnen zeigt, dass Ihnen Datenschutz und die Bewahrung ihrer Privatsphäre ein wichtiges Anliegen ist.
2. Sie gibt Ihnen einen Wettbewerbsvorteil
   Mit Ihrer ISO 27001-Konformität signalisieren Sie Ihren Geschäftspartnern und Interessenten, dass Sie Datenschutz und Informationssicherheit sehr ernst nehmen. Einige Unternehmen arbeiten nur mit Geschäftspartnern zusammen, die ISO 27001-konform arbeiten oder ISO 27001-zertifiziert sind.
3. Sie bewahren Konformität – auch mit anderen Vorgaben
   Die Vorgaben zu Datenschutz und Informationssicherheit variieren je nach Region und Sektor. Länderübergreifend geltende Gesetze und Regelungen wie die DSGVO müssen zwingend eingehalten werden. Für KMU ist die ISO 27001 hier eine effiziente Hilfe und verhindert Strafgebühren.
4. Sie optimiert Prozesse und steigert Ihre Effizienz
   KMU wachsen manchmal quasi über Nacht. Wenn bei Ihnen rasantes Geschäftswachstum eintritt, kann es mitunter schwierig werden, aktuelle Prozesse zu befolgen oder gesammelte Informationen wieder aufzufinden.

Die ISO 27001 sorgt dafür, dass Sie Ihre Daten an einem zentralen Ort verwalten, und sie gibt Ihnen die Gelegenheit, sämtliche Prozesse sauber zu dokumentieren.

Damit Sie als KMU diese Vorteile wirklich ausschöpfen können, müssen Sie die Anforderungen der ISO 27001 kennen.

Welche Anforderungen bestehen im Rahmen der ISO 27001?

Bevor Sie Ihr ISMS, also Ihr Informationssicherheits-Managementsystem, ISO 27001-konform gestalten können, müssen Sie zunächst die Anforderungen verstanden haben. Wie oben bereits erwähnt, setzt sich die ISO 27001 aus Clauses (Klauseln) zusammen. Die Anforderungen der ISO 27001 sind in den Klauseln 4 bis 10 dargelegt. 

• Klausel 4: Kontext der Organisation
  Dieser Schritt ist einfach. Sie müssen definieren, was Sie mit Ihrem ISMS erreichen möchten. Hierzu zählt auch, welche Informationen Sie schützen möchten.

• Klausel 5: Führung
  Ein absolutes Muss, damit das ISMS erfolgreich umgesetzt werden kann, ist die Beteiligung der Unternehmensleitung. Für Sie bedeutet dies, dass sich dedizierte Personen des Themas ISO 27001-Konformität annehmen und sie vorantreiben müssen.

• Klausel 6: Planung
  Für die Aufsetzung von Richtlinien und die Einrichtung des ISMS braucht es eine gründliche Planung. Erst wenn Sie die Risiken für Ihre Informationssicherheit kennen, können Sie daraus ableiten, welche Sicherheitsrichtlinien Sie benötigen, um diese zu mindern. Bei ihrer Aufsetzung gilt zu berücksichtigen, dass jede Sicherheitsrichtlinie immer auch an Ihre übergeordneten Ziele der Informationssicherheit geknüpft ist.  

• Klausel 7: Unterstützung
  Ausschlaggebend für den Erfolg bei der Umsetzung ist, dass Ihre Mitarbeiter Ihre Konformitätsbestrebungen durchgängig mit unterstützen. Damit dies gelingt, empfiehlt es sich, jegliche konformitätsbezogenen Informationen zu dokumentieren, aufzuzeichnen, regelmäßig zu aktualisieren und sicher und nur für ausgewählte Personen zugänglich aufzubewahren.

• Klausel 8: Betrieb
  Von Ihnen wird erwartet, dass Sie mehrere Pläne zum Umgang mit Risiken aufstellen, wozu auch die Reduktion der Risikowahrscheinlichkeit und die Einrichtung von Risikokontrollen gehören. Außerdem wäre es hilfreich, alle bereits in der Vergangenheit erkannten Risiken in Ihrem Unternehmen anzugehen.

• Klausel 9: Bewertung der Wirksamkeit
  Zur Beurteilung und Bestätigung der Wirksamkeit und Leistung Ihrer implementierten Maßnahmen ist es wichtig, regelmäßig interne Audits durchzuführen, mit denen Sie Ihr ISMS und Ihre Richtlinien überwachen, messen, analysieren und evaluieren können.
• Klausel 10: Verbesserung
  Damit sichergestellt ist, dass Ihr Prozess stets auf dem neuesten Stand und konform mit dem ISO 27001-Standard ist, sollten Sie Ihre Maßnahmen und Richtlinien regelmäßig aktualisieren und verbessern, um der fortlaufenden Entwicklung der Gesetzeslage rund um den Datenschutz Rechnung zu tragen und veraltete Prozesse zu identifizieren und auszuräumen.

Zur Umsetzung der oben aufgeführten Klauseln enthält die ISO 27001 mehrere Controls. Das sind Maßnahmen bzw. Regelsätze, die Ihr KMU befolgen kann. Diese Maßnahmen beziehen sich auf sechs wichtige Fokusbereiche der Sicherheit:

• Annex A.15: Informationssicherheitsrichtlinie für das Unternehmen
• Annex A.8: Asset-Management
• Annex A.11: Physische und Umgebungssicherheit
• Zugangssteuerung
• Annex A.16: Management von Informationssicherheitsvorfällen (Incident Management)
• Annex A.18: Compliance mit rechtlichen Vorgaben

Diese Angaben entsprechen Anhang A (Annex A) des ISO 27001-Standards. Unser Leitfaden enthält weitere Erläuterungen hierzu. Eine ausführlichere Anleitung zur Implementierung der ISO 27001-Richtlinien in Ihrem Unternehmen finden Sie in unserer ISO 27001-Roadmap.

Wenn Sie sowieso schon dabei sind, an Ihrer ISO 27001-Konformität zu arbeiten, könnten Sie sich auch überlegen, sich gleich nach ISO 27001 zertifizieren zu lassen. Für die Zertifizierung müssen Sie lediglich die ISO 27001-Klauseln erfüllen. Sprich: Sie können sich für die Zertifizierung qualifizieren, während Sie nach und nach Konformität herstellen. So erledigen Sie beides in einem Abwasch.

Auf welche Weise können KMU die ISO 27001-Zertifizierung erlangen?

Für KMU stehen drei Wege offen, wenn sie sich nach ISO 27001 zertifizieren lassen möchten:

Option 1: Sie selbst durchführen

Option 2: Eine Zertifizierungsagentur beauftragen

Option 3: Eine Kombination aus beidem

Es gibt zwar eine ganze Reihe von Anleitungen, die ISO 27001-Zertifizierung in Eigenregie durchzuführen, diese sind allerdings sehr allgemein gehalten und nicht auf die Bedürfnisse des jeweiligen Unternehmens zugeschnitten. Im Idealfall sollte die ISO 27001-Zertifizierung ein personalisiertes Erlebnis sein, denn kein Unternehmen ist gleich und jedes hat ganz eigene Herausforderungen.

Nachdem Sie nun Ihre Optionen für die ISO 27001-Zertifizierung kennen, widmen wir uns der Frage, wie lange es dauert, bis man zertifiziert ist.

Wie lange dauert die Zertifizierung?

Der Zertifizierungsvorgang für ISO 27001 gliedert sich in drei Hauptschritte:

• Review Ihrer Dokumentation
  Ein Auditor von einem unabhängigen Zertifizierungsgremium prüft Ihre vorhandene Dokumentation unter dem Aspekt, ob sie den Vorgaben des Standards entspricht.
• Eigentliches Audit
  Ein Auditor stellt fest, ob Ihr Unternehmen für ein vollständiges Audit bereit ist. Falls ja, wird Ihr ISMS einer genauen Prüfung unterzogen, ob es in allen Punkten mit dem ISO 27001-Standard konform geht. Verläuft dieses Audit erfolgreich, erhalten Sie Ihre Zertifizierung. 
• Audit zur Statusüberwachung
  Ein Auditor überprüft stichprobenartig Teile Ihres ISMS.

Die Dauer* der einzelnen Schritte variiert je nach Auditor, Komplexität Ihres ISMS und Anzahl der Mitarbeitenden in Ihrem kleinen oder mittleren Unternehmen:

• 1 bis 20 Mitarbeitende – bis zu 3 Monate
• 20 bis 50 Mitarbeitende – 3 bis 5 Monate
• 50 bis 200 Mitarbeitende – 5 bis 8 Monate
• mehr als 200 Mitarbeitende – 8 bis 20 Monate

*Bitte beachten Sie, dass es sich bei den gannten Dauern nur um Schätzungen auf Basis unserer Erfahrung handelt. Einzelne Zertifizierungsverfahren können von diesen Zeiten abweichen.

Sobald Sie Ihr ISO 27001-Zertifikat ausgehändigt bekommen, gilt die Zertifizierung für 3 (drei) Jahre. Dabei gilt zu bedenken, dass das Zertifikat alle 3 (drei) Jahre durch eine Rezertifizierung bestätigt werden muss, damit es gültig bleibt. Im Rahmen der ISO 27001-Zertifizierung sind außerdem jedes Jahr Audits zur Überwachung Ihrer Konformität vorgesehen. DataGuard kann Ihnen helfen, diese zu organisieren und sich darauf vorzubereiten.

Da Sie nun wissen, wie lange der gesamte Vorgang dauern kann, möchten wir Ihnen noch einige Tipps mit auf den Weg geben, die nützlich sein könnten, während Sie auf Ihre Zertifizierung hinarbeiten.

Tipps für KMU für die ISO 27001-Zertifizierung:

1. Halten Sie es einfach
   Die Richtlinien, Prozesse und Verfahren Ihres Informationssicherheits-Managementsystems müssen jederzeit bei Bedarf leicht zugänglich sein. Gleiches gilt für Audit-bezogene Unterlagen, wie beispielsweise Management Reviews und interne Audits. Der beste Weg, um diese leicht zugänglich zu machen, besteht darin, diese Informationen auf einer einzigen zentralen Plattform sicher zu speichern.
   
   
2. Nehmen Sie potenzielle Auditoren und ISO 27001-Berater unter die Lupe
   Bevor Sie einen neuen Vertrag unterzeichnen, sollten Sie sich unbedingt die Zeit für ein Gespräch mit den ausgewählten Auditoren nehmen, damit Sie feststellen können, ob sie für Ihr Unternehmen die richtige Wahl sind.

Auf ISO 27001 spezialisierte Berater und Auditoren haben sehr unterschiedliche Hintergründe und „Sympathiepunkte“. Deshalb ist es wichtig, eine Person auszuwählen, die bereits mit verschiedenen Unternehmen zusammengearbeitet hat. Letztendlich müssen Sie der Person jedoch vertrauen können. 

Sobald Sie sich für die beste Verfahrensweise zur Erlangung der ISO 27001-Zertifizierung für Ihr Unternehmen entschieden haben, ist noch zu klären, wie Sie sich zertifizieren lassen.

Wie kann DataGuard KMU bei der ISO 27001-Zertifizierung unterstützen?

DataGuard unterstützt Unternehmen aus unterschiedlichsten Branchen bei der Implementierung und Erlangung der ISO 27001-Zertifizierung. 

Im Rahmen unserer ISO 27001-Zertifizierungslösung erhalten Sie:

1. Kostenlose Erstberatung
   In einem kostenlosen und völlig unverbindlichen Vorgespräch können Sie uns nach Belieben über DataGuard und unser Serviceangebot ausfragen.
2. Auf Ihr Unternehmen zugeschnittene Lösungen
   100 % unserer Anwender schaffen die Zertifizierung im ersten Anlauf. Nach eingehender Beratung mit Ihnen stellt unser Team einen auf Ihr Unternehmen zugeschnittenen Plan mit der für Sie besten Vorgehensweise auf.
3. Kosteneffizienz
   Sie haben Zugang zu benutzerfreundlichen Methodiken, detailreichen Erläuterungen und einem engagierten Experten, der Sie auf jedem Ihrer Schritte begleitet.
4. Ein benutzerfreundliches ISMS
   Unsere Info-Sec-Plattform wird zu Ihrem aktiven ISMS. Hier können Sie alle Ihre Assets, Dokumente, Risiken und Audits an einem zentralen Ort hinterlegen und nachverfolgen.

Haben Sie Interesse an einer ISO 27001-Zertifizierung? Vereinbaren Sie jetzt einen Termin mit uns.

FAQ: Häufige Fragen

Wo fange ich an, wenn ich die ISO 27001 umsetzen möchte?

Die Implementierung des ISO 27001-Standards erfolgt in sechs Schritten. Im ersten Schritt stellen Sie Ihr Team zusammen und im letzten werden Sie zertifiziert. Sehen Sie sich dazu unsere Roadmap für die ISO 27001-Implementierung an.

Benötige ich noch eine andere Zertifizierung, wenn ich ISO 27001 habe?

Das kommt darauf an. Der britische Standard Cyber Essentials ergänzt die internationale ISO 27001. Auch die European Union Agency for Cybersecurity (ENISA) arbeitet aktuell an einer eigenen Zertifizierung („EU Cybersecurity Certification“), die aus 3 verschiedenen Rahmenwerken bestehen wird. Die auf Informations- und Kommunikationstechnologieprodukte bezogene „EUCC“ ist fast fertig. Des Weiteren wird es eine Zertifizierung für Cloud-Services („EUCS“) und eine für 5G-Netze („EU5G“) geben. Sollte Ihr Unternehmen an Ausschreibungen von Regierungsorganisationen teilnehmen, benötigen Sie sehr wahrscheinlich auch eine weitere der hier genannten Zertifizierungen.

Läuft die ISO 27001-Zertifizierung ab?

Ja, die Zertifizierung nach ISO 27001 gilt für drei Jahre ab dem Zeitpunkt der Zertifizierung. Um Konformität mit ihr zu wahren, müssen Sie interne Audits durchführen, fortlaufend ein Auge auf die Risiken in veränderlichen Bereichen Ihres Unternehmens haben und diese überwachen und angehen. Außerdem sind weitere Prozesse zur ISO 27001-Rezertifizierung erforderlich.

Auf welchen drei tragenden Säulen ruht die ISO 27001?

Vertraulichkeit, Integrität und Verfügbarkeit (CIA: Confidentiality, Integrity und Availability) sind die drei Grundprinzipien der Informationssicherheit. Sie sorgen dafür, dass Ihre Daten sicher und vor unerwünschtem Zugriff geschützt sind.

Worin besteht der Unterschied zwischen der DSGVO und der ISO 27001?

ISO 27001 ist eine freiwillige Zertifizierung, bei der Unternehmen ihre vertraulichen Informationen anhand des Risikos managen müssen. Im Gegensatz dazu ist die Datenschutzgrundverordnung (DSGVO) auf den Schutz personenbezogener Daten innerhalb der EU und Deutschlands ausgelegt. 

Sie ist rechtlich verpflichtend von allen Unternehmen einzuhalten, die im EU-Raum sowie im Vereinigten Königreich (UK) geschäftstätig sind.

Welche Branchen benötigen eine ISO-Zertifizierung?

An sich profitieren alle Unternehmen, die personenbezogene Daten verarbeiten, von der ISO-Zertifizierung. In einigen Industriezweigen ist sie jedoch besonders hilfreich, so beispielsweise in der IT-Branche, dem Telekommunikationsbereich und in der Finanzbranche.