ISO 27001:2022: Informationssicherheit systematisch managen

  • Beitrags-Kategorie:ISO 27001

Ein falscher Klick auf eine Phishing-Mail, ein unzureichend geschütztes Cloud-Konto oder ein ehemaliger Mitarbeiter mit weiterhin gültigen Zugriffsrechten: Informationssicherheitsvorfälle entstehen nicht nur durch ausgefeilte Cyberangriffe. Häufig liegen die Ursachen in unklaren Verantwortlichkeiten, fehlenden Prozessen oder mangelndem Sicherheitsbewusstsein.

Genau hier setzt die ISO/IEC 27001:2022 an. Sie definiert Anforderungen an ein Informationssicherheitsmanagementsystem, kurz ISMS, und ist grundsätzlich für Organisationen jeder Größe und Branche anwendbar. Ihr Ziel ist es, Informationen durch einen systematischen und risikobasierten Ansatz hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.  

Kernaussage: Informationssicherheit entsteht nicht durch einzelne technische Maßnahmen. Sie entsteht durch ein dauerhaft gesteuertes Zusammenspiel aus Menschen, Prozessen, Verantwortlichkeiten und Technik.

Was ist die ISO/IEC 27001:2022?

Die ISO/IEC 27001 ist der international bekannte Standard für Informationssicherheitsmanagementsysteme. Die aktuelle Grundausgabe wurde im Oktober 2022 als dritte Edition veröffentlicht. Umgangssprachlich wird häufig nur von „ISO 27001“ gesprochen. Die offizielle Bezeichnung lautet jedoch ISO/IEC 27001, da die Norm gemeinsam von ISO und IEC veröffentlicht wird.  

Die Norm beschreibt nicht einfach eine Liste technischer Schutzmaßnahmen. Sie fordert ein Managementsystem, mit dem eine Organisation ihre Informationsrisiken:

  • identifiziert,
  • bewertet,
  • behandelt,
  • überwacht und
  • fortlaufend verbessert.

Ein ISMS verbindet damit die strategische Ebene der Unternehmensleitung mit der praktischen Umsetzung im Arbeitsalltag.

Was ist ein ISMS?

Ein Informationssicherheitsmanagementsystem ist kein einzelnes Softwareprodukt. Es ist ein organisatorischer Rahmen aus verbindlichen Regeln, Zuständigkeiten, Prozessen, Risikoanalysen, Sicherheitsmaßnahmen und Kontrollen.

Zu einem wirksamen ISMS gehören beispielsweise:

  • ein klar festgelegter Geltungsbereich,
  • eine Informationssicherheitspolitik,
  • definierte Rollen und Verantwortlichkeiten,
  • ein Verfahren zur Risikobewertung,
  • Maßnahmen zur Risikobehandlung,
  • dokumentierte Sicherheitsregeln,
  • Schulungen und Sensibilisierungsmaßnahmen,
  • interne Audits,
  • Managementbewertungen sowie
  • die Behandlung von Abweichungen und Sicherheitsvorfällen.

Die ISO/IEC 27001 verlangt, dass dieses System nicht nur eingeführt, sondern auch aufrechterhalten und kontinuierlich verbessert wird.  

Die drei grundlegenden Schutzziele

Im Mittelpunkt der Informationssicherheit stehen drei zentrale Schutzziele:

SchutzzielBedeutungPraxisbeispiel
VertraulichkeitInformationen dürfen nur von berechtigten Personen eingesehen oder verwendet werden.Personalakten sind ausschließlich für autorisierte Beschäftigte zugänglich.
IntegritätInformationen müssen richtig, vollständig und vor unbemerkter Veränderung geschützt sein.Freigegebene Vertragsdaten dürfen nicht unkontrolliert verändert werden.
VerfügbarkeitInformationen und Systeme müssen bei Bedarf nutzbar sein.Ein Warenwirtschaftssystem muss auch nach einem Serverausfall zeitnah wiederhergestellt werden können.

Die ISO beschreibt diese drei Prinzipien auch als zentrale Grundlage eines normkonformen Informationssicherheitsmanagementsystems.  

Ein Risiko kann mehrere Schutzziele gleichzeitig betreffen. Bei einem Ransomware-Angriff können Daten beispielsweise verschlüsselt und damit nicht mehr verfügbar sein. Werden sie zusätzlich kopiert oder veröffentlicht, ist auch ihre Vertraulichkeit betroffen.

Wie ist die ISO/IEC 27001 aufgebaut?

Die wesentlichen Anforderungen befinden sich in den Abschnitten 4 bis 10. Diese Struktur folgt dem Aufbau moderner ISO-Managementsystemnormen und erleichtert die Verbindung mit anderen Systemen, etwa einem Qualitäts- oder Umweltmanagementsystem. Das offizielle ISO-Praxishandbuch zur Norm beschreibt ebenfalls die Kernstruktur von Abschnitt 4 bis Abschnitt 10.  

NormabschnittInhaltZentrale Fragestellung
4 – Kontext der OrganisationOrganisation, interessierte Parteien, Geltungsbereich und ISMSWelche internen und externen Rahmenbedingungen müssen berücksichtigt werden?
5 – FührungVerantwortung der Leitung, Informationssicherheitspolitik und RollenWie übernimmt die Unternehmensleitung Verantwortung?
6 – PlanungRisiken, Chancen, Sicherheitsziele und RisikobehandlungWelche Risiken bestehen und wie werden sie behandelt?
7 – UnterstützungRessourcen, Kompetenz, Bewusstsein, Kommunikation und DokumentationWelche Voraussetzungen benötigt das ISMS?
8 – BetriebOperative Planung, Risikobewertung und RisikobehandlungWie werden die geplanten Prozesse praktisch umgesetzt?
9 – Bewertung der LeistungÜberwachung, Messung, interne Audits und ManagementbewertungIst das ISMS wirksam und erreicht es seine Ziele?
10 – VerbesserungAbweichungen, Korrekturmaßnahmen und fortlaufende VerbesserungWie wird aus Fehlern und Veränderungen gelernt?

Diese Struktur zeigt: Informationssicherheit ist kein einmaliges Projekt. Sie muss geplant, umgesetzt, überprüft und verbessert werden.

Annex A: 93 Controls in vier Themenbereichen

Der Annex A der ISO/IEC 27001:2022 enthält einen Referenzkatalog mit 93 Informationssicherheits-Controls. Diese sind in vier Themenbereiche gegliedert:

ThemenbereichAnzahl der ControlsBeispiele
Organisatorische Controls37Richtlinien, Verantwortlichkeiten, Lieferanten, Vorfallmanagement
Personenbezogene Controls8Sensibilisierung, Schulung, Vertraulichkeit, mobiles Arbeiten
Physische Controls14Zutrittskontrolle, Schutz von Räumen und Geräten
Technologische Controls34Zugriffsrechte, Backups, Protokollierung, Verschlüsselung, sichere Entwicklung
Gesamt93

Die Einteilung in 37 organisatorische, 8 personenbezogene, 14 physische und 34 technologische Controls wurde mit der 2022er Fassung neu strukturiert.  

Müssen alle 93 Controls umgesetzt werden?

Nein. Annex A ist keine starre Checkliste, die von jeder Organisation vollständig und identisch umgesetzt werden muss.

Die Organisation muss zunächst ihre eigenen Informationssicherheitsrisiken ermitteln und daraus die erforderlichen Maßnahmen ableiten. Anschließend werden diese notwendigen Controls mit dem Referenzkatalog aus Annex A verglichen. Dadurch soll verhindert werden, dass bei der Risikobehandlung wesentliche Maßnahmen übersehen werden.

Die Auswahl, der Umsetzungsstatus und die Begründungen werden in der Erklärung zur Anwendbarkeit, der sogenannten Statement of Applicability oder SoA, dokumentiert. Auch der Ausschluss nicht benötigter Annex-A-Controls muss nachvollziehbar begründet werden. Eine Auditing Practices Note des zuständigen ISO/IEC-Gremiums erläutert ausdrücklich, dass Annex A als Referenzsatz dient und die Notwendigkeit eines Controls aus dem Kontext, der Risikobewertung sowie rechtlichen oder vertraglichen Verpflichtungen abzuleiten ist.  

Wichtig ist die Unterscheidung:

Die Anforderungen aus den Abschnitten 4 bis 10 bilden den verbindlichen Kern des Managementsystems. Die Controls aus Annex A werden dagegen auf Grundlage der ermittelten Risiken und Anforderungen ausgewählt und begründet.

Was hat sich mit der Ausgabe 2022 verändert?

Die vorherige Struktur umfasste 114 Controls. In der 2022er Fassung wurden Controls zusammengeführt, aktualisiert und neu geordnet. Daraus entstanden 93 Controls. Außerdem wurden elf neue Controls aufgenommen und zusätzliche Attribute eingeführt, mit denen sich die Maßnahmen nach verschiedenen Gesichtspunkten filtern und darstellen lassen.  

Die Überarbeitung berücksichtigt stärker die heutige Arbeits- und Technologiewelt. Zu den deutlicher hervorgehobenen Themen gehören beispielsweise:

  • die Nutzung von Bedrohungsinformationen,
  • die Sicherheit bei der Verwendung von Cloud-Diensten,
  • die Überwachung sicherheitsrelevanter Aktivitäten,
  • die Verhinderung von Datenabfluss,
  • sichere Softwareentwicklung und
  • die technische Bereitschaft für die Aufrechterhaltung des Geschäftsbetriebs.

Die Aufnahme von Threat Intelligence und die stärkere Berücksichtigung der sicheren Nutzung von Cloud-Diensten zeigen, dass die Norm auf veränderte Bedrohungen und moderne IT-Betriebsmodelle reagiert.  

Aktueller Hinweis: Klimaänderung aus dem Jahr 2024

Zur ISO/IEC 27001:2022 wurde 2024 das Amendment ISO/IEC 27001:2022/Amd 1:2024 – Climate action changesveröffentlicht. Dieses Amendment gilt ergänzend zur Ausgabe von 2022.  

Organisationen müssen nun im Rahmen ihres Kontextes bestimmen, ob der Klimawandel für das Managementsystem ein relevantes Thema ist. Zusätzlich wird darauf hingewiesen, dass relevante interessierte Parteien Anforderungen im Zusammenhang mit dem Klimawandel haben können.  

Für ein ISMS können daraus beispielsweise Fragestellungen entstehen wie:

  • Können Extremwetterereignisse die Verfügbarkeit von Standorten oder Rechenzentren beeinträchtigen?
  • Bestehen Abhängigkeiten von kritischer Energie- oder Kommunikationsinfrastruktur?
  • Verlangen Kunden oder andere interessierte Parteien Nachweise zur Klimaresilienz?
  • Müssen Notfall- und Wiederanlaufpläne angepasst werden?

Das Amendment macht aus der ISO/IEC 27001:2022 keine vollständig neue Normausgabe. Es ergänzt die bestehende Ausgabe um die Klimabetrachtung.

Welche Vorteile bietet ein ISMS?

Ein wirksames ISMS unterstützt Organisationen dabei, Informationssicherheit nicht nur reaktiv, sondern vorausschauend zu steuern. ISO nennt unter anderem eine bessere Widerstandsfähigkeit gegenüber Cyberangriffen, den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit sowie eine organisationsweite und zentral gesteuerte Absicherung als mögliche Vorteile.  

NutzenWirkung in der Praxis
Transparenz über RisikenKritische Informationen, Prozesse und Abhängigkeiten werden systematisch sichtbar.
Klare VerantwortlichkeitenAufgaben und Entscheidungsbefugnisse werden eindeutig zugeordnet.
Gezielte InvestitionenSicherheitsmaßnahmen werden nach Risiken und nicht nur nach Einzelmeinungen priorisiert.
Stärkere WiderstandsfähigkeitVorfälle können schneller erkannt, behandelt und ausgewertet werden.
Vertrauen bei KundenEin strukturiertes ISMS zeigt, dass Informationssicherheit professionell gesteuert wird.
Unterstützung bei AnforderungenVertragliche, gesetzliche und behördliche Anforderungen können geordnet erfasst werden.
Kontinuierliche VerbesserungAudits, Kennzahlen und Vorfälle liefern Ansatzpunkte für konkrete Verbesserungen.

Eine Zertifizierung kann gegenüber Kunden und anderen interessierten Parteien zusätzlich belegen, dass die Organisation ein geprüftes Managementsystem betreibt. Die Zertifizierung ist jedoch nicht zwingend erforderlich: Eine Organisation kann die Norm auch ohne Zertifizierungsabsicht als Rahmen für ihr ISMS nutzen.  

Warum E-Learning für die ISO 27001 wichtig ist

Technische Sicherheitsmaßnahmen können nur dann dauerhaft wirksam sein, wenn Beschäftigte ihre Verantwortung kennen. Ein starkes Passwort hilft wenig, wenn es weitergegeben wird. Ein geregeltes Berechtigungskonzept verliert an Wirkung, wenn Veränderungen von Aufgaben oder Arbeitsverhältnissen nicht gemeldet werden. Auch die beste Vorfallerkennung funktioniert nicht, wenn verdächtige Ereignisse nicht weitergegeben werden.

E-Learning kann die Kompetenz- und Awareness-Maßnahmen eines ISMS wirksam unterstützen. Besonders geeignet sind kurze, verständliche und regelmäßig wiederholte Lerneinheiten zu Themen wie:

  • Phishing und Social Engineering,
  • sichere Passwort- und Kontonutzung,
  • Klassifizierung und Weitergabe von Informationen,
  • mobiles Arbeiten und Homeoffice,
  • Umgang mit Cloud-Diensten,
  • Meldung von Sicherheitsereignissen,
  • Schutz personenbezogener oder vertraulicher Daten,
  • physische Sicherheit am Arbeitsplatz.

Ein Lernmanagementsystem ermöglicht zudem eine einheitliche Bereitstellung, dokumentierte Teilnahme und regelmäßige Aktualisierung der Inhalte.

Dabei gilt: Ein absolvierter Onlinekurs ist noch kein vollständiger Nachweis für ein wirksames ISMS. Schulungen müssen zu den tatsächlichen Aufgaben, Risiken und Zielgruppen der Organisation passen. Ihre Wirksamkeit sollte beispielsweise durch Wissensfragen, Phishing-Simulationen, Beobachtungen, Vorfallauswertungen oder geeignete Kennzahlen überprüft werden.

Praktische Einführung eines ISMS in acht Schritten

1. Geltungsbereich festlegen

Zunächst muss geklärt werden, welche Standorte, Abteilungen, Prozesse, Dienstleistungen, Systeme und Informationen zum ISMS gehören. Ein klarer Geltungsbereich verhindert, dass das Projekt unkontrolliert wächst.

2. Kontext und interessierte Parteien bestimmen

Die Organisation betrachtet interne und externe Einflussfaktoren. Dazu gehören beispielsweise Kundenanforderungen, gesetzliche Vorgaben, Lieferantenabhängigkeiten, technische Entwicklungen und organisatorische Veränderungen.

3. Informationen und Abhängigkeiten erfassen

Wichtige Informationen, Anwendungen, Systeme, Dienstleister und Geschäftsprozesse werden identifiziert. Dabei sollte nicht nur digitale Information berücksichtigt werden. Auch Papierunterlagen, Gespräche, Wissen von Beschäftigten und physische Datenträger können schutzbedürftig sein.

4. Risiken bewerten

Für relevante Informationen und Prozesse werden mögliche Ereignisse und deren Folgen betrachtet. Dabei geht es insbesondere um Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

5. Risiken behandeln

Die Organisation entscheidet, welche Risiken vermieden, reduziert, übertragen oder akzeptiert werden. Die notwendigen Controls werden festgelegt und mit Annex A abgeglichen.

6. Statement of Applicability erstellen

In der SoA werden die notwendigen Controls, ihre Begründung und ihr Umsetzungsstatus dokumentiert. Nicht benötigte Referenz-Controls werden ebenfalls begründet.

7. Maßnahmen umsetzen und Mitarbeitende qualifizieren

Technische, organisatorische, personelle und physische Maßnahmen werden eingeführt. Dazu gehören Richtlinien, Zugriffsregelungen, Backups, Lieferantenkontrollen, Notfallvorsorge sowie zielgruppengerechte Schulungen.

8. Wirksamkeit überprüfen und verbessern

Kennzahlen, interne Audits, Managementbewertungen, Sicherheitsvorfälle und Abweichungen zeigen, ob das ISMS funktioniert. Aus den Ergebnissen werden Korrektur- und Verbesserungsmaßnahmen abgeleitet.

Praxisbeispiel: Vom Einzelproblem zum Managementsystem

Ein mittelständischer Dienstleister nutzt mehrere Cloud-Anwendungen und verarbeitet vertrauliche Kundendaten. Sicherheitsmaßnahmen existieren bereits, sind aber nicht zentral dokumentiert. Zugriffsrechte werden nicht regelmäßig überprüft, Lieferanten sind nur unvollständig bewertet und Sicherheitsunterweisungen finden unregelmäßig statt.

Im Rahmen der ISMS-Einführung legt das Unternehmen zunächst den Geltungsbereich fest. Anschließend erfasst es seine kritischen Informationen, Cloud-Dienste, Geschäftsprozesse und Dienstleister.

Die Risikobewertung zeigt unter anderem folgende Risiken:

  • unberechtigter Zugriff auf Kundeninformationen,
  • Verlust von Daten durch Fehlbedienung,
  • Ausfall eines Cloud-Dienstes,
  • verspätete Sperrung von Benutzerkonten,
  • erfolgreiche Phishing-Angriffe.

Daraus werden konkrete Maßnahmen abgeleitet: Mehrfaktorauthentifizierung, regelmäßige Berechtigungsprüfungen, geregeltes Offboarding, Backup- und Wiederherstellungstests, vertragliche Sicherheitsanforderungen an Cloud-Anbieter sowie verpflichtende Awareness-Schulungen.

Der entscheidende Unterschied besteht nicht darin, dass das Unternehmen nun erstmals Sicherheitsmaßnahmen besitzt. Neu ist, dass Risiken, Verantwortlichkeiten, Entscheidungen, Nachweise und Verbesserungen systematisch miteinander verbunden sind.

Typische Fehler bei der Umsetzung

Typischer FehlerMögliche FolgeBessere Vorgehensweise
Das ISMS wird ausschließlich als IT-Projekt behandelt.Führung, Fachbereiche und Personalprozesse werden nicht ausreichend einbezogen.Informationssicherheit als unternehmensweites Managementthema verankern.
Alle 93 Controls werden pauschal übernommen.Es entsteht unnötige Bürokratie ohne Bezug zu den tatsächlichen Risiken.Controls aus Risiken, Verpflichtungen und Geschäftszielen ableiten.
Vorlagen werden unverändert kopiert.Dokumente passen nicht zur realen Arbeitsweise.Regelungen an Prozesse, Rollen und Verantwortlichkeiten anpassen.
Der Geltungsbereich ist zu groß oder unklar.Aufwand, Zuständigkeiten und Abhängigkeiten bleiben unübersichtlich.Einen eindeutigen und beherrschbaren Scope definieren.
Schulungen finden nur einmal statt.Wissen geht verloren und neue Bedrohungen werden nicht berücksichtigt.Awareness regelmäßig, zielgruppengerecht und praxisnah wiederholen.
Nur die Durchführung wird gemessen.Es bleibt unklar, ob Maßnahmen tatsächlich wirken.Wirksamkeitskriterien und aussagekräftige Kennzahlen festlegen.
Lieferanten werden nicht systematisch betrachtet.Externe Abhängigkeiten bleiben als Sicherheitsrisiko bestehen.Relevante Dienstleister risikobasiert auswählen, bewerten und überwachen.

Häufige Fragen zur ISO/IEC 27001:2022

Ist die ISO/IEC 27001 nur für IT-Unternehmen geeignet?

Nein. Die Norm ist für Organisationen unterschiedlicher Größe und aus allen Branchen vorgesehen. Informationen müssen in Industrieunternehmen, Bildungseinrichtungen, Beratungen, Behörden, medizinischen Einrichtungen und gemeinnützigen Organisationen gleichermaßen geschützt werden.  

Sind alle 93 Controls verpflichtend?

Nicht automatisch. Die erforderlichen Controls werden aus Risiken und relevanten Verpflichtungen abgeleitet. Annex A dient als Referenzkatalog. Die Auswahl und die Begründung nicht benötigter Controls werden in der SoA dokumentiert.  

Ist eine Zertifizierung vorgeschrieben?

Die ISO/IEC 27001 kann auch ohne Zertifizierung eingeführt werden. Eine unabhängige Zertifizierung ist eine freiwillige Möglichkeit, das Managementsystem gegenüber Kunden und anderen interessierten Parteien nachzuweisen. Vertragliche oder branchenspezifische Anforderungen können eine Zertifizierung allerdings faktisch erforderlich machen.  

Was ist der Unterschied zwischen ISO/IEC 27001 und ISO/IEC 27002?

Die ISO/IEC 27001 enthält die Anforderungen an ein zertifizierbares ISMS. Die ISO/IEC 27002 bietet ergänzende Umsetzungshinweise und Best Practices zu Informationssicherheits-Controls, etwa zu Zugriffsschutz, Kryptografie, personeller Sicherheit und Vorfallmanagement.  

Garantiert eine Zertifizierung vollständige Sicherheit?

Nein. Kein Managementsystem kann sämtliche Vorfälle ausschließen. Ein ISMS soll Risiken auf ein für die Organisation akzeptables Niveau reduzieren, Sicherheitsmaßnahmen überprüfbar machen und dafür sorgen, dass auf Veränderungen und Vorfälle systematisch reagiert wird.

Fazit

Die ISO/IEC 27001:2022 macht Informationssicherheit zu einer nachvollziehbaren Managementaufgabe. Statt einzelne Maßnahmen isoliert umzusetzen, verbindet sie Unternehmensziele, Risiken, Verantwortlichkeiten, Menschen, Prozesse und Technik in einem gemeinsamen System.

Der größte Nutzen liegt nicht allein in einem möglichen Zertifikat. Entscheidend ist, dass die Organisation ihre schutzbedürftigen Informationen kennt, Risiken bewusst bewertet, angemessene Maßnahmen umsetzt und deren Wirksamkeit regelmäßig überprüft.

E-Learning unterstützt diesen Prozess, indem es Wissen einheitlich vermittelt, Beschäftigte sensibilisiert und Sicherheitsanforderungen in den Arbeitsalltag überträgt. Denn ein wirksames ISMS lebt nicht nur von dokumentierten Regeln, sondern vor allem davon, dass Menschen sie verstehen und anwenden.

ISO/IEC 27001:2022 praxisnah kennenlernen

Lernen Sie die Grundlagen, Anforderungen und praktische Umsetzung eines Informationssicherheitsmanagementsystems kennen.

Jetzt zum ISO-27001-Onlinekurs →