Ein falscher Klick auf eine Phishing-Mail, ein unzureichend geschütztes Cloud-Konto oder ein ehemaliger Mitarbeiter mit weiterhin gültigen Zugriffsrechten: Informationssicherheitsvorfälle entstehen nicht nur durch ausgefeilte Cyberangriffe. Häufig liegen die Ursachen in unklaren Verantwortlichkeiten, fehlenden Prozessen oder mangelndem Sicherheitsbewusstsein.
Genau hier setzt die ISO/IEC 27001:2022 an. Sie definiert Anforderungen an ein Informationssicherheitsmanagementsystem, kurz ISMS, und ist grundsätzlich für Organisationen jeder Größe und Branche anwendbar. Ihr Ziel ist es, Informationen durch einen systematischen und risikobasierten Ansatz hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.
Kernaussage: Informationssicherheit entsteht nicht durch einzelne technische Maßnahmen. Sie entsteht durch ein dauerhaft gesteuertes Zusammenspiel aus Menschen, Prozessen, Verantwortlichkeiten und Technik.
Was ist die ISO/IEC 27001:2022?
Die ISO/IEC 27001 ist der international bekannte Standard für Informationssicherheitsmanagementsysteme. Die aktuelle Grundausgabe wurde im Oktober 2022 als dritte Edition veröffentlicht. Umgangssprachlich wird häufig nur von „ISO 27001“ gesprochen. Die offizielle Bezeichnung lautet jedoch ISO/IEC 27001, da die Norm gemeinsam von ISO und IEC veröffentlicht wird.
Die Norm beschreibt nicht einfach eine Liste technischer Schutzmaßnahmen. Sie fordert ein Managementsystem, mit dem eine Organisation ihre Informationsrisiken:
Ein ISMS verbindet damit die strategische Ebene der Unternehmensleitung mit der praktischen Umsetzung im Arbeitsalltag.
Was ist ein ISMS?
Ein Informationssicherheitsmanagementsystem ist kein einzelnes Softwareprodukt. Es ist ein organisatorischer Rahmen aus verbindlichen Regeln, Zuständigkeiten, Prozessen, Risikoanalysen, Sicherheitsmaßnahmen und Kontrollen.
Zu einem wirksamen ISMS gehören beispielsweise:
Die ISO/IEC 27001 verlangt, dass dieses System nicht nur eingeführt, sondern auch aufrechterhalten und kontinuierlich verbessert wird.
Die drei grundlegenden Schutzziele
Im Mittelpunkt der Informationssicherheit stehen drei zentrale Schutzziele:
| Schutzziel | Bedeutung | Praxisbeispiel |
|---|---|---|
| Vertraulichkeit | Informationen dürfen nur von berechtigten Personen eingesehen oder verwendet werden. | Personalakten sind ausschließlich für autorisierte Beschäftigte zugänglich. |
| Integrität | Informationen müssen richtig, vollständig und vor unbemerkter Veränderung geschützt sein. | Freigegebene Vertragsdaten dürfen nicht unkontrolliert verändert werden. |
| Verfügbarkeit | Informationen und Systeme müssen bei Bedarf nutzbar sein. | Ein Warenwirtschaftssystem muss auch nach einem Serverausfall zeitnah wiederhergestellt werden können. |
Die ISO beschreibt diese drei Prinzipien auch als zentrale Grundlage eines normkonformen Informationssicherheitsmanagementsystems.
Ein Risiko kann mehrere Schutzziele gleichzeitig betreffen. Bei einem Ransomware-Angriff können Daten beispielsweise verschlüsselt und damit nicht mehr verfügbar sein. Werden sie zusätzlich kopiert oder veröffentlicht, ist auch ihre Vertraulichkeit betroffen.
Wie ist die ISO/IEC 27001 aufgebaut?
Die wesentlichen Anforderungen befinden sich in den Abschnitten 4 bis 10. Diese Struktur folgt dem Aufbau moderner ISO-Managementsystemnormen und erleichtert die Verbindung mit anderen Systemen, etwa einem Qualitäts- oder Umweltmanagementsystem. Das offizielle ISO-Praxishandbuch zur Norm beschreibt ebenfalls die Kernstruktur von Abschnitt 4 bis Abschnitt 10.
| Normabschnitt | Inhalt | Zentrale Fragestellung |
|---|---|---|
| 4 – Kontext der Organisation | Organisation, interessierte Parteien, Geltungsbereich und ISMS | Welche internen und externen Rahmenbedingungen müssen berücksichtigt werden? |
| 5 – Führung | Verantwortung der Leitung, Informationssicherheitspolitik und Rollen | Wie übernimmt die Unternehmensleitung Verantwortung? |
| 6 – Planung | Risiken, Chancen, Sicherheitsziele und Risikobehandlung | Welche Risiken bestehen und wie werden sie behandelt? |
| 7 – Unterstützung | Ressourcen, Kompetenz, Bewusstsein, Kommunikation und Dokumentation | Welche Voraussetzungen benötigt das ISMS? |
| 8 – Betrieb | Operative Planung, Risikobewertung und Risikobehandlung | Wie werden die geplanten Prozesse praktisch umgesetzt? |
| 9 – Bewertung der Leistung | Überwachung, Messung, interne Audits und Managementbewertung | Ist das ISMS wirksam und erreicht es seine Ziele? |
| 10 – Verbesserung | Abweichungen, Korrekturmaßnahmen und fortlaufende Verbesserung | Wie wird aus Fehlern und Veränderungen gelernt? |
Diese Struktur zeigt: Informationssicherheit ist kein einmaliges Projekt. Sie muss geplant, umgesetzt, überprüft und verbessert werden.
Annex A: 93 Controls in vier Themenbereichen
Der Annex A der ISO/IEC 27001:2022 enthält einen Referenzkatalog mit 93 Informationssicherheits-Controls. Diese sind in vier Themenbereiche gegliedert:
| Themenbereich | Anzahl der Controls | Beispiele |
|---|---|---|
| Organisatorische Controls | 37 | Richtlinien, Verantwortlichkeiten, Lieferanten, Vorfallmanagement |
| Personenbezogene Controls | 8 | Sensibilisierung, Schulung, Vertraulichkeit, mobiles Arbeiten |
| Physische Controls | 14 | Zutrittskontrolle, Schutz von Räumen und Geräten |
| Technologische Controls | 34 | Zugriffsrechte, Backups, Protokollierung, Verschlüsselung, sichere Entwicklung |
| Gesamt | 93 |
Die Einteilung in 37 organisatorische, 8 personenbezogene, 14 physische und 34 technologische Controls wurde mit der 2022er Fassung neu strukturiert.
Müssen alle 93 Controls umgesetzt werden?
Nein. Annex A ist keine starre Checkliste, die von jeder Organisation vollständig und identisch umgesetzt werden muss.
Die Organisation muss zunächst ihre eigenen Informationssicherheitsrisiken ermitteln und daraus die erforderlichen Maßnahmen ableiten. Anschließend werden diese notwendigen Controls mit dem Referenzkatalog aus Annex A verglichen. Dadurch soll verhindert werden, dass bei der Risikobehandlung wesentliche Maßnahmen übersehen werden.
Die Auswahl, der Umsetzungsstatus und die Begründungen werden in der Erklärung zur Anwendbarkeit, der sogenannten Statement of Applicability oder SoA, dokumentiert. Auch der Ausschluss nicht benötigter Annex-A-Controls muss nachvollziehbar begründet werden. Eine Auditing Practices Note des zuständigen ISO/IEC-Gremiums erläutert ausdrücklich, dass Annex A als Referenzsatz dient und die Notwendigkeit eines Controls aus dem Kontext, der Risikobewertung sowie rechtlichen oder vertraglichen Verpflichtungen abzuleiten ist.
Wichtig ist die Unterscheidung:
Die Anforderungen aus den Abschnitten 4 bis 10 bilden den verbindlichen Kern des Managementsystems. Die Controls aus Annex A werden dagegen auf Grundlage der ermittelten Risiken und Anforderungen ausgewählt und begründet.
Was hat sich mit der Ausgabe 2022 verändert?
Die vorherige Struktur umfasste 114 Controls. In der 2022er Fassung wurden Controls zusammengeführt, aktualisiert und neu geordnet. Daraus entstanden 93 Controls. Außerdem wurden elf neue Controls aufgenommen und zusätzliche Attribute eingeführt, mit denen sich die Maßnahmen nach verschiedenen Gesichtspunkten filtern und darstellen lassen.
Die Überarbeitung berücksichtigt stärker die heutige Arbeits- und Technologiewelt. Zu den deutlicher hervorgehobenen Themen gehören beispielsweise:
Die Aufnahme von Threat Intelligence und die stärkere Berücksichtigung der sicheren Nutzung von Cloud-Diensten zeigen, dass die Norm auf veränderte Bedrohungen und moderne IT-Betriebsmodelle reagiert.
Aktueller Hinweis: Klimaänderung aus dem Jahr 2024
Zur ISO/IEC 27001:2022 wurde 2024 das Amendment ISO/IEC 27001:2022/Amd 1:2024 – Climate action changesveröffentlicht. Dieses Amendment gilt ergänzend zur Ausgabe von 2022.
Organisationen müssen nun im Rahmen ihres Kontextes bestimmen, ob der Klimawandel für das Managementsystem ein relevantes Thema ist. Zusätzlich wird darauf hingewiesen, dass relevante interessierte Parteien Anforderungen im Zusammenhang mit dem Klimawandel haben können.
Für ein ISMS können daraus beispielsweise Fragestellungen entstehen wie:
Das Amendment macht aus der ISO/IEC 27001:2022 keine vollständig neue Normausgabe. Es ergänzt die bestehende Ausgabe um die Klimabetrachtung.
Welche Vorteile bietet ein ISMS?
Ein wirksames ISMS unterstützt Organisationen dabei, Informationssicherheit nicht nur reaktiv, sondern vorausschauend zu steuern. ISO nennt unter anderem eine bessere Widerstandsfähigkeit gegenüber Cyberangriffen, den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit sowie eine organisationsweite und zentral gesteuerte Absicherung als mögliche Vorteile.
| Nutzen | Wirkung in der Praxis |
|---|---|
| Transparenz über Risiken | Kritische Informationen, Prozesse und Abhängigkeiten werden systematisch sichtbar. |
| Klare Verantwortlichkeiten | Aufgaben und Entscheidungsbefugnisse werden eindeutig zugeordnet. |
| Gezielte Investitionen | Sicherheitsmaßnahmen werden nach Risiken und nicht nur nach Einzelmeinungen priorisiert. |
| Stärkere Widerstandsfähigkeit | Vorfälle können schneller erkannt, behandelt und ausgewertet werden. |
| Vertrauen bei Kunden | Ein strukturiertes ISMS zeigt, dass Informationssicherheit professionell gesteuert wird. |
| Unterstützung bei Anforderungen | Vertragliche, gesetzliche und behördliche Anforderungen können geordnet erfasst werden. |
| Kontinuierliche Verbesserung | Audits, Kennzahlen und Vorfälle liefern Ansatzpunkte für konkrete Verbesserungen. |
Eine Zertifizierung kann gegenüber Kunden und anderen interessierten Parteien zusätzlich belegen, dass die Organisation ein geprüftes Managementsystem betreibt. Die Zertifizierung ist jedoch nicht zwingend erforderlich: Eine Organisation kann die Norm auch ohne Zertifizierungsabsicht als Rahmen für ihr ISMS nutzen.
Warum E-Learning für die ISO 27001 wichtig ist
Technische Sicherheitsmaßnahmen können nur dann dauerhaft wirksam sein, wenn Beschäftigte ihre Verantwortung kennen. Ein starkes Passwort hilft wenig, wenn es weitergegeben wird. Ein geregeltes Berechtigungskonzept verliert an Wirkung, wenn Veränderungen von Aufgaben oder Arbeitsverhältnissen nicht gemeldet werden. Auch die beste Vorfallerkennung funktioniert nicht, wenn verdächtige Ereignisse nicht weitergegeben werden.
E-Learning kann die Kompetenz- und Awareness-Maßnahmen eines ISMS wirksam unterstützen. Besonders geeignet sind kurze, verständliche und regelmäßig wiederholte Lerneinheiten zu Themen wie:
Ein Lernmanagementsystem ermöglicht zudem eine einheitliche Bereitstellung, dokumentierte Teilnahme und regelmäßige Aktualisierung der Inhalte.
Dabei gilt: Ein absolvierter Onlinekurs ist noch kein vollständiger Nachweis für ein wirksames ISMS. Schulungen müssen zu den tatsächlichen Aufgaben, Risiken und Zielgruppen der Organisation passen. Ihre Wirksamkeit sollte beispielsweise durch Wissensfragen, Phishing-Simulationen, Beobachtungen, Vorfallauswertungen oder geeignete Kennzahlen überprüft werden.
Praktische Einführung eines ISMS in acht Schritten
1. Geltungsbereich festlegen
Zunächst muss geklärt werden, welche Standorte, Abteilungen, Prozesse, Dienstleistungen, Systeme und Informationen zum ISMS gehören. Ein klarer Geltungsbereich verhindert, dass das Projekt unkontrolliert wächst.
2. Kontext und interessierte Parteien bestimmen
Die Organisation betrachtet interne und externe Einflussfaktoren. Dazu gehören beispielsweise Kundenanforderungen, gesetzliche Vorgaben, Lieferantenabhängigkeiten, technische Entwicklungen und organisatorische Veränderungen.
3. Informationen und Abhängigkeiten erfassen
Wichtige Informationen, Anwendungen, Systeme, Dienstleister und Geschäftsprozesse werden identifiziert. Dabei sollte nicht nur digitale Information berücksichtigt werden. Auch Papierunterlagen, Gespräche, Wissen von Beschäftigten und physische Datenträger können schutzbedürftig sein.
4. Risiken bewerten
Für relevante Informationen und Prozesse werden mögliche Ereignisse und deren Folgen betrachtet. Dabei geht es insbesondere um Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
5. Risiken behandeln
Die Organisation entscheidet, welche Risiken vermieden, reduziert, übertragen oder akzeptiert werden. Die notwendigen Controls werden festgelegt und mit Annex A abgeglichen.
6. Statement of Applicability erstellen
In der SoA werden die notwendigen Controls, ihre Begründung und ihr Umsetzungsstatus dokumentiert. Nicht benötigte Referenz-Controls werden ebenfalls begründet.
7. Maßnahmen umsetzen und Mitarbeitende qualifizieren
Technische, organisatorische, personelle und physische Maßnahmen werden eingeführt. Dazu gehören Richtlinien, Zugriffsregelungen, Backups, Lieferantenkontrollen, Notfallvorsorge sowie zielgruppengerechte Schulungen.
8. Wirksamkeit überprüfen und verbessern
Kennzahlen, interne Audits, Managementbewertungen, Sicherheitsvorfälle und Abweichungen zeigen, ob das ISMS funktioniert. Aus den Ergebnissen werden Korrektur- und Verbesserungsmaßnahmen abgeleitet.
Praxisbeispiel: Vom Einzelproblem zum Managementsystem
Ein mittelständischer Dienstleister nutzt mehrere Cloud-Anwendungen und verarbeitet vertrauliche Kundendaten. Sicherheitsmaßnahmen existieren bereits, sind aber nicht zentral dokumentiert. Zugriffsrechte werden nicht regelmäßig überprüft, Lieferanten sind nur unvollständig bewertet und Sicherheitsunterweisungen finden unregelmäßig statt.
Im Rahmen der ISMS-Einführung legt das Unternehmen zunächst den Geltungsbereich fest. Anschließend erfasst es seine kritischen Informationen, Cloud-Dienste, Geschäftsprozesse und Dienstleister.
Die Risikobewertung zeigt unter anderem folgende Risiken:
Daraus werden konkrete Maßnahmen abgeleitet: Mehrfaktorauthentifizierung, regelmäßige Berechtigungsprüfungen, geregeltes Offboarding, Backup- und Wiederherstellungstests, vertragliche Sicherheitsanforderungen an Cloud-Anbieter sowie verpflichtende Awareness-Schulungen.
Der entscheidende Unterschied besteht nicht darin, dass das Unternehmen nun erstmals Sicherheitsmaßnahmen besitzt. Neu ist, dass Risiken, Verantwortlichkeiten, Entscheidungen, Nachweise und Verbesserungen systematisch miteinander verbunden sind.
Typische Fehler bei der Umsetzung
| Typischer Fehler | Mögliche Folge | Bessere Vorgehensweise |
|---|---|---|
| Das ISMS wird ausschließlich als IT-Projekt behandelt. | Führung, Fachbereiche und Personalprozesse werden nicht ausreichend einbezogen. | Informationssicherheit als unternehmensweites Managementthema verankern. |
| Alle 93 Controls werden pauschal übernommen. | Es entsteht unnötige Bürokratie ohne Bezug zu den tatsächlichen Risiken. | Controls aus Risiken, Verpflichtungen und Geschäftszielen ableiten. |
| Vorlagen werden unverändert kopiert. | Dokumente passen nicht zur realen Arbeitsweise. | Regelungen an Prozesse, Rollen und Verantwortlichkeiten anpassen. |
| Der Geltungsbereich ist zu groß oder unklar. | Aufwand, Zuständigkeiten und Abhängigkeiten bleiben unübersichtlich. | Einen eindeutigen und beherrschbaren Scope definieren. |
| Schulungen finden nur einmal statt. | Wissen geht verloren und neue Bedrohungen werden nicht berücksichtigt. | Awareness regelmäßig, zielgruppengerecht und praxisnah wiederholen. |
| Nur die Durchführung wird gemessen. | Es bleibt unklar, ob Maßnahmen tatsächlich wirken. | Wirksamkeitskriterien und aussagekräftige Kennzahlen festlegen. |
| Lieferanten werden nicht systematisch betrachtet. | Externe Abhängigkeiten bleiben als Sicherheitsrisiko bestehen. | Relevante Dienstleister risikobasiert auswählen, bewerten und überwachen. |
Häufige Fragen zur ISO/IEC 27001:2022
Ist die ISO/IEC 27001 nur für IT-Unternehmen geeignet?
Nein. Die Norm ist für Organisationen unterschiedlicher Größe und aus allen Branchen vorgesehen. Informationen müssen in Industrieunternehmen, Bildungseinrichtungen, Beratungen, Behörden, medizinischen Einrichtungen und gemeinnützigen Organisationen gleichermaßen geschützt werden.
Sind alle 93 Controls verpflichtend?
Nicht automatisch. Die erforderlichen Controls werden aus Risiken und relevanten Verpflichtungen abgeleitet. Annex A dient als Referenzkatalog. Die Auswahl und die Begründung nicht benötigter Controls werden in der SoA dokumentiert.
Ist eine Zertifizierung vorgeschrieben?
Die ISO/IEC 27001 kann auch ohne Zertifizierung eingeführt werden. Eine unabhängige Zertifizierung ist eine freiwillige Möglichkeit, das Managementsystem gegenüber Kunden und anderen interessierten Parteien nachzuweisen. Vertragliche oder branchenspezifische Anforderungen können eine Zertifizierung allerdings faktisch erforderlich machen.
Was ist der Unterschied zwischen ISO/IEC 27001 und ISO/IEC 27002?
Die ISO/IEC 27001 enthält die Anforderungen an ein zertifizierbares ISMS. Die ISO/IEC 27002 bietet ergänzende Umsetzungshinweise und Best Practices zu Informationssicherheits-Controls, etwa zu Zugriffsschutz, Kryptografie, personeller Sicherheit und Vorfallmanagement.
Garantiert eine Zertifizierung vollständige Sicherheit?
Nein. Kein Managementsystem kann sämtliche Vorfälle ausschließen. Ein ISMS soll Risiken auf ein für die Organisation akzeptables Niveau reduzieren, Sicherheitsmaßnahmen überprüfbar machen und dafür sorgen, dass auf Veränderungen und Vorfälle systematisch reagiert wird.
Fazit
Die ISO/IEC 27001:2022 macht Informationssicherheit zu einer nachvollziehbaren Managementaufgabe. Statt einzelne Maßnahmen isoliert umzusetzen, verbindet sie Unternehmensziele, Risiken, Verantwortlichkeiten, Menschen, Prozesse und Technik in einem gemeinsamen System.
Der größte Nutzen liegt nicht allein in einem möglichen Zertifikat. Entscheidend ist, dass die Organisation ihre schutzbedürftigen Informationen kennt, Risiken bewusst bewertet, angemessene Maßnahmen umsetzt und deren Wirksamkeit regelmäßig überprüft.
E-Learning unterstützt diesen Prozess, indem es Wissen einheitlich vermittelt, Beschäftigte sensibilisiert und Sicherheitsanforderungen in den Arbeitsalltag überträgt. Denn ein wirksames ISMS lebt nicht nur von dokumentierten Regeln, sondern vor allem davon, dass Menschen sie verstehen und anwenden.
ISO/IEC 27001:2022 praxisnah kennenlernen
Lernen Sie die Grundlagen, Anforderungen und praktische Umsetzung eines Informationssicherheitsmanagementsystems kennen.
Jetzt zum ISO-27001-Onlinekurs →
