ISO 27001 Gap-Analyse: Praxis-Leitfaden mit Vorlagen
Schritt-für-Schritt durch die ISO 27001 Gap-Analyse - mit kostenlosen Vorlagen, typischen Gaps und realistischem Zeitaufwand.
Jan Hörnemann Chief Operating Officer · Prokurist TL;DR
Eine ISO 27001 Gap-Analyse beantwortet die entscheidende Frage vor jedem ISMS-Projekt: Wo steht das Unternehmen heute, und wie weit ist der Weg zur Zertifizierung? Die Analyse bewertet alle 93 Controls des Annex A sowie die Pflichtklauseln 4-10 auf einer fünfstufigen Reifegradskala und liefert einen priorisierten Maßnahmenplan. Strukturierte Vorlagen - für Sicherheitsrichtlinien, Risikoanalysen, Verfahrensanweisungen und Checklisten - verkürzen den Prozess erheblich, reduzieren Fehlumsetzungen und beschleunigen den Weg bis zum Zertifizierungsaudit. Realistisch einkalkuliert brauchen kleine Unternehmen 2-3 Personentage für die Gap-Analyse selbst und 50-80 Personentage für das Gesamtprojekt bis zur Zertifizierung.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (8 Abschnitte)
Die häufigste Frage vor dem Start einer ISO 27001 Implementierung lautet: “Wo stehen wir eigentlich gerade?” Genau das beantwortet die Gap-Analyse. Sie ist kein Audit - sie ist eine strukturierte Selbsteinschätzung mit dem Ziel, die Lücke zwischen aktuellem Zustand und ISO 27001 Anforderungen zu quantifizieren und einen realistischen Implementierungsplan zu erstellen.
Was ist eine ISO 27001 Gap-Analyse?
Die ISO 27001 ist eine Norm, die sämtliche Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) festlegt. Sie hilft dabei, die Informationssicherheit im eigenen Unternehmen auf Basis bestehender Systeme und Praktiken erkennbar zu verbessern. Die neuste Version ist ISO 27001:2022, veröffentlicht im Oktober 2022.
Die Gap-Analyse ist der erste strukturierte Schritt auf dem Weg zur Zertifizierung. Sie liefert vier konkrete Ergebnisse:
- Reifegrad-Bewertung pro Control: “Wir haben 47 von 93 Controls implementiert, davon 12 vollständig”
- Priorisierter Maßnahmenplan: “Diese 8 Controls müssen vor der Zertifizierung unbedingt umgesetzt werden”
- Ressourcenabschätzung: “Wir benötigen ca. 6 Monate und ~150 Personentage bis Zertifizierungsreife”
- Scoping-Grundlage: Welche Bereiche werden in den ISMS-Scope einbezogen?
Viele Großunternehmen setzen die ISO 27001 Zertifizierung mittlerweile als Voraussetzung für eine Zusammenarbeit voraus. Eine Kooperation kommt oft nur dann zustande, wenn die Organisation ein gültiges Zertifikat vorweisen kann. Die Gap-Analyse legt den Grundstein dafür.
Schritt-für-Schritt Vorgehen
Schritt 1: Scope festlegen
Vor der eigentlichen Analyse steht die Scoping-Entscheidung. Sie bestimmt, welche Teile der Organisation bewertet werden.
Vollständige Organisation
- Alle Prozesse, alle Standorte, alle Mitarbeiter
- Aufwand: sehr hoch, aber maximale Aussagekraft
- Gut für: Finanzdienstleister, Behörden, Konzerne
Abteilungs-/Service-Scope
- Nur IT-Abteilung oder nur Cloud-Infrastruktur
- Aufwand: deutlich reduziert
- Gut für: Dienstleister (Rechenzentrum, SaaS-Anbieter)
- Wichtig: Scope-Statement klar formulieren, Schnittstellen dokumentieren
Beispiel Scope-Statement:
“Das ISMS umfasst die Entwicklung, den Betrieb und Support der SaaS-Plattform XYZ, betrieben in der Rechenzentrumsumgebung AWS EU-West-1, einschließlich der Büroumgebung am Standort Gelsenkirchen. Ausgenommen: Marketingaktivitäten, physische Produktion.”
Scoping-Checkliste:
- Welche Services bieten wir an, die externe Anforderungen stellen?
- Welche Systeme verarbeiten schützenswerte Informationen?
- Welche Standorte sind relevant?
- Welche Drittdienstleister sind im Scope (Lieferantenmanagement)?
- Sind Tochterfirmen im Scope?
Schritt 2: Bewertungsschema anwenden
Die Gap-Analyse bewertet jeden Control auf einer fünfstufigen Reifegradskala:
Stufe 0 - NICHT VORHANDEN Control ist komplett unbekannt oder nicht implementiert. Keine Dokumentation, keine Maßnahmen, kein Bewusstsein. Beispiel: “Wir haben keine Asset-Inventur.”
Stufe 1 - INITIAL/AD-HOC Control teilweise bekannt, Maßnahmen spontan und reaktiv. Keine dokumentierten Prozesse, Ergebnis hängt von Einzelpersonen ab. Beispiel: “Wir führen manchmal Backups durch, aber nicht systematisch.”
Stufe 2 - DEFINIERT Prozess dokumentiert und bekannt, aber inkonsistent umgesetzt. Keine regelmäßige Überprüfung. Beispiel: “Backup-Policy existiert, wird aber nicht regelmäßig getestet.”
Stufe 3 - GEMANAGT Prozess vollständig implementiert und dokumentiert. Regelmäßige Überprüfung und Messung. Beispiel: “Backups täglich, monatlicher Restore-Test, dokumentiert.”
Stufe 4 - OPTIMIERT Kontinuierliche Verbesserung, Lessons Learned, Benchmarking. ISO 27001 Zertifizierungsreife. Beispiel: “Backup mit KPI-Tracking, Verbesserungsmaßnahmen aktiv.”
Ziel für Zertifizierung: alle relevanten Controls auf Stufe 3. Die ISO verlangt keine Perfektion. Controls mit Stufe 0/1 haben hohe Priorität, Stufe 2 mittlere Priorität, Stufe 3+ werden dokumentiert und ggf. nachgeschärft.
Schritt 3: Alle 93 Controls und Klauseln 4-10 bewerten
Pflichtklauseln (keine Ausnahmen):
| Klausel | Thema |
|---|---|
| Klausel 4 | Kontext der Organisation |
| Klausel 5 | Leadership |
| Klausel 6 | Planung (Risikomanagement, Risikobehandlungsplan) |
| Klausel 7 | Unterstützung (Ressourcen, Kompetenz, Dokumentation) |
| Klausel 8 | Betrieb |
| Klausel 9 | Leistungsbewertung (Audits, Managementreviews) |
| Klausel 10 | Verbesserung (Nichtkonformitäten, KVP) |
Annex A - 93 Controls in 4 Kategorien:
| Kategorie | Controls |
|---|---|
| A.5 Organisatorisch | 37 Controls |
| A.6 Personenbezogen | 8 Controls |
| A.7 Physisch | 14 Controls |
| A.8 Technologisch | 34 Controls |
Schritt 4: Maßnahmenplan priorisieren
Das Ergebnis jeder Bewertung fließt in eine aggregierte Gap-Heatmap:
| Kategorie | Durchschnitt | Bewertung |
|---|---|---|
| A.5 Organisatorisch | Ø 1.8 | KRITISCH |
| A.6 Personenbezogen | Ø 2.5 | VERBESSERUNGSBEDARF |
| A.7 Physisch | Ø 3.1 | AKZEPTABEL |
| A.8 Technologisch | Ø 2.0 | VERBESSERUNGSBEDARF |
Prioritäten-Tabelle:
| Priorität | Kriterium | Aktion |
|---|---|---|
| KRITISCH | Gap 3 oder Pflichtklausel | sofort beginnen |
| HOCH | Gap 2 | Quartal 1 |
| MITTEL | Gap 1 | Quartal 2-3 |
| KEIN | Gap 0 | nur dokumentieren |
Typische Gaps in der Praxis
Aus Beratungsprojekten zeigen sich wiederkehrende Lücken, die bei fast jedem Unternehmen auftauchen:
A.5.1 - Informationssicherheitsrichtlinien (SEHR HÄUFIG) Oft fehlen formale Richtlinien, die von der Geschäftsführung verabschiedet wurden. Aufwand zur Behebung: gering - Dokument erstellen, freigeben lassen.
A.5.2 - Rollen und Verantwortlichkeiten (HÄUFIG) CISO, Information Security Manager und Asset Owner sind informell benannt, aber nicht schriftlich dokumentiert.
A.5.7 - Bedrohungsintelligenz (SEHR HÄUFIG bei KMU) Externe Threat Intelligence wird nicht systematisch bezogen. Aufwand: gering bis mittel (BSI Cybersicherheitswarnungen, RSS-Feeds).
A.5.19 - Informationssicherheit in Lieferantenbeziehungen (SEHR HÄUFIG) Lieferantenmanagement ist kaum vorhanden, Sicherheitsanforderungen werden nicht bewertet. Aufwand: mittel bis hoch.
A.5.23 - Informationssicherheit bei Cloud-Diensten (NEU in ISO 27001:2022) Cloud-Dienste wie AWS, M365 und SaaS-Anwendungen werden im ISMS nicht strukturiert berücksichtigt.
A.8.8 - Management technischer Schwachstellen (HÄUFIG) Kein Patch-Management-Prozess mit definierten SLAs. Prüfpunkte: Vulnerability Scanner, Patch-SLAs (Critical: 24h, High: 7 Tage), Legacy-Systeme bewertet?
A.8.9 - Konfigurationsmanagement (NEU in ISO 27001:2022, SEHR HÄUFIG) Keine Baseline-Konfigurationen für Systeme. Prüfpunkte: CIS Benchmarks, Configuration-as-Code (Ansible, GPO), Abweichungen erkannt?
A.8.11 - Datenmaskierung (NEU in ISO 27001:2022, SEHR HÄUFIG) Produktionsdaten werden in Testumgebungen ungefiltert verwendet - einer der häufigsten und risikoreichsten Gaps.
A.8.28 - Sichere Codierung (NEU in ISO 27001:2022) Keine Secure Coding Guidelines, kein SAST-Tool in der CI/CD-Pipeline. Relevant für alle softwareentwickelnden Unternehmen.
ISO 27001 Vorlagen - was gibt es?
ISO 27001 Vorlagen sind strukturierte Dokumente, die speziell dafür entwickelt wurden, Unternehmen bei der Umsetzung und Aufrechterhaltung der Norm zu unterstützen. Sie bieten einen Leitfaden für die Entwicklung, Implementierung und Dokumentation von Prozessen und Richtlinien im Rahmen eines ISMS.
Vorlagen umfassen typischerweise:
- Sicherheitsrichtlinien - Informationssicherheitspolitik, Acceptable Use Policy, Passwort-Policy, BYOD-Policy
- Risikoanalysen - Risikoregister, Risikobehandlungsplan, Bewertungsmatrizen
- Verfahrensanweisungen - Incident Response, Change Management, Backup-Prozesse
- Checklisten - Control-Bewertung, Audit-Vorbereitung, Lieferantenbewertung
- Gap-Analyse Excel-Template - mit allen 93 Controls, Reifegradspalten und Maßnahmenplan
Empfohlene Spaltenstruktur für das Gap-Analyse-Template:
| Control ID | Control-Name | Aktueller Zustand (0-4) | Soll-Zustand | Gap-Score | Priorität | Verantwortlich | Maßnahmen | Zieldatum | Aufwand (PT) |
|---|---|---|---|---|---|---|---|---|---|
| A.8.8 | Schwachstellen-Mgmt | 1 | 3 | 2 | HOCH | IT-Leiter | Nessus einführen, SLAs definieren | 2026-06-30 | 20 |
| A.5.1 | IS-Richtlinien | 0 | 3 | 3 | HOCH | CISO | Policy erstellen, GF unterschreiben | 2026-04-30 | 5 |
| A.7.1 | Physische Sicherheit | 3 | 3 | 0 | KEIN | Facility Mgr | - | - | 0 |
Gesamt-Reifegrad: Durchschnitt aller Controls - Zertifizierungsreife ab Ø 2.8, mit allen Pflichtklauseln auf Stufe 3.
Kostenlose Vorlagen und Templates
AWARE7 stellt kostenlose ISO 27001:2022-Vorlagen bereit, die den Einstieg in den Zertifizierungsprozess strukturieren. Die Vorlagen basieren auf eigenen Erfahrungen beim Aufbau eines zertifizierten ISMS und der Begleitung externer Unternehmen bis zum erfolgreichen Abschluss.
Die kostenlosen Vorlagen sind hier verfügbar: Kostenlose ISO 27001:2022 Vorlagen zum Download
Vorteile strukturierter Vorlagen gegenüber einem Neustart von null:
-
Zeitersparnis und Effizienz - Vorgefertigte Dokumente ermöglichen den sofortigen Start, ohne jedes Dokument und jede Richtlinie von Grund auf erstellen zu müssen.
-
Standardisierung und Konsistenz - Alle Prozesse und Dokumente sind nach den Vorgaben der ISO 27001 strukturiert. Das erleichtert sowohl interne Abläufe als auch die Zusammenarbeit mit externen Auditoren.
-
Kosteneffizienz - Das Risiko von Fehlumsetzungen wird minimiert, was teure Nachbesserungen vor oder nach dem Audit vermeidet.
-
Schnellerer Zertifizierungsprozess - Die Vorlagen sind bereits auf die Anforderungen der ISO 27001 ausgerichtet, sodass der Weg zu den erforderlichen Dokumenten deutlich kürzer wird.
-
Schulungsgrundlage - Vorlagen dienen nicht nur der Dokumentation, sondern auch als Schulungs- und Sensibilisierungsmaterial für Mitarbeiter. Sie stärken das Sicherheitsbewusstsein und helfen dabei, dass alle Mitarbeiter die Anforderungen der ISO 27001 verstehen.
-
Kontinuierliche Verbesserung - Vorlagen bieten klare Strukturen für die regelmäßige Überprüfung und Aktualisierung von Sicherheitsmaßnahmen, sodass das ISMS bei neuen Bedrohungslagen aktuell bleibt.
Wem die Vorlagen selbst nicht genügen, kann AWARE7 nach konkreter Hilfestellung fragen. Als Sicherheitsunternehmen ist die Begleitung von Unternehmen im Zuge einer erfolgreichen Zertifizierung Teil der täglichen Arbeit.
Zeitaufwand realistisch einschätzen
Die Kosten und der Zeitaufwand für eine ISO 27001 Zertifizierung variieren stark - abhängig von Unternehmensgröße, aktuellem ISMS-Reifegrad, Scope-Umfang und ob externe Unterstützung hinzugezogen wird.
Aufwandsschätzung in Personentagen:
| Unternehmensgröße | Gap-Analyse | Implementierung | Gesamtprojekt |
|---|---|---|---|
| Klein (< 50 MA, begrenzter Scope) | 2-3 PT | 30-50 PT | 50-80 PT |
| Mittel (50-500 MA) | 5-10 PT | 80-150 PT | 150-250 PT |
| Groß (> 500 MA, breiter Scope) | 15-30 PT | 200-500 PT | 400-800 PT |
Die Kosten der Zertifizierung setzen sich aus Schulung und Beratung, der Implementierung des ISMS und dem eigentlichen Zertifizierungsaudit zusammen. Außerdem müssen nach erfolgreicher Zertifizierung regelmäßige Überwachungsaudits durch die Zertifizierungsstelle bezahlt werden.
Wer alles intern umsetzt, keine Eile hat und bereits ein gut aufgestelltes ISMS vorweisen kann, kommt günstiger weg. Wer die Zertifizierung zeitnah anstrebt und mehrere Standorte einschließt, muss deutlich höhere Gesamtkosten einkalkulieren.
Hinweis: Externe Beratungsunterstützung reduziert den internen Aufwand erheblich und vermeidet typische Fehler, die zum Scheitern des Audits führen.
Von der Gap-Analyse zur Zertifizierung
Die Gap-Analyse ist der Startpunkt - der Implementierungsplan folgt direkt aus ihren Ergebnissen.
Phase 1 (Monate 1-2): Grundlagen
- ISMS-Scope formal definieren
- Informationssicherheitspolitik erstellen und von der Geschäftsführung verabschieden lassen
- CISO/IS-Manager formal benennen
- Risikomanagement-Prozess definieren (A.6.1.2)
- Asset-Inventur durchführen (A.5.9)
Phase 2 (Monate 3-4): Prozesse und Controls
- Kritische Controls implementieren (Gap 3 und Pflichtklauseln)
- Risikoregister aufbauen
- Grundlegende Policies erstellen (AUP, BYOD, Passwort-Policy)
- Incident Response Prozess dokumentieren
- Lieferantenmanagement etablieren
Phase 3 (Monate 5-6): Technisch und Awareness
- Technische Controls nachschärfen (Patch Management, Access Control, Logging)
- Security Awareness Training für alle Mitarbeiter
- Interne Audits durchführen (Pflicht!)
- Management Review (Pflicht!)
- Dokumentation vervollständigen
Phase 4 (Monat 7): Zertifizierungsvorbereitung
- Mock-Audit mit erfahrenem ISO 27001-Berater
- Erkannte Lücken schließen
- Stage-1-Audit (Dokumentenprüfung durch Zertifizierungsstelle)
- Stage-2-Audit (Implementierungsnachweis vor Ort)
Da die ISO 27001 Zertifizierung selbst keine fixe Gültigkeitsdauer besitzt, wird sie mittels jährlicher Überwachungsaudits aufrechterhalten. Die Zertifizierung ist also kein einmaliges Projekt, sondern ein fortlaufender Verbesserungsprozess - genau das, was die ISO 27001 mit dem PDCA-Zyklus beschreibt.
Wer eine strukturierte Unterstützung durch alle Phasen sucht, findet mehr Informationen auf unserer Gap-Analyse Service-Seite.
FAQ
Was ist der Unterschied zwischen einer Gap-Analyse und einem ISO 27001 Audit?
Die Gap-Analyse ist eine interne Selbsteinschätzung - sie wird vom Unternehmen selbst oder mit Unterstützung eines Beraters durchgeführt. Ein ISO 27001 Audit hingegen wird von einer akkreditierten Zertifizierungsstelle durchgeführt und ist die formale Grundlage für die Zertifizierung. Die Gap-Analyse bereitet auf das Audit vor; sie hat keine offizielle Nachweisfunktion.
Kann die Gap-Analyse auch intern ohne externe Berater durchgeführt werden?
Ja - mit den richtigen Vorlagen und einem strukturierten Bewertungsschema ist das möglich. Der Vorteil externer Unterstützung liegt vor allem in der unabhängigen Perspektive und der Erfahrung aus vergleichbaren Projekten, die typische blinde Flecken vermeidet.
Welche Dokumente müssen für die Gap-Analyse bereits vorhanden sein?
Keine zwingend. Die Gap-Analyse erfasst gerade auch den Zustand, in dem noch wenig dokumentiert ist. Nützlich sind jedoch: Organigramme, IT-Systemübersichten, bestehende Richtlinien und Prozessbeschreibungen sowie Informationen über eingesetzte Drittdienstleister.
Was sind die häufigsten Gründe, warum Unternehmen beim ISO 27001 Audit scheitern?
Unterschätzte Pflichtanforderungen in den Klauseln 4-10 (besonders Risikomanagement und interne Audits), fehlende Lieferantenmanagement-Dokumentation, Produktionsdaten in Testumgebungen (A.8.11) und ein formal nicht bestellter IS-Manager.
Wie lange gilt eine ISO 27001 Zertifizierung?
Die Zertifizierung selbst hat keine feste Ablaufzeit, wird aber durch jährliche Überwachungsaudits und alle drei Jahre durch ein Rezertifizierungsaudit aufrechterhalten.
Werden ISO 27001 Vorlagen vom Auditor akzeptiert?
Vorlagen sind ein zulässiger Ausgangspunkt. Entscheidend ist, dass die Inhalte auf das eigene Unternehmen angepasst werden - generische, unveränderte Templates, die nicht zur tatsächlichen Organisation passen, werden von Auditoren als unzureichend bewertet.
Die Gap-Analyse ist der ehrlichste Moment im ISMS-Projekt - sie zeigt ohne Beschönigung, wo ein Unternehmen steht. AWARE7 führt strukturierte ISO 27001 Gap-Analysen durch, liefert einen priorisierten Maßnahmenplan und begleitet den gesamten Weg bis zur Zertifizierung.
ISO 27001 Gap-Analyse anfragen | ISO 27001 Zertifizierungsbegleitung
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
