ISO 27001 - Definition & Erklärung

ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Veröffentlicht von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC), ist ISO 27001 weltweit der bekannteste Standard für systematisches IT-Sicherheitsmanagement.

Was ISO 27001 ist - und was nicht

ISO 27001 wird häufig missverstanden. Es handelt sich um einen Management-Standard, der Prozesse und organisatorische Anforderungen definiert - nicht um eine rein technische Spezifikation. ISO 27001 ist darüber hinaus ein Zertifizierungsstandard, der durch akkreditierte Stellen auditiert werden kann, sowie ein Framework, das risikobasiert vorgeht: nicht jede Maßnahme ist vorgeschrieben, sondern der Kontext des Unternehmens bestimmt welche Controls relevant sind. Der Standard ist für alle Organisationsgrößen geeignet - von 5 bis 500.000 Mitarbeitern.

ISO 27001 ist hingegen keine Checkliste die man mechanisch abarbeitet, keine kostenlose Sicherheitsgarantie und - außer in bestimmten Branchen - keine gesetzliche Pflicht.

Die ISO 27001:2022 Struktur

Die aktuelle Version (2022) folgt der High Level Structure (HLS) und gliedert sich in folgende Kapitel:

Kapitel 1-3: Anwendungsbereich, normative Verweise, Begriffe

Kapitel 4 - Kontext der Organisation:

Interne und externe Themen
Interessierte Parteien und deren Anforderungen
Anwendungsbereich des ISMS

Kapitel 5 - Führung:

Management-Verpflichtung (die Leitungsebene trägt Verantwortung)
Informationssicherheitspolitik
Rollen und Verantwortlichkeiten

Kapitel 6 - Planung:

Risikobewertung und Risikobehandlung
Erklärung zur Anwendbarkeit (Statement of Applicability)
Informationssicherheitsziele

Kapitel 7 - Unterstützung:

Ressourcen, Kompetenz, Bewusstsein
Kommunikation und dokumentierte Informationen

Kapitel 8 - Betrieb:

Operationelle Planung und Steuerung
Regelmäßige Informationssicherheits-Risikobeurteilung
Risikobehandlungsplanung

Kapitel 9 - Bewertung der Leistung:

Überwachung, Messung, Analyse
Internes Audit (mindestens jährlich)
Managementbewertung (Review durch Geschäftsführung)

Kapitel 10 - Verbesserung:

Nichtkonformitäten und Korrekturmaßnahmen
Kontinuierliche Verbesserung

Anhang A: 93 Controls in 4 Themenbereichen

Anhang A listet die möglichen Sicherheitsmaßnahmen (Controls) in vier Kategorien:

A.5 - Organisatorische Controls (37 Controls):

Informationssicherheitspolitik
Sicherheitsrollen
Lieferantenbeziehungen
Meldung von Sicherheitsvorfällen

A.6 - People Controls (8 Controls):

Überprüfung vor Einstellung
Sicherheitsbewusstsein
Beendigung von Beschäftigung

A.7 - Physische Controls (14 Controls):

Physische Sicherheitsbereiche
Schutz vor physischen Bedrohungen
Clear Desk / Clear Screen

A.8 - Technologische Controls (34 Controls):

Endpunktsicherheit
Kryptographie
Netzwerkmanagement
Schwachstellenmanagement
Sichere Entwicklung
Protokollierung (Logging)
Kapazitätsmanagement

Wichtig: Nicht alle Controls müssen implementiert werden. Die Statement of Applicability (SoA) dokumentiert welche Controls anwendbar sind und warum ausgeschlossene ausgeschlossen wurden.

Risikobasierter Ansatz

ISO 27001 ist risikobasiert - keine “Checkbox”-Compliance. Der Prozess folgt einem strukturierten Ablauf:

Risikobeurteilung:

Informations-Assets identifizieren und klassifizieren
Bedrohungen und Schwachstellen identifizieren
Wahrscheinlichkeit und Auswirkung bewerten
Risikoniveau bestimmen (z.B. 5x5-Matrix)

Risikobehandlung - vier mögliche Optionen:

Risiko vermeiden (Aktivität einstellen)
Risiko reduzieren (Controls implementieren)
Risiko übertragen (Versicherung, Outsourcing)
Risiko akzeptieren (informierte Entscheidung)

Statement of Applicability (SoA): Für jedes der 93 Controls wird dokumentiert ob es anwendbar ist, ob es bereits implementiert ist und - falls nicht anwendbar - warum es ausgeschlossen wurde.

Zertifizierungsprozess

Phase 1 - Vorbereitung (3-18 Monate):

Gap-Analyse: IST vs. SOLL
Maßnahmenplan erstellen
ISMS aufbauen: Policies, Prozesse, Controls
Risikobewertung durchführen
Internes Audit und Management Review

Phase 2 - Stage 1 Audit (2-3 Tage): Dokumentenprüfung durch einen akkreditierten Zertifizierer (TÜV, DQS, BSI usw.). Prüfung ob die ISMS-Dokumentation vollständig ist und Identifikation von Lücken (Major/Minor Non-Conformities).

Phase 3 - Stage 2 Audit (2-5 Tage): Hauptaudit mit Prüfung der tatsächlichen Umsetzung, Interviews mit Mitarbeitern und Evidenz-Prüfung (Logs, Berichte, Protokolle). Bei Bestehen wird das Zertifikat für drei Jahre ausgestellt.

Phase 4 - Überwachungsaudits (jährlich): Jährliche Audits prüfen die kontinuierliche Einhaltung. Nach drei Jahren folgt das Rezertifizierungsaudit.

ISO 27001 vs. BSI IT-Grundschutz

Kriterium	ISO 27001	BSI IT-Grundschutz
Herkunft	International	Deutsch
Ansatz	Risikobasiert, flexibel	Vordefinierte Maßnahmen
Detailtiefe	Rahmen	Sehr detailliert
Anerkennung	Global	DACH, öffentlicher Sektor
Kombination	ISO 27001 + BSI möglich	BSI-Zertifikat enthält ISO 27001

Praxis: Viele deutsche Unternehmen kombinieren beides - ISO 27001 für internationale Zertifizierung, BSI IT-Grundschutz als Maßnahmenbibliothek.

Wer braucht ISO 27001?

De facto Pflicht für:

IT-Dienstleister für Behörden und Großunternehmen
Gesundheitswesen (gematik, Krankenkassen)
Finanzdienstleister (viele BaFin-Anforderungen)
Cloud-Anbieter an Unternehmen (SOC2 oder ISO 27001)

Starker Wettbewerbsvorteil:

B2B-Vertrieb: „ISO 27001 zertifiziert” öffnet Türen
Ausschreibungen: oft Mindestanforderung
Großkunden: Supplier-Qualification erfordert häufig ISO 27001

NIS2-Zusammenhang: NIS2 fordert ein ISMS - ISO 27001 erfüllt diese Anforderung. Der Standard wird als „State of the Art” für NIS2 akzeptiert.