ISO 27001 Anforderungen: Alle Maßnahmen im Überblick

ISO 27001 Anforderungen: Alle Maßnahmen im Überblick

Die internationale Norm ISO 27001 aus der ISO 27000-Normenreihe definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Für Unternehmen, die eine Zertifizierung anstreben oder ihre Informationssicherheit systematisch verbessern wollen, ist das Verständnis dieser Anforderungen zentral. In diesem vollständigen Leitfaden erläutern wir sämtliche Pflichtkapitel, den PDCA-Zyklus, die Annex-A-Maßnahmen und geben praxisnahe Umsetzungstipps.

Was ist die ISO 27001?

Die ISO/IEC 27001 ist der weltweit anerkannte Standard für Informationssicherheit. Sie wurde von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt. Die aktuelle Version ISO 27001:2022 löste die Vorgängerversion von 2013 ab und brachte wesentliche Änderungen bei den Annex-A-Controls mit sich.

Die Norm verfolgt einen risikobasierten Ansatz: Unternehmen identifizieren zunächst ihre Informationswerte, bewerten die damit verbundenen Risiken und implementieren angemessene Schutzmaßnahmen. Dieser systematische Ansatz unterscheidet die ISO 27001 von reinen Technologie-Checklisten und macht sie branchenübergreifend anwendbar.

Die Zertifizierung nach ISO 27001 wird von akkreditierten Zertifizierungsstellen durchgeführt und ist in der Regel drei Jahre gültig, wobei jährliche Überwachungsaudits stattfinden. Für viele Unternehmen ist die Zertifizierung nicht nur ein Qualitätsmerkmal, sondern zunehmend eine Geschäftsvoraussetzung. Ein externer Informationssicherheitsbeauftragter begleitet den gesamten Zertifizierungsprozess — insbesondere bei der Zusammenarbeit mit Konzernen, Behörden oder im Rahmen von Ausschreibungen.

Der PDCA-Zyklus als Grundlage

Die ISO 27001 basiert auf dem Plan-Do-Check-Act-Zyklus (PDCA), der eine kontinuierliche Verbesserung des ISMS sicherstellt. Dieser Zyklus ist das methodische Herzstück der Norm und durchzieht sämtliche Anforderungen.

Plan (Planen): In der Planungsphase werden der Kontext der Organisation analysiert, interessierte Parteien identifiziert und der Anwendungsbereich des ISMS festgelegt. Die Risikobeurteilung und Risikobehandlung bilden das Kernstück dieser Phase. Unternehmen definieren ihre Informationssicherheitsziele und planen die notwendigen Ressourcen.

Do (Umsetzen): Die geplanten Maßnahmen werden implementiert. Dazu gehören die Einführung von Sicherheitskontrollen, die Schulung der Mitarbeiter, die Erstellung von Dokumentationen und die operative Durchführung der Risikobehandlung. Prozesse werden etabliert und in den Arbeitsalltag integriert.

Check (Überprüfen): Die Wirksamkeit der implementierten Maßnahmen wird durch interne Audits, Managementbewertungen und Leistungsmessungen überprüft. Kennzahlen werden erhoben und analysiert, Abweichungen identifiziert und dokumentiert.

Act (Handeln): Basierend auf den Ergebnissen der Check-Phase werden Korrekturmaßnahmen eingeleitet und Verbesserungen umgesetzt. Der Zyklus beginnt erneut, wodurch eine stetige Optimierung des ISMS gewährleistet wird.

Pflichtkapitel der ISO 27001 (Kapitel 4–10)

Die normative Struktur der ISO 27001 umfasst die Kapitel 4 bis 10. Jedes dieser Kapitel enthält verbindliche Anforderungen, die für eine Zertifizierung erfüllt werden müssen.

Kapitel 4: Kontext der Organisation

Dieses Kapitel verlangt, dass Unternehmen ihren internen und externen Kontext verstehen. Dazu gehören regulatorische Anforderungen, vertragliche Verpflichtungen, Marktbedingungen und technologische Entwicklungen. Die Erwartungen und Anforderungen interessierter Parteien — darunter Kunden, Aufsichtsbehörden, Mitarbeiter und Geschäftspartner — müssen systematisch erfasst werden.

Der Anwendungsbereich des ISMS muss klar definiert und dokumentiert werden. Er legt fest, welche Bereiche, Standorte, Prozesse und Technologien vom ISMS abgedeckt werden. Ein präzise definierter Scope verhindert Missverständnisse bei der Zertifizierung und stellt sicher, dass alle relevanten Informationswerte berücksichtigt werden.

Kapitel 5: Führung

Die oberste Leitung muss Führung und Verpflichtung in Bezug auf das ISMS demonstrieren. Das bedeutet konkret: Die Geschäftsführung muss die Informationssicherheitspolitik festlegen, Ressourcen bereitstellen, Rollen und Verantwortlichkeiten zuweisen und das ISMS in die Geschäftsprozesse integrieren.

Eine dokumentierte Informationssicherheitspolitik muss erstellt werden, die den Rahmen für Sicherheitsziele bildet und das Engagement der Leitung zur kontinuierlichen Verbesserung zum Ausdruck bringt. Rollen, Verantwortlichkeiten und Befugnisse müssen klar zugewiesen und kommuniziert werden.

Kapitel 6: Planung

Das Planungskapitel umfasst den Risikomanagementprozess, der das Herzstück der ISO 27001 bildet. Unternehmen müssen eine systematische Risikobeurteilung durchführen, die Risiken identifiziert, analysiert und bewertet. Für jedes identifizierte Risiko muss eine Risikobehandlungsoption gewählt werden: Vermeidung, Minderung, Transfer oder Akzeptanz.

Die Erstellung einer Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) ist Pflicht. Dieses Dokument listet alle Annex-A-Controls auf und begründet, welche anwendbar sind und welche nicht. Außerdem müssen Informationssicherheitsziele definiert und Pläne zu deren Erreichung erstellt werden.

Kapitel 7: Unterstützung

Kapitel 7 fordert die Bereitstellung ausreichender Ressourcen — personell, finanziell und technisch. Die Kompetenz der Mitarbeiter muss sichergestellt werden, was regelmäßige Schulungen und Sensibilisierungsmaßnahmen einschließt. Alle Personen, die unter der Kontrolle der Organisation arbeiten, müssen sich der Informationssicherheitspolitik und ihrer Rolle bewusst sein.

Die dokumentierte Information muss gelenkt werden: Erstellung, Aktualisierung, Genehmigung, Verteilung und Aufbewahrung von Dokumenten müssen geregelt sein. Die Kommunikation — intern und extern — muss geplant werden, einschließlich der Festlegung, was wann an wen kommuniziert wird.

Kapitel 8: Betrieb

Im Betriebskapitel geht es um die operative Umsetzung der geplanten Maßnahmen. Die Risikobeurteilung muss in regelmäßigen Abständen oder bei wesentlichen Änderungen wiederholt werden. Der Risikobehandlungsplan wird umgesetzt und die ausgewählten Controls implementiert. Externe Dienstleister und ausgelagerte Prozesse müssen ebenfalls gesteuert werden.

Kapitel 9: Bewertung der Leistung

Die Organisation muss die Leistung des ISMS systematisch überwachen, messen, analysieren und bewerten. Interne Audits müssen in geplanten Abständen durchgeführt werden, um festzustellen, ob das ISMS den eigenen Anforderungen und den Normanforderungen entspricht.

Die Managementbewertung (Management Review) muss regelmäßig stattfinden und definierte Eingaben berücksichtigen — darunter den Status von Korrekturmaßnahmen, Ergebnisse der Risikobeurteilung und Verbesserungsmöglichkeiten. Die Ergebnisse müssen dokumentiert werden.

Kapitel 10: Verbesserung

Nichtkonformitäten müssen behandelt und Korrekturmaßnahmen eingeleitet werden. Die Ursachen von Abweichungen sind zu analysieren, um ein erneutes Auftreten zu verhindern. Das ISMS muss fortlaufend verbessert werden — dies ist kein optionaler Wunsch, sondern eine explizite Normanforderung.

Annex A Controls: Die vier Kategorien

Der Annex A der ISO 27001:2022 enthält 93 Controls in vier Kategorien. Diese ersetzen die 114 Controls in 14 Kategorien der Vorgängerversion. Unternehmen müssen im Rahmen der Risikobehandlung festlegen, welche Controls anwendbar sind.

A.5 Organisatorische Maßnahmen (37 Controls)

Diese Kategorie umfasst Richtlinien, Rollen, Verantwortlichkeiten und organisatorische Prozesse. Dazu gehören unter anderem: Informationssicherheitspolitik, Trennung von Aufgaben, Kontakt zu Behörden, Threat Intelligence, Informationssicherheit im Projektmanagement, Inventarisierung von Informationswerten, akzeptable Nutzung von Werten, Zugangssteuerungspolitik, Lieferantenbeziehungen und Informationssicherheit bei Cloud-Diensten.

Besonders wichtig sind die neuen Controls wie A.5.7 Threat Intelligence und A.5.23 Informationssicherheit bei Cloud-Diensten, die in der Version 2022 neu hinzugekommen sind und den aktuellen Bedrohungslandschaften Rechnung tragen.

A.6 Personenbezogene Maßnahmen (8 Controls)

Diese Controls adressieren die Sicherheit in Bezug auf Mitarbeiter: Überprüfung vor der Einstellung, Arbeitsvertragsbedingungen, Sensibilisierung und Schulung, Disziplinarverfahren, Verantwortlichkeiten bei Beendigung des Arbeitsverhältnisses, Vertraulichkeitsvereinbarungen, Remote-Arbeit und Meldung von Sicherheitsereignissen.

A.7 Physische Maßnahmen (14 Controls)

Physische Sicherheit umfasst den Schutz von Gebäuden, Räumen und Geräten: Sicherheitsbereiche, physische Zugangskontrollen, Schutz von Büros und Einrichtungen, Überwachung, Schutz gegen Umweltbedrohungen, Arbeit in Sicherheitsbereichen, Clear Desk und Clear Screen, Geräteplatzierung, Sicherheit von Geräten außerhalb des Unternehmens, sichere Entsorgung von Speichermedien, Versorgungseinrichtungen und Verkabelungssicherheit.

A.8 Technologische Maßnahmen (34 Controls)

Die technologischen Controls decken IT-spezifische Sicherheitsmaßnahmen ab: Benutzerendgeräte, privilegierte Zugriffsrechte, Einschränkung des Informationszugangs, Authentifizierung, Kapazitätsmanagement, Schutz gegen Schadsoftware, Management technischer Schwachstellen, Konfigurationsmanagement, Löschung von Informationen, Datenmaskierung, Data Leakage Prevention, Überwachung von Aktivitäten, Netzwerksicherheit, Web-Filterung, sichere Programmierung und Kryptographie.

Neue Controls wie A.8.9 Konfigurationsmanagement, A.8.10 Löschung von Informationen, A.8.11 Datenmaskierung und A.8.12 Data Leakage Prevention spiegeln moderne Sicherheitsanforderungen wider.

Pflichtdokumente und Aufzeichnungen

Die ISO 27001 fordert eine Reihe von dokumentierten Informationen, die für die Zertifizierung nachgewiesen werden müssen. Diese lassen sich in Pflichtdokumente und Pflichtaufzeichnungen unterteilen.

Pflichtdokumente: Anwendungsbereich des ISMS, Informationssicherheitspolitik, Risikobeurteilungsprozess, Risikobehandlungsprozess, Erklärung zur Anwendbarkeit (SoA), Informationssicherheitsziele, Kompetenznachweis, dokumentierte Information (so viel wie von der Organisation als notwendig erachtet).

Pflichtaufzeichnungen: Ergebnisse der Risikobeurteilung, Ergebnisse der Risikobehandlung, Überwachungs- und Messergebnisse, Ergebnisse interner Audits, Ergebnisse der Managementbewertung, Art der Nichtkonformitäten und ergriffene Korrekturmaßnahmen.

In der Praxis erstellen Unternehmen außerdem zahlreiche weitere Dokumente, darunter Richtlinien zur Zugangssteuerung, Lieferantenbewertungen, Notfallpläne und Schulungsnachweise. Die genaue Anzahl und der Umfang hängen von der Größe und Komplexität der Organisation ab.

Implementierung Schritt für Schritt

Die Einführung eines ISMS nach ISO 27001 folgt typischerweise einem strukturierten Vorgehen, das mehrere Monate in Anspruch nimmt. Je nach Unternehmensgröße und Reifegrad der bestehenden Sicherheitsprozesse dauert die Implementierung zwischen 6 und 18 Monaten.

Schritt 1: Projekt initialisieren. Managementunterstützung sichern, Projektteam zusammenstellen, Zeitplan und Budget festlegen. Die Unterstützung der Geschäftsleitung ist der wichtigste Erfolgsfaktor.

Schritt 2: Anwendungsbereich definieren. Festlegen, welche Bereiche, Standorte und Prozesse das ISMS umfasst. Ein zu weiter Scope erhöht den Aufwand, ein zu enger kann wichtige Risiken ausklammern.

Schritt 3: Bestandsaufnahme durchführen. Vorhandene Sicherheitsmaßnahmen, Richtlinien und Prozesse inventarisieren. Gap-Analyse gegen die Normanforderungen durchführen.

Schritt 4: Risikomanagement etablieren. Risikomethodik festlegen, Informationswerte identifizieren, Bedrohungen und Schwachstellen analysieren, Risiken bewerten und Behandlungsoptionen wählen.

Schritt 5: Controls implementieren. Basierend auf der Risikobehandlung die ausgewählten Annex-A-Controls umsetzen. Richtlinien erstellen, technische Maßnahmen einführen, Schulungen durchführen.

Schritt 6: Dokumentation erstellen. Alle Pflichtdokumente und Aufzeichnungen erstellen und lenken. Eine konsistente Dokumentenstruktur erleichtert die Wartung und das Audit.

Schritt 7: Betrieb und Überwachung. Das ISMS in den Regelbetrieb überführen, Kennzahlen erheben, Vorfälle managen und die Wirksamkeit der Maßnahmen überwachen.

Schritt 8: Internes Audit. Ein vollständiges internes Audit durchführen, um die Konformität mit der Norm und den eigenen Anforderungen zu prüfen.

Schritt 9: Managementbewertung. Die Ergebnisse der Geschäftsleitung präsentieren und Verbesserungsmaßnahmen beschließen.

Schritt 10: Zertifizierungsaudit. Eine akkreditierte Zertifizierungsstelle beauftragt einen externen Auditor, der das ISMS in einem zweistufigen Verfahren prüft.

Audit-Vorbereitung: Tipps für eine erfolgreiche Zertifizierung

Die Vorbereitung auf das Zertifizierungsaudit entscheidet maßgeblich über den Erfolg. Häufige Stolpersteine lassen sich durch sorgfältige Planung vermeiden.

Dokumentation prüfen: Alle Pflichtdokumente müssen aktuell, genehmigt und zugänglich sein. Versionierung und Änderungshistorie müssen nachvollziehbar sein. Lücken in der Dokumentation sind einer der häufigsten Auditbefunde.

Mitarbeiter vorbereiten: Stichprobenartig werden Mitarbeiter im Audit befragt. Sie sollten die Informationssicherheitspolitik kennen, ihre Rolle im ISMS verstehen und wissen, wie sie Sicherheitsvorfälle melden.

Nachweise sammeln: Aufzeichnungen über Schulungen, Risikobeurteilungen, interne Audits und Managementbewertungen müssen vorliegen. Der Auditor prüft nicht nur Richtlinien, sondern auch deren praktische Umsetzung.

Probeaudit durchführen: Ein internes oder durch externe Berater durchgeführtes Probeaudit deckt Schwachstellen auf, bevor der Zertifizierungsauditor kommt. So bleibt Zeit für Korrekturmaßnahmen.

Managementbewertung aktualisieren: Eine aktuelle Managementbewertung zeigt dem Auditor, dass die Leitung das ISMS aktiv steuert und verbessert.

Kosten einer ISO 27001 Zertifizierung

Die Kosten einer ISO 27001 Zertifizierung variieren erheblich je nach Unternehmensgröße, Komplexität und bestehendem Reifegrad. Für ein mittelständisches Unternehmen mit 50 bis 250 Mitarbeitern können folgende Richtwerte dienen:

Beratungskosten: 20.000 bis 60.000 Euro für die Implementierungsbegleitung durch externe Berater. Die Kosten hängen stark vom Umfang der benötigten Unterstützung ab.

Interne Kosten: 500 bis 2.000 Personentage für die interne Projektarbeit, verteilt über 12 bis 18 Monate. Dies umfasst die Arbeitszeit des ISMS-Teams und der Fachabteilungen.

Zertifizierungsaudit: 8.000 bis 25.000 Euro für das Erst-Zertifizierungsaudit durch eine akkreditierte Stelle. Jährliche Überwachungsaudits kosten etwa ein Drittel davon.

Werkzeuge und Schulungen: 5.000 bis 20.000 Euro für ISMS-Software, Schulungen und Sensibilisierungsmaßnahmen.

Häufige Fehler bei der Umsetzung

Aus unserer Beratungspraxis kennen wir typische Fehler, die den Erfolg der ISO 27001 Implementierung gefährden:

Fehlende Managementunterstützung: Ohne das aktive Engagement der Geschäftsleitung fehlen Ressourcen und Durchsetzungskraft. Das ISMS wird dann als reines IT-Projekt wahrgenommen und scheitert.

Überdimensionierter Scope: Wer sofort das gesamte Unternehmen in den Anwendungsbereich aufnimmt, riskiert Überforderung. Ein schrittweiser Ansatz ist oft erfolgreicher.

Papiertiger statt gelebtes System: Ein ISMS, das nur auf dem Papier existiert, wird im Audit durchfallen. Die Norm prüft explizit die Wirksamkeit und Umsetzung der Maßnahmen.

Vernachlässigung der Sensibilisierung: Informationssicherheit funktioniert nur, wenn alle Mitarbeiter einbezogen werden. Rein technische Maßnahmen reichen nicht aus.

Copy-Paste-Dokumentation: Vorlagen können hilfreich sein, müssen aber an die spezifische Organisation angepasst werden. Generische Dokumente werden vom Auditor sofort erkannt.

Änderungen in der ISO 27001:2022

Die Aktualisierung der ISO 27001 im Jahr 2022 brachte wesentliche Neuerungen, insbesondere im Annex A. Die Hauptänderungen umfassen:

Die Neustrukturierung der Controls von 14 Kategorien mit 114 Controls auf 4 Kategorien mit 93 Controls. Dabei wurden Controls zusammengefasst, umbenannt und 11 völlig neue Controls eingeführt. Die Pflichtkapitel 4 bis 10 wurden nur geringfügig angepasst, unter anderem mit einer neuen Anforderung zur Planung von Änderungen am ISMS.

Unternehmen, die bereits nach ISO 27001:2013 zertifiziert sind, hatten bis Oktober 2025 Zeit für die Umstellung. Für Neuzertifizierungen gilt seit 2024 ausschließlich die Version 2022.

Häufig gestellte Fragen (FAQ)

Wie lange dauert die ISO 27001 Implementierung?

Typischerweise dauert die Implementierung 6 bis 18 Monate, abhängig von Unternehmensgröße, bestehendem Reifegrad und verfügbaren Ressourcen. Kleine Unternehmen mit guter Vorbereitung können auch in 4 bis 6 Monaten zertifizierungsreif sein.

Ist die ISO 27001 Pflicht?

Die ISO 27001 ist grundsätzlich freiwillig. Allerdings kann sie durch vertragliche Anforderungen, Branchenregulierungen oder Gesetze wie das IT-Sicherheitsgesetz oder NIS2 faktisch verpflichtend werden. KRITIS-Betreiber und Unternehmen in regulierten Branchen sind häufig betroffen.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

Die ISO 27001 definiert die Anforderungen an ein ISMS und ist die Grundlage für die Zertifizierung. Die ISO 27002 ist ein Leitfaden, der die Annex-A-Controls detailliert beschreibt und Implementierungshinweise gibt. Eine Zertifizierung erfolgt nur nach ISO 27001.

Welche Branchen benötigen die ISO 27001?

Besonders verbreitet ist die Zertifizierung in der IT-Branche, im Finanzsektor, im Gesundheitswesen, in der Automobilindustrie (TISAX basiert auf ISO 27001), bei Cloud-Anbietern und in der öffentlichen Verwaltung. Grundsätzlich profitiert jede Organisation, die sensible Informationen verarbeitet.

Kann ein kleines Unternehmen die ISO 27001 umsetzen?

Ja, die ISO 27001 ist skalierbar und auch für kleine Unternehmen geeignet. Der Umfang der Dokumentation und die Komplexität der Maßnahmen passen sich der Organisationsgröße an. Wichtig ist ein realistischer Scope und die Nutzung pragmatischer Ansätze.

DATUREX — Ihr Partner für ISO 27001

Als erfahrene Berater für Informationssicherheit unterstützt DATUREX GmbH Sie bei der Umsetzung der ISO 27001 Zertifizierung. Ob Sie ein ISMS aufbauen, die Änderungen der ISO 27001:2022 umsetzen oder eine professionelle ISMS-Beratung benötigen — wir begleiten Sie von der Gap-Analyse bis zum erfolgreichen Zertifizierungsaudit.

Kontaktieren Sie uns für ein unverbindliches Erstgespräch!