ISO 27001
Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS) mit Anforderungen an Aufbau, Betrieb und kontinuierliche Verbesserung.
ISO/IEC 27001 ist der weltweit anerkannte Standard für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Die aktuelle Version ISO 27001:2022 definiert Anforderungen an das Managementsystem und verweist auf Kontrollen aus ISO 27002 (ehemals Annex A).
Was verlangt ISO 27001?
Der Standard fordert unter anderem: Definition des ISMS-Geltungsbereichs, systematische Risikobewertung, Risikobehandlungsplan, Statement of Applicability (SoA), Dokumentation und Nachweise der umgesetzten Kontrollen, interne Audits und Management-Reviews, sowie einen kontinuierlichen Verbesserungsprozess (PDCA-Zyklus).
Im Kern verfolgt ISO 27001 einen risikobasierten Ansatz. Unternehmen identifizieren ihre Informationswerte (Assets), bewerten die Risiken für Vertraulichkeit, Integrität und Verfügbarkeit dieser Assets und wählen dann geeignete Kontrollen aus, um die identifizierten Risiken auf ein akzeptables Niveau zu senken. Die Auswahl der Kontrollen wird im Statement of Applicability dokumentiert und begründet — auch der bewusste Verzicht auf bestimmte Kontrollen muss nachvollziehbar sein.
Änderungen in ISO 27001:2022
Die Revision 2022 hat den Annex A grundlegend neu strukturiert. Statt 114 Kontrollen in 14 Kategorien gibt es nun 93 Kontrollen in vier Themenbereichen: Organisatorische Kontrollen, Personenbezogene Kontrollen, Physische Kontrollen und Technologische Kontrollen. Neu hinzugekommen sind unter anderem Kontrollen für Cloud-Sicherheit, Threat Intelligence, Datenmaskierung und sichere Softwareentwicklung. Unternehmen mit bestehender Zertifizierung nach ISO 27001:2013 mussten bis zum 31. Oktober 2025 auf die neue Version umstellen.
Der Zertifizierungsprozess
| Phase | Inhalt | Typischer Zeitraum |
|---|---|---|
| Gap-Analyse | Ist-Zustand gegen Soll-Anforderungen bewerten | Je nach Umfang wenige Wochen |
| ISMS-Aufbau | Richtlinien, Prozesse, Kontrollen implementieren | Mehrere Monate |
| Internes Audit | Eigene Prüfung der ISMS-Wirksamkeit | Vor dem Zertifizierungsaudit |
| Stage 1 Audit | Dokumentenprüfung durch Zertifizierer | Vor-Ort oder remote |
| Stage 2 Audit | Umfassende Vor-Ort-Prüfung der Umsetzung | Mehrtägig je nach Scope |
| Überwachungsaudits | Jährliche Prüfung der fortlaufenden Konformität | Jährlich |
| Re-Zertifizierung | Vollständige Neuprüfung nach drei Jahren | Alle drei Jahre |
Die Zertifizierung erfolgt durch akkreditierte Zertifizierungsstellen in einem mehrstufigen Audit-Prozess. Das Zertifikat ist drei Jahre gültig mit jährlichen Überwachungsaudits. Für viele Branchen (Finanzdienstleistungen, Gesundheit, KRITIS) ist eine ISO 27001-Zertifizierung faktisch Pflicht.
ISO 27001 und andere Standards
ISO 27001 bildet die Basis für branchenspezifische Standards. TISAX in der Automobilindustrie baut auf ISO 27001 auf und ergänzt branchenspezifische Anforderungen. BSI IT-Grundschutz ist kompatibel — eine BSI-Grundschutz-Zertifizierung wird als ISO 27001 auf Basis von IT-Grundschutz anerkannt. Die NIS2-Richtlinie referenziert ISO 27001 als anerkannten Rahmen für das geforderte Risikomanagement. Wer ISO 27001 umsetzt, schafft damit eine solide Grundlage für weitere regulatorische Anforderungen.
Relevanz für KMUs
Eine ISO 27001-Zertifizierung ist auch für mittelständische Unternehmen erreichbar — der Standard ist bewusst skalierbar gestaltet. Der Geltungsbereich kann auf kritische Geschäftsprozesse begrenzt werden, statt die gesamte Organisation abzudecken. In der Praxis beginnen viele KMUs mit einer Gap-Analyse, um den tatsächlichen Aufwand realistisch einzuschätzen. Die größte Hürde ist dabei oft nicht die Technik, sondern die Dokumentation bestehender Prozesse und die Verankerung des ISMS im Management.