ISO/IEC 27001 ist die weltweit führende Norm für Informationssicherheits-Managementsysteme. Sie wurde von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) gemeinsam entwickelt und zuletzt 2022 umfassend überarbeitet. Die Norm legt fest, welche Anforderungen ein Unternehmen erfüllen muss, um ein ISMS systematisch aufzubauen, zu betreiben, zu überwachen und kontinuierlich zu verbessern. Im Gegensatz zu technischen Sicherheitsstandards adressiert ISO 27001 den gesamten organisatorischen Rahmen — von der Risikoanalyse über Richtlinien und Schulungen bis hin zu technischen Kontrollen. Eine Zertifizierung nach ISO 27001 durch eine akkreditierte Stelle ist international anerkannt und wird von Kunden, Partnern und Behörden als Nachweis eines reifen Sicherheitsniveaus akzeptiert.
Was ist ISO 27001?
ISO 27001 ist ein internationaler Standard der ISO/IEC-Normenfamilie für Informationssicherheit. Er beschreibt, welche Anforderungen ein Informationssicherheits-Managementsystem (ISMS) erfüllen muss, um zertifizierungsfähig zu sein. Die Norm ist prozessorientiert und folgt dem Plan-Do-Check-Act-Zyklus (PDCA). Kernelemente sind: Kontextanalyse, Risikobeurteilung, Maßnahmenauswahl aus dem normativen Anhang A, interne Audits und Management Reviews. ISO 27001:2022 umfasst 93 Controls in 4 Themenbereichen (statt früher 14 Kategorien).
Die Norm ist branchenunabhängig und auf Unternehmen jeder Größe anwendbar — von Startups bis zu multinationalen Konzernen.
Welche Anforderungen stellt ISO 27001?
ISO 27001 gliedert sich in normative Hauptkapitel (4–10) und den informativen Anhang A:
- Kapitel 4: Kontext der Organisation — interne/externe Faktoren, interessierte Parteien, Anwendungsbereich
- Kapitel 5: Führung — Commitment der Geschäftsführung, Informationssicherheitspolitik, Rollen und Verantwortlichkeiten
- Kapitel 6: Planung — Risikobeurteilung und -behandlung, Informationssicherheitsziele
- Kapitel 7: Unterstützung — Ressourcen, Kompetenz, Bewusstsein, Kommunikation, dokumentierte Information
- Kapitel 8: Betrieb — operative Planung und Steuerung, Risikobeurteilung, Risikobehandlung
- Kapitel 9: Bewertung der Leistung — Überwachung, Messung, internes Audit, Management Review
- Kapitel 10: Verbesserung — Nichtkonformitäten, Korrekturmaßnahmen, kontinuierliche Verbesserung
Anhang A enthält 93 Controls als Referenz — welche davon angewendet werden, legt das Statement of Applicability (SoA) fest.
Wie läuft eine ISO-27001-Zertifizierung ab?
Der Zertifizierungsprozess umfasst typisch folgende Phasen:
- Vorbereitung: ISMS aufbauen, Dokumentation erstellen, interne Audits durchführen, Management Review abhalten
- Auswahl der Zertifizierungsstelle: DAkkS-akkreditierte Stelle (z.B. TÜV, DQS, Bureau Veritas)
- Stage-1-Audit (Dokumentenprüfung): Auditor prüft ISMS-Dokumentation auf Vollständigkeit und Eignung — ohne Vor-Ort-Begehung oder remote
- Stage-2-Audit (Implementierungsaudit): Vor-Ort-Prüfung, ob dokumentierte Anforderungen auch gelebt werden. Interviews, Stichproben, technische Prüfungen
- Zertifizierungsentscheidung: Bei positivem Ergebnis wird das Zertifikat ausgestellt (Gültigkeit: 3 Jahre)
- Überwachungsaudits: Jährliche Zwischenaudits in Jahr 1 und Jahr 2
- Re-Zertifizierung: Vollaudit alle 3 Jahre
Welche Dokumente werden für ISO 27001 benötigt?
| Dokument | Pflicht? | Beschreibung |
|---|---|---|
| Informationssicherheitspolitik | Ja | Strategie und Commitment der Leitung |
| Anwendungsbereich (Scope) | Ja | Was ist Teil des ISMS? |
| Risikobeurteilungsprozess | Ja | Methodik zur Risikobewertung |
| Statement of Applicability (SoA) | Ja | Welche Anhang-A-Controls gelten? |
| Risikobehandlungsplan | Ja | Maßnahmen zur Risikoreduktion |
| Informationssicherheitsziele | Ja | Messbare Ziele |
| Kompetenznachweise | Ja | Schulungsnachweise, Qualifikationen |
| Internes Auditprogramm | Ja | Planung und Ergebnisse |
| Management Review | Ja | Protokoll der Leitungsbewertung |
Wie lange dauert eine ISO-27001-Zertifizierung?
Die Dauer hängt stark von der Ausgangssituation ab:
- Greenfield (kein ISMS vorhanden): 12–18 Monate für KMU
- Bestehende Sicherheitsmaßnahmen vorhanden: 6–12 Monate
- Mit externer Unterstützung: Reduktion um 30–40%
- Große Organisationen: 18–24 Monate
Stage-1-Audit typisch 3–6 Monate nach Projektstart. Stage-2-Audit 2–4 Monate danach.
Praxishinweis: Unterschätzen Sie nicht die Zeit für interne Audits und den Management Review — diese müssen vor Stage 2 vollständig abgeschlossen sein.
Wie hoch sind die Kosten einer ISO-27001-Zertifizierung?
| Position | KMU (50–200 MA) | Mittelstand (200–1000 MA) |
|---|---|---|
| Beratungsleistung | 15.000–40.000 € | 40.000–100.000 € |
| Zertifizierungsstelle | 5.000–15.000 € | 15.000–40.000 € |
| Schulungen | 2.000–8.000 € | 8.000–20.000 € |
| Tools/Software | 2.000–10.000 €/Jahr | 10.000–50.000 €/Jahr |
| Gesamt (Jahr 1) | 25.000–75.000 € | 75.000–210.000 € |
Der ROI ist positiv: ein einziger Sicherheitsvorfall kostet KMU im Schnitt 25.000–500.000 €. ISO 27001 reduziert das Vorfallsrisiko nachweislich.
Was ist Annex A von ISO 27001?
Anhang A (Annex A) von ISO 27001:2022 enthält 93 Informationssicherheits-Controls, die in vier Themenbereiche gegliedert sind:
- Organisatorische Controls (37): Richtlinien, Rollen, Lieferkettensicherheit, Incident Management
- Personenbezogene Controls (8): Überprüfung, Schulung, Disziplinarverfahren
- Physische Controls (14): Zugang zu Räumen, Gerätesicherheit, Clear Desk
- Technologische Controls (34): Zugangskontrolle, Kryptographie, Netzwerksicherheit, Monitoring
Neu in ISO 27001:2022 sind 11 Controls, darunter Threat Intelligence, Cloud-Sicherheit und Data Masking. Das Statement of Applicability (SoA) dokumentiert, welche Controls angewendet werden und warum ggf. welche ausgeschlossen wurden.
Welche Unternehmen benötigen ISO 27001?
ISO 27001 ist keine gesetzliche Pflicht, wird aber zunehmend gefordert:
- Regulatorisch: DORA (Finanzsektor), NIS2 (kritische Infrastrukturen), BSI-Gesetz (KRITIS)
- Vertraglich: Kunden, insbesondere Konzerne und öffentliche Auftraggeber, fordern zunehmend ISO-27001-Nachweise
- Wettbewerb: In IT-Dienstleistung, Cloud, Gesundheit und Verteidigung ist ISO 27001 faktischer Marktstandard
- Versicherung: Cyber-Versicherungen bieten mit ISO 27001 günstigere Prämien
Faktisch: Jedes Unternehmen, das sensible Daten verarbeitet oder IT-Dienstleistungen erbringt, profitiert von ISO 27001.
Wie unterscheiden sich ISO 27001 und BSI Grundschutz?
| Kriterium | ISO 27001 | BSI IT-Grundschutz |
|---|---|---|
| Herkunft | International (ISO/IEC) | Deutsch (BSI) |
| Verbreitung | Weltweit | Primär D-A-CH |
| Ansatz | Risikobasiert, flexibel | Bausteinbasiert, detailliert |
| Zertifizierung | ISO 27001 Zertifikat | ISO 27001 auf Basis IT-Grundschutz |
| Aufwand | Mittlerer Aufwand | Höherer Initialaufwand |
| Empfohlen für | International tätige Unternehmen | Behörden, KRITIS, D-A-CH-Fokus |
Wie bereitet man sich auf ein ISO-27001-Audit vor?
Drei bis sechs Monate vor dem Stage-2-Audit:
- Gap-Analyse: Aktuellen Reifegrad gegen ISO-27001-Anforderungen prüfen
- Dokumentation vervollständigen: Alle Pflichtdokumente aktuell und genehmigt
- Internes Audit: Vollständiges internes Audit mit qualifiziertem internen Auditor oder externer Unterstützung
- Management Review: Formales Review durch die Leitung mit Protokoll
- Nichtkonformitäten beheben: Alle Major NCs aus internem Audit beseitigen
- Awareness: Mitarbeiter auf Auditorenfragen vorbereiten
- Aufzeichnungen: Betriebliche Nachweise mindestens 6 Monate vorliegend
Häufiger Fehler: Das interne Audit wird als Formalität behandelt. Ein gutes internes Audit ist der wertvollste Vorbereiter auf das externe Audit.
Checkliste: Was ist ISO 27001?
- Informationssicherheitspolitik erstellt und genehmigt
- Anwendungsbereich definiert und dokumentiert
- Risikobewertungsmethodik festgelegt
- Risikoregister angelegt und bewertet
- Statement of Applicability (SoA) erstellt
- Risikobehandlungsplan mit Maßnahmen und Verantwortlichen
- Mindestens 12 Pflichtdokumente vollständig
- Schulungsmaßnahmen dokumentiert
- Internes Audit vollständig abgeschlossen
- Management Review mit Protokoll durchgeführt
- Nichtkonformitäten bewertet und behoben
- Zertifizierungsstelle ausgewählt und Stage-1-Audit geplant
Häufige Fragen (FAQ)
ISO 27001 ist keine gesetzliche Pflicht. Sie wird jedoch zunehmend regulatorisch gefordert (NIS2, DORA) oder vertraglich vorausgesetzt — insbesondere von öffentlichen Auftraggebern und großen Unternehmen.
Grundsätzlich ja. Praktisch scheitern viele interne Projekte an fehlender Erfahrung mit Auditanforderungen, an Kapazitäten und an der Objektivitätsproblematik beim internen Audit. Externe Unterstützung reduziert Projektdauer und Fehlerquote erheblich.
Das SoA ist ein zentrales Dokument, das für alle 93 Anhang-A-Controls dokumentiert, ob sie angewendet werden, und wenn nicht — warum. Es ist Pflichtdokument für die Zertifizierung.
Minor NCs (kleinere Abweichungen) müssen innerhalb eines vereinbarten Zeitraums behoben werden. Major NCs (wesentliche Abweichungen) verhindern die Zertifizierung bis zur Behebung. In beiden Fällen sind Korrekturmaßnahmen und ein Nachweis der Behebung erforderlich.
Das Zertifikat ist 3 Jahre gültig. In Jahr 1 und 2 finden jährliche Überwachungsaudits statt. Nach 3 Jahren ist eine Re-Zertifizierung (vollständiges Audit) erforderlich.