ISO 27001: So stärken Unternehmen ihre Informationssicherheit

04.09.2025 | L. Gschnitzer – Online Redaktion, Forum Verlag Herkert GmbH

articleimage
© Horizon – stock.adobe.com

Unternehmen jeder Größe und Branche stehen heute vor der Herausforderung, ihre Daten zuverlässig zu schützen. Cyberangriffe, Datenlecks und Systemausfälle sind nur einige Risiken, die die Sicherheit sensibler Informationen gefährden. Genau hier setzt die internationale Norm ISO 27001 an. Sie gibt Unternehmen einen klaren Rahmen, wie sie ein Informationssicherheitsmanagementsystem (ISMS) einrichten, um Informationen zu schützen. In diesem Beitrag erfahren Sie, wie die Norm aufgebaut ist, welche Vorteile eine Zertifizierung Ihrem Unternehmen bringt und wie Sie ein ISMS nach ISO 27001 umsetzen.

Inhaltsverzeichnis

  1. Was ist ISO 27001? Einfach erklärt
  2. Was sind die drei Prinzipien von ISO 27001?
  3. Wie ist die ISO 27001 aufgebaut?
  4. Was ist eine ISO 27001-Zertifizierung?
  5. Wie können Unternehmen ein ISMS nach ISO/IEC 27001 umsetzen?

Was ist ISO 27001? Einfach erklärt

Die ISO 27001 ist die international anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie legt fest, welche Anforderungen ein ISMS erfüllen muss.

Die Norm bietet einen Leitfaden, wie Unternehmen und Organisationen ein ISMS einrichten, umsetzen, aufrechterhalten und fortlaufend verbessern, um ihre Informationen zu schützen.

Außerdem beinhaltet sie Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken.

Gut zu wissen: Die offizielle Abkürzung für die Norm lautet ISO/IEC 27001, da sie gemeinsam von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) herausgegeben wurde. Es gibt auch eine deutsche Version, die als DIN ISO/IEC 27001 bzw. DIN EN ISO/IEC 27001 bekannt ist.

Was sind die drei Prinzipien von ISO 27001?

Die drei Prinzipien von ISO 27001 sind Vertraulichkeit, Integrität und Verfügbarkeit.

  • Vertraulichkeit: Nur berechtigte Personen dürfen auf die Informationen des Unternehmens zugreifen.
  • Integrität: Die Informationen sind zuverlässig gespeichert und werden weder gelöscht noch beschädigt.
  • Verfügbarkeit: Das Unternehmen und seine Kunden können jederzeit auf die Informationen zugreifen, wenn sie benötigt werden.

Zusammen werden die drei Prinzipien auch als CIA-Triade bezeichnet – abgeleitet von den englischen Begriffen Confidentiality, Integrity und Availability.

Sie bildet die Grundlage für alle Anforderungen der Norm. Risiken wie Datenverlust oder Cyberangriffe lassen sich nur durch Maßnahmen absichern, die alle drei Prinzipien berücksichtigen.

Wie ist die ISO 27001 aufgebaut?

Die ISO/IEC 27001 besteht aus zwei Teilen:

1.    Klauseln (Clauses)

2.    Anhang A mit Sicherheitskontrollen (Controls)

Klauseln (Clauses)

Die Klauseln erklären die Norm und beschreiben die Anforderungen, die Unternehmen sowie Organisationen für die Einrichtung und Umsetzung eines ISMS erfüllen müssen.

Während die Klauseln 0 bis 3 einleitende Hinweise geben, stellen die Klauseln 4 bis 10 die verbindlichen Anforderungen der Norm dar:

Kontext der Organisation (Klausel 4): Unternehmen müssen ihr Umfeld analysieren und interne sowie externe Faktoren berücksichtigen, die die Informationssicherheit beeinflussen. Darauf aufbauend wird festgelegt, für welche Bereiche das ISMS gelten soll.

Führung (Klausel 5): Das oberste Management ist verantwortlich dafür, eine Informationssicherheitspolitik zu definieren, Rollen sowie Verantwortlichkeiten zuzuweisen und die Informationssicherheit in die Geschäftsprozesse einzubinden.

Planung (Klausel 6): Unternehmen müssen Risiken und Chancen in Bezug auf die Informationssicherheit bewerten. Basierend darauf werden Informationssicherheitsziele festgelegt und ein Plan erstellt, um diese Ziele zu erreichen.

Unterstützung (Klausel 7): Damit das ISMS wirksam funktioniert, müssen Unternehmen entsprechende Ressourcen bereitstellen, Mitarbeiter schulen und eine vollständige ISMS-Dokumentation führen.

Betrieb (Klausel 8): Abläufe sind so zu planen und zu steuern, so dass Informationssicherheit jederzeit sichergestellt ist. Dafür ist es notwendig, regelmäßige Risikoanalysen durchzuführen und geeignete Sicherheitsmaßnahmen umzusetzen.

Bewertung (Klausel 9): Unternehmen müssen regelmäßig prüfen, ob ihr ISMS wirksam funktioniert. Dazu gehören interne Audits, Messungen und Analysen der Prozesse sowie Managementbewertungen.

Verbesserung (Klausel 10): Diese Klausel verlangt von Unternehmen, Abweichungen vom ISO 27001-Standard zu erfassen und durch geeignete Maßnahmen zu beheben. Ziel ist es, Fehler zu korrigieren und diese künftig zu vermeiden. Zudem müssen Unternehmen das ISMS laufend weiterentwickeln und verbessern.

Anhang A mit Sicherheitskontrollen (Controls)

Mit der aktuellen Version ISO/IEC 27001:2022 wurde der Anhang A grundlegend überarbeitet. Er enthält nun 93 Sicherheitskontrollen, darunter 11 neue Maßnahmen.

Die Sicherheitskontrollen sind dabei in vier Kategorien eingeteilt:

  • Organisatorische Kontrollen (Organizational Controls)
  • Personalbezogene Kontrollen (People Controls)
  • Physische Kontrollen (Physical Controls)
  • Technologische Kontrollen (Technological Controls)

Auf Basis der zuvor ermittelten Risikobewertung wählen Unternehmen die Maßnahmen aus, die für ihre Abläufe und Anforderungen relevant sind.

Organisatorische Kontrollen (Organizational Controls)

Die organisatorischen Kontrollen umfassen 37 Maßnahmen und betreffen Strukturen sowie Prozesse. Diese stellen sicher, dass die Informationssicherheit fest im Unternehmen verankert ist.

Beispiele für organisatorische Kontrollen sind:

  • Klare Sicherheitsrichtlinien im Unternehmen
  • Zuweisen von Rollen und Verantwortlichkeiten
  • Regeln für die sichere Nutzung von Cloud-Diensten

Personalbezogene Kontrollen (People Controls)

Die 8 personalbezogenen Kontrollen stellen sicher, dass Mitarbeiter sicherheitsbewusst handeln und ihre Verantwortung im Umgang mit Informationen kennen.

Dazu gehören etwa Hintergrundprüfungen bei neuen Mitarbeitern, regelmäßige Schulungen und klare Regeln beim Austritt von Arbeitnehmern.

Physische Kontrollen (Physical Controls)

Mit den physischen Kontrollen schützen Unternehmen ihre Gebäude, Räume, Geräte und Speichermedien vor unbefugtem Zutritt und Schäden.

Insgesamt gibt es 14 Physical Controls. Darunter finden sich u. a.:

  • Zugangskontrollen zu Büros, Serverräumen oder anderen sensiblen Bereichen
  • Schutzmaßnahmen vor Feuer, Wasser oder anderen Umwelteinflüssen
  • Richtlinien zum sicheren Umgang mit Geräten und Speichermedien

Technologische Kontrollen (Technological Controls)

Die 34 technologischen Kontrollen sichern IT-Systeme und Netzwerke ab, um Daten vor Cyberangriffen, Manipulation oder Verlust zu schützen.

Dabei helfen verschiedene Ansätze, wie

  • Zugriffskontrollen zur klaren Vergabe von Benutzerrechten,
  • die Verschlüsselung sensibler Daten bei Speicherung und Übertragung, oder
  • die sichere Löschung von Informationen, die nicht mehr benötigt werden.

Was ist eine ISO 27001-Zertifizierung?

Eine ISO 27001-Zertifizierung bestätigt, dass Unternehmen und Organisationen ihr ISMS nach den Anforderungen der Norm eingerichtet haben. Das Zertifikat wird von einer unabhängigen, akkreditierten Zertifizierungsstelle vergeben und ist drei Jahre gültig.

Wie läuft eine ISO 27001-Zertifizierung ab?

Die ISO/IEC 27001-Zertifizierung läuft in mehreren Schritten ab:

  1. Vorbereitung: Das Unternehmen definiert den Anwendungsbereich des ISMS, bewertet Risiken in Bezug auf die Informationssicherheit und setzt die geplanten Sicherheitsmaßnahmen um.
  2. Interne Audits: Das Unternehmen prüft selbst, ob ihr ISMS wirksam funktioniert und alle Anforderungen gemäß ISO/IEC 27001 erfüllt sind.
  3. Zertifizierung (Phase 1): Ein externer Auditor einer Zertifizierungsstelle prüft die Dokumentation des ISMS, also Prozesse und Verfahren zur Informationssicherheit.
  4. Zertifizierung (Phase 2): In einem Vor-Ort-Audit kontrolliert die externe Zertifizierungsstelle stichprobenartig, ob die in der Dokumentation beschriebenen Maßnahmen auch umgesetzt werden (z. B. durch Interviews oder Begehungen).
  5. Zertifikat: Nach erfolgreicher Prüfung erhält das Unternehmen das ISO 27001-Zertifikat, das drei Jahre gültig ist.
  6. Überwachung: Jährliche Überwachungsaudits stellen sicher, dass das ISMS weiterhin den Anforderungen der Norm entspricht.
  7. Rezertifizierung: Alle drei Jahre erfolgt ein Rezertifizierungsaudit, um das Zertifikat zu erneuern.

Was bringt ein ISO 27001-Zertifikat?

Ein ISO 27001-Zertifikat zeigt, dass Unternehmen Informationssicherheit ernst nehmen und Maßnahmen zum Datenschutz umgesetzt haben. Häufig ist eine Zertifizierung sogar eine Voraussetzung für Geschäftsbeziehungen ­– vor allem in sicherheitskritischen Branchen.

Die wichtigsten Vorteile für Unternehmen im Überblick:

  • Offizieller Nachweis für ein wirksames Informationssicherheitsmanagementsystem
  • Mehr Vertrauen bei Kunden, Partnern und Behörden
  • Schutz sensibler Daten vor Verlust, Diebstahl oder Cyberangriffen
  • Höheres Sicherheitsbewusstsein bei Mitarbeitern
  • Weniger Ausfallzeiten durch bessere Vorbereitung auf Sicherheitsvorfälle

Wie können Unternehmen ein ISMS nach ISO/IEC 27001 umsetzen?

Damit ein ISMS nach ISO/IEC 27001 in der Praxis funktioniert, sollten Unternehmen auf folgende Punkte achten:

  • Sorgen Sie für klare Unterstützung und ausreichende Ressourcen durch die Geschäftsleitung.
  • Wählen Sie Sicherheitskontrollen, die zu Ihren individuellen Risiken und Abläufen passen, statt auf allgemeine Standardmaßnahmen zu setzen.
  • Schulen Sie Ihr Team regelmäßig und schaffen Sie ein Bewusstsein für Informationssicherheit.
  • Dokumentieren Sie Prozesse und Richtlinien transparent und nachvollziehbar.
  • Planen Sie genügend Ressourcen für die Dokumentation und Pflege des ISMS ein.
  • Betrachten Sie das ISMS nicht als einmaliges Projekt, sondern als laufenden Prozess, den Sie regelmäßig prüfen und verbessern.