ISO 27001

Kaum eine Ausschreibung im B2B-Umfeld kommt noch ohne die Frage aus: Sind Sie nach ISO 27001 zertifiziert? Der Standard hat sich als gemeinsamer Nenner etabliert, an dem Unternehmen die Sicherheitsreife ihrer Partner messen.

Was ist ISO 27001?

ISO/IEC 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme, kurz ISMS. Sie beschreibt keine einzelnen Produkte oder Technologien, sondern ein Managementsystem: dokumentierte Prozesse, mit denen eine Organisation ihre Informationsrisiken identifiziert, bewertet, behandelt und die Wirksamkeit der Maßnahmen fortlaufend überprüft.

Die aktuelle Fassung stammt aus dem Jahr 2022. Ihr Anhang A enthält 93 Referenzmaßnahmen (Controls) in vier Themenfeldern: organisatorische, personelle, physische und technologische Maßnahmen. Welche davon ein Unternehmen umsetzt, legt es risikobasiert in der Erklärung zur Anwendbarkeit fest, dem Statement of Applicability. Genau diese Risikoorientierung macht den Standard für kleine wie große Organisationen anwendbar.

Wie funktioniert die Zertifizierung?

  • ISMS aufbauen: Geltungsbereich festlegen, Risiken analysieren, Maßnahmen auswählen und dokumentieren, Verantwortlichkeiten und Kennzahlen definieren.
  • Betreiben und verbessern: Das ISMS lebt vom Zyklus aus Planen, Umsetzen, Prüfen und Verbessern, inklusive interner Audits und Management-Bewertungen.
  • Zertifizierungsaudit: Eine akkreditierte Zertifizierungsstelle prüft in zwei Stufen Dokumentation und gelebte Praxis und stellt bei Erfolg das Zertifikat aus.
  • Aufrechterhalten: Das Zertifikat gilt drei Jahre, mit jährlichen Überwachungsaudits und anschließender Rezertifizierung.

Warum es wichtig ist

  • Das Zertifikat ist der international anerkannte Nachweis systematischer Informationssicherheit, oft Voraussetzung in Ausschreibungen und Lieferantenbewertungen.
  • Die Risikoorientierung lenkt Budgets dorthin, wo sie das größte Risiko senken, statt in Einzelmaßnahmen ohne Zusammenhang.
  • Ein gelebtes ISMS deckt strukturell viele Anforderungen anderer Regelwerke ab, von NIS-2 bis DORA, und reduziert damit Doppelarbeit.
  • Die jährlichen Audits erzwingen Aktualität: Prozesse und Maßnahmen veralten nicht unbemerkt.

Typische Szenarien

  • Ein Softwareanbieter braucht das Zertifikat, weil ein Konzernkunde es zur Bedingung für den Rahmenvertrag macht.
  • Ein Mittelständler nutzt den ISMS-Aufbau, um vor der NIS-2-Registrierung Ordnung in Risiken, Prozesse und Nachweise zu bringen.
  • Ein IT-Dienstleister weist mit dem Zertifikat gegenüber Finanzkunden die Grundlage nach, auf der DORA-spezifische Anforderungen aufsetzen.
  • Ein Unternehmen nach einem Sicherheitsvorfall verankert die Lehren daraus dauerhaft in einem ISMS statt in einer einmaligen Aufräumaktion.

Der Weg zum Zertifikat in der Praxis

Die häufigsten Stolpersteine sind vorhersehbar. Der Geltungsbereich wird zu groß geschnitten: Wer im ersten Anlauf die gesamte Organisation zertifizieren will, prüft und dokumentiert monatelang; ein klug gewählter Scope um die kritischen Prozesse liefert schneller ein belastbares Zertifikat. Die Dokumentation entsteht fürs Audit statt für den Alltag: Prüfer erkennen Papier-ISMS zuverlässig, spätestens im Interview mit den Fachbereichen. Und die Maßnahmenwirksamkeit bleibt unbelegt: Ein Control ohne Kennzahl, Bericht oder Stichprobe ist im Audit wenig wert.

Hilfreich ist deshalb, Nachweise dort entstehen zu lassen, wo ohnehin gearbeitet wird: Betriebsberichte des Managed-Service-Providers, Richtlinienstände aus der Segmentierungsplattform, Zugriffs-Reviews aus dem Identitätssystem. So bleibt das ISMS schlank, und die jährlichen Überwachungsaudits werden zur Routine statt zur Sonderaktion.

ISO 27001 und BSI IT-Grundschutz: der Unterschied

Beide führen zu einem zertifizierbaren ISMS. ISO 27001 ist international anerkannt und risikobasiert offen: Die Organisation leitet ihre Maßnahmen selbst aus der Risikoanalyse ab. Der deutsche IT-Grundschutz des BSI arbeitet dagegen mit detaillierten Bausteinen und konkreten Anforderungskatalogen; ein ISO-27001-Zertifikat auf Basis von IT-Grundschutz verbindet beide Welten, ist aber deutlich umfangreicher in der Umsetzung. Für international tätige Unternehmen ist die native ISO-Zertifizierung der gängige Weg. Wie sich die Regelwerke insgesamt sortieren, zeigt der Eintrag Cybersecurity-Compliance .

Wie KAEMI unterstützt

KAEMI betreibt selbst ein ISMS nach ISO 27001; den aktuellen Stand unserer Sicherheitsmaßnahmen und Nachweise dokumentiert unser Trustcenter . Wir kennen die Anforderungen damit aus der eigenen Umsetzung, vom Audit bis zum Alltagsbetrieb. Viele Anhang-A-Maßnahmen der Themenfelder Netzwerk und Zugriff lassen sich als Managed Service umsetzen und sauber nachweisen: Zero-Trust-Mikrosegmentierung liefert dokumentierte, prüfbare Netzwerkrichtlinien samt Sichtbarkeit über die realen Datenflüsse, eine SASE/SSE-Architektur setzt Zugriffssteuerung und sichere Anbindung um. Die Berichte und Richtlinienstände aus dem Betrieb dienen dabei direkt als Audit-Nachweise. KAEMI arbeitet dabei Ihrem ISMS-Verantwortlichen zu; die Zertifizierung selbst bleibt Aufgabe Ihrer Organisation und der Zertifizierungsstelle.

Häufige Fragen zu ISO 27001

Was ist ein ISMS?

Ein Informationssicherheits-Managementsystem ist die Gesamtheit der Prozesse, Rollen und Regeln, mit denen eine Organisation ihre Informationsrisiken steuert: von der Risikoanalyse über die Auswahl und den Betrieb von Maßnahmen bis zu internen Audits und kontinuierlicher Verbesserung. ISO 27001 definiert die Anforderungen an ein solches System.

Wie lange dauert eine ISO-27001-Zertifizierung?

Das hängt von Größe, Geltungsbereich und Reifegrad ab. Üblich sind mehrere Monate bis gut ein Jahr vom ISMS-Aufbau bis zum Zertifikat. Wer bereits dokumentierte Prozesse, klare Verantwortlichkeiten und technische Nachweise hat, verkürzt den Weg deutlich; das Zertifikat gilt anschließend drei Jahre mit jährlichen Überwachungsaudits.

Was steht im Anhang A von ISO 27001?

Anhang A der Fassung von 2022 enthält 93 Referenzmaßnahmen in vier Themenfeldern: organisatorisch, personell, physisch und technologisch. Dazu gehören etwa Zugriffssteuerung, Netzwerksicherheit, Verschlüsselung und Lieferantenmanagement. Welche Maßnahmen gelten, entscheidet die risikobasierte Erklärung zur Anwendbarkeit.

Ersetzt ISO 27001 die Pflichten aus NIS-2 oder DORA?

Nein, aber es trägt weit. Ein gelebtes ISMS deckt viele Anforderungen strukturell ab und liefert die Nachweisdisziplin, die Aufsichten erwarten. Gesetzliche Pflichten wie Registrierungen, konkrete Meldefristen oder sektorspezifische Tests bestehen daneben fort und müssen zusätzlich erfüllt werden.

Braucht ein kleines Unternehmen ISO 27001?

Pflicht ist es selten, nützlich oft: Sobald größere Kunden Sicherheitsnachweise verlangen, ist das Zertifikat das effizienteste Argument. Der risikobasierte Ansatz skaliert auch für kleine Organisationen, weil der Geltungsbereich und die Maßnahmen zur tatsächlichen Risikolage passen dürfen und nicht jeder Baustein umgesetzt werden muss.

Offene Fragen dazu in Ihrer Umgebung? KAEMI berät Sie anforderungsorientiert und übernimmt auf Wunsch auch den Betrieb.