Was ist ISO 27001? Ein vollständiger Leitfaden

Einführung

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Veröffentlicht von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC), bietet er einen systematischen Rahmen für das Management sensibler Unternehmensinformationen.

Der Standard wurde erstmals 2005 veröffentlicht und 2022 grundlegend überarbeitet (ISO/IEC 27001:2022). Er wird weltweit anerkannt und ist häufig eine vertragliche oder regulatorische Anforderung für Organisationen, die sensible Daten verarbeiten.

Was deckt ISO 27001 ab?

Im Kern verlangt ISO 27001, dass eine Organisation Informationssicherheitsrisiken identifiziert und geeignete Kontrollen zu deren Behandlung implementiert. Der Standard ist absichtlich nicht-präskriptiv — er sagt Ihnen *was* Sie erreichen müssen, aber nicht genau *wie*.

Der Standard besteht aus zwei Hauptteilen: den ISMS-Anforderungen (Klauseln 4–10) und den Anhang A-Kontrollen — einer Referenzliste von 93 Sicherheitskontrollen, organisiert in vier Themen: Organisatorische, Personen-, Physische und Technologische Kontrollen.

Organisationen müssen eine Erklärung zur Anwendbarkeit (SoA) erstellen, die dokumentiert, welche Kontrollen gelten und welche begründet ausgeschlossen werden.

Wer braucht ISO 27001?

Obwohl technisch freiwillig, wird die ISO 27001-Zertifizierung zunehmend als Geschäftsanforderung angesehen. Sie ist besonders relevant für Technologie- und SaaS-Unternehmen, die Kundendaten verarbeiten, Finanz- und Gesundheitsorganisationen unter regulatorischem Druck, sowie Unternehmen, die mit europäischen oder staatlichen Kunden arbeiten.

Die Zertifizierung bietet Vorteile wie die Erfüllung regulatorischer Anforderungen (NIS2, DORA), die Reduzierung vertraglicher Reibung und die Stärkung des Vertrauens der Stakeholder.

Wie funktioniert die Zertifizierung?

Die Zertifizierung umfasst ein unabhängiges Audit durch eine akkreditierte Zertifizierungsstelle. Der Prozess besteht aus einem Stage 1 Audit (Dokumentenprüfung und Bereitschaftsbewertung) und einem Stage 2 Audit (Vor-Ort-Bewertung der ISMS-Implementierung und -Wirksamkeit).

Bei Bestehen wird ein dreijähriges Zertifikat ausgestellt, mit jährlichen Überwachungsaudits und einem Re-Zertifizierungsaudit im dritten Jahr.

ISO 27001:2022 — Was hat sich geändert?

Die Revision 2022 führte wesentliche Änderungen ein, darunter eine konsolidierte Kontrollstruktur mit 93 Kontrollen (statt zuvor 114), organisiert in vier Kategorien. Neue Kontrollen umfassen Threat Intelligence, Informationssicherheit für Cloud-Dienste und ICT-Bereitschaft für Geschäftskontinuität.

Organisationen, die nach der Version 2013 zertifiziert sind, hatten bis Oktober 2025 Zeit für den Übergang zur Version 2022.

Wichtige Erkenntnisse

ISO 27001 ist das weltweit anerkannteste Framework für Informationssicherheitsmanagement. Es ist risikobasiert und anpassbar an jede Organisationsgröße. Die Version 2022 modernisiert die Kontrollen für aktuelle Bedrohungen und Cloud-Realitäten.

Für die meisten Organisationen geht es bei der Zertifizierung nicht nur um Compliance — sie ist ein Vertrauenssignal, das Verkaufszyklen verkürzt, regulatorische Reibung reduziert und ein echtes Sicherheitsfundament aufbaut.