ISO 27001 – Standard für Informationssicherheitsmanagement

Ziel ist es, Informationen systematisch zu schützen, Risiken zu minimieren und Sicherheitsmaßnahmen nachhaltig zu etablieren. Gerade für KMU, Geschäftsführungen und Informationssicherheitsbeauftragte (ISB) bietet die ISO 27001 einen klaren Rahmen, um Informationssicherheit umzusetzen. Dieser Glossarbeitrag gibt einen umfassenden Überblick über die ISO 27001, erläutert zentrale Anforderungen, beschreibt den Ablauf der Zertifizierung und beantwortet häufige Fragen, etwas zu Kosten und Dauer.

Im Kern geht es darum:

• Risiken zu identifizieren und zu bewerten
• geeignete Maßnahmen umzusetzen
• Sicherheitsprozesse zu dokumentieren und zu überwachen
• ein kontinuierliches Verbesserungsmodell (PDCA-Zyklus) zu etablieren

Die Norm basiert auf dem Schutz sensibler Informationen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit. Damit bildet die ISO 27001 die Grundlage für ein systematisches und auditierbares Sicherheitsniveau im Unternehmen.

1. Kontext der Organisation verstehen

Als Grundlage für ein passgenaues Informationssicherheitsmanagement müssen Unternehmen ihre internen und externen Rahmenbedingungen analysieren. Hierzu zählen relevante Stakeholder und deren Anforderungen, gesetzliche und regulatorische Vorgaben sowie interne Strukturen und Prozesse.

 

2. Führung und Verantwortung (Leadership)

Für die Umsetzung der ISO 27001 trägt die Geschäftsführung die zentrale Verantwortung. Sie legt eine Informationssicherheitsleitlinie fest, definiert klare Rollen und Verantwortlichkeiten und stellt sicher, dass Informationssicherheit in den Unternehmensziele integriert ist.

 

3. Risikomanagement

Ein Kernbestandteil der Norm ist das strukturierte Risikomanagement. Es umfasst Risiken für Informationen und Systeme zu identifizieren, Eintrittswahrscheinlichkeit und Auswirkungen zu bewerten sowie geeignete und zur Organisation passende Maßnahmen zur Risikobehandlung auszuwählen. Die Maßnahmen orientieren sich häufig am sogenannten Annex A der ISO 27001, der eine umfangreiche Sammlung von Sicherheitskontrollen enthält.

 

4. Unterstützung und Betrieb

Ein funktionierendes ISMS erfordert ausreichende Ressourcen, Schulungen und Sensibilisierung der Mitarbeitenden sowie dokumentierte Prozesse und Richtlinien.

 

5. Bewertung der Leistung

Unternehmen müssen regelmäßig überprüfen, ob ihr ISMS wirksam ist. Dazu dienen interne Audits, Managementbewertungen und Kennzahlen zur Informationssicherheit.

 

6. Kontinuierliche Verbesserung

Die ISO 27001 basiert auf dem PDCA-Zyklus (Plan-Do-Check-Act). Das bedeutet, Sicherheitsmaßnahmen werden kontinuierlich angepasst, Schwachstellen systematisch behoben und Prozesse stetig optimiert.

Ein Informationssicherheitsmanagementsystem (ISMS) ist das zentrale Element der ISO 27001. Die Norm definiert die Anforderungen, das ISMS ist die praktische Umsetzung im Unternehmen.

Ein ISMS umfasst unter anderem:

• Richtlinien und Prozesse zur Informationssicherheit
• Risikomanagement
• technische und organisatorische Maßnahmen
• Schulungen für Mitarbeitende
• kontinuierliche Überwachung und Verbesserung

Ohne ein funktionierendes ISMS ist eine ISO 27001 Zertifizierung nicht möglich

 

Einen Vergleich zwischen ISO 27001 und TISAX findest du hier.

Die ISO 27001 Zertifizierung erfolgt in mehreren strukturierten Schritten:

1. Gap-Analyse
   Den aktuellen Status mit den ISO 27001 Anforderungen abgleichen.
2. Aufbau oder Optimierung des ISMS
   Prozesse, Richtlinien und Maßnahmen definieren.
3. Interne Audits
   Wirksamkeit des Systems überprüfen.
4. Zertifizierungsaudit (extern)
   Externes Audit durch eine akkreditierte Zertifizierungsstelle.
5. Zertifikatserteilung
   Bei erfolgreichem Audit erhält das Unternehmen das ISO 27001 Zertifikat.

Dazu gehören die systematische Identifikation und Bewertung von Risiken, die Definition geeigneter Maßnahmen sowie die umfassende Dokumentation aller sicherheitsrelevanten Prozesse.

Im nächsten Schritt werden interne Audits durchgeführt, um die Wirksamkeit des ISMS zu überprüfen und mögliche Schwachstellen zu identifizieren. Erst danach folgt das externe Zertifizierungsaudit durch eine akkreditierte Zertifizierungsstelle. Wird dieses erfolgreich bestanden, erhält das Unternehmen das ISO 27001 Zertifikat. Viele Unternehmen setzen dabei auf externe Beratung, um die Umsetzung effizient und strukturiert zu gestalten.

Eine ISO 27001 Zertifizierung kann hierfür als anerkannter Standard und Nachweis dienen, ist jedoch meist keine direkte gesetzliche Pflicht. Typische Kontexte sind:

• Betreiber kritischer Infrastrukturen (KRITIS)
• regulatorische Anforderungen (z. B. durch NIS-2 oder DORA), die Sicherheitsmaßnahmen verlangen, ohne explizit eine ISO 27001 Zertifizierung vorzuschreiben
• vertragliche Anforderungen durch Kundinnen und Kunden

In vielen Branchen ist die ISO 27001 Zertifizierung dennoch häufig faktisch Voraussetzung für Geschäftsbeziehungen, da sie als etablierter Nachweis für Informationssicherheit gilt.

 

Wenn du wissen möchtest, welche Unternehmen von NIS-2 betroffen sind, lies unseren Glossarartikel „NIS-2-Richtlinie – wer ist betroffen?“.

Ein ISO 27001 Zertifikat darf ausschließlich von akkreditierten Zertifizierungsstellen ausgestellt werden. Diese Stellen werden von nationalen Akkreditierungsbehörden überwacht (z. B. DAkkS in Deutschland).

Wichtig: Beratungsunternehmen dürfen bei der Vorbereitung unterstützen, aber keine Zertifizierung durchführen.

Die ISO 27001 Zertifizierung ist in der Regel drei Jahre gültig. Während dieser Zeit erfolgen jährliche Überwachungsaudits sowie die kontinuierliche Weiterentwicklung des ISMS. Nach drei Jahren ist eine Rezertifizierung erforderlich.

Die Dauer einer ISO 27001 Zertifizierung hängt stark von der Ausgangssituation wie der Unternehmensgröße, der Komplexität der IT-Landschaft und vorhandenen Sicherheitsmaßnahmen ab. Mit einem bestehendem ISMS ca. 3–6 Monate, ohne vorhandene Strukturen ca. 6–12 Monate.

Wichtig ist die Unterscheidung zwischen Zertifizierung und Audit:

• Die ISO 27001 Zertifizierung umfasst den gesamten Prozess: von der Vorbereitung über die Implementierung des ISMS bis hin zur erfolgreichen Ausstellung des Zertifikats.
• Das ISO 27001-Audit ist ein Bestandteil davon und bezeichnet die eigentliche Prüfung des ISMS durch eine externe Stelle.

Die Kosten für den gesamtem Prozess einer ISO 27001 Zertifizierung variieren je nach Aufwand und Unternehmensgröße.

Typische Kostenblöcke sind

• interne Ressourcen für die Implementierung
• Auditkosten
• Zertifizierungsstelle
• Beratung

In der Praxis bewegen sich die Gesamtkosten häufig im Bereich von ca. 20.000 € bis 80.000 €.

Die Auditkosten hängen ab von der Unternehmensgröße, der Anzahl an Standorten, der Komplexität des ISMS. In der Regel koste ein ISO 27001 Audit mehrere tausend Euro.

Die ISO 27001 ist besonders relevant für KMU mit sensiblen Daten, IT- und Softwareunternehmen, Dienstleistungsunternehmen mit hohen Sicherheitsanforderungen und Unternehmen mit regulatorischen Verpflichtungen. Zunehmend wird sie auch entlang von Lieferketten gefordert.

Sie hilft dabei:

• Risiken zu reduzieren
• Prozesse zu standardisieren
• Vertrauen bei Kundinnen und Kunden sowie Partnerunternehmen aufzubauen
• regulatorische Anforderungen zu erfüllen

Trotz Herausforderungen wie Ressourcenmangel oder komplexer Umsetzung schafft die Norm langfristig Transparenz, Sicherheit und Wettbewerbsvorteile.