ISO 27001 Zertifizierung: Was sie ist, was sie erfordert und wie man sie erhält

ISO 27001 ist der internationale Goldstandard für Informationssicherheitsmanagement. Veröffentlicht von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC), definiert sie die Anforderungen an den Aufbau, den Betrieb und die Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Für europäische Unternehmen erfüllt ISO 27001 einen doppelten Zweck: Sie befriedigt die Anforderungen von Unternehmenskunden im Beschaffungsprozess und bietet eine strukturierte Grundlage zur Erfüllung regulatorischer Pflichten unter NIS2 und DORA.

Dieser Leitfaden behandelt, was die Norm erfordert, wie das Zertifizierungsaudit funktioniert, was die 2022-Revision geändert hat und wie ISO 27001 in die breitere europäische Compliance-Landschaft passt.

Was ISO 27001 erfordert

ISO 27001 besteht aus zwei Hauptteilen: den Anforderungen an das Managementsystem (Klauseln 4-10) und den Referenzkontrollen (Annex A).

Anforderungen an das Managementsystem (Klauseln 4-10)

Diese Klauseln definieren, wie Ihr ISMS funktionieren muss:

Klausel 4 — Kontext der Organisation: Umfang definieren, interessierte Parteien verstehen, interne und externe Themen bestimmen, die die Informationssicherheit betreffen
Klausel 5 — Führung: Informationssicherheitspolitik aufstellen, Rollen und Verantwortlichkeiten zuweisen, Managementverpflichtung demonstrieren
Klausel 6 — Planung: Risikobewertung durchführen, Risikobehandlungsplan definieren, Informationssicherheitsziele setzen, Änderungen planen
Klausel 7 — Unterstützung: Ressourcen bereitstellen, Kompetenz sicherstellen, Bewusstsein schaffen, Kommunikationskanäle einrichten, dokumentierte Informationen managen
Klausel 8 — Betrieb: Risikobewertung und Risikobehandlung durchführen, Betriebsplanung und -kontrolle managen
Klausel 9 — Leistungsbewertung: ISMS-Wirksamkeit überwachen und messen, interne Audits durchführen, Managementbewertungen vornehmen
Klausel 10 — Verbesserung: Nichtkonformitäten behandeln, Korrekturmaßnahmen umsetzen, kontinuierliche Verbesserung vorantreiben

Annex A Kontrollen (ISO 27001:2022)

Annex A bietet 93 Referenzkontrollen, die in vier Kategorien organisiert sind:

Organisatorische Kontrollen (37 Kontrollen)

Governance, Richtlinien und Managementprozesse abdeckend:

Informationssicherheitsrichtlinien und -rollen
Asset-Management und -klassifizierung
Zugriffskontrolle und Identitätsmanagement
Lieferanten- und Drittanbietersicherheit
Incident Management und Business Continuity
Compliance und rechtliche Anforderungen

Personelle Kontrollen (8 Kontrollen)

Das menschliche Element der Sicherheit abdeckend:

Überprüfung vor der Einstellung
Beschäftigungsbedingungen
Sicherheitsbewusstsein und Schulung
Disziplinarverfahren
Verantwortlichkeiten nach Beendigung
Fernarbeit und Vertraulichkeitsvereinbarungen

Physische Kontrollen (14 Kontrollen)

Physische Sicherheitsmaßnahmen abdeckend:

Physische Sicherheitsperimeter und Zugangskontrollen
Sicherung von Büros, Räumen und Einrichtungen
Geräteschutz und -wartung
Clean-Desk- und Clear-Screen-Richtlinien
Handhabung und Entsorgung von Speichermedien

Technologische Kontrollen (34 Kontrollen)

Technische Sicherheitsmaßnahmen abdeckend:

Benutzerauthentifizierung und Zugriffsrechte
Verschlüsselung und Schlüsselmanagement
Sicherheitsprotokollierung und -überwachung
Netzwerksicherheit und -segmentierung
Sicherer Entwicklungslebenszyklus
Datenschutz und Privatsphäre
Schwachstellenmanagement und Patch-Management
Backup und Redundanz

Erklärung zur Anwendbarkeit (SoA)

Die SoA ist eines der wichtigsten ISO 27001 Dokumente. Sie listet jede Annex-A-Kontrolle auf und gibt an:

Ob die Kontrolle anwendbar oder ausgeschlossen ist
Begründung für Ein- oder Ausschluss
Wie die Kontrolle umgesetzt wird
Verweis auf unterstützende Dokumentation

Die SoA verknüpft Ihre Risikobewertung mit Ihrer Kontrollimplementierung — Auditoren prüfen sie sorgfältig.

Der Zertifizierungsprozess

Wahl einer Zertifizierungsstelle

Wählen Sie eine akkreditierte Zertifizierungsstelle (ZS). Wichtige Überlegungen:

Akkreditierung: Stellen Sie sicher, dass die ZS von einer nationalen Akkreditierungsstelle akkreditiert ist (z. B. DAkkS in Deutschland, SAS in der Schweiz, AA in Österreich)
Branchenerfahrung: Wählen Sie eine ZS mit Auditoren, die Erfahrung in Ihrer Branche und Ihrem Technologie-Stack haben
Geografische Abdeckung: Für Unternehmen mit mehreren Standorten stellen Sie sicher, dass die ZS alle Standorte auditieren kann
Reputation: Die Reputation der ZS beeinflusst, wie Käufer Ihre Zertifizierung wahrnehmen

Stufe-1-Audit (Dokumentationsprüfung)

Das Stufe-1-Audit ist eine Bereitschaftsprüfung:

Dokumentenprüfung — Der Auditor untersucht Ihre ISMS-Dokumentation: Richtlinien, Risikobewertung, SoA, Verfahren und Aufzeichnungen
Umfangsverifizierung — Bestätigt, dass der ISMS-Umfang angemessen und klar definiert ist
Bereitschaftsbewertung — Bewertet, ob das ISMS ausreichend implementiert ist für Stufe 2
Planung — Identifiziert Schwerpunktbereiche für das Stufe-2-Audit

Dauer: Typischerweise 1-2 Tage vor Ort oder remote

Ergebnis: Stufe-1-Bericht mit identifizierten Problembereichen und Bestätigung der Bereitschaft (oder nicht) für Stufe 2

Stufe-2-Audit (Implementierungsverifizierung)

Das Stufe-2-Audit überprüft, ob Ihr ISMS wirksam funktioniert:

Kontrolltests — Auditoren testen Kontrollen durch Interviews, Beobachtung, Nachweisinspektion und Nachvollziehung
Prozessverifizierung — Überprüft, ob ISMS-Prozesse (Risikobewertung, internes Audit, Managementbewertung) funktionieren
Nachweisproben — Überprüft Stichproben von Aufzeichnungen, Protokollen und Dokumentation über den Auditzeitraum
Mitarbeiterbefragungen — Gespräche mit Personal auf verschiedenen Ebenen zur Überprüfung von Bewusstsein und Compliance
Befundklassifizierung — Befunde werden klassifiziert als:
- Hauptabweichung — Signifikanter Fehler, der vor der Zertifizierung korrigiert werden muss
- Nebenabweichung — Einzelner Fehler, der einen Korrekturmaßnahmenplan erfordert
- Beobachtung — Verbesserungsbereich (blockiert nicht die Zertifizierung)

Dauer: Typischerweise 3-10 Tage je nach Organisationsgröße und -umfang

Ergebnis: Stufe-2-Bericht mit Befunden und Empfehlung für die Zertifizierung

Zertifizierungsentscheidung

Nach Stufe 2:

Wenn keine Hauptabweichungen vorliegen: Zertifizierung wird empfohlen
Wenn Hauptabweichungen vorliegen: Sie müssen diese beheben und Nachweise erbringen, bevor die Zertifizierung erteilt wird
Nebenabweichungen erfordern einen Korrekturmaßnahmenplan innerhalb eines vereinbarten Zeitrahmens
Das Prüfungsgremium der Zertifizierungsstelle trifft die endgültige Zertifizierungsentscheidung

Aufrechterhaltung der Zertifizierung

Die ISO 27001 Zertifizierung ist drei Jahre gültig mit laufenden Pflichten:

Überwachungsaudits — Jährliche Audits (typischerweise in Jahr 1 und 2) überprüfen den fortgesetzten ISMS-Betrieb. Geringerer Umfang als das Erstaudit.
Kontinuierliche Verbesserung — Sie müssen nachweisen, dass sich das ISMS verbessert, nicht nur aufrechterhalten wird
Re-Zertifizierungsaudit — Vollständiges Audit in Jahr 3 zur Erneuerung des Zertifikats für einen weiteren Dreijahreszyklus
Laufender Betrieb — Das ISMS muss zwischen den Audits kontinuierlich betrieben werden — Risikobewertungen aktualisiert, Vorfälle gemanagt, Kontrollen überwacht, interne Audits durchgeführt

ISO 27001:2022 — Was sich geändert hat

Die Revision von 2022 brachte wesentliche Änderungen an Annex A, während die Managementsystem-Klauseln weitgehend unverändert blieben:

Umstrukturierte Kontrollkategorien

ISO 27001:2013	ISO 27001:2022
14 Kontrollkategorien	4 Kontrollkategorien
114 Kontrollen	93 Kontrollen
A.5-A.18 Nummerierung	A.5-A.8 Nummerierung

11 Neue Kontrollen

Die 2022-Revision fügte Kontrollen hinzu, die moderne Sicherheitsherausforderungen widerspiegeln:

A.5.7 Bedrohungsintelligenz — Sammlung und Analyse von Bedrohungsinformationen
A.5.23 Informationssicherheit für Cloud-Dienste — Management cloudspezifischer Risiken
A.5.30 IKT-Bereitschaft für Business Continuity — Sicherstellung, dass Technologie Kontinuitätspläne unterstützt
A.7.4 Physische Sicherheitsüberwachung — Überwachungs- und Erkennungssysteme
A.8.9 Konfigurationsmanagement — Sichere Verwaltung von Systemkonfigurationen
A.8.10 Informationslöschung — Sichere Löschung, wenn nicht mehr benötigt
A.8.11 Datenmaskierung — Schutz sensibler Daten durch Maskierungstechniken
A.8.12 Verhinderung von Datenabfluss — Verhinderung unautorisierter Datenexfiltration
A.8.16 Überwachungsaktivitäten — Überwachung und Analyse von Sicherheitsereignissen
A.8.23 Webfilterung — Verwaltung des Zugangs zu externen Websites
A.8.28 Sichere Codierung — Anwendung sicherer Entwicklungsprinzipien

Kontrollattribute

Die 2022-Version führt fünf Attribute für jede Kontrolle ein, die Organisationen verschiedene Ansichten ermöglichen:

Kontrolltyp: Präventiv, Detektiv, Korrektiv
Informationssicherheitseigenschaften: Vertraulichkeit, Integrität, Verfügbarkeit
Cybersicherheitskonzepte: Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen
Operative Fähigkeiten: Governance, Asset-Management, etc.
Sicherheitsdomänen: Governance und Ökosystem, Schutz, Verteidigung, Resilienz

ISO 27001 und europäische Vorschriften

NIS2-Abgleich

ISO 27001 bildet die NIS2 Artikel 21 Anforderungen gut ab, aber Lücken bestehen:

NIS2 Artikel 21 Maßnahme	ISO 27001 Abdeckung
Risikoanalyse und Sicherheitsrichtlinien	Stark — Klauseln 6, 8, Annex A.5
Incident Handling	Teilweise — A.5.24-A.5.28 decken Management ab, aber nicht NIS2s 24-Stunden-Meldung
Business Continuity	Stark — A.5.29-A.5.30
Lieferkettensicherheit	Teilweise — A.5.19-A.5.22 decken Lieferantensicherheit ab, aber NIS2 fordert tiefere Lieferkettenbewertung
Systemakquisitionssicherheit	Stark — A.8.25-A.8.31
Wirksamkeitsbewertung	Stark — Klausel 9
Cyberhygiene und Schulung	Stark — A.6.3, A.6.4
Kryptographie	Stark — A.8.24
HR-Sicherheit und Zugriffskontrolle	Stark — A.6, A.8.1-A.8.5
Multi-Faktor-Authentifizierung	Teilweise — A.8.5 behandelt Authentifizierung, schreibt aber MFA nicht vor

Hauptlücke: NIS2-Incident-Reporting erfordert eine 24-Stunden-Frühwarnung an das CSIRT, eine 72-Stunden-Vorfallmeldung und einen Abschlussbericht innerhalb eines Monats. ISO 27001 fordert Incident Management, schreibt aber keine spezifischen Meldefristen vor.

DORA-Abgleich

Für Finanzunternehmen bietet ISO 27001 eine Grundlage für DORAs IKT-Risikomanagement-Anforderungen:

IKT-Risikomanagement-Framework (DORA Artikel 5-16) stimmt mit ISO 27001 Klauseln 6-8 überein
IKT-bezogenes Incident Management (DORA Artikel 17-23) geht über ISO 27001s Incident-Kontrollen hinaus
Digitale operationelle Resilienztests (DORA Artikel 24-27) erfordern strukturiertere Tests als ISO 27001s internes Audit
IKT-Drittparteien-Risikomanagement (DORA Artikel 28-44) fordert tiefere Lieferantenüberwachung als ISO 27001 A.5.19-A.5.22

DSGVO-Synergien

ISO 27001 unterstützt die DSGVO-Compliance durch:

Risikobasierten Ansatz zum Schutz personenbezogener Daten
Zugriffskontrolle und Datenklassifizierungskontrollen
Incident Management (unterstützt Meldepflichten bei Datenschutzverletzungen)
Lieferantenmanagement (unterstützt Auftragsverarbeiter-Anforderungen nach Artikel 28)
ISO 27701 (Privacy Information Management) erweitert ISO 27001 speziell für den Datenschutz

Häufige Zertifizierungsfehler

Die Zertifizierung als Ziel statt Sicherheit behandeln. Organisationen, die ein ISMS nur aufbauen, um das Audit zu bestehen, schaffen fragile Systeme. Wenn der Auditor kommt, zeigen sich Lücken. Bauen Sie das ISMS auf, weil es Ihre Organisation sicherer macht, und die Zertifizierung folgt natürlich.
Die Risikobewertung unterschätzen. Die Risikobewertung treibt alles an — Ihre Kontrollauswahl, Ihre SoA und Ihren Auditumfang. Eine oberflächliche Risikobewertung führt zu ungeeigneten Kontrollen und Auditfeststellungen. Investieren Sie Zeit in eine gründliche, ehrliche Bewertung.
Anforderungen an interne Audits ignorieren. Interne Audits sind obligatorisch und müssen von Auditoren durchgeführt werden, die unabhängig von den geprüften Bereichen sind. Viele Organisationen verzögern oder überspringen interne Audits und stehen dann vor Hauptabweichungen beim Zertifizierungsaudit.
Unzureichende Managementbeteiligung. ISO 27001 erfordert nachgewiesenes Managementengagement — nicht nur eine Richtlinienunterschrift. Managementbewertungen müssen abgehalten, mit Ressourcen ausgestattet und mit klaren Entscheidungen und Maßnahmen dokumentiert werden.
Nachweise nicht kontinuierlich pflegen. Nachweise müssen das ganze Jahr über gesammelt werden, nicht erst vor dem Audit zusammengestellt. Automatisierte Nachweissammlung durch Compliance-Plattformen eliminiert dieses Problem und bietet kontinuierliche Auditbereitschaft.
Zu engen Umfang wählen. Ein enger Umfang (z. B. nur ein Produkt zertifizieren, während das Unternehmen viele betreibt) kann die Glaubwürdigkeit bei Käufern beschädigen. Käufer wollen sehen, dass das ISMS die Systeme abdeckt, die ihre Daten verarbeiten.

Wie Orbiq die ISO 27001 Zertifizierung unterstützt

Trust Center: Veröffentlichen Sie Ihren ISO 27001 Zertifizierungsstatus, Umfang, SoA-Zusammenfassung und Sicherheitskontrollen als käuferzugewandten Nachweishub
Kontinuierliches Monitoring: Verfolgen Sie die Kontrollwirksamkeit über alle 93 Annex-A-Kontrollen und identifizieren Sie Lücken vor Überwachungsaudits
Nachweismanagement: Automatisierte Nachweissammlung, abgebildet auf ISO 27001 Klauseln und Annex-A-Kontrollen für eine optimierte Auditvorbereitung
KI-gestützte Fragebögen: Beantworten Sie Sicherheitsfragebögen von Käufern mit Nachweisen aus Ihrem ISMS und ISO 27001 Programm

Weiterführende Lektüre

ISMS — Aufbau des Managementsystems, das ISO 27001 zertifiziert
SOC 2 Compliance — Wie ISO 27001 sich im Vergleich zu SOC 2 für den US-Marktzugang verhält
Informationssicherheitsleitlinie — Das oberste ISMS-Governance-Dokument erstellen
Compliance-Automatisierung — ISO 27001 Nachweissammlung und Monitoring automatisieren

Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.