Ein ISMS schützt nicht einfach nur "besser". Es sorgt vor allem dafür, dass Informationssicherheit steuerbar wird: mit klaren Rollen, nachvollziehbaren Entscheidungen, belastbaren Nachweisen und einem gemeinsamen Rahmen für Technik, Organisation und Management. ISO 27001 liefert dafür die Struktur. In der Praxis geht es aber weniger um Normsprache als um ein System, das im Alltag funktioniert. Genau darum geht es in diesem Artikel.

Was ein ISMS leistet

Ein ISMS ist der systematische Rahmen, um Informationssicherheit zu planen, umzusetzen und zu verbessern:

Policies und Richtlinien legen Sicherheitsziele und Regeln fest

Risikomanagement identifiziert Bedrohungen und steuert Gegenmaßnahmen

Controls setzen technische und organisatorische Maßnahmen um (Annex A)

Prozesse regeln Incident Management, Change Management und Zugriffssteuerung

Nachweise dokumentieren Audit-Trails, Protokolle und Reviews

Das ISMS muss zum Unternehmen passen, nicht umgekehrt.

Aufbau der ISO 27001

High-Level Structure

ISO 27001:2022 folgt der Harmonized Structure, die auch andere ISO-Normen nutzen:

Kontext: interne und externe Einflüsse, interessierte Parteien

Führung: Commitment der Geschäftsleitung, ISMS-Policy

Planung: Risikobewertung, Risikobehandlung, Statement of Applicability (SoA)

Unterstützung: Ressourcen, Kompetenz, Awareness, Dokumentation

Betrieb: operative Planung und Steuerung

Leistungsbewertung: Monitoring, interne Audits, Management-Review

Verbesserung: Korrekturmaßnahmen, KVP

Annex A: 93 Controls in vier Kategorien

Organisatorisch (37): Policies, Rollen, Lieferanten, Compliance

Personenbezogen (8): Screening, Awareness, Verantwortlichkeiten

Physisch (14): Zutrittskontrolle, Schutz vor Umwelteinflüssen

Technologisch (34): Zugriffskontrolle, Kryptografie, Logging, Netzwerksicherheit

Nicht jedes Control muss umgesetzt werden. Das SoA dokumentiert, welche Controls anwendbar sind und warum andere ausgeschlossen wurden.

Scope richtig zuschneiden

Der häufigste Fehler: zu breit oder zu vage definiert.

Klar abgrenzen: Welche Standorte, Systeme, Prozesse und Daten gehören dazu?

Pragmatisch starten: Ein fokussierter Scope schlägt einen theoretisch umfassenden.

Schnittstellen dokumentieren: Was liegt außerhalb, beeinflusst aber das System?

Ein guter Scope macht die Gap-Analyse fokussiert und das Audit handhabbar.

Risikobewertung: das Kernstück

Vorgehen

Assets identifizieren: Welche Informationen, Systeme und Prozesse sind schützenswert?

Bedrohungen und Schwachstellen zuordnen: Was kann passieren? Wo sind Lücken?

Bewerten: Eintrittswahrscheinlichkeit mal Auswirkung ergibt die Risikostufe

Behandeln: Vermeiden, vermindern, übertragen oder bewusst akzeptieren

Restrisiko dokumentieren und von der Geschäftsleitung freigeben lassen

Häufige Risikobereiche in der IT

Unbefugter Zugriff durch schwache Passwörter, fehlende MFA oder überprivilegierte Accounts

Datenverlust durch fehlende oder ungetestete Backups

Verfügbarkeitsprobleme durch Single Points of Failure

Lieferkettenrisiken durch unsichere Drittanbieter oder Shadow IT

Mehr dazu: IT-Risikomanagement

Der Weg zum Zertifikat

Stage 1: Dokumentenprüfung

Der Auditor prüft die Unterlagen:

ISMS-Scope und -Policy

Risikobewertung und SoA

Ergebnisse interner Audits und Management-Reviews

Verfahrensanweisungen für die relevanten Prozesse

Stage 1 zeigt Lücken auf, die vor Stage 2 geschlossen werden müssen.

Stage 2: Umsetzung prüfen

Der Auditor prüft vor Ort, ob das ISMS im Alltag funktioniert:

Interviews mit Mitarbeitern (nicht nur IT)

Stichproben bei Controls: Zugriffsprotokolle, Patch-Status, Backup-Tests

Prüfung, ob Policies und Prozesse tatsächlich gelebt werden

Nach dem Zertifikat

Jährliche Überwachungsaudits mit kleinerem Scope

Nach drei Jahren Rezertifizierung mit vollständigem Audit

Laufende Pflicht: Findings bearbeiten, Risiken aktualisieren, System verbessern

Typische Stolpersteine

Dokumentation als Selbstzweck: Auditoren wollen sehen, dass das System gelebt wird, nicht nur beschrieben.

Fehlende Rückendeckung: Ohne Management-Commitment scheitert jedes ISMS.

Zu viele Controls auf einmal: Schrittweise umsetzen und Wirksamkeit nachweisen bringt mehr.

Interne Audits unterschätzen: Sie sind die beste Vorbereitung auf das externe Audit.

Mehr dazu: Internes Audit: Planung und Durchführung

ISMS als Basis für NIS2 und DORA

NIS2 und DORA erhöhen die Anforderungen an Informationssicherheit. Ein ISMS nach ISO 27001 deckt viele Themen bereits ab:

NIS2: Risikomanagement, Incident-Reporting, Supply-Chain-Security

DORA: operative Resilienz im Finanzsektor, eng verwandt mit Availability- und Incident-Controls

Wer ein ISMS hat, erfüllt viele dieser Anforderungen schon von Haus aus.

FAQ

Brauchen wir einen Informationssicherheitsbeauftragten?

Ja. Die Norm verlangt eine benannte Verantwortlichkeit. Das muss keine Vollzeitstelle sein, aber die Rolle braucht klare Kompetenzen und Befugnisse.

Wie viel Dokumentation verlangt ISO 27001?

Weniger als oft angenommen. Gefordert sind Policy, SoA, Risikobewertung, Audit-Ergebnisse und einige weitere "dokumentierte Informationen". Darüber hinaus gilt: so viel wie nötig, so wenig wie möglich.

Lässt sich ISO 27001 mit ISO 9001 kombinieren?

Ja. Beide Normen nutzen die Harmonized Structure. Ein integriertes Managementsystem spart Aufwand bei Dokumentation, Audits und Reviews.

Wenn daraus ein konkretes Readiness- oder Auditvorhaben wird, passen ISO 27001 Auditvorbereitung und NIS2 Readiness als nächste Schritte.

Fazit

Ein ISMS nach ISO 27001 ist kein Projekt mit sauberem Endpunkt, sondern ein Arbeitsmodell. Wenn es gut aufgebaut ist, schafft es mehr Überblick, bessere Entscheidungen und deutlich belastbarere Nachweise. Genau deshalb lohnt sich der Aufwand: nicht nur für das Zertifikat, sondern für einen Sicherheitsrahmen, der auch unter realem Druck trägt.

ISMS nach ISO 27001 aufbauen