Bedeutung der ISO 27001 Controls und warum sie wichtig sind

Die ISO/IEC 27001 Norm bietet einen international anerkannten Rahmen, um ein Informationssicherheits-Managementsystem (ISMS) aufzubauen und Risiken systematisch zu managen. Zentrales Element dieser Norm sind die sogenannten Controls – konkret definierte Sicherheitsmaßnahmen und Kontrollpunkte, die ein Unternehmen umsetzen muss, um Informationssicherheitsrisiken zu minimieren und die Anforderungen der Norm einzuhalten. Anders ausgedrückt: ISO 27001 Controls sind praktische Anleitungen, was ein Unternehmen tun sollte, um seine Informationen zu schützen.

In diesem Blogartikel geben wir einen praxisnahen Überblick über die 93 ISO 27001:2022 Controls, geordnet nach den vier Hauptgruppen. Wir erläutern die zentralen Schwerpunkte jeder Gruppe und zeigen mit Beispielen, wie diese Maßnahmen in der Unternehmenspraxis umgesetzt werden können. Anschließend stellen wir bewährte Best Practices vor, die Ihnen helfen, die Controls erfolgreich zu implementieren. Dieser Leitfaden soll insbesondere Einsteigern dabei helfen, die ersten Schritte mit ISO 27001 zu verstehen und konkrete Maßnahmen für das eigene Unternehmen abzuleiten.

Überblick über die vier Hauptgruppen der Controls

Die neueste Revision der Norm, ISO 27001:2022, bringt einige Änderungen mit sich. Während die vorherige Ausgabe (ISO 27001:2013) 114 Controls in 14 Themenbereiche unterteilt hatte, wurden die Controls in der 2022-Version neu gruppiert und auf 93 Maßnahmen reduziert. Diese 93 Controls sind in vier Hauptgruppen gegliedert: organisatorische, personelle, physische und technologische Sicherheitsmaßnahmen. Zudem wurden elf neue Controls eingeführt, um aktuellen Sicherheitsanforderungen Rechnung zu tragen – darunter Themen wie Bedrohungsaufklärung (Threat Intelligence), Cloud-Nutzung und sicheres Programmieren. Für Unternehmen bedeutet das einerseits eine modernisierte, übersichtlichere Struktur, andererseits aber auch neue Aufgaben bei der Umsetzung.

ISO 27001:2022 fasst die Controls in vier übergeordnete Kategorien zusammen, die unterschiedliche Aspekte der Sicherheit abdecken. Im Folgenden ein kurzer Überblick:

• Organisatorische Controls – Maßnahmen auf Management- und Prozessebene, z.B. Richtlinien, Zuständigkeiten, Risikomanagement und interne Vorgaben. Sie legen den organisatorischen Rahmen für Informationssicherheit fest.
• Personelle Controls – Maßnahmen, die den Faktor Mensch betreffen, z.B. Schulungen, klare Regelungen für Mitarbeiter, Überprüfungen vor Einstellung und Verhaltenskodizes. Sie zielen darauf ab, dass Mitarbeiter sicherheitsbewusst handeln.
• Physische Controls – Maßnahmen zum Schutz der physischen Infrastruktur und Umgebung, z.B. Zugangskontrolle zu Gebäuden, Schutz vor Umwelteinflüssen, sichere Lagerung und Entsorgung von Datenträgern. Sie sollen verhindern, dass Unbefugte physisch an Informationen gelangen oder diese durch Vorfälle (Diebstahl, Feuer, etc.) verloren gehen.
• Technologische Controls – Maßnahmen für die IT- und Technologiebereiche, z.B. Zugriffsschutz auf Systeme, Netzwerksicherheit, Verschlüsselung, Malware-Schutz, Backup, Protokollierung und Überwachung. Diese Controls setzen technische Mittel ein, um Daten und Systeme zu schützen.

Bevor es los geht: Handlungsempfehlungen

ISO 27001 Controls sind keine bloße Checkliste, sondern konkrete Handlungsanweisungen, um Ihr Unternehmen wirksam zu schützen. Legen Sie mit der Geschäftsleitung klare Verantwortlichkeiten fest, nutzen Sie Risikobewertungen zur Priorisierung und setzen Sie auf praxisorientierte Schulungen. Denken Sie daran: Informationssicherheit ist ein kontinuierlicher Prozess, kein einmaliges Projekt. Bleiben Sie dran, prüfen und verbessern Sie regelmäßig.
Dieser praxisnahe Leitfaden soll Ihnen helfen, die ersten Schritte mit ISO 27001 zu gehen und die Umsetzung strukturiert anzugehen. So schützen Sie Ihre wertvollen Informationen nachhaltig – und bauen Vertrauen bei Kunden und Partnern auf.

Schwerpunkt: Organisatorische Controls

Was genau sind organisatorische Controls? Unter organisatorischen Controls versteht man alle Sicherheitsmaßnahmen, die durch Richtlinien, Prozesse und organisatorische Strukturen umgesetzt werden. Sie bilden das Fundament der Informationssicherheitsorganisation im Unternehmen. In diese Kategorie fällt alles, was nicht direkt durch Technik, einzelne Personen oder physische Schutzmechanismen abgedeckt wird. Dazu gehören unter anderem die Festlegung von Verantwortlichkeiten, das Management von Ressourcen und Risiken sowie Überwachungs- und Verbesserungsprozessen.

Ein zentraler Bestandteil ist die Informationssicherheits-Leitlinie (Policy). ISO 27001 fordert, dass Unternehmen eine dokumentierte Sicherheitsrichtlinie einführen (Control 5.1), die vom Top-Management getragen wird. Diese Policy definiert die Ziele und Rahmenbedingungen der Informationssicherheit.

Praxisbeispiel: Ein mittelständisches Unternehmen erstellt eine Leitlinie, in der u.a. geregelt wird, wie mit sensitiven Daten umzugehen ist, wer für welche Sicherheitsaufgaben verantwortlich ist und welche Konsequenzen Verstöße haben. Diese Leitlinie wird von der Geschäftsführung verabschiedet und allen Mitarbeitern kommuniziert. Damit ist der Grundstein für eine Sicherheitskultur gelegt.

Rollen und Verantwortlichkeiten: Ein weiterer Schwerpunkt ist die klare Zuweisung von Rollen im Sicherheitsmanagement (Control 5.2). Es sollte z.B. einen Informationssicherheitsbeauftragten oder CISO geben, der das ISMS koordiniert, sowie definierte Verantwortliche für Teilbereiche (z.B. Asset-Management, Incident Response). Durch funktionale Trennung (Segregation of Duties, Control 5.3) wird sichergestellt, dass keine einzelne Person komplette Kontrolle über kritische Prozesse hat – ein Prinzip, das Missbrauch und Fehler reduziert.

Praxisbeispiel: Die Person, die neue Benutzerkonten anlegt, sollte nicht gleichzeitig berechtigt sein, Zugriffsrechte alleine freizuschalten. So sind immer mindestens zwei Personen in sensitive Vorgänge involviert.

Risikomanagement und Informationswerte: Organisatorische Controls umfassen auch einen strukturierten Risiko-Analyse-Prozess. Unternehmen müssen regelmäßig Risiken für ihre Informationswerte identifizieren, bewerten und geeignete Maßnahmen (Controls) zu deren Behandlung auswählen. Hierzu gehört auch die Inventarisierung von Informationswerten (Assets) und deren Klassifizierung (Controls 5.9 und 5.12). In der Praxis bedeutet das: Man erstellt ein Verzeichnis aller wichtigen Informationssysteme, Datenbanken, Dokumente etc., stuft sie nach Kritikalität und Sensitivität ein (z.B. öffentlich, intern, vertraulich) und bewertet, welche Bedrohungen für diese Werte bestehen. Auf Basis dieser Risikoanalyse wird entschieden, welche Controls priorisiert umgesetzt werden müssen.

Praxisbeispiel: Ein Unternehmen identifiziert als hohes Risiko den Ausfall seiner zentralen Kundendatenbank. Daraufhin werden Maßnahmen wie häufige Backups, Datenbank-Spiegelung und ein Notfallplan implementiert, um die Verfügbarkeit zu gewährleisten.

Richtlinien und Verfahren für den Betrieb: Weitere organisatorische Maßnahmen betreffen konkrete Vorgaben für den Umgang mit Informationen im Tagesgeschäft. Beispielsweise fordert ISO 27001 Regeln zur akzeptablen Nutzung von IT-Systemen und Informationen (Acceptable Use, Control 5.10), Verfahren für den Umgang mit Zugriffsrechten (Controls 5.15–5.18) wie die Vergabe, Überprüfung und Entzug von Berechtigungen, sowie Prozesse für Informationsaustausch (Information Transfer, Control 5.14), damit z.B. beim Versenden vertraulicher Daten die richtigen Schutzmaßnahmen (Verschlüsselung, Empfängerprüfung etc.) eingehalten werden.

Praxisbeispiel: Eine Firma führt eine Richtlinie ein, die vorschreibt, dass alle Mitarbeiter ihre E-Mails mit sensiblen Anhängen verschlüsseln müssen und Cloud-Dienste für Unternehmensdaten nur nach Freigabe nutzen dürfen. So wird sichergestellt, dass der Informationsaustausch kontrolliert und sicher abläuft.

Lieferanten- und Partnermanagement: Viele Unternehmen arbeiten mit externen Dienstleistern oder Partnern zusammen, die Zugriff auf Systeme oder Daten haben. ISO 27001 enthält daher mehrere Controls zum Lieferantenmanagement (Controls 5.19 bis 5.22). Diese verlangen, Sicherheitsaspekte in Vereinbarungen mit Drittparteien aufzunehmen, deren Dienstleistungen hinsichtlich Informationssicherheit zu überwachen und bei Cloud-Services (Control 5.23) sicherzustellen, dass auch in der Cloud angemessene Sicherheitsmaßnahmen gelten.

Praxisbeispiel: Bevor ein Unternehmen einen IT-Dienstleister beauftragt, prüft es dessen Zertifizierungen oder Sicherheitskonzept. Im Vertrag werden Klauseln zur Vertraulichkeit und zu Mindeststandards (z.B. Verschlüsselung, Patch-Management) festgelegt. Zudem wird vereinbart, dass der Dienstleister schwerwiegende Sicherheitsvorfälle unverzüglich meldet.

Notfallvorsorge und Kontinuität: Eine weitere wichtige Gruppe organisatorischer Controls betrifft die Vorbereitung auf Sicherheitsvorfälle und Notfälle. Das umfasst ein Incident-Management-Konzept (Controls 5.24 bis 5.27), also klare Prozesse, wie Sicherheitsereignisse erkannt, gemeldet, beurteilt und behandelt werden. Ebenso müssen Lehren aus Vorfällen gezogen werden (Lernprozess, Control 5.27) und forensische Beweissicherung (Control 5.28) berücksichtigt werden. Darüber hinaus verlangt ISO 27001 Maßnahmen zur Geschäftskontinuität im Kontext Informationssicherheit (Controls 5.29 und 5.30).

Praxisbeispiel: Ein Unternehmen richtet einen Notfallplan für Cyber-Angriffe ein. Darin ist festgelegt, wie im Falle eines Ransomware-Angriffs vorzugehen ist: Wer im Krisenteam ist, wie die Kommunikation abläuft, welche Daten aus Backups wiederhergestellt werden können und wie man ggf. Überbrückungssysteme nutzt, bis alles wiederhergestellt ist. Regelmäßig werden diese Pläne in Übungen getestet.

Compliance und kontinuierliche Verbesserung: Zu guter Letzt umfassen organisatorische Controls die Einhaltung von gesetzlichen, vertraglichen und regulatorischen Anforderungen (Control 5.31)sowie den Schutz personenbezogener Daten (Privacy, Control 5.34)und anderer Aufzeichnungen (Records Management, Control 5.33). Unternehmen müssen nachweisen können, dass sie alle relevanten Vorschriften erfüllen, und sollten dies regelmäßig überprüfen.

Interne Audits und unabhängige Reviews der Informationssicherheit (Control 5.35) helfen dabei, Schwachstellen im ISMS zu identifizieren. Ebenso fordert die Norm, dass Abweichungen von Sicherheitsrichtlinien erkannt und angegangen werden (Einhaltung interner Regeln, Control 5.36) und dass betriebliche Routinen für die Sicherheit dokumentiert sind (Control 5.37). Dieser stetige Verbesserungsprozess stellt sicher, dass die Informationssicherheit kein einmaliges Projekt bleibt, sondern sich kontinuierlich den veränderten Bedingungen anpasst.

Organisatorische Controls bilden somit den Rahmen und die Management-Praktiken der Informationssicherheit. Sie schaffen klare Regeln, Zuständigkeiten und Prozesse, in denen sich die nachfolgenden Kategorien (Mensch, Technik, physische Umgebung) überhaupt erst wirksam entfalten können.

Schwerpunkt: Personelle Controls

Menschen sind oft das schwächste Glied in der Sicherheitskette – aber mit den richtigen Maßnahmen können sie zur stärksten Verteidigungslinie werden. Die personellen Controls in ISO 27001 drehen sich daher um das Verhalten, Wissen und die Zuverlässigkeit von Mitarbeitern. Insgesamt umfasst dieser Bereich 8 spezifische Maßnahmen, die sich um alle Phasen des Employee Lifecycles und die Sicherheitskultur im Unternehmen kümmern.

Personalgewinnung und Hintergrundprüfung: Bereits vor und während der Einstellung greifen erste Controls. Screening (Control 6.1) verlangt, dass kritische Positionen nur mit vertrauenswürdigen Personen besetzt werden. Dazu zählen Hintergrundprüfungen, Führungszeugnisse oder Referenzchecks, soweit rechtlich zulässig. Auch klare Vertragsbedingungen zur Informationssicherheit (Control 6.2) sollten im Arbeitsvertrag festgehalten sein.

Praxisbeispiel: Ein neuer Mitarbeiter im IT-Admin-Team muss vor Arbeitsbeginn eine Verschwiegenheitserklärung unterschreiben und einen Auszug aus dem Strafregister vorlegen. Im Arbeitsvertrag ist zudem festgehalten, dass Sicherheitsrichtlinien einzuhalten sind und Verstöße arbeitsrechtliche Konsequenzen haben können.

Schulung, Bewusstsein und Kultur: Einer der wichtigsten personellen Controls ist die Sensibilisierung und Schulung in Informationssicherheit (Control 6.3). Mitarbeiter aller Ebenen müssen regelmäßig darüber aufgeklärt werden, wie sie sicher mit Informationen umgehen. Das umfasst z.B. Schulungen zu Passwortsicherheit, Phishing-Erkennung, sicherer Nutzung von E-Mails und Cloud-Diensten, aber auch klare Richtlinien für mobiles Arbeiten. Ziel ist es, eine Sicherheitskultur zu etablieren, in der jeder Mitarbeiter seine Verantwortung versteht.

Praxisbeispiel: Ein Unternehmen führt quartalsweise kurze E-Learning-Module durch, in denen Szenarien wie gefälschte E-Mails (Phishing) oder der Umgang mit USB-Sticks durchgespielt werden. Neue Mitarbeiter erhalten bereits im Onboarding eine Grundschulung zur IT-Sicherheit.

Umgang mit Verstößen und Austritten: Trotz aller Schulungen kann es zu Regelverletzungen kommen. Daher sieht ISO 27001 vor, dass es einen definierten Disziplinarprozess gibt (Control 6.4), um adäquat auf Sicherheitsverstöße von Mitarbeitern zu reagieren. Dies soll abschreckend wirken und sicherstellen, dass Verstöße konsequent behandelt werden (z.B. Verwarnungen, Auflagen zu weiterer Schulung oder in schweren Fällen Kündigung). Zudem dürfen Sicherheitsmaßnahmen nicht mit dem Ende des Arbeitsverhältnisses aufhören. Ehemalige Mitarbeiter dürfen keinen Zugriff mehr auf interne Informationen haben, und sie bleiben zur Vertraulichkeit verpflichtet. Controls 6.5 und 6.6 regeln daher Verantwortlichkeiten nach der Beendigung des Arbeitsverhältnisses sowie das Einholen von Geheimhaltungsvereinbarungen (NDAs).

Praxisbeispiel: Wenn ein Mitarbeiter das Unternehmen verlässt, gibt es einen Check-out-Prozess: Laptop und Ausweis werden abgegeben, alle Zugänge (Accounts) werden noch am letzten Arbeitstag gesperrt, und der Mitarbeiter wird daran erinnert, dass die Vertraulichkeit weiter gilt. Verstößt ein Mitarbeiter gegen Sicherheitsrichtlinien, wird dies dokumentiert; er erhält eine offizielle Ermahnung und bei schwerwiegenden Vergehen folgen Versetzung oder Kündigung, um Schaden vom Unternehmen abzuwenden.

Arbeitsumgebung und Verantwortlichkeiten: Personelle Controls betreffen auch die laufende Arbeitsumgebung. Dazu zählt das sichere Remote Working (Control 6.7), was gerade durch Home-Office-Regelungen sehr aktuell ist. Unternehmen müssen Richtlinien aufstellen, wie Mitarbeiter von zu Hause oder unterwegs sicher arbeiten können (z.B. über VPN, keine Nutzung privater USB-Sticks, Bildschirmsperre bei Abwesenheit etc.).

Ebenso wichtig ist, dass Mitarbeiter wissen, wie und an wen sie Sicherheitsvorfälle melden können (Control 6.8). Diese Meldewege sollten klar kommuniziert sein, damit z.B. ein Mitarbeiter sofort die IT-Abteilung informiert, wenn er einen verdächtigen E-Mail-Anhang geöffnet hat oder sein Laptop gestohlen wurde.

Praxisbeispiel: Ein Unternehmen etabliert eine Richtlinie fürs Homeoffice: Mitarbeiter dürfen nur von Unternehmensgeräten aus arbeiten, müssen sich über VPN verbinden und dürfen zu Hause keine sensiblen Ausdrucke liegen lassen (Clear Desk/Clear Screen auch im Homeoffice). Außerdem wird ein einfacher Kommunikationsweg für Vorfallsmeldungen eingerichtet, z.B. eine spezielle E-Mail-Adresse oder Hotline, über die Mitarbeiter Sicherheitsprobleme sofort melden können, ohne komplexe Formulare ausfüllen zu müssen.

Durch solche personellen Controls wird das menschliche Risiko reduziert. Die Mitarbeiter werden als Teil der Sicherheitsstrategie verstanden. Wenn Personal gut ausgewählt, geschult, überwacht und in die Verantwortung genommen wird, sinkt die Wahrscheinlichkeit menschlicher Fehler oder Insider-Vorfälle drastisch. Letztlich schaffen personelle Maßnahmen eine informierte und vertrauenswürdige Belegschaft, die aktiv zur Informationssicherheit beiträgt.

Schwerpunkt: Physische Controls

Nicht nur digitale, auch physische Bedrohungen können gravierende Auswirkungen auf die Informationssicherheit haben. Physische Controls gemäß ISO 27001 konzentrieren sich deshalb auf den Schutz von Gebäuden, Räumen, Anlagen und Geräten vor unbefugtem Zutritt sowie vor Umweltgefahren. Insgesamt gibt es 14 physische Maßnahmen, die in Unternehmen typischerweise vom Facility Management oder der IT-Infrastruktur-Abteilung umgesetzt werden.

Zugangskontrollen und Perimeterschutz: Ein wesentliches physisches Control ist die Sicherung der Gebäude und Räumlichkeiten (Controls 7.1 bis 7.3). Dazu gehören klare Abgrenzungen des Sicherheitsbereichs (Perimeter), z.B. Zäune oder verschlossene Türen, und kontrollierte physische Zutrittsverfahren zu sensiblen Bereichen wie Rechenzentren oder Archivräumen. Unternehmen setzen hier typischerweise Schlüssel- oder Kartensysteme, elektronische Schließanlagen, Wachdienste oder Besucherprotokolle ein.

Praxisbeispiel: Der Serverraum einer Firma ist nur für autorisiertes IT-Personal zugänglich. Ein elektronisches Schlüsselkartensystem protokolliert jeden Zutritt. Besucher müssen sich am Empfang anmelden und werden von einem Mitarbeiter begleitet, falls sie in ein sensibles Areal müssen. Außerhalb der Arbeitszeiten ist das Bürogebäude alarmgesichert.

Überwachung und Umweltschutz: Moderne Sicherheit umfasst auch Überwachungssysteme. Ein neues Control der 2022-Version ist z.B. die physische Sicherheitsüberwachung (Control 7.4). Darunter fallen Alarmanlagen, Videoüberwachung (CCTV) oder Sensoren, die ungewöhnliche Aktivitäten erkennen (z.B. Bewegungssensoren in Serverräumen). Ebenso müssen Unternehmen Maßnahmen treffen, um sich gegen Umweltbedrohungen zu schützen (Control 7.5) – das umfasst Brandmelder und Feuerlöschanlagen, Überspannungsschutz, Klimatisierung gegen Überhitzung, Wassermelder bei Lecks u.v.m.

Praxisbeispiel: In einem Rechenzentrum sind Rauchmelder und ein Inertgas-Löschsystem installiert, das Feuer bereits im Anfangsstadium ohne Löschwasser erstickt. Zudem gibt es Überwachungskameras an allen Eingängen, die Aufnahmen in einem geschützten Speicher archivieren. Bei ungewöhnlichen Ereignissen (z.B. unbefugtes öffnen einer Tür oder Temperatur übersteigt einen Schwellwert) erhält der Sicherheitsdienst automatisch eine Alarmmeldung auf sein Smartphone.

Sichere Arbeitsbereiche und Ordnung: ISO 27001 fordert auch organisatorische Regeln für physische Sicherheit, wie z.B. das Konzept „Clean Desk/Clear Screen“ (Control 7.7). Das bedeutet, dass Mitarbeiter am Arbeitsplatz darauf achten sollen, keine sensiblen Informationen offen liegen oder ungesperrt sichtbar zu lassen – sowohl auf Schreibtischen (keine vertraulichen Dokumente offen liegen lassen) als auch auf Bildschirmen (Sperrbildschirm bei Verlassen des Platzes). Ebenso sollen bestimmte besonders kritische Bereiche als sichere Zonen definiert sein (Control 7.6), in denen strengere Regeln gelten (z.B. keine Handys oder Kameras erlaubt, ständige Begleitung von Besuchern).

Praxisbeispiel: In einer Personalabteilung wird das Prinzip Clean Desk strikt umgesetzt: Jeden Abend werden alle Unterlagen in abschließbaren Schränken verwahrt. Der Bereich ist zudem mit einer Zugangskontrolle versehen, so dass nur Berechtigte hineinkommen. Besucher müssen draußen warten.

Schutz von Geräten und Medien: Physische Controls erstrecken sich auch auf den sorgfältigen Umgang mit Geräten und Datenträgern. Standort und Schutz von Equipment (Controls 7.8 und 7.9) bedeuten beispielsweise, dass Server, Switches und Backup-Medien an geeigneten Orten betrieben werden (nicht zugänglich für Unbefugte, trocken, klimatisiert, stromgeschützt) und auch außerhalb des Firmengeländes (Off-Premises) sicher verwahrt werden. Lagermedien (Control 7.10) müssen verwaltet und vor Schadenszenarien geschützt werden – z.B. sollten wichtige Backups in einem Tresor gelagert oder geografisch getrennt aufbewahrt werden.

Praxisbeispiel: Ein Unternehmen bewahrt wöchentlich erstellte Backups verschlüsselt auf externen Festplatten in einem Bankschließfach auf. Mobile Firmen-Laptops werden mit Kabelschlössern gegen Diebstahl gesichert, wenn sie im Büro genutzt werden.

Wartung und Entsorgung: Weiterhin schreiben die Controls vor, dass versorgungstechnische Unterstützungssysteme (Utilities, Control 7.11) – wie Stromversorgung, Klimaanlage, Internetanbindung – zuverlässig funktionieren und gewartet werden. Auch Kabel müssen sicher verlegt und geschützt sein (Control 7.12), damit sie nicht leicht durchtrennt oder abgehört werden können. Für alle Geräte gilt zudem: regelmäßige Wartung (Control 7.13), um Ausfälle oder Sicherheitslücken (etwa durch veraltete Firmware) zu vermeiden. Und schließlich darf man die Entsorgung nicht vernachlässigen: Bevor alte Festplatten, USB-Sticks oder Ausdrucke das Unternehmen verlassen, müssen sie unrecoverable gelöscht oder vernichtet werden (Control 7.14).

Praxisbeispiel: Ausrangierte Festplatten werden in einem Unternehmen nicht einfach weggeworfen, sondern von einem zertifizierten Dienstleister abgeholt und geschreddert – mit entsprechendem Vernichtungsprotokoll. Alle 6 Monate lässt die IT zudem die USV-Batterien (Notstromversorgung) im Serverraum prüfen und tauscht sie bei Bedarf aus, um einen Stromausfall abfedern zu können.

Physische Controls stellen sicher, dass die besten technischen und organisatorischen Sicherheitsmaßnahmen nicht durch einen simplen Einbruch, Diebstahl oder Brand ad absurdum geführt werden. Sie schaffen eine geschützte Umgebung, in der Informationen physisch sicher aufbewahrt und genutzt werden können.

Schwerpunkt: Technologische Controls

Die vierte Kategorie bilden die technologischen (oder technischen) Controls. Dies sind alle sicherheitstechnischen Maßnahmen, die direkt an IT-Systemen, Software und Netzwerken umgesetzt werden. Mit 34 Controls ist dies die umfangreichste Gruppe, was die hohe Bedeutung der technischen Schutzmechanismen widerspiegelt. Im Grunde handelt es sich um die klassischen IT-Sicherheitsmaßnahmen, die oft auch in anderen Standards oder Best Practices (wie z.B. BSI IT-Grundschutz, CIS Controls) zu finden sind.

Zugriffskontrollen und Identitätsmanagement: Eines der Kernthemen ist die Kontrolle von Benutzerzugriffen auf Daten und Systeme. Dazu zählen u.a. die Verwaltung von Benutzerendgeräten (Control 8.1), die Vergabe von privilegierten Zugriffsrechten (Admin-Rechten, Control 8.2)nur an berechtigte Personen, und die Einschränkung von Zugängen (Control 8.3)nach dem „Need-to-know“-Prinzip. Auch spezielle Bereiche wie der Zugriff auf Quellcode (Control 8.4) werden adressiert, um Insider-Missbrauch oder Sabotage zu verhindern. Ein zentrales Maßnahmenpaket ist die sichere Authentifizierung (Control 8.5) – hierzu gehören starke Passwortrichtlinien, Mehr-Faktor-Authentifizierung (MFA) für kritische Systeme und ggf. der Einsatz von Single Sign-On, um Sicherheit und Benutzerfreundlichkeit zu kombinieren.

Praxisbeispiel: In einem Unternehmen werden alle administrativen Aktionen (z.B. im Active Directory) nur mit einem speziellen Admin-Konto durchgeführt, das MFA-geschützt ist. Normale Benutzer erhalten nur die Mindestrechte, die sie für ihre Arbeit benötigen. Zugriffe auf den Quellcode der internen Software sind nur für das Entwicklungsteam möglich und erfordern ebenfalls MFA sowie Code-Reviews, bevor Änderungen übernommen werden.

Schutz vor Malware und Schwachstellen: Technologische Controls beinhalten klassische IT-Schutzmechanismen wie Malware-Schutz (Control 8.7) und Schwachstellenmanagement (Vulnerability Management, Control 8.8). Das heißt, es muss z.B. ein Antivirus-/Endpoint-Security-System auf Clients und Servern geben, das regelmäßig aktualisiert wird. Außerdem sollten bekannte Sicherheitslücken in Software zügig geschlossen werden – hierzu dienen Prozesse für Patch-Management und die Überwachung von Sicherheitsmeldungen zu eingesetzten Produkten. Ein weiteres neues Control ist die Konfigurationsverwaltung (Configuration Management, Control 8.9): Systeme sollten nach definierten sicheren Konfigurationen eingerichtet sein (z.B. unnötige Dienste deaktivieren, sichere Einstellungen für Betriebssysteme und Anwendungen) und Änderungen daran kontrolliert erfolgen.

Praxisbeispiel: Die IT eines Unternehmens führt monatlich einen Schwachstellenscan der Server durch und spielt bereitgestellte Sicherheitsupdates zeitnah ein. Es gibt eine Standard-Systemkonfiguration für neue Rechner, in der z.B. die Firewall aktiviert, ein aktuelles Antivirus installiert und unsichere Protokolle deaktiviert sind. Abweichungen von dieser Baseline müssen genehmigt werden.

Datenschutz und Datenmanagement: Mehrere Controls widmen sich dem Schutz von Daten selbst, insbesondere vor Verlust oder unbefugter Einsicht. Dazu gehören Datensicherung (Backup, Control 8.13)und Redundanzen (Control 8.14), um Ausfälle abzufangen. Wichtig ist auch die sichere Datenvernichtung bzw. Löschung (Control 8.10), damit nicht mehr benötigte Daten kein Sicherheitsrisiko darstellen (Stichwort: DSGVO und Recht auf Löschung). Neu aufgenommen wurden Datenmaskierung (Control 8.11) und Data Leakage Prevention (DLP) (Control 8.12). Dabei geht es darum, sensitive Daten in nicht produktiven Umgebungen zu anonymisieren und Mechanismen zu haben, die auffällige Datenabflüsse erkennen und unterbinden (z.B. wenn große Datenmengen an externe E-Mail-Adressen versendet oder auf USB-Geräte kopiert werden).

Praxisbeispiel: Ein Unternehmen implementiert eine DLP-Lösung, die alarmiert, wenn ein Mitarbeiter eine umfangreiche Kundenliste per E-Mail nach außen schicken will. Zudem gibt es eine Richtlinie, dass echte Kundendaten in Testsystemen entweder gar nicht verwendet oder vorher unkenntlich gemacht (maskiert) werden.

Netzwerksicherheit und Verschlüsselung: Die Absicherung von Netzwerken ist ebenfalls essenziell. Controls 8.20 bis 8.22 widmen sich der Netzwerksicherheit. Unternehmen müssen z.B. Firewalls einsetzen, Netzsegmente für unterschiedliche Sicherheitsniveaus trennen (z.B. Büro-Netz vs. Produktionsnetz vs. Gäste-WLAN) und dafür sorgen, dass Netzwerkdienste (DNS, DHCP, etc.) sicher betrieben werden. Kryptografie-Einsatz (Control 8.24)ist ein weiterer Baustein: Vertrauliche Daten sollen sowohl bei Übertragung als auch in Speicherung verschlüsselt werden (Stichwort Ende-zu-Ende-Verschlüsselung, Festplattenverschlüsselung). Auch Schlüsselmanagement-Prozesse gehören dazu, damit z.B. Zertifikate rechtzeitig erneuert und geheime Schlüssel sicher aufbewahrt sind.

Praxisbeispiel: In der Firmenzentrale sorgt eine Next-Generation-Firewall dafur, dass nur autorisierter Traffic ins Internet gelangt und von außen keine unberechtigten Zugriffe möglich sind. VPN-Zugänge sind durch starke Verschlüsselung (AES-256) gesichert. Interne Laufwerke mit sensiblen Daten sind vollverschlüsselt, sodass ein gestohlener Server keine verwertbaren Daten preisgibt.

Sichere Entwicklung und Testen: Für Unternehmen, die eigene Software entwickeln oder individuelle Anpassungen vornehmen, gibt es Controls zur sicheren Entwicklung. Der Secure Development Lifecycle (SDLC) soll verankert werden (Controls 8.25 und 8.26), d.h. Sicherheit wird bereits in der Planungs- und Entwicklungsphase berücksichtigt (z.B. Codier-Richtlinien, Sicherheitstests während der Entwicklung, Code Reviews). Secure Coding (Control 8.28)ist als eigener Punkt aufgeführt und verlangt, dass Entwickler bewährte Praktiken anwenden, um Schwachstellen wie SQL-Injections oder Buffer Overflows zu vermeiden. Auch das Testen der Sicherheit (Control 8.29) etwa durch Penetrationstests und das Trennen von Entwicklungs-, Test- und Produktionsumgebungen (Control 8.31) wird gefordert.

Praxisbeispiel: Ein Softwareunternehmen nutzt für seine Entwicklungsprojekte eine CI/CD-Pipeline, in die automatisierte Sicherheitsscans integriert sind (Static Code Analysis, Dependency-Checks). Es gibt getrennte Systeme für Entwicklung, Test und Produktion, sodass Fehler oder Malware aus einer Testumgebung nicht das Live-System beeinträchtigen können. Vor wichtigen Releases wird zusätzlich ein externer Penetrationstest durchgeführt.

Überwachung und Protokollierung: Abschließend sind Controls zur Protokollierung (Logging) und Überwachung (Monitoring) relevant (Controls 8.15 und 8.16). Unternehmen sollten sicherstellen, dass sicherheitsrelevante Ereignisse (z.B. Fehlanmeldeversuche, Änderungen an kritischen Einstellungen, Auffälligkeiten in der Netzwerkkommunikation) aufgezeichnet und ausgewertet werden. Dazu gehört auch eine Zeit-Synchronisation der Systeme (Control 8.17), damit Logs zeitlich korreliert analysiert werden können. Die Nutzung von administrativen Hilfsprogrammen (Control 8.18) und Software-Installationen (8.19) werden ebenfalls kontrolliert, um Missbrauch zu verhindern (z.B. Installation von Software nur über einen definierten Freigabeprozess).

Praxisbeispiel: Die IT-Abteilung betreibt ein zentrales Logging-System (SIEM), das die Protokolle aller Server, Firewalls und wichtigen Anwendungen sammelt. Bei verdächtigen Mustern – etwa zehn fehlgeschlagenen Login-Versuchen hintereinander oder dem Anlegen eines neuen Admin-Accounts – wird automatisch ein Alarm erzeugt, dem umgehend nachgegangen wird.

Technologische Controls sind in der Praxis oft die ersten Maßnahmen, an die man denkt, wenn es um IT-Sicherheit geht. Doch sie entfalten ihre maximale Wirkung nur im Zusammenspiel mit den vorangegangenen Kategorien. Gut konfigurierte Firewalls und Verschlüsselung helfen wenig, wenn Benutzer schwache Passwörter wählen oder Sicherheitsrichtlinien ignorieren. Daher ist das Zusammenspiel aller vier Control-Gruppen entscheidend für ein ganzheitliches Sicherheitsniveau.

Best Practices zur erfolgreichen Implementierung der Controls

Die Umsetzung von 93 Controls mag auf den ersten Blick abschreckend wirken. Doch mit einem strukturierten Ansatz und bewährten Vorgehensweisen lässt sich das Projekt ISO 27001-Implementierung effizient meistern. Hier sind einige Best Practices und erste Schritte, die sich in der Praxis bewährt haben:

1. Management-Unterstützung sicherstellen: Sorgen Sie von Anfang an für Rückendeckung durch die Geschäftsleitung. Ohne Tone from the Top werden Sicherheitsinitiativen schnell ausgebremst. Kommunizieren Sie die Vorteile einer guten Informationssicherheit (z.B. Schutz vor Ausfällen, Vertrauensgewinn bei Kunden, Vermeidung von Haftungsrisiken) und schaffen Sie Bewusstsein, dass ISO 27001 ein Business-Thema ist. Das Management sollte ausreichende Ressourcen (Budget, Personal) bereitstellen und die Bedeutung der Maßnahmen intern vorleben.
2. Geltungsbereich definieren und Team zusammenstellen: Legen Sie fest, welche Teile des Unternehmens oder welche Standorte vom ISMS abgedeckt werden sollen (Scope). Stellen Sie ein Kernteam für das Projekt auf, idealerweise unter Leitung eines Informationssicherheitsbeauftragten (CISO oder ähnlich). Binden Sie Vertreter verschiedener Abteilungen ein (IT, HR, Facility, Recht etc.), denn die Controls betreffen viele Bereiche. Klar definierte Zuständigkeiten für die Umsetzung der Controls helfen später ungemein.
3. Bestandsaufnahme und Risikobewertung durchführen: Bevor Sie Maßnahmen implementieren, sollten Sie den Status quo kennen. Erstellen Sie eine Gap-Analyse: Welche der ISO 27001 Controls sind bereits erfüllt, wo gibt es Lücken? Inventarisieren Sie Ihre Informationswerte und führen Sie eine erste Risikobewertung durch. Dabei identifizieren Sie die größten Risiken für Ihr Unternehmen. Fokussieren Sie zunächst auf die kritischen Lücken, bei denen dringender Handlungsbedarf besteht.
4. Maßnahmen planen und priorisieren: Nutzen Sie die Ergebnisse der Risikobewertung, um einen Umsetzungsplan zu erstellen. Nicht alle 93 Controls müssen sofort und gleichzeitig angegangen werden. Priorisieren Sie Maßnahmen, die hohe Risiken reduzieren oder Quick Wins darstellen. Setzen Sie realistische Meilensteine. Manche technischen Controls lassen sich relativ zügig einführen (z.B. Passwortrichtlinie anpassen), während organisatorische Maßnahmen wie die Etablierung eines umfassenden Lieferantenmanagements mehr Zeit und Abstimmung benötigen können.
5. Dokumentation und Richtlinien erstellen: Viele Controls erfordern dokumentierte Richtlinien oder Verfahren (Policies, Prozesse, Anweisungen). Beginnen Sie frühzeitig damit, diese Unterlagen zu erstellen oder zu aktualisieren. Achten Sie darauf, dass Dokumente praxisnah und verständlich sind – sie sollen den Mitarbeitern wirklich helfen und nicht nur für den Auditor geschrieben werden. Beispiele: Informationssicherheits-Policy, IT-Nutzungsrichtlinie, Leitfaden für sicheres Arbeiten im Homeoffice, Incident-Response-Plan, Backup-Konzept.
6. Schulung und Bewusstsein fördern: Parallel zur technischen und organisatorischen Umsetzung sollten Sie ein Schulungsprogramm etablieren. Mitarbeiter müssen wissen, welche neuen Regeln gelten und warum. Führen Sie Awareness-Maßnahmen durch: Workshops, E-Learnings, Newsletter mit Sicherheitstipps, Phishing-Tests etc. Die beste Richtlinie nützt nichts, wenn die Belegschaft sie nicht kennt oder versteht. Kultur und Wissen sind Schlüssel zum Erfolg.
7. Technische Sicherheitsmaßnahmen umsetzen: Führen Sie die geplanten technischen Controls Schritt für Schritt ein. Hier empfiehlt es sich, mit einer soliden Basis anzufangen – z.B. Absicherung der Netzwerkinfrastruktur, Einführung von Zugriffs-Kontrollen (MFA, Berechtigungsmanagement) und Backup/Recovery-Maßnahmen. Testen Sie die Wirksamkeit jeder neuen technischen Maßnahme. Denken Sie daran, dass manche Controls kontinuierliche Aktivitäten erfordern (z.B. Logs täglich auswerten, Security-Patches einspielen). Dafür sollten Verantwortlichkeiten festgelegt sein.
8. Kontrolle und Verbesserung: Sobald Maßnahmen implementiert sind, ist der Prozess nicht vorbei. Überwachen Sie die Einhaltung und Wirksamkeit der Controls. Führen Sie interne Audits durch, um zu prüfen, ob die festgelegten Verfahren tatsächlich befolgt werden und ob sie den gewünschten Effekt haben. Laden Sie ggf. externe Experten ein, um Ihr ISMS unabhängig bewerten zu lassen. Halten Sie Management-Bewertungen ab (mindestens jährlich), in denen die oberste Leitung die Performance der Informationssicherheit begutachtet und bei Bedarf Ressourcen oder Kurskorrekturen beschließt. Und ganz wichtig: Passen Sie Ihr Maßnahmenpaket stetig an neue Risiken, Geschäftsfelder oder Erkenntnisse an – ISO 27001 lebt von der kontinuierlichen Verbesserung.

Durch die Befolgung dieser Best Practices wird aus der abstrakten Liste von Controls ein konkreter Projektplan. Es hilft, ISO 27001 nicht nur als Compliance-Übung zu sehen, sondern als Chance, interne Prozesse zu straffen und wertvolle Unternehmenswerte aktiv zu schützen.

Schauen Sie sich gerne unsere Musterlösungen zur ISO 27001 im Detail an,

mit der Sie die Norm vollständig implementieren können.