Vier Kategorien, 93 Controls. Anhang A der ISO 27001:2022 strukturiert das Maßnahmenset, das jedes ISMS abdeckt.
TL;DR: ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme. Die seit Oktober 2022 gültige Version :2022 ersetzt die 2013er-Fassung – seit 31. Oktober 2025 ist nur noch nach :2022 zertifizierbar. Anhang A wurde von 114 auf 93 Controls verschlankt und in vier Kategorien neu gegliedert. Elf Controls sind neu, darunter Cloud Security, Threat Intelligence und Data Masking. Wer noch ein :2013-Zertifikat hat, muss die Übergangsfrist als verpasst behandeln und neu zertifizieren.
Was ISO 27001 ist – und was sie nicht ist
Wer ISO 27001 als „den großen Sicherheitskatalog“ beschreibt, hat das Wesentliche verfehlt. Der Standard ist primär ein Managementsystem-Standard – er definiert, wie ein Unternehmen Informationssicherheit systematisch plant, umsetzt, überwacht und verbessert. Die Maßnahmen kommen nachgelagert, im Anhang A. Wer mit dem Maßnahmenkatalog beginnt, baut sein ISMS verkehrt herum auf und verheddert sich spätestens beim ersten Audit in der Frage, welches Control auf welches Risiko antwortet.
Formal: ISO/IEC 27001 wird gemeinsam von ISO und der International Electrotechnical Commission (IEC) entwickelt. Die aktuelle Version trägt den Titel „ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements“ und wurde am 25. Oktober 2022 veröffentlicht. Sie folgt dem Plan-Do-Check-Act-Schema, das auch ISO 9001 zugrunde liegt. Die konkreten Sicherheitsmaßnahmen werden detailliert in der parallelen ISO/IEC 27002:2022 ausgelegt.
ISMS, Anhang A, ISO 27002: Wer macht was
Die Begriffe werden in der Praxis häufig vermischt – zu Unrecht.
- ISO 27001 definiert die Anforderungen an das ISMS und enthält in Anhang A einen Referenzkatalog von Controls.
- ISO 27002 legt diese Controls detailliert aus, mit Umsetzungsempfehlungen und Hintergrund.
- Das ISMS ist die unternehmensspezifische Ausgestaltung – mit Geltungsbereich, Risikomethodik, Richtlinien, Verfahren und Nachweisen.
Zertifizierbar ist nur die ISO 27001. ISO 27002 ist ein begleitendes Dokument, das in keinem Zertifizierungsbericht selbst zertifiziert wird, dessen Empfehlungen aber Maßstab bei Audits sind.
Damit ist die Architektur geklärt. Der Schritt von :2013 zu :2022 hat den Standard inhaltlich modernisiert und strukturell vereinfacht.
Was sich mit der Version :2022 geändert hat
Die :2022-Fassung ist keine kleine Revision. Sie überarbeitet sowohl den Hauptteil als auch Anhang A. Die wichtigsten Änderungen:
Im Hauptteil verändert sich vor allem die Sprache: kleinere Präzisierungen, eine deutlichere Risikoorientierung und eine engere Verbindung zwischen Risikobewertung und Auswahl der Controls. Inhaltlich bleibt der Kern – Kontext, Führung, Planung, Unterstützung, Betrieb, Bewertung, Verbesserung – stabil.
Die größere Änderung liegt in Anhang A. Die Zahl der Controls sinkt von 114 auf 93, und die bisherigen 14 Kategorien werden auf vier konsolidiert. Die Logik ist nicht mehr nach Themenfeldern (Asset-Management, Zugriffskontrolle etc.) sortiert, sondern nach Art der Maßnahme.
Die vier neuen Kategorien des Anhang A
Die :2022-Version gruppiert die 93 Controls in vier Kategorien:
- Organisatorische Maßnahmen (37 Controls) – Richtlinien, Rollen, Lieferantenmanagement, Vorfallsmanagement, rechtliche Anforderungen
- Personenbezogene Maßnahmen (8 Controls) – Hintergrundprüfung, Schulung, vertragliche Regelungen, Verhalten bei Beendigung
- Physische Maßnahmen (14 Controls) – Sicherheitszonen, Schutz vor Umweltbedrohungen, Arbeitsplatz- und Bildschirmsicherheit
- Technologische Maßnahmen (34 Controls) – Konfiguration, Zugriffsverwaltung, Netzwerksicherheit, Kryptografie, sichere Entwicklung
Die Zahl 93 ergibt sich aus der Konsolidierung: Mehrere Controls aus :2013 wurden zusammengefasst, einige umformuliert, elf sind neu. Diese elf neuen Controls reflektieren Themen, die seit der 2013er-Version Standardpraxis geworden sind, aber zuvor nicht explizit adressiert waren.
So weit die Struktur. Die neuen Controls verdienen einen näheren Blick, weil sie Auditberichte unmittelbar beeinflussen.
Die elf neuen Controls und ihre Bedeutung
Die elf neuen Controls der :2022-Version sind eine klare Antwort auf die letzten zehn Jahre Bedrohungslage. Sie machen verbindlich, was viele Organisationen ohnehin tun – aber bisher nicht entlang eines Standards nachweisen mussten.
| Control | Inhalt | Praxis-Bedeutung |
|---|---|---|
| 5.7 Threat Intelligence | Sammlung und Auswertung aktueller Bedrohungsinformationen | CTI-Anbindung, Quellenverzeichnis, Verarbeitung in Risikoanalyse |
| 5.23 Cloud Services Security | Sicherheitsanforderungen an Cloud-Nutzung | Provider-Bewertung, Shared-Responsibility, Konfigurations-Reviews |
| 5.30 ICT Readiness for Business Continuity | IKT-Bereitschaft für Geschäftskontinuität | Wiederanlauf-Tests, Abhängigkeitsanalyse |
| 7.4 Physical Security Monitoring | Physisches Sicherheits-Monitoring | Zutrittskontrolle, Kamerasysteme, Alarmlogik |
| 8.9 Configuration Management | Konfigurations- und Härtungsmanagement | Hardening-Baselines, Drift-Erkennung |
| 8.10 Information Deletion | Sichere Datenlöschung | Lösch-Prozesse, kryptografische Vernichtung |
| 8.11 Data Masking | Datenmaskierung | Maskierung in Test- und Entwicklungsumgebungen |
| 8.12 Data Leakage Prevention | DLP | Daten-Klassifikation, Übertragungs-Kontrolle, Endpoint-DLP |
| 8.16 Monitoring Activities | Sicherheitsüberwachung von Aktivitäten | SIEM, Use Cases, kontinuierliche Analyse |
| 8.23 Web Filtering | Web-Filterung | Schutz vor schädlichen Webinhalten |
| 8.28 Secure Coding | Sichere Softwareentwicklung | Coding-Standards, Reviews, automatisierte Tests |
Wer ein wirksames ISMS betreibt, erkennt in dieser Liste vertrautes Terrain. Wer in einem Erst-Audit nach :2022 unterwegs ist, muss zu jedem Control eine dokumentierte Umsetzung, eine Risikobewertung oder eine begründete Ausschluss-Entscheidung vorweisen.
Was die Konsolidierung erleichtert
Die Reduktion von 14 auf vier Kategorien hat zwei praktische Effekte. Erstens lassen sich Controls eindeutiger Verantwortlichen zuordnen – „technologisch“ gehört in die IT-Sicherheit, „organisatorisch“ zur Sicherheits-Governance, „personenbezogen“ oft zu HR. Zweitens fallen Doppel-Zuordnungen weg, die in der 2013er-Version regelmäßig zu Streit über Audit-Zuständigkeiten führten.
Damit zur Kernfrage für alle Bestandskunden: Was bedeutet die Übergangsfrist, die zum 31. Oktober 2025 endete?
Übergangsfrist und ihre Konsequenzen
Mit der Veröffentlichung im Oktober 2022 begann die 36-monatige Übergangsfrist vom :2013-Stand auf :2022. Sie endete am 31. Oktober 2025. Seit diesem Datum dürfen Zertifizierungsstellen keine :2013-Audits mehr durchführen und kein Zertifikat nach :2013 mehr ausstellen oder verlängern. Bestehende :2013-Zertifikate sind seit dem Stichtag ungültig.
Wer den Übergang verpasst hat, steht jetzt vor einer Situation, die unangenehm ist, aber lösbar. Die Optionen:
- Re-Zertifizierung mit Migration – Falls ein vorher gültiges :2013-Zertifikat existiert, ist die Zertifizierungsstelle oft bereit, die Migration nachträglich in einem kombinierten Audit zu vollziehen. Die Konditionen variieren je Stelle und sind in der Praxis selten ohne Aufwandszuschlag möglich.
- Erst-Zertifizierung nach :2022 – Wer den Status verloren hat, durchläuft formal eine neue Erstzertifizierung. Das bedeutet ein Stage-1- und Stage-2-Audit mit voller Breite – inhaltlich vergleichbar mit dem Erst-Audit, in der Praxis mit kürzerem Vorlauf, wenn das ISMS bereits gelebt wird.
- Status-Lücke akzeptieren – Für Unternehmen, deren Geschäftspartner ein Zertifikat verlangen, ist diese Option oft keine. Vertraglich kann eine Lücke teuer werden, etwa wenn Ausschreibungen ein gültiges Zertifikat als Pflicht-Nachweis fordern.
Aufsichten und Zertifizierungsstellen reagieren in der Übergangsphase pragmatisch, aber die Linie ist klar: Die Frist ist abgelaufen, es gibt keine pauschale Verlängerung. Wer noch nicht migriert hat, sollte Kontakt mit der eigenen Zertifizierungsstelle aufnehmen und einen Termin für ein konsolidiertes Audit vereinbaren.
Statement of Applicability und Risikomethodik
Zwei Kernartefakte verdienen besondere Aufmerksamkeit, weil sie bei jedem Audit als erstes geprüft werden.
Das Statement of Applicability (SoA) listet alle 93 Controls aus Anhang A und dokumentiert je Control, ob es im ISMS angewendet wird, mit welcher Begründung und mit welchem Umsetzungsstand. Es ist das Bindeglied zwischen Risikoanalyse und Maßnahmenkatalog. Ein gut gemachtes SoA zeigt nicht nur, was umgesetzt ist, sondern auch, warum bestimmte Controls ausgeschlossen wurden – und welche Risiken durch diesen Ausschluss in Kauf genommen werden.
Die Risikomethodik muss in den Klauseln 6.1.2 und 6.1.3 nachweisbar sein. Der Standard verlangt einen wiederholbaren Prozess zur Identifikation, Analyse, Bewertung und Behandlung von Risiken. Er gibt keine konkrete Methode vor – populär sind ISO 31000, der BSI-Standard 200-3 oder NIST-orientierte Verfahren. Wichtig ist die Konsistenz: Wer ein Modell wählt, muss es im Unternehmen einheitlich anwenden, dokumentieren und auch im Audit nachvollziehbar erklären können.
Was bei Erst-Audits typischerweise zu wenig ist
Wir sehen in der Auditbegleitung, dass Erst-Zertifizierungen selten an Technik scheitern. Sie scheitern an drei Dingen: einem zu engen Geltungsbereich (Scope), einem SoA, das nicht zur Risikoanalyse passt, und einem internen Audit, das mehr Sammlung als Bewertung ist. Wer ein konsolidiertes SoA mit klarer Risiko-Begründung vorlegt und mindestens einen vollständigen internen Auditzyklus durchlaufen hat, geht in das externe Audit mit deutlich höherer Erfolgsquote.
Damit sind die wichtigsten formalen Anforderungen abgesteckt. Die strategische Frage bleibt: Lohnt der Standard – und für wen besonders?
Wer ISO 27001 braucht – und wer nur „nice to have“ hat
Der Standard ist nicht für alle Unternehmen gleichermaßen relevant. Eine ehrliche Einordnung hilft, das Investment richtig zu kalibrieren.
ISO 27001 ist faktisch Pflicht für Unternehmen, die in Branchen mit Sicherheits-Erwartungen tätig sind. Cloud-Anbieter, Software-Hersteller mit Geschäftskunden, IT-Dienstleister, Telekommunikations-Anbieter, Finanzdienstleister und der Gesundheitssektor verlangen das Zertifikat in fast jeder Ausschreibung. Für KRITIS-Betreiber und für Anbieter im Geltungsbereich von NIS2 ist ISO 27001 zwar nicht direkt gesetzlich vorgeschrieben, aber praktisch der einfachste Weg, die NIS2-Anforderungen an Risikomanagement nachzuweisen.
Für viele klassische Mittelständler – Maschinenbau, Handwerk, B2C-Handel – ist die Zertifizierung dagegen kein Markt-Muss. Hier kann ein abgespecktes ISMS nach BSI-IT-Grundschutz oder eine Selbstauskunft nach VdS 10000 sinnvoller sein. Beide Wege liefern strukturierte Sicherheit mit deutlich weniger Audit-Aufwand.
Die Entscheidung sollte an drei Fragen aufgehängt werden. Erstens: Verlangt ein wichtiger Kundenkreis ein anerkanntes Zertifikat? Zweitens: Ist ein Reifegrad-Niveau erreicht, das ein externes Audit überhaupt bestehen kann? Drittens: Steht die Geschäftsleitung hinter dem Investment – einschließlich Ressourcen für die Aufrechterhaltung des ISMS?
Wer zwei der drei Fragen mit Ja beantwortet, sollte den Pfad gehen. Wer alle drei mit Nein beantwortet, baut ein Zertifikat ohne tragenden Untergrund.
Was wir in der Praxis sehen
Wir sehen in der Praxis vor allem zwei Muster, an denen ISO-27001-Programme scheitern. Erstens wird der Scope zu breit gefasst, weil „alles soll dabei sein“. Das macht das Audit teurer und schwieriger zu verteidigen. Sinnvoll ist ein klarer Scope, der die wertschöpfenden Systeme abdeckt und Randbereiche bewusst ausschließt – mit Begründung.
Zweitens wird die Dokumentation als Selbstzweck verstanden. Auditoren lesen keine 400-seitigen Richtlinien-Romane, sondern prüfen, ob die dokumentierten Prozesse gelebt werden. Eine kompakte, gepflegte Dokumentation, die zu den Aufgaben passt, schlägt jede Vollständigkeits-Sammlung.
ISO 27001 wirkt am stärksten, wenn sie als Rahmen für die ohnehin notwendige Informationssicherheit verstanden wird – nicht als Zusatzprojekt. Wer das ISMS als Steuerungsinstrument nutzt, dem hilft das Zertifikat. Wer das Zertifikat verfolgt, ohne das ISMS zu leben, hat am Ende ein Audit-Zertifikat ohne Sicherheits-Gewinn.
Im Zusammenspiel mit den weiteren Regelwerken der EU-Digitalregulierung – insbesondere NIS2 und DORA – ist ISO 27001 ein hilfreicher gemeinsamer Nenner. Wer das ISMS sauber aufgesetzt hat, deckt damit nicht nur das eigene Sicherheitsziel ab, sondern liefert eine Grundlage für regulatorische Nachweise. Die digitale Souveränität wird damit nicht zur Sammlung von Einzel-Zertifikaten, sondern zu einem integrierten Managementsystem.
Drei konkrete nächste Schritte, wenn ihr noch nicht migriert oder den Zertifizierungspfad einschlagt:
- Statement of Applicability auf :2022 mappen – jedes der 93 Controls bewerten, neue Controls dokumentiert begründen, Lücken priorisieren.
- Risikoanalyse aktualisieren – sicherstellen, dass die Risikomethodik mit Klausel 6.1 konsistent ist und neue Themen (Cloud, Threat Intelligence, DLP) explizit adressiert.
- Audit-Zyklus aufsetzen – internes Audit und Management-Review nach :2022 durchführen, bevor das externe Audit ansteht.
Quellen
- ISO/IEC 27001:2022 – ISO/IEC, Originalstandard
- ISO 27001:2022 – Änderungen und Migration – TÜV SÜD
- Die neue ISO 27001:2022 und ISO 27002:2022 – ISO27001-IT-Sicherheit
- ISO/IEC 27001 Zertifizierung – jetzt auf 2022 umstellen – TÜV Rheinland
- ISO 27001:2022 – was sich geändert hat – InfoGuard
