ISO/IEC 27001 — Informationssicherheit — Norm-Icon

Informationssicherheit

ISO 27001
Informationen systematisch schützen

IQI berät seit 2000 Unternehmen bei der Einführung und Optimierung von Managementsystemen — vom Standort Sundern im Sauerland (NRW) aus, deutschlandweit und vor Ort. Für ISO/IEC 27001 betreut IQI aktuell 10+ Kunden in Beratung und internem Audit, pflegt 35+ aktive Rechtskataster im Informationssicherheits-Scope und stellt einen externen Informationssicherheitsmanagementbeauftragten (ISMB) — von IT-Dienstleistern über Wirtschaftsprüfungsgesellschaften bis zur Energiewirtschaft. IQI arbeitet derzeit an der eigenen ISO/IEC 27001-Zertifizierung und versteht die Anforderungen daher auch aus der Perspektive eines Unternehmens, das den Prozess selbst durchläuft.

10+ Kunden in Beratung und internem Audit
35+ Rechtskataster im InfoSec-Scope
Externer ISMB — inkl. DSB aus einer Hand
Vor Ort und online

Was ist ISO/IEC 27001?

ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheitsmanagementsysteme (ISMS). Die Norm definiert Anforderungen an Aufbau, Betrieb und fortlaufende Verbesserung eines ISMS mit dem Ziel, die drei Schutzziele systematisch zu wahren: Vertraulichkeit (Schutz vor unbefugter Preisgabe), Integrität (Sicherstellung der Korrektheit und Vollständigkeit) und Verfügbarkeit (bedarfsgerechter Zugang zu Informationen). Die aktuelle Fassung — DIN EN ISO/IEC 27001:2024-01 (entspricht ISO/IEC 27001:2022) — löst die Version von 2013 ab. Die Übergangsfrist für bestehende Zertifizierungen ist im Oktober 2025 ausgelaufen. Ein ISMS ist kein IT-Projekt, sondern ein Managementsystem — es schützt Informationen unabhängig davon, ob sie digital, auf Papier oder in Gesprächen existieren. Die ISO/IEC 27001 folgt der Harmonized Structure mit den Kapiteln 4–10, die auch ISO 9001, ISO 14001 und andere Managementnormen nutzen — das erleichtert die Integration in bestehende Systeme.

Annex A: 93 Controls in vier Clauses — A.5 organisatorisch (37, u. a. Threat Intelligence A.5.7), A.6 personenbezogen (8), A.7 physisch (14), A.8 technologisch (34, u. a. Cloud-Sicherheit, Datenmaskierung A.8.14). Im Statement of Applicability (SoA) dokumentiert jede Organisation für alle 93 Controls, ob sie angewendet werden und warum — Herzstück des ISMS. Climate Amendment: E DIN EN ISO/IEC 27001/A1:2024-06 — In Abschnitt 4.1 muss bestimmt werden, ob Klimawandel ein relevantes Thema für das ISMS ist, in 4.2 können interessierte Parteien klimabezogene Anforderungen stellen. NIS2: Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland — rund 30.000 betroffene Unternehmen, BSI-Registrierungspflicht (Frist 6. März 2026 abgelaufen), Geschäftsführung persönlich verantwortlich (§38 BSIG). ISO/IEC 27001 deckt den Großteil der NIS2-Anforderungen ab — Lücken bestehen bei Meldepflichten und BSI-Registrierung.

Warum Unternehmen ISO/IEC 27001 einführen

Informationssicherheit ist kein optionales IT-Thema mehr. Seit NIS2 in nationales Recht überführt wurde, ist sie für viele Unternehmen eine gesetzliche Pflicht — und für die Geschäftsführung eine persönliche Verantwortung nach §38 BSIG. Doch auch jenseits regulatorischer Anforderungen liefert ein ISMS handfeste Vorteile: Kundenzutrauen durch den Nachweis eines zertifizierten ISMS (in Ausschreibungen zunehmend Qualifikationskriterium), bessere Konditionen bei Cyberversicherungen und Schutz vor dem Ausschluss aus NIS2-pflichtigen Lieferketten.

NIS2 — Was seit Dezember 2025 gilt: 30.000+ betroffene Unternehmen in Deutschland. Zwei Kategorien: „besonders wichtige" + „wichtige" Einrichtungen — beide registrierungspflichtig beim BSI. Die Registrierungsfrist lief am 6. März 2026 ab. 24 Stunden Frühwarnung / 72 Stunden vollständige Meldung bei Vorfällen. Geschäftsführung persönlich verantwortlich (§38 BSIG). ISO 27001 deckt den Großteil ab — aber nicht Meldepflichten und BSI-Registrierung.
FaktorEinfluss auf den Zeitrahmen
Komplexität der IT-InfrastrukturMehr Systeme → mehr Controls → mehr Dokumentationsaufwand
Vorhandene ManagementsystemeISO 9001 als Basis deckt ~30 % der Anforderungen ab
UnternehmensgrößeKMU (20–50 MA): 9–12 Monate · Mittelstand: 12–18 Monate
NIS2-BetroffenheitZusätzliche Anforderungen bei Meldepflichten + BSI-Registrierung
Externe BeratungBeschleunigt den Prozess typischerweise um 30–50 %

Fünf typische Stolpersteine bei ISO/IEC 27001

1. SoA als Papiertiger. Das Statement of Applicability wird oft als lästiges Dokument abgehakt, statt als strategisches Steuerungsinstrument genutzt. Ein häufiger Fehler: „Alles anwendbar" abhaken, ohne jeden Control-Eintrag auf ein konkretes Risiko zu beziehen. Die SoA muss die Entscheidungslogik des Unternehmens widerspiegeln — nicht nur die Norm abbilden. Auditoren prüfen die SoA als Erstes.
2. Annex A Controls nur formal abgehakt. 93 Controls klingen überschaubar — bis man feststellt, dass jedes einzelne mit einer konkreten Maßnahme, einer verantwortlichen Person und einem Wirksamkeitsnachweis (Objective Evidence) hinterlegt sein muss. Wer Controls nur auf dem Papier erfüllt, scheitert spätestens im Überwachungsaudit.
3. Risikobehandlung ohne echte Risikobewertung. ISO/IEC 27001 fordert in Clause 6.1.3 explizit, dass jede Risikoentscheidung begründet und dokumentiert wird — einschließlich bewusst akzeptierter Restrisiken, die von den Risikoeigentümern genehmigt werden müssen. Viele Unternehmen führen eine Risikoanalyse durch, definieren aber keine nachvollziehbare Risikobehandlung.
4. Migration 2013→2022 unterschätzt. Die Übergangsfrist ist im Oktober 2025 abgelaufen. Die Umstellung betrifft nicht nur die Zuordnung der alten 114 Controls zu den neuen 93: Auch die Control-IDs ändern sich komplett (A.5–A.18 wird zu A.5–A.8), neue Controls kommen hinzu, andere entfallen, und die Risikomethodik muss angepasst werden.
5. Informationssicherheit ≠ IT-Sicherheit (Scope zu eng). Ein häufiger Fehler: Der ISMS-Scope wird nur auf die IT-Abteilung beschränkt. ISO/IEC 27001 schützt Informationen — nicht nur IT-Systeme. Papierdokumente, Gespräche, physische Zugangskontrollen (Clause A.7) und personelle Maßnahmen (Clause A.6) gehören ebenso in den Scope.

ISO/IEC 27001 im integrierten Managementsystem

Die Harmonized Structure macht ISO/IEC 27001 zum idealen Baustein in einem integrierten Managementsystem. Wer bereits nach ISO 9001 zertifiziert ist, hat rund 30 % der ISO/IEC 27001-Anforderungen bereits abgedeckt — insbesondere bei Kontext, Führung, Dokumentenlenkung und interner Auditierung. Die Integration bringt konkrete Synergien: gemeinsame Audits (30–40 % Kostenersparnis), ein integriertes Handbuch und kombinierte Awareness-Schulungen.

Für akkreditierte Labore (ISO/IEC 17025) ergänzt ISO/IEC 27001 den systematischen Schutz von Messdaten und Prüfberichten. In der Automotive-Industrie ergänzt ISO/IEC 27001 das TISAX-Assessment oder bildet dessen Grundlage. Informationssicherheit und Datenschutz überlappen erheblich — IQI bietet neben dem ISMB auch die Funktion des externen Datenschutzbeauftragten (DSB) an. Beide Rollen aus einer Hand reduzieren Schnittstellenverluste.

ISO 9001 Qualitätsmanagement
~30 % der IS-Anforderungen bereits abgedeckt; gemeinsame Audits möglich
ISO/IEC 17025 Laborakkreditierung
Schutz von Messdaten, Prüfberichten und kalibrierten Systemen
TISAX Automotive-InfoSec
VDA ISA baut auf ISO 27001 auf — aber automotive-spezifische Ergänzungen nötig
Ext. DSB Datenschutz
ISMB + DSB aus einer Hand — konsistente Compliance, weniger Schnittstellenverluste

→ Alle Norm-Kombinationen im Detail

Für welche Branchen ist ISO/IEC 27001 relevant?

ISO/IEC 27001 ist branchenübergreifend anwendbar. IQI berät besonders häufig Unternehmen aus IT & Software (Cloud-Anbieter, SaaS, MSP — oft Voraussetzung für Kundenverträge und seit NIS2 als Anbieter digitaler Dienste regulatorisch relevant), Rechenzentren & Hosting (als „besonders wichtige Einrichtungen" unter NIS2), Finanzdienstleister & Wirtschaftsprüfung (KWG, MaRisk, Anforderungen an Datenintegrität und Vertraulichkeit), Gesundheitswesen (Patientendaten, besondere Datenschutzpflichten) und Automotive (als Ergänzung oder Alternative zu TISAX).

→ Alle Referenzen ansehen

So unterstützt IQI bei Informationssicherheit

Beratung

Beratung

Gap-Analyse bis Zertifizierung

IQI begleitet bei ISMS-Aufbau und -Optimierung: Risikobewertung (Clause 6.1.2/6.1.3), Dokumentation inkl. SoA, Annex A Controls, NIS2-Integration und Migration 2013→2022. Für ein KMU typisch: 9–12 Monate bis zum Zertifikat.

 Internes Audit

Internes Audit

Unabhängige Auditoren

Unabhängige Auditoren prüfen Normkonformität und Wirksamkeit: Dokumentenreview, Interviews, Stichproben, Annex-A-Umsetzung anhand konkreter Nachweise. Pflicht vor der Erstzertifizierung und jährlich vor Überwachungsaudits.

 Externer ISMB

Externer ISMB

Operative ISMS-Steuerung

IQI übernimmt die Rolle des Informationssicherheitsmanagementbeauftragten: Risikomanagement, SoA pflegen, Maßnahmen koordinieren, Schulungen, Vorfälle managen, Management Reviews — mit direktem Zugang zur Leitungsebene.

 Rechtskataster

Rechtskataster

Annex A Control A.5.31

ISO/IEC 27001 fordert in A.5.31 die Dokumentation aller rechtlichen und regulatorischen Anforderungen. IQI betreut 35+ aktive Rechtskataster im InfoSec-Scope: DSGVO, NIS2-UmsuG, BSIG, TKG, KWG, MaRisk, GeschGehG.
Norminator

Norminator — KI-basierter Berater

IQI hat mit Norminator einen KI-basierten Berater entwickelt, der fundiertes Normenwissen zur ISO/IEC 27001 bündelt. Die ISO/IEC 27001-Abdeckung umfasst alle 93 Controls aus ISO/IEC 27002:2022 (Clauses 5–8) mit professionellen SoA-Templates, den kompletten Risikomanagement-Prozess nach Clause 6.1.2 und 6.1.3 einschließlich Risikoakzeptanzkriterien und Restrisiko-Bewertung, Transition Planning für die Migration 2013→2022 mit Gap-Analyse-Vorlagen sowie das Climate Amendment (E DIN EN ISO/IEC 27001/A1:2024-06) mit den klimabezogenen Ergänzungen zu Abschnitt 4.1 und 4.2. Ob Sie prüfen wollen, welche Controls für Ihr Risikoprofil relevant sind, ob Sie eine SoA-Vorlage als Ausgangspunkt brauchen oder ob Sie wissen wollen, was sich bei der Migration von der 2013er auf die 2022er Version konkret ändert — Norminator liefert fundierte, normbasierte Antworten. Für die Umsetzung von NIS2-spezifischen Anforderungen — Meldeverfahren, BSI-Registrierung, BSIG-Pflichten — ergänzt IQI die Norminator-Fachexpertise mit individueller Beratung. 93 Annex A Controls, SoA-Erstellung, Risikobehandlungsplan, NIS2-Anforderungen — Norminator gibt Ihrem ISMS-Team sofort fundierte Antworten, wenn sie gebraucht werden. Preise und Konditionen unter norminator.de/preise.

Norminator entdecken →

Häufige Fragen

Grundlagen

Was ist ein ISMS (Informationssicherheitsmanagementsystem)?
Ein ISMS ist ein systematischer, risikobasierter Ansatz zum Schutz von Informationen — Richtlinien, Prozesse, Rollen und Maßnahmen, die Vertraulichkeit, Integrität und Verfügbarkeit wahren. ISO/IEC 27001 definiert die Anforderungen. Ein ISMS schützt Informationen unabhängig von ihrer Form: digital, auf Papier oder in Gesprächen — kein reines IT-Projekt.
Was sind die 93 Annex A Controls nach ISO/IEC 27001:2022?
Die 93 Controls im Annex A sind konkrete Sicherheitsmaßnahmen aus ISO/IEC 27002:2022 in vier Clauses: A.5 — organisatorisch (37), A.6 — personenbezogen (8), A.7 — physisch (14), A.8 — technologisch (34). Jedes Unternehmen dokumentiert im Statement of Applicability (SoA), welche Controls angewendet werden und warum. Die Controls sind nicht abschließend — zusätzliche Maßnahmen sind möglich.
Was ist der Unterschied zwischen ISO/IEC 27001 und TISAX?
ISO/IEC 27001 ist ein internationaler Standard für Informationssicherheit, anwendbar in allen Branchen. TISAX ist ein Prüf- und Austauschverfahren der Automobilindustrie, das auf dem VDA ISA-Katalog basiert — dieser baut auf ISO/IEC 27001 auf, ergänzt aber automotive-spezifische Anforderungen wie Prototypenschutz. Die beiden Standards ersetzen sich nicht gegenseitig.
Welche Unternehmen müssen sich nach NIS2 mit ISO 27001 beschäftigen?
Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz in Deutschland. Betroffen sind rund 30.000 Unternehmen in zwei Kategorien: 'besonders wichtige Einrichtungen' (Energie, Gesundheit, Verkehr, Finanzen) und 'wichtige Einrichtungen' (Abfallwirtschaft, Post, digitale Infrastruktur, Cloud, Rechenzentren). Entscheidend sind Branche, Unternehmensgröße (ab 50 Mitarbeitende / 10 Mio. € Umsatz) und Rolle in der Wertschöpfungskette. Die BSI-Registrierungsfrist lief am 6. März 2026 ab — Unternehmen, die sich noch nicht registriert haben, sind bereits in Verzug.
Was ist das Statement of Applicability (SoA)?
Die SoA ist ein Pflichtdokument der ISO/IEC 27001 (Clause 6.1.3). Sie dokumentiert alle 93 Annex A Controls mit Begründung, ob sie angewendet werden oder nicht. Eine professionelle SoA enthält pro Control: Anwendbarkeit, Risikoanalyse-Bezug, Rechtsanforderungen und Nachweise. Typische Fehler: 'Alles anwendbar' ohne Risikobezug, fehlende Begründungen für ausgeschlossene Controls und veraltete Control-IDs aus der 2013er Version.
Was hat sich bei der Revision ISO/IEC 27001:2022 geändert?
Der Annex A wurde von 114 Controls in 14 Kategorien auf 93 Controls in 4 Clauses (A.5–A.8) konsolidiert. Neue Controls wurden eingeführt: Threat Intelligence, Cloud-Sicherheit, Datenmaskierung, ICT-Bereitschaft. Die Übergangsfrist für die 2013er Version endete im Oktober 2025. Unternehmen müssen bei der Migration die Control-IDs komplett neu zuordnen.
Reicht ISO/IEC 27001 für die NIS2-Compliance?
Ein ISMS nach ISO/IEC 27001 deckt den Großteil der NIS2-Anforderungen ab — insbesondere Risikomanagement (§30 BSIG), technische und organisatorische Maßnahmen und Incident-Management. Lücken bleiben bei Meldepflichten (24h Frühwarnung, 72h vollständige Meldung), BSI-Registrierung, Geschäftsführer-Schulungspflicht und erweiterter Lieferkettensicherheits-Dokumentation. IQI integriert diese NIS2-Ergänzungen direkt in den ISMS-Aufbau.
Haftet die Geschäftsführung persönlich bei NIS2-Verstößen?
Ja. §38 BSIG nimmt die Geschäftsleitung direkt in die Pflicht: Sie muss Risikomanagementmaßnahmen nach §30 BSIG billigen, deren Umsetzung überwachen und regelmäßig an Informationssicherheits-Schulungen teilnehmen. Bei Verstößen drohen erhebliche Bußgelder. Ein funktionierendes ISMS nach ISO/IEC 27001 dokumentiert nachweisbar, dass das Management seiner Sorgfaltspflicht nachkommt.

Ablauf bei IQI

Wie läuft eine ISO/IEC 27001-Beratung bei IQI ab?
Die Beratung startet mit einer Gap-Analyse des IST-Zustands. Darauf folgen die Risikobewertung (Clause 6.1.2/6.1.3), der ISMS-Aufbau, die Erstellung der Dokumentation einschließlich SoA und die Schulung der Beteiligten. Ein internes Audit bereitet auf das Zertifizierungsaudit vor, das in zwei Stufen abläuft: Stage 1 (Dokumentenprüfung) und Stage 2 (Vor-Ort-Audit). Für ein KMU dauert der Gesamtprozess typischerweise 9–12 Monate.
Wie führt IQI interne Audits nach ISO/IEC 27001 durch?
IQI stellt unabhängige Auditoren, die das ISMS systematisch prüfen: Dokumentenreview, Interviews mit Prozesseignern, Stichproben in Prozessen und Bewertung der Annex-A-Umsetzung anhand konkreter Nachweise. Der Auditbericht enthält Abweichungen, Verbesserungspotenziale und Handlungsempfehlungen. Das interne Audit ist Pflicht vor Erst- und Rezertifizierung sowie jährlich vor Überwachungsaudits.
Was macht ein externer ISMB von IQI?
Der externe ISMB übernimmt die operative Steuerung des ISMS: Risikomanagement pflegen, SoA aktuell halten, Maßnahmen koordinieren, Mitarbeitende schulen, Vorfälle managen, Management Reviews vorbereiten und Audits begleiten. Direkter Zugang zur Leitungsebene. Für KMU mit einem ISMS-Aufwand von 0,5–2 Tagen pro Woche ist die externe Besetzung wirtschaftlicher als eine Vollzeitstelle.

Rechtskataster

Was beinhaltet ein Rechtskataster für Informationssicherheit?
Ein Rechtskataster im ISO/IEC 27001-Scope erfasst alle relevanten Gesetze in vier Rechtsgebieten: Datenschutz (DSGVO, BDSG, Landesdatenschutzgesetze), IT-Sicherheitsrecht (NIS2-Umsetzungsgesetz, IT-Sicherheitsgesetz 2.0, BSIG), branchenspezifische Regulierung (TKG, KWG, MaRisk) und allgemeine Compliance (HGB, StGB §§ 202a ff., TDDDG, GeschGehG). Auch Kundenverträge mit strengeren Sicherheitsanforderungen gehören ins Rechtskataster. IQI betreut 35+ aktive Rechtskataster im InfoSec-Scope.

Positionierung

Warum IQI und nicht direkt die Zertifizierungsstelle für die Vorbereitung?
Ein ISMS nach ISO/IEC 27001 aufzubauen ist ein organisatorischer Veränderungsprozess — nicht nur eine Dokumentationsübung. Der Auditor prüft, ob das System funktioniert, begleitet aber nicht den Weg dorthin. IQI schließt diese Lücke: unabhängig vom Zertifizierer. Gerade bei ISO 27001 ist das relevant, weil die Interpretation der 93 Annex A Controls erheblichen Spielraum lässt — ein Berater, der nicht gleichzeitig bewertet, kann offener über pragmatische Lösungen für Ihr Risikoprofil sprechen. Wenn NIS2 ins Spiel kommt, integriert IQI die regulatorischen Pflichten direkt in den ISMS-Aufbau.

Verwandte Normen & Leistungen

ISO 9001 Qualitätsmanagement (Basis) ISO/IEC 17025 Laborakkreditierung TISAX Automotive-InfoSec Ext. DSB DSGVO / BDSG IMS Integrierte Systeme

Beratungsgespräch zu ISO/IEC 27001 vereinbaren

Ob Ersteinführung, Migration auf die 2022-Version oder NIS2-Vorbereitung: IQI begleitet Sie von der ersten Analyse bis zum Zertifikat — und darüber hinaus. Informationssicherheit ist kein IT-Projekt, sondern ein organisatorischer Veränderungsprozess. IQI baut ISMS, die im Unternehmen verstanden und gelebt werden — nicht nur vom ISMB.

Anfrage sendenAnrufenE-Mail senden