ISO 27001 ist die internationale Norm für Managementsysteme zur Informationssicherheit. Sie ist weltweit die anerkannteste Sicherheitszertifizierung und wird von Unternehmenskunden, Aufsichtsbehörden und Versicherern als Nachweis für einen systematischen, geprüften Ansatz zum Management von Informationssicherheitsrisiken akzeptiert.
Laut dem „Kaseya State of the MSP Report 2026“ gehören die Einhaltung gesetzlicher Vorschriften und die Berichterstattung zu den zehn wichtigsten Serviceanforderungen von MSP-Kunden im Jahr 2026, und die Zertifizierung nach ISO 27001 wird von Beschaffungsabteilungen in Unternehmen am häufigsten verlangt . Laden Sie den vollständigen Bericht herunter.
Für IT-Teams und MSPs ist die Norm ISO 27001 in zweierlei Hinsicht von Bedeutung: zum einen als interner Sicherheitsstandard, dessen Umsetzung sich lohnt, und zum anderen als Anforderung, die Unternehmenskunden zunehmend an ihre Dienstleister stellen. Jede fundierte Entscheidung beginnt damit, zu verstehen, was die Norm verlangt und ob eine formelle Zertifizierung tatsächlich notwendig ist oder ob die Einhaltung der Vorgaben auch ohne Zertifizierung einen gleichwertigen Nutzen bietet. Die Compliance-Tools von Kaseya unterstützen Unternehmen in jeder Phase dieses Entscheidungsprozesses bei der Lückenanalyse im Hinblick auf ISO 27001 und der Sammlung von Nachweisen.
Bauen Sie Ihr ISMS nach ISO 27001 mit Zuversicht auf
Compliance Manager GRC Sie bei der Lückenanalyse nach ISO 27001, der Zuordnung von Kontrollmaßnahmen und der Sammlung von Nachweisen und erstellt auditfähige Berichte, die sowohl interne als auch externe Zertifizierungsprüfungen unterstützen.
Was ist ISO 27001?
ISO/IEC 27001 ist eine internationale Norm, die gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wurde. Sie legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Managementsystems für Informationssicherheit (ISMS) fest, eines strukturierten Rahmens zur Ermittlung und Bewältigung von Informationssicherheitsrisiken in einer Organisation.
ISO 27001 ist keine Checkliste mit konkreten Sicherheitsmaßnahmen. Es handelt sich um eine Norm für Managementsysteme. Die Norm verlangt von einer Organisation, dass sie über einen dokumentierten Risikomanagementprozess verfügt, den ermittelten Risiken angemessene Kontrollmaßnahmen umsetzt, die Leistungsfähigkeit ihres ISMS misst und dieses kontinuierlich verbessert. Die Zertifizierung wird nach einem formellen Audit von einer akkreditierten externen Zertifizierungsstelle ausgestellt.
ISO 27001:2022 ist die aktuelle Version, die im Oktober 2022 veröffentlicht wurde. Die Frist für Organisationen zur Umstellung von ISO 27001:2013, die im Oktober 2025 ablief, ist nun verstrichen. Jedes gültige ISO 27001-Zertifikat sollte sich auf die Version von 2022 beziehen. Organisationen, die sich noch auf die Norm von 2013 berufen, sollten von den Beschaffungsteams der Unternehmen mit Vorsicht behandelt werden, da diese Zertifizierungen nicht mehr als gültig angesehen werden.
Die Akzeptanz hat stark zugenommen. Laut der ISO-Umfrage 2024 belief sich die Zahl der gültigen ISO 27001-Zertifikate weltweit auf fast 97.000 – ein deutlicher Anstieg gegenüber den Vorjahren, da Unternehmen aus den Bereichen Finanzdienstleistungen, Technologie und Gesundheitswesen die Zertifizierung zunehmend als grundlegende Sicherheitsanforderung betrachten.
ISO 27001 im Vergleich zu ISO 27002
Diese beiden Standards ergänzen sich und werden häufig verwechselt.
ISO 27001 legt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest und definiert, welche Elemente das Managementsystem umfassen muss, um zertifiziert zu werden. Es handelt sich um die Norm, nach der Organisationen zertifiziert werden.
Die Norm ISO 27002 enthält Leitlinien zur Umsetzung der in Anhang A der Norm ISO 27001 aufgeführten Maßnahmen zur Informationssicherheit. Es handelt sich dabei um ein Referenzdokument und nicht um eine zertifizierbare Norm. Organisationen lassen sich nach ISO 27001 zertifizieren und nutzen dabei die Norm ISO 27002 als Leitfaden für die Umsetzung.
Stellen Sie sich ISO 27001 als die Spezifikation (was vorhanden sein muss) und ISO 27002 als den Leitfaden zur Umsetzung (wie man es aufbaut) vor. Um ein ISO 27001-Audit zu bestehen, ist die direkte Umsetzung von ISO 27002 nicht erforderlich, doch die Leitlinien sind für jede Organisation, die sich zum ersten Mal mit der Umsetzung von Kontrollmaßnahmen befasst, von praktischem Nutzen.
Was die Zertifizierung nach ISO 27001 erfordert
Die Zertifizierungsanforderungen sind in den Abschnitten 4 bis 10 zusammengefasst. Für die Zertifizierung müssen alle diese Abschnitte erfüllt sein.
Abschnitt 4, Kontext der Organisation: Definieren Sie den Geltungsbereich des ISMS. Ermitteln Sie die internen und externen Faktoren, die sich darauf auswirken, die interessierten Kreise mit Anforderungen an die Informationssicherheit sowie die Informationsressourcen, die in den Geltungsbereich fallen.
Abschnitt 5, Führung: Die oberste Leitung muss sich aktiv für das ISMS engagieren. Dies bedeutet, eine dokumentierte Richtlinie zur Informationssicherheit zu verabschieden, Rollen und Verantwortlichkeiten zuzuweisen und sicherzustellen, dass dem Programm ausreichende Ressourcen zur Verfügung stehen.
Abschnitt 6, Planung: Führen Sie eine formelle Risikobewertung zur Informationssicherheit durch. Ermitteln Sie Risiken für Informationsressourcen, bewerten Sie deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen und erstellen Sie einen Risikobehandlungsplan, in dem dokumentiert wird, wie mit jedem einzelnen Risiko umgegangen wird – ob es akzeptiert, gemindert, übertragen oder vermieden wird.
Absatz 7, Unterstützung: Stellen Sie sicher, dass das ISMS über die erforderlichen Ressourcen verfügt, dass das Personal über die entsprechenden Kompetenzen verfügt, dass das Bewusstsein für Sicherheitsverantwortlichkeiten aktiv aufrechterhalten wird und dass die Dokumentation ordnungsgemäß verwaltet wird.
Abschnitt 8, Betrieb: Umsetzung des Risikobehandlungsplans. Hier kommen die in Anhang A aufgeführten Kontrollmaßnahmen zum Einsatz, und hier werden die im Plan beschriebenen operativen Sicherheitsmaßnahmen tatsächlich durchgeführt.
Abschnitt 9, Leistungsbewertung: Überwachen und messen Sie die Leistung des ISMS anhand festgelegter Ziele. Führen Sie interne Audits durch. Die Leitung muss das ISMS in geplanten Abständen überprüfen.
Absatz 10, Verbesserung: Beheben Sie auftretende Abweichungen, ergreifen Sie Korrekturmaßnahmen und verbessern Sie das ISMS im Laufe der Zeit kontinuierlich.
Das Zertifizierungsaudit selbst besteht aus zwei Phasen. Phase 1 ist eine Dokumentenprüfung: Ist das ISMS vorhanden und ist es angemessen konzipiert? In Phase 2 wird die Umsetzung bewertet: Funktioniert das ISMS tatsächlich wie vorgesehen? Nach der Erstzertifizierung finden jährlich Überwachungsaudits statt, wobei nach drei Jahren ein vollständiges Rezertifizierungsaudit durchgeführt wird.
Für Organisationen, die von einem niedrigen Ausgangsniveau starten, dauert der gesamte Prozess von der Lückenanalyse bis zur Zertifizierung des ISMS in der Regel sechs bis achtzehn Monate und erfordert erhebliche Investitionen in professionelle Dienstleistungen, interne Arbeitszeit und Tools.
Anhang A: Die 93 Sicherheitsmaßnahmen
Anhang A der Norm ISO 27001:2022 enthält 93 Kontrollmaßnahmen, die in vier Themenbereiche gegliedert sind.
Organisatorische Kontrollmaßnahmen (37): Richtlinien, Rollen und Zuständigkeiten, Bedrohungsinformationen, Informationssicherheit im Projektmanagement, Lieferantenbeziehungen, Verfahren zum Vorfallmanagement und Planung der Geschäftskontinuität.
Personalmaßnahmen (8): Vorstellungsgespräche, arbeitsrechtliche Bestimmungen zur Informationssicherheit, Sicherheitsschulungen und Sensibilisierungsmaßnahmen, Disziplinarverfahren sowie Richtlinien zur Telearbeit.
Physische Sicherheitsmaßnahmen (14): Physische Sicherheitsperimeter, Gerätesicherheit, Richtlinien für leere Schreibtische und leere Bildschirme sowie die sichere Entsorgung von Geräten.
Technische Kontrollmaßnahmen (34): Zugriffskontrolle, Authentifizierungsmechanismen, Verwaltung kryptografischer Schlüssel, sichere Entwicklungspraktiken, Schwachstellenmanagement, Überwachung der Netzwerksicherheit, Datensicherung und -wiederherstellung, Protokollierung und Verschlüsselung.
Nicht alle 93 Kontrollmaßnahmen sind für jede Organisation verpflichtend. Die „Statement of Applicability“ (SoA) ist ein vorgeschriebenes Dokument, in dem die Organisation festhält, welche Kontrollmaßnahmen für ihren Anwendungsbereich und ihr Risikoprofil gelten, und etwaige Ausnahmen begründet. Kontrollmaßnahmen werden nur dann ausgeschlossen, wenn sie tatsächlich nicht auf die Geschäftstätigkeit der Organisation zutreffen – nicht, um den Aufwand für die Einhaltung der Vorschriften zu verringern. Ein Auditor wird solche Ausnahmen genauestens prüfen.
Zertifizierung vs. Anpassung: Wann lohnt sich eine formelle Zertifizierung?
Die Zertifizierung nach ISO 27001 ist eine erhebliche Investition. Der gesamte Prozess, der eine Lückenanalyse, die Entwicklung eines Informationssicherheits-Managementsystems (ISMS), interne Audits, Zertifizierungsaudits der Stufen 1 und 2 sowie die laufende Überwachung umfasst, erfordert in der Regel einen Zeitaufwand von sechs bis achtzehn Monaten und entsprechende finanzielle Mittel.
Eine formelle Zertifizierung lohnt sich eindeutig, wenn:
- Unternehmenskunden verlangen dies. Große Organisationen in den Bereichen Finanzdienstleistungen, Gesundheitswesen und öffentliche Verwaltung machen die Zertifizierung nach ISO 27001 zunehmend zu einem Kriterium für die Qualifizierung von Anbietern. Wenn wichtige Kunden oder potenzielle Neukunden dies verlangen, liegt der wirtschaftliche Nutzen auf der Hand. Der Verlust eines Auftrags oder das Ausscheiden aus einem Beschaffungsprozess, noch bevor überhaupt Gespräche aufgenommen werden, stellt für nicht zertifizierte Anbieter ein echtes Risiko dar.
- Die Angleichung der Rechtsvorschriften macht dies erforderlich. Bestimmte branchenspezifische Vorschriften in der EU und im Vereinigten Königreich verweisen auf die Norm ISO 27001 als akzeptablen Mechanismus zur Einhaltung der Vorschriften. Für Organisationen, die diesen Vorschriften unterliegen, ist eine Zertifizierung möglicherweise der direkteste Weg, um die Einhaltung der Vorschriften nachzuweisen.
- Die Marktdifferenzierung rechtfertigt dies. In wettbewerbsintensiven Märkten, in denen Unternehmenskunden mehrere Anbieter prüfen, signalisiert die Zertifizierung nach ISO 27001 eine Sicherheitsreife, die vielen Mitbewerbern fehlt.
Eine Abstimmung ohne formelle Zertifizierung kann ausreichend sein, wenn:
- Der Hauptgrund ist die Verbesserung der internen Sicherheit. Durch die Einführung der ISMS-Struktur, die Durchführung einer Risikobewertung und die Umsetzung geeigneter Kontrollmaßnahmen lassen sich die meisten Sicherheitsvorteile erzielen, ohne dass ein Zertifizierungsaudit erforderlich ist.
- Die Organisation strebt eine Zertifizierung an, ist dafür aber noch nicht bereit. Der schrittweise Aufbau des ISMS im Hinblick auf ein Zertifizierungsaudit ist eine sinnvolle Strategie, insbesondere für kleinere Organisationen oder solche mit begrenzten internen Ressourcen für die Compliance.
Ein praktisches Beispiel: Ein MSP, der 200 Endgeräte von Kunden verwaltet und sich um einen Auftrag im Bereich Finanzdienstleistungen für mittelständische Unternehmen bewirbt, wird mit ziemlicher Sicherheit feststellen, dass die Zertifizierung nach ISO 27001 auf der Checkliste für die Lieferantenqualifizierung steht. Derselbe MSP, der KMU-Kunden im Bereich des allgemeinen IT-Supports betreut, wird möglicherweise feststellen, dass der Nachweis der Einhaltung von Richtlinien – durch dokumentierte Richtlinien und eine durchgeführte Risikobewertung – bereits den tatsächlichen Anforderungen der Kunden entspricht.
ISO 27001 für MSPs
Die Norm ISO 27001 ist für MSPs aus zwei ganz bestimmten Gründen besonders relevant.
MSPs als Risiko in der Lieferkette. Unternehmenskunden haben aus vielbeachteten Vorfällen in der Lieferkette gelernt, dass MSPs eine erhebliche Angriffsfläche für ihre Umgebungen darstellen. Die Zertifizierung nach ISO 27001 ist der anerkannte Nachweis dafür, dass ein MSP über ein systematisches, geprüftes Sicherheitsprogramm verfügt. Für MSPs, die sich um Unternehmensaufträge bemühen oder bestehende Unternehmenskunden im Zuge ausgereifter Beschaffungsprozesse halten wollen, wird die Zertifizierung zunehmend zu einer de facto-Anforderung.
Die Umfrage „State of Information Security“ von ISMS.online aus dem Jahr 2025 ergab, dass die meisten Unternehmen im vergangenen Jahr mindestens einen Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten erlebt haben. Dies ist den Beschaffungsteams nicht entgangen. MSPs ohne strukturierte Sicherheitsprogramme werden bereits aus den Gesprächen aussortiert, noch bevor ein Vertriebsteam überhaupt ins Spiel kommt.
MSPs, die Compliance-Dienstleistungen für Kunden erbringen. MSPs, die Kunden bei der Anpassung an die Anforderungen der ISO 27001 oder bei der Zertifizierung unterstützen, müssen die Norm gut genug verstehen, um Lückenanalysen durchzuführen, die Umsetzung von Kontrollmaßnahmen zu begleiten und Kunden auf Audits vorzubereiten. Dies ist ein wachsender Dienstleistungsbereich. Mittelständische Unternehmen gehören zu den am schnellsten wachsenden Segmenten, die eine Zertifizierung nach ISO 27001 anstreben, und vielen von ihnen fehlt das interne Fachwissen, um dies selbst zu bewältigen.
Compliance Manager GRC die Bewertung nach ISO 27001/2 im Rahmen seiner Framework-Bibliothek und ermöglicht es MSPs, die Lückenanalysen ihrer Kunden gemäß ISO 27001, die Zuordnung von Kontrollmaßnahmen sowie die Sammlung von Nachweisen über eine zentrale Plattform zu verwalten. Ein MSP, der mehrere Kunden gleichzeitig bei der Vorbereitung auf die Zertifizierung nach ISO 27001 begleitet, profitiert erheblich von einem strukturierten Tool gegenüber Ad-hoc-Tabellen und gemeinsam genutzten Laufwerken.
Inwiefern steht die Norm ISO 27001 mit anderen Rahmenwerken in Zusammenhang?
Einer der praktischen Vorteile der ISO 27001 ist ihre Kompatibilität mit anderen wichtigen Rahmenwerken. Der Implementierungsaufwand summiert sich: Eine Organisation, die ein solides ISMS für die ISO 27001 aufbaut, hat damit gleichzeitig wesentliche Teile mehrerer anderer Compliance-Anforderungen erfüllt.
NIST CSF. Enge Übereinstimmung. Bei beiden handelt es sich um risikobasierte Ansätze, deren Schwerpunkt auf dem systematischen Management der Informationssicherheit liegt. Eine nach ISO 27001 zertifizierte Organisation wird feststellen, dass die meisten Anforderungen des NIST CSF bereits durch ihr ISMS abgedeckt sind. Das NIST-Rahmenwerk dient nicht der Zertifizierung, wird jedoch häufig herangezogen, insbesondere von Organisationen, die Verträge mit der US-Regierung haben oder deren Kunden aus dem US-Regierungsbereich stammen.
SOC 2. Erhebliche Überschneidungen in den Kontrollbereichen, insbesondere in Bezug auf Zugriffskontrolle, Protokollierung, Änderungsmanagement und Verfügbarkeit. Die Prüfungsmethodik und das Berichtsformat unterscheiden sich erheblich, doch die Zertifizierung nach ISO 27001 beschleunigt die Vorbereitung auf SOC 2 erheblich. Unternehmen streben häufig beide Zertifizierungen an.
DSGVO. Die Norm ISO 27001 deckt viele der technischen und organisatorischen Sicherheitsanforderungen DSGVOab. Ein nach ISO 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) liefert einen soliden Nachweis für die in Artikel 32 festgelegte Verpflichtung zur Umsetzung geeigneter Sicherheitsmaßnahmen. Die datenschutzspezifischen Anforderungen DSGVOgehen darüber hinaus und umfassen die Rechte der betroffenen Personen, die Rechtsgrundlage sowie Datenschutz-Folgenabschätzungen; das ISMS bildet jedoch die Grundlage für die Sicherheit.
CIS-Kontrollmaßnahmen. Die Kontrollmaßnahmen in Anhang A der Norm ISO 27001 decken sich weitgehend mit den CIS-Kontrollmaßnahmen. Organisationen, die die CIS-Kontrollmaßnahmen IG2 oder IG3 umgesetzt haben, erfüllen damit bereits einen erheblichen Teil der Anforderungen aus Anhang A und sollten das Zertifizierungsaudit infolgedessen als überschaubarer empfinden.
NIS2. Die in Artikel 21 der NIS2-Richtlinie festgelegten Sicherheitsmaßnahmen orientieren sich eng am ISMS-Ansatz der Norm ISO 27001. Eine Zertifizierung nach ISO 27001 ist zwar nicht gleichbedeutend mit der Einhaltung der NIS2-Richtlinie, bietet jedoch eine glaubwürdige Grundlage und erfüllt einen Großteil der Anforderungen der Regulierungsbehörden hinsichtlich eines dokumentierten, systematischen Sicherheitsmanagements.
Einen umfassenderen Vergleich von ISO 27001 mit SOC 2, NIST und PCI DSS finden Sie unter „Die wichtigsten Compliance-Standards und ihre Unterschiede“.
Das Wichtigste in Kürze
- ISO 27001 ist eine Norm für Managementsysteme und keine Checkliste für Kontrollmaßnahmen. Sie legt fest, was ein Informationssicherheits-Managementsystem (ISMS) umfassen muss, und die Zertifizierung erfordert ein Audit durch eine unabhängige Stelle, bei dem die Einhaltung dieser Anforderungen überprüft wird. – Die aktuelle Fassung ist ISO 27001:2022. Die Frist für die Umstellung von der Fassung von 2013, die im Oktober 2025 ablief, ist bereits verstrichen. Jedes gültige Zertifikat sollte sich auf die Norm von 2022 beziehen. – Eine formelle Zertifizierung lohnt sich, wenn Unternehmenskunden diese verlangen oder wenn die Differenzierung auf dem Markt die Investition rechtfertigt. Eine Anpassung ohne Zertifizierung bietet dennoch den Großteil der Sicherheitsvorteile und ist ein guter Ausgangspunkt. – ISO 27001 ist eng auf NIST CSF, SOC 2, DSGVO, CIS Controls und NIS2 abgestimmt. Der Aufbau eines soliden ISMS steigert den Ertrag aus Compliance-Investitionen über mehrere Rahmenwerke hinweg gleichzeitig.
