Liebe Kundinnen, liebe Kunden,
wir verabschieden uns in die Feiertage und sind ab dem 2. Januar 2025 wieder persönlich für Sie da.
Bitte beachten Sie, dass neue Registrierungen und manuell zu bearbeitende Anliegen erst ab diesem Zeitpunkt bearbeitet werden.
Bestellungen und Downloads können Sie selbstverständlich jederzeit online durchführen, und unsere FAQ bieten Ihnen viele hilfreiche Informationen.
Wir wünschen Ihnen schöne Feiertage, eine besinnliche Zeit und ein gesundes Neues Jahr!
Ihre DIN Media GmbH
Montag bis Freitag von 08:00 bis 15:00 Uhr
In Unternehmen und anderen Organisationen müssen Informationen ständig verfügbar sein. Gleichzeitig sollen sie vor dem Zugriff unberechtigter Personen gesichert werden. Das gelingt mit der Umsetzung eines Informationssicherheits-Managementsystems (ISMS). Die internationale Norm ISO/IEC 27001 (als deutsche Norm DIN EN ISO 27001) beschreibt die Anforderungen für ein ISMS. Es lohnt sich schon für kleinere Betriebe und Organisationen.
Wir sprachen mit Dr. Wolfgang J. Böhmer, Mitautor des Standardwerks „Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben“, das demnächst bei DIN Media in einer Neuauflage erscheint. Böhmer studierte Naturwissenschaften mit Schwerpunkten in angewandter Physik, Mathematik und Geowissenschaften an der Universität Hamburg. Er promovierte am Max-Planck-Institut in Hamburg. Seit 1990 ist er im Bereich IT-Consulting (Software Engineering und Datenbanken) tätig, mit einem Schwerpunkt auf Informationssicherheit.
Unternehmen und andere Organisationen haben heute mit einer Vielzahl von Informationen und Daten zu tun. Die meisten davon liegen in digitaler Form vor, und viele sind von zentraler und wirtschaftlicher Bedeutung. Dr. Wolfgang J. Böhmer unterstreicht: „Wir befinden uns mitten in der digitalen Transformation. Und der Anspruch von Wirtschaft und Gesellschaft ist, dass möglichst alles online erledigt werden kann. Der digitale Datenverkehr bewegt sich aber in der Regel über ‚öffentliche Wege‘, denn das Internet ist von außen zugänglich. Informationen und Daten können deshalb leicht manipuliert werden.“ Wird der Fluss von Daten gestört oder der Zugang unterbrochen, kann großer wirtschaftlicher Schaden entstehen – und auch solcher an der Reputation eines Unternehmens. Informationssicherheit umfasst alles, was die Informationswerte eines Unternehmens vor Bedrohungen und möglichen Schäden schützt. Potenzielle Gefahren können sein: Cyberangriffe, Sabotage, Spionage oder auch Elementarschäden wie Brand, Umweltschäden oder Überschwemmungen.
Ein funktionierendes Informationssicherheits-Managementsystem (ISMS) unterstützt Unternehmen dabei, Risiken für die Informationssicherheit zu erkennen und auf ein tragbares Maß zu reduzieren, um Schäden zu minimieren. Die relevanten Kriterien für Aufbau, Einführung und Betrieb eines ISMS definiert der weltweit anerkannte Standard ISO/IEC 27001. Er unterstützt die Verantwortlichen in Unternehmen und Organisationen dabei, relevante Risiken der Informationssicherheit zu identifizieren und zu steuern. Ein ISMS gewährleistet, dass eigene Informationswerte – wie geistiges Eigentum, Personal- oder Finanzdaten sowie von Kund*innen oder Dritten anvertraute Daten – wirksam vor Manipulation geschützt werden. Das ISMS wirkt präventiv und systematisch. Es erkennt Schwachstellen und schließt sie. „Ein ISMS funktioniert im Kern als ‚Regelkreis‘, in dem ein vordefinierter Sicherheitszustand durch regelmäßige Überprüfung und Wartung erhalten und fortgeschrieben wird“, erläutert Sicherheitsberater Böhmer. „Ziel ist, auf diese Weise alle Formen von Informationsabfluss abzusichern. Informationen, die kursieren und Einfluss auf meine Wertschöpfung haben, muss ich pflegen, messen und korrigieren. Denn wenn ich nicht regelmäßig eingreife, sackt das Sicherheitsniveau automatisch ab.“
Der Fokus liegt auf digitalen Daten und Informationen. Denn Informationen werden heutzutage schließlich überwiegend digital gespeichert. Es gibt aber auch noch viele Informationen, die analog in Akten, Archiven oder als handschriftliche Notizen oder Vermerke abgelegt sind. Informationen können zudem „immateriell“ gespeichert werden – etwa als Fachwissen von Mitarbeitern. Ein ISMS umfasst alle diese Formen der Datensammlung. Daher geht Informationssicherheit über IT-Sicherheit deutlich hinaus. „Besonders relevant sind allerdings digitale Informationen, die mit wichtigen Schaltstellen entlang der Wertschöpfungskette eines Unternehmens zusammenhängen“, stellt Böhmer fest.
Informationssicherheit hat drei zentrale Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Vertrauliche Informationen dürfen nur von berechtigten Personen eingesehen werden, deren Zugang muss abgesichert sein. Integrität heißt: Informationen müssen vor Manipulation geschützt werden, damit sie unverändert, richtig und vollständig bleiben. Die Verfügbarkeit beschreibt, dass Informationsressourcen für berechtigte Nutzer*innen ohne große Probleme zugänglich sind. Sicherheitsberater Böhmer fasst zusammen: „Diese Schutzziele sind zum Beispiel wichtig, wenn ich Daten der Buchhaltung oder auch ein Angebot per Mail verschicke: Kommt die Mail beim richtigen Adressaten an? Kann der Inhalt auf dem Weg verändert werden? Bekommt ihn jemand zu sehen, für den die Informationen gar nicht bestimmt sind? Und: Erreichen die Daten auch zum gewünschten Zeitpunkt ihr Ziel?“
Größere Unternehmen und solche der „kritischen Infrastrukturen“ müssen sich auf Basis der DIN EN ISO/IEC 27001 zertifizieren lassen. Aber es lohnt sich auch für kleinere Unternehmen aller Branchen: „Je IT-lastiger ein Unternehmen ist, umso mehr macht sich ein ISMS bezahlt. Ob der Einsatz eines ISMS Sinn macht, ist also nicht unbedingt an eine bestimmte Mitarbeitendenzahl oder einen bestimmten Umsatz gebunden. Die vielen Fälle öffentlich bekannt gewordener Ransomware-Attacken (bei denen Unternehmensdaten verschlüsselt und nur gegen „Lösegeldzahlung“ wieder entschlüsselt werden), zeigten außerdem: „Es ist heute nicht die Frage, ob ich als Unternehmen von Wirtschaftskriminellen angegriffen werde, sondern wann der Angriff stattfindet – und wie gut ich darauf vorbereitet bin“, so Böhmer. „Die gute Nachricht ist, dass es eine große Zahl von Tools und Technologien gibt, um ein Unternehmen sicher zu machen. Viele sind sogar kostenlos.“
Der Impuls, ein ISMS einzuführen, muss von der Unternehmensleitung kommen und vorgelebt werden. Dann gilt es, Rollen und Verantwortlichkeiten innerhalb des ISMS zu klären, zum Beispiel durch die Benennung von Sicherheitsbeauftragen. Schließlich muss das Unternehmen seine Sicherheitsrichtlinien definieren. Entlang der Wertschöpfungskette gilt es, alle sicherheitsrelevanten Stellen zu identifizieren. Es müssen auch die Sicherheitsbedürfnisse und -einflüsse aller Beteiligten betrachtet werden: Mitarbeitende, Kund*innen, Lieferant*innen, Geschäftspartner*innen, andere betroffene Dritte. Böhmer nennt einige Fragen, die in diesem Prozess wichtig sind: „Dafür muss sich ein Unternehmen sehr genau selbst betrachten: Womit erziele ich meine Gewinne, wo fließen dazu welche Daten? Was passiert, wenn der Fluss unterbrochen wird? Gibt es Rückfall-Optionen, wie kann ich Ausfälle auffangen? Wenn ich diese kritischen Punkte erkannt habe, suche ich nach den Mitteln, meine konkreten Schutzziele umzusetzen.“
In Unternehmen und anderen Organisationen sollen Informationen ständig verfügbar sein. Gleichzeitig ist es wichtig, sie vor dem Zugriff unberechtigter Personen zu sichern. Am besten gelingt das mit einem Informationssicherheits-Managementsystem (ISMS). Die internationale Norm ISO/IEC 27001 beschreibt die Anforderungen.
Die Umsetzung der ISO/IEC 27001 befähigt Organisationen unabhängig von Typ, Art und Größe, die mit der Informationsverarbeitung verbundenen Sicherheitsrisiken angemessen zu steuern. Dabei gelten die Anforderungen unabhängig von der Art der Information, ihrer Verarbeitung sowie den dafür eingesetzten Technologien. Die deutschsprachige Fassung erschien unter dem Titel „Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen“ (DIN EN ISO/IEC 27001:2017-06).
Die Stärke der Norm liegt in der Wahlfreiheit, wie die Anforderungen erfüllt werden. Es ist ihr ausdrückliches Ziel, dass die praktische Umsetzung in Abhängigkeit der Bedürfnisse der Organisation vollzogen wird. Ein ISMS soll bestmöglich in die bestehenden Prozesse und Strukturen integriert werden.
Bei der Erarbeitung der Norm wurden internationale Best-Practice-Ansätze sowie vorhandene Normen zusammengeführt und weiterentwickelt. Herausgekommen sind anerkannte Anforderungen an ein ISMS, deren Einhaltung eine Organisation durch eigene Ressourcen (Interne Revision) oder eine akkreditierte Zertifizierungsstelle überprüfen lassen kann.
Unternehmen und andere Organisationen unterscheiden sich unter anderem in Zielen, Prozessen, Aufbau und Technologien voneinander. Deshalb fokussiert die ISO/IEC 27001 auf die strukturellen und prozessualen Anforderungen, die für Aufbau, Betrieb und Weiterentwicklung eines ISMS unerlässlich sind. Die Norm greift Begriffe und Definitionen der ISO/IEC 27000 auf und legt Anforderungen zu folgenden Themenfeldern fest:
Der strukturell im Vergleich zu anderen ISO-Managementsystemnormen vereinheitlichte Aufbau der Norm ermöglicht es auch Personen, die andere Managementdisziplinen anwenden, ihre Erfahrungen mit ISO-Managementsystemnormen zu nutzen, sich schnell in der Norm zurechtzufinden und Managementsysteme zu integrieren. Dieser einheitliche Aufbau ist erweitert um die Abschnitte
Diese Abschnitte beinhalten Anforderungen zu Planung (Abschnitte 6.1.x) und Betrieb (Abschnitte 8.x) des Prozesses oder der Prozesse zur Identifikation, Analyse, Beurteilung und Behandlung von Risiken der Informationssicherheit. Weiterhin werden Anforderungen hinsichtlich der Festlegung von Risikoakzeptanzkriterien und der Reproduzierbarkeit von Ergebnissen der Informationssicherheitsrisikobeurteilung definiert.
Anders als häufig angenommen, umfasst Informationssicherheit auch analoge Daten, also z. B. Informationen, die in Akten, Archiven oder (Fach‑) Bibliotheken, auf handschriftlichen Notizen oder Vermerken, Schallplatten oder Videobändern gesammelt sind.
Eine Besonderheit der ISO/IEC 27001 sind die im normativen (und insofern verbindlichen) Anhang A der Norm aufgeführten Referenzmaßnahmenziele und -maßnahmen. Die ISO/IEC 27001 ist daher mehr als nur eine Norm für ein Managementsystem: Über den Anhang A ist sie inhaltlich eng an die ISO/IEC 27002 gekoppelt, in der die Referenzmaßnahmenziele und -maßnahmen als Best-Practice Norm detaillierter aufgeführt sind. Diese sind grundsätzlich geeignet, um typische Informationssicherheitsrisiken zu behandeln, können und müssen jedoch individuell ergänzt bzw. reduziert werden.
Die Normativität bzw. Verbindlichkeit des Anhangs A der ISO/IEC 27001 bedeutet explizit nicht, dass auch die Referenzmaßnahmen und ihre Ziele normativ und damit verbindlich umzusetzen sind. So kann es beispielsweise rechtfertigende Gründe geben, einzelne Referenzmaßnahmen und ihre Ziele nicht zu verfolgen und umzusetzen.
Normativ und verbindlich ist der Anhang A dennoch: Denn die ISO/IEC 27001 legt in Kapitel 6.1.3 fest, dass die Ergebnisse in den Prozessen zur Beurteilung und Behandlung von Informationssicherheitsrisiken erarbeiteten Ergebnisse mit den im Anhang A aufgeführten Maßnahmen und Zielen zu vergleichen sind. Die Ergebnisse dieses Vergleichs müssen in Form einer Erklärung zur Anwendbarkeit dokumentiert werden – inklusive der jeweiligen Begründung zu ihrer Berücksichtigung oder Nicht-Berücksichtigung.
Keineswegs können im Umkehrschluss einfach die Referenzmaßnahmen und -ziele des Anhang A umgesetzt oder dazu genutzt werden, die Ergebnisse eigener Risikobeurteilungen und -behandlungsentscheidungen vorwegzunehmen oder gar auf sie zu verzichten.
Die Umsetzung der ISO/IEC 27001 unterstützt die Verantwortlichen, relevante Risiken der Informationssicherheit zu identifizieren und zu steuern, indem entsprechende Handlungsbedarfe erkannt und risikoorientiert umgesetzt werden.
Prof. Dr. Knut Haufe ist Professor für Wirtschaftsinformatik mit dem Schwerpunkt Cyber Security Governance an der SRH Berlin University of Applied Sciences. Er führt Projekte zur Planung und Etablierung von Informationssicherheits-Managementsystemen (ISMS) gemäß ISO/IEC 27001 und auf der Basis von BSI-IT-Grundschutz durch. Er berät führende Organisationen der öffentlichen Verwaltung des Bundes und der Länder sowie im Bereich kritischer Infrastrukturen. Als Mitglied in den Normenausschüssen Informationstechnik und Anwendungen (NIA) 043-01-27-01 Arbeitskreis Anforderungen, Dienste und Richtlinien für IT Sicherheitssysteme sowie NA 175-00-05 GA Sicherheit und Business Continuity ist er auch Editor der Norm ISO/IEC TS 27022 „Guidance on ISMS processes“. |
Norm [AKTUELL] 2024-01
DIN EN ISO/IEC 27001:2024-01ab 99,10 EUR inkl. MwSt.
ab 92,62 EUR exkl. MwSt.
Norm [AKTUELL] 2024-01
DIN EN ISO/IEC 27002:2024-01ab 345,10 EUR inkl. MwSt.
ab 322,52 EUR exkl. MwSt.
Norm [AKTUELL] 2020-06
DIN EN ISO 22301:2020-06ab 112,30 EUR inkl. MwSt.
ab 104,95 EUR exkl. MwSt.
Norm [AKTUELL] 2018-10
DIN EN ISO 19011:2018-10ab 197,50 EUR inkl. MwSt.
ab 184,58 EUR exkl. MwSt.
ab 190,80 EUR inkl. MwSt.
ab 178,32 EUR exkl. MwSt.
Publikation DIN-Taschenbuch 408 2024-10
Informationssicherheitsmanagementab 166,00 EUR inkl. MwSt.
ab 155,14 EUR exkl. MwSt.
Publikation DIN Media Praxis 2024-10
Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessernab 68,00 EUR inkl. MwSt.
ab 63,55 EUR exkl. MwSt.
Publikation Normen-Handbuch 2024-07
DIN EN ISO/IEC 27001:2024 - Vergleich mit DIN EN ISO/IEC 27001:2017, Änderungen und Auswirkungen - Mit den deutschen Texten der Normenab 219,00 EUR inkl. MwSt.
ab 204,67 EUR exkl. MwSt.
Publikation DIN Media Pocket 2024-07
DIN EN ISO/IEC 27001:2024 - Vergleich mit DIN EN ISO/IEC 27001:2017, Änderungen und Auswirkungenab 21,20 EUR inkl. MwSt.
ab 19,81 EUR exkl. MwSt.
Publikation DIN Media Praxis 2023-11
Betrieblicher Datenschutz Schritt für Schrittab 72,50 EUR inkl. MwSt.
ab 67,76 EUR exkl. MwSt.
Publikation DIN Media Kommentar 2021-05
Paket Geschäftsrelevante Informationen und Records Managementab 72,00 EUR inkl. MwSt.
ab 67,29 EUR exkl. MwSt.
Um den globalen Herausforderungen im Bereich der Cybersicherheit zu begegnen und das digitale Vertrauen zu stärken, wurde im Oktober 2022 eine neue und verbesserte Version der ISO/IEC 27001 veröffentlicht. Die Überarbeitung berücksichtigt die Entwicklungen in der Informationssicherheit und die sich ändernden Bedürfnisse von Organisationen. Die ISO 27001 ist eine internationale Norm für ein Informationssicherheitsmanagementsystem (ISMS) und hilft Unternehmen jeder Größe, jeder Branche und in jedem Land, ein ISMS zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Infrastruktur einzuführen und zu unterhalten.
Die Änderungen in den aktuellen Versionen der ISO 27001 und ISO 27002 haben wir in unserer kostenlosen Checkliste ausführlich dokumentiert.
Die Fragen beantwortete Christian Lübker, Experte für Informationssicherheit und Cybersecurity. Er leitet die COSICURA GmbH in Landsberg/Lech und ist als Referent für uns tätig. |
Die ISO 27001 ist ein weltweiter Standard für Informationssicherheitsmanagementsysteme (ISMS) und legt Anforderungen an die Errichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS fest. Ein ISMS hilft Unternehmen bei der Identifizierung, Bewertung und Verwaltung von Risiken, die im Zusammenhang mit Unternehmensinformationen und -vermögenswerten verbunden sind. Dabei verfolgt die ISO 27001 einen ganzheitlichen Ansatz: Sie deckt nicht nur IT ab, sondern berücksichtigt auch die Menschen, Technologien und Prozesse eines Unternehmens.
Ein weiterer Vorteil verbindet sich mit einer Zertifizierung nach ISO 27001: Damit weist ein Unternehmen gegenüber der Kundschaft und gegenüber kooperierenden Unternehmen nach, dass Prozesse, Verfahren, Maßnahmen und Werkzeuge (Tools) eingesetzt werden, mit denen sich die Informationssicherheit steuern, kontrollieren und optimieren lässt. Eine Zertifizierung erhöht die Glaubwürdigkeit und Reputation und ist ein großer Differenzierungsfaktor gegenüber Wettbewerbern.
Insgesamt bietet die ISO 27001 einen umfassenden Rahmen für die Implementierung und Aufrechterhaltung eines ISMS, der Unternehmen dabei hilft, die Informationssicherheit zu verbessern und Risiken zu minimieren.
Darüber hinaus hilft die ISO 27001 Unternehmen dabei, die Anforderungen der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) zu erfüllen, indem sie einen umfassenden Rahmen für die Implementierung und Aufrechterhaltung von Informationssicherheitsmaßnahmen zur Verfügung stellt.
Die ISO 27001 ist eine Hauptnorm, nach der Organisationen zertifiziert werden können. Das unterscheidet sie von der ISO 27002, die keine Hauptnorm ist, sondern ein Leitfaden, mit dem sich die normativen Vorgaben aus dem Anhang A der ISO 27001 umzusetzen lassen. Die ISO 27002 enthält detaillierte Informationen zur Implementierung von Informationssicherheitsmaßnahmen, die auf den Anforderungen der ISO 27001 basieren und bei der Einführung und Umsetzung eines ISMS helfen. Darüber hinaus listet sie Informationen auf, die in einigen Fällen berücksichtigt werden müssen, zum Beispiel rechtliche Erwägungen und Verweise auf andere Normen.
Die Änderungen in der aktuellen Version ISO 27001:2022 betreffen die Kapitel 4 bis 10. Sie sind überschaubar und können leicht angepasst werden, da sie das Managementsystem betreffen. Eine große Tragweite hat dabei die Überarbeitung der Maßnahmenziele und Maßnahmen und deren Struktur in Anhang A, die bereits Mitte Februar 2022 im Rahmen des überarbeiteten Standards ISO/IEC 27002:2022 veröffentlicht wurden. Die meisten Änderungen erfolgten im Anhang A der ISO 27001.
Eine wichtige Änderung in der ISO 27001:2022 ist die stärkere Betonung der Risikobewertung und des Risikomanagements. Die Norm legt nun einen stärkeren Schwerpunkt auf die Identifizierung und Bewertung von Risiken sowie auf die Entwicklung von Risikobehandlungsstrategien.
Die ISO 27002:2022 ist jetzt deutlich länger als die vorherige Version, und die Maßnahmen wurden neu geordnet und aktualisiert. Da die Norm bereits im Februar 2022 herausgegeben wurde und erst im Oktober die neue ISO 27001 folgte, wurde der normative Anhang A der ISO 27001 an die überarbeitete ISO 27002 angeglichen. Zusätzlich erhielten alle in der ISO 27002 aufgeführten Maßnahmen fünf Arten von Attributen. Diese Attribute können nun verwendet werden, um zu filtern, zu sortieren oder Maßnahmen in verschiedenen Ansichten für verschiedene Zielgruppen zu präsentieren.
Insgesamt zielen die Änderungen in der ISO 27001:2022 und ISO 27002:2022 darauf ab, die Normen an die aktuellen Bedrohungen und Herausforderungen in der Informationssicherheit anzupassen und eine bessere Integration und Anwendbarkeit zu gewährleisten.
Die Änderungen in den aktuellen Versionen der ISO 27001 und ISO 27002 haben wir in unserer kostenlosen Checkliste ausführlich dokumentiert.
Die Normen ISO 27001 und ISO 27002 wurden zuletzt im Jahr 2013, also vor fast einem Jahrzehnt, aktualisiert. Die neue Version ISO/IEC 27001:2022 wurde im Oktober 2022 veröffentlicht. Organisationen, die nach ISO/IEC 27001:2013 zertifiziert sind, haben nun eine dreijährige Übergangsfrist, um die notwendigen Änderungen an ihrem ISMS vorzunehmen:
Am DIN-Platz | Burggrafenstraße 6
10787 Berlin