Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 » Stolpersteine ISO 27001

Stolpersteine ISO 27001

Die Stolpersteine in der ISO 27001 treten in vielen Unternehmen auf, wenn es um den Aufbau und die Pflege eines Informationssicherheits-Managementsystems (ISMS) geht. Selbst engagierte Teams können schnell in typische Fallen tappen – von einer überbordenden Dokumentation bis hin zu oberflächlichen Risikoanalysen. Wer die Stolpersteine ISO 27001 jedoch frühzeitig erkennt und adressiert, legt den Grundstein für eine erfolgreiche und nachhaltige Zertifizierung nach ISO 27001:2022.

Unklarer Geltungsbereich

Ein häufiger Fehler liegt in der unklaren Definition des Geltungsbereichs. Viele Organisationen starten mit einem zu großen oder zu ungenauen Scope, sodass das ISMS sämtliche Prozesse, Abteilungen und Standorte erfassen soll. Dies führt schnell zu einer Überforderung der Beteiligten und verzögert den Aufbau solider Strukturen. Empfehlenswert ist eine schrittweise Herangehensweise: Erst einen realistisch abgesteckten Bereich definieren, Erfahrungen sammeln und das ISMS danach sukzessive erweitern.

Fehlende Unterstützung des Top-Managements

Nicht zu unterschätzen ist außerdem die fehlende Einbindung der Geschäftsleitung. Wenn das Top-Management die Relevanz eines ISMS nicht klar kommuniziert oder keine Ressourcen freigibt, bleibt das Projekt schnell ein Nischenthema in der IT-Abteilung. Ein klares Bekenntnis der Führungskräfte signalisiert allen Mitarbeitern, dass Informationssicherheit Chefsache ist – ein wesentlicher Faktor für eine erfolgreiche Implementierung.

Stolpersteine bei ISO 27001: Risiken bei SoA und Risikoplanung

Dokumentationsfalle

Die ISO 27001:2022 fordert unter Kapitel 7.5 „Dokumentierte Information“, dass Organisationen alle Dokumente vorhalten, die für die Wirksamkeit des Managementsystems notwendig sind. Dennoch scheitert die Praxis oft an einer unzureichenden oder übermäßig formalen Dokumentation. Wer Dokumente nur für den Auditor „zusammenbastelt“, verfehlt das eigentliche Ziel: den Aufbau einer lebendigen und belastbaren Sicherheitskultur. Eine klare, verständliche Dokumentation ist hingegen der Schlüssel, damit alle Beteiligten wissen, welche Vorgaben gelten, warum sie sinnvoll sind und wie sie den betrieblichen Alltag sicherer machen.

Laut der BSI-Publikation „IT-Grundschutz: Das Kompendium“ (BSI, 2023) (1) ist eine praxisnahe Dokumentation einer der zentralen Erfolgsfaktoren im Informationssicherheitsmanagement. Dennoch scheitern viele Betriebe am übertriebenen Bürokratismus: Dokumente werden erstellt, ohne im Alltag wirklich genutzt zu werden. Dieses Phänomen zählt zu den häufigsten Stolpersteine ISO 27001, weil Mitarbeitende die Inhalte nicht in ihr tägliches Handeln integrieren und Sicherheitsrichtlinien so ungelebt bleiben. Eine klare Zuordnung von Verantwortlichkeiten und schlank gehaltene Richtlinien, die sich an den tatsächlichen Abläufen orientieren, erhöhen hingegen die Akzeptanz.

Risikoeinschätzung und -behandlung

Die ISO/IEC 27001:2022 selbst betont in Kapitel 6.1.2 die Wichtigkeit einer kontextbezogenen Risikoanalyse. In der Praxis aber bleibt sie häufig oberflächlich. Das BSI verweist im Standard 200-3 „Risikoanalyse auf der Grundlage von IT-Grundschutz (2)“ auf typische Fehler, etwa zu pauschale Bewertungen oder fehlende Priorisierung von Maßnahmen. Diese Stolpersteine der ISO 27001 führen dazu, dass Sicherheitslücken übersehen oder nur halbherzig adressiert werden. Stattdessen sollte jede identifizierte Gefahr eine konkrete Gegenmaßnahme samt Zeitplan und verantwortlicher Person zur Umsetzung erhalten, um eine wirksame Risikobehandlung sicherzustellen..

SoA (Statement of Applicability)

Besonders tückisch erweist sich zudem das Statement of Applicability (SoA). Die ISO 27001 verlangt, dass für jede in Annex A genannte Controls (Maßnahmen) angegeben wird, ob sie angewendet wird oder nicht – und aus welchen Gründen. In der Praxis werden hier oft Copy-and-Paste-Vorlagen verwendet, die nicht auf die tatsächliche Risikosituation der Organisation zugeschnitten sind. Diese Vorgehensweise kann zu Fehlaussagen und einem aufgeblähten Kontrollkatalog führen, der kaum operationalisiert werden kann.

Darüber hinaus ist das SoA eines der ersten Dokumente, das Auditoren prüfen, weshalb fehlende oder widersprüchliche Begründungen schnell zur Nichtkonformität führen können. Eine fundierte Herleitung, warum eine Maßnahme umgesetzt oder bewusst weggelassen wird, schützt hingegen vor Missverständnissen und verankert die Risikosteuerung nachhaltig im ISMS.

Fazit

Wer eine kontinuierliche Verbesserung in der Dokumentation, bei der Risikoanalyse und im SoA verankert, steigert nicht nur seine Audit-Fähigkeit, sondern schafft den Rahmen für ein ISMS, das im Alltag wirklich funktioniert. Gerade in ISO 27001-Projekten gilt: Weniger ist manchmal mehr – solange die dokumentierten Informationen aussagekräftig, nachvollziehbar und auf die Bedürfnisse der eigenen Organisation zugeschnitten sind. Nur so lassen sich Stolpersteine aus dem Weg räumen und der Nutzen einer strukturierten Informationssicherheit voll ausschöpfen.

Mangelnde Sensibilisierung der Belegschaft

Auch die Sicherheitskultur entscheidet darüber, wie erfolgreich ein ISMS wirklich ist. Der BSI-Lagebericht 2024 (3) dokumentiert, dass menschliches Fehlverhalten weiterhin zu den Hauptursachen für Sicherheitsvorfälle zählt. Ohne regelmäßige Schulungen und Sensibilisierungskampagnen bleibt ein großer Teil der Schutzmaßnahmen wirkungslos. Zu den Stolpersteinen der ISO 27001 gehört daher eine zu geringe Fokussierung auf Trainings: Mitarbeitende sollten wissen, was hinter den Richtlinien steckt und warum sie sich an diese Vorgaben halten sollten.

Vernachlässigte kontinuierliche Verbesserung

Ein häufig unterschätzter Faktor ist die Vernachlässigung der kontinuierlichen Verbesserung. Viele Unternehmen atmen auf, sobald sie das Zertifikat in Händen halten, und widmen sich wieder dem Tagesgeschäft. ISO 27001 sieht jedoch eine zyklische Überprüfung vor, die Schwachstellen laufend analysiert und Verbesserungen anstößt. Ohne diese Dynamik verwässert das ISMS rasch und verliert an Wirksamkeit.

Technische Umsetzung als Daueraufgabe

Manche Betriebe unterschätzen zudem den Aufwand bei der technischen Umsetzung. Passwörter, Zugriffsbeschränkungen und Verschlüsselung sind nur einige Bausteine, die regelmäßig gepflegt und aktualisiert werden müssen. Wer hier zu sehr spart oder einzelne Systeme isoliert betrachtet, riskiert Sicherheitslücken, die das gesamte ISMS konterkarieren.

Kontinuierliche Verbesserung statt statischer Konzepte

Am Ende zeigt sich, dass die Stolpersteine in der ISO 27001 in vielen Fällen auf unzureichende Verknüpfungen zwischen Theorie und betrieblicher Praxis zurückzuführen sind. Eine lebendige Sicherheitskultur entsteht nicht, indem man Dokumente lediglich als Nachweis für eine Auditierung erstellt. Wer hingegen die Dokumentation, die Risikoanalyse und das SoA fortlaufend anpasst und dabei alle Beteiligten mitnimmt, gewinnt ein ISMS, das im Alltag wirklich funktioniert. Somit lassen sich die Stolpersteine der ISO 27001 erfolgreich umgehen und die Organisation profitiert dauerhaft von einer hohen Sicherheitsqualität und gesteigerter Effizienz.

Quellen:
  1. BSI IT-Grundschutz Kompendium
  2. Standard 200-3 „Risikoanalyse auf der Grundlage von IT-Grundschutz
  3. BSI Lagebericht 2024
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner