Zum Inhalt springen
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Wie startet man mit ISO 27001? Der strukturierte Einstieg in ein wirksames ISMS

Wie startet man mit ISO 27001? Der strukturierte Einstieg in ein wirksames ISMS

Wie startet man mit der ISO 27001
Wie startet man mit ISO 27001?

Wie startet man mit ISO 27001?

Viele Unternehmen wissen, dass Informationssicherheit wichtiger wird. Kunden fragen nach Sicherheitsnachweisen, Cyberrisiken nehmen zu, Versicherer stellen strengere Anforderungen und Regelwerke wie NIS2 erhöhen den Druck zusätzlich. Spätestens dann stellt sich die Frage: Wie startet man sinnvoll mit ISO 27001, ohne sich in Dokumentation, Normanforderungen und technischen Details zu verlieren?

Der wichtigste Grundsatz zu Beginn

ISO 27001 startet nicht mit einzelnen technischen Maßnahmen, sondern mit einem strukturierten Informationssicherheits Managementsystem. Es geht darum, Risiken zu erkennen, Verantwortlichkeiten festzulegen, geeignete Maßnahmen umzusetzen und deren Wirksamkeit regelmäßig zu überprüfen. Ein guter Start entscheidet darüber, ob das ISMS später auditfähig, praxistauglich und dauerhaft wirksam wird.

Schritt 1: Ziel und Geltungsbereich festlegen

Am Anfang steht die Frage, warum das Unternehmen ISO 27001 einführen möchte. Geht es um eine Kundenvorgabe, eine geplante Zertifizierung, NIS2, TISAX, bessere Cyberresilienz oder um eine interne Professionalisierung der Informationssicherheit? Die Zielsetzung beeinflusst Umfang, Aufwand und Prioritäten des Projekts.

Der Scope ist die Grundlage des ISMS

Der Geltungsbereich beschreibt, welche Standorte, Organisationseinheiten, Prozesse, Systeme, Informationen und Dienstleistungen vom ISMS umfasst sind. Ein zu großer Scope kann den Aufwand unnötig erhöhen. Ein zu enger Scope kann im Audit problematisch werden, wenn wesentliche Prozesse oder Abhängigkeiten ausgeklammert wurden.

Typische Fragen zum Scope

  • Welche Geschäftsprozesse sind besonders kritisch?
  • Welche Kundenanforderungen müssen erfüllt werden?
  • Welche Standorte und Abteilungen sind betroffen?
  • Welche IT Systeme, Cloud Dienste und Dienstleister sind relevant?
  • Welche Informationen müssen besonders geschützt werden?

Schritt 2: Verantwortlichkeiten und Projektstruktur festlegen

ISO 27001 funktioniert nur, wenn Verantwortlichkeiten klar geregelt sind. Die Geschäftsführung muss das ISMS unterstützen, Ressourcen bereitstellen und Informationssicherheit als Managementthema behandeln. Zusätzlich sollte eine verantwortliche Person für das ISMS benannt werden, zum Beispiel ein Informationssicherheitsbeauftragter.

Wichtige Rollen beim Start

  • Geschäftsführung als oberste Verantwortung
  • Informationssicherheitsbeauftragter oder ISMS Verantwortlicher
  • IT Verantwortliche für technische Maßnahmen
  • Prozessverantwortliche für Fachbereiche
  • Datenschutz, Compliance oder Qualitätsmanagement, sofern vorhanden
  • externe Dienstleister, wenn diese kritische Leistungen erbringen

Praxisempfehlung

Gerade bei kleinen und mittleren Unternehmen sollte die Projektstruktur schlank bleiben. Wichtig ist nicht, möglichst viele Rollen zu benennen, sondern klare Zuständigkeiten festzulegen. Wer entscheidet? Wer liefert Informationen? Wer bewertet Risiken? Wer setzt Maßnahmen um? Wer prüft die Wirksamkeit?

Schritt 3: Asset Inventar erstellen

Ohne Übersicht über die eigenen Informationswerte kann keine belastbare Risikoanalyse durchgeführt werden. Deshalb ist das Asset Inventar einer der wichtigsten Startpunkte. Es zeigt, welche Informationen, Systeme, Anwendungen, Geräte, Prozesse, Standorte und Dienstleister für das Unternehmen relevant sind.

Typische Assets im ISMS

  • Server, Clients, mobile Endgeräte und Netzwerkkomponenten
  • Cloud Dienste wie Microsoft 365, SharePoint oder andere SaaS Lösungen
  • Geschäftsanwendungen, ERP Systeme, CRM und Fachanwendungen
  • Kundendaten, Vertragsdaten, Finanzdaten und Personaldaten
  • Backups, Protokolldaten und Sicherheitsnachweise
  • externe Dienstleister, Rechenzentren und Hosting Anbieter
  • kritische Geschäftsprozesse und unterstützende Prozesse

Warum das Asset Inventar so wichtig ist

Das Asset Inventar bildet die Verbindung zwischen Geschäftsprozessen, Informationswerten, Risiken und Sicherheitsmaßnahmen. Es hilft dabei, Schutzbedarf zu bewerten, Verantwortlichkeiten festzulegen und später nachvollziehbar zu begründen, warum bestimmte Controls aus Anhang A angewendet werden.

Schritt 4: Risikoanalyse und Risikobehandlung durchführen

Die Risikoanalyse ist das Herzstück der ISO 27001. Sie bewertet, welche Bedrohungen und Schwachstellen für die Informationswerte bestehen und welche Auswirkungen ein Sicherheitsvorfall auf Vertraulichkeit, Integrität und Verfügbarkeit haben kann.

Inhalte einer Risikoanalyse

  • Beschreibung des Assets oder Prozesses
  • Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit
  • mögliche Bedrohungen und Schwachstellen
  • Eintrittswahrscheinlichkeit und Schadensausmaß
  • Risikowert vor Maßnahmen
  • geplante Maßnahmen zur Risikobehandlung
  • Restrisiko nach Umsetzung der Maßnahmen
  • Entscheidung zur Risikoakzeptanz

Risikobehandlung ist mehr als Dokumentation

Nach der Bewertung müssen Risiken behandelt werden. Typische Maßnahmen sind Zugriffskonzepte, Mehrfaktor Authentifizierung, Backup Strategien, Patch Management, Schulungen, Lieferantenbewertungen, Notfallplanung oder technische Schutzmaßnahmen. Entscheidend ist, dass die Maßnahmen realistisch, verantwortlich zugeordnet und später auf Wirksamkeit geprüft werden.

Schritt 5: Statement of Applicability erstellen

Die Statement of Applicability, kurz SoA, ist eines der wichtigsten Dokumente im ISO 27001 Audit. Sie zeigt, welche Controls aus Anhang A der ISO 27001 anwendbar sind, welche ausgeschlossen wurden und wie die anwendbaren Controls umgesetzt werden.

Die SoA beantwortet zentrale Auditfragen

  • Ist das Control anwendbar?
  • Warum ist das Control anwendbar oder nicht anwendbar?
  • Welche Risiken stehen mit dem Control in Verbindung?
  • Wie wird das Control umgesetzt?
  • Welche Richtlinien, Prozesse oder Nachweise gehören dazu?
  • Wie wird die Umsetzung geprüft?

Typischer Fehler beim Start

Viele Unternehmen beginnen direkt mit einer SoA Vorlage und versuchen, alle Controls abzuarbeiten. Sinnvoller ist es, zuerst Scope, Assets und Risiken zu klären. Erst danach kann sauber entschieden werden, welche Controls wirklich erforderlich sind und wie sie begründet werden.

Übersicht: Die wichtigsten Startschritte bei ISO 27001

Die folgende Übersicht zeigt, welche Schritte beim Einstieg in ISO 27001 besonders wichtig sind und welche Ergebnisse daraus entstehen sollten.

Schritt Ziel Ergebnis / Nachweis
1. Ziel und Scope festlegen Klärung, was zertifiziert oder gesteuert werden soll Scope Beschreibung, Geltungsbereich, Projektziel
2. Verantwortlichkeiten definieren Klare Zuständigkeiten für ISMS und Umsetzung Rollenbeschreibung, Organigramm, Verantwortungsmatrix
3. Asset Inventar erstellen Transparenz über Informationswerte schaffen Asset Liste mit Verantwortlichen und Schutzbedarf
4. Risikoanalyse durchführen Informationssicherheitsrisiken bewerten Risikoregister, Risikobehandlungsplan
5. SoA erstellen Anwendbarkeit der Controls begründen Statement of Applicability
6. Richtlinien erstellen Verbindliche Sicherheitsregeln festlegen Informationssicherheitsleitlinie, Richtlinien, Verfahren
7. Umsetzung und Nachweise Maßnahmen real einführen und dokumentieren Schulungen, technische Nachweise, Auditberichte

Schritt 6: Richtlinien und Prozesse aufbauen

ISO 27001 verlangt nicht, dass möglichst viele Dokumente erstellt werden. Die Dokumentation muss angemessen, nachvollziehbar und wirksam sein. Entscheidend ist, dass Regeln dort dokumentiert sind, wo sie für die Informationssicherheit notwendig sind.

Typische Richtlinien beim Start

  • Informationssicherheitsleitlinie
  • Zugriffskontrollrichtlinie
  • Passwortrichtlinie und MFA Vorgaben
  • Richtlinie zur zulässigen Nutzung von IT Systemen
  • Backup und Wiederherstellung
  • Incident Management
  • Lieferantenmanagement
  • Mobile Arbeit und Remote Zugriff
  • Patch und Schwachstellenmanagement
  • Klassifizierung von Informationen

Dokumentation muss zur Praxis passen

Ein häufiger Fehler besteht darin, Richtlinien zu erstellen, die im Unternehmen nicht gelebt werden. Auditoren prüfen nicht nur, ob Dokumente vorhanden sind. Sie prüfen auch, ob Mitarbeitende die Vorgaben kennen, ob Nachweise existieren und ob die Umsetzung tatsächlich funktioniert.

Schritt 7: Umsetzung, Schulung und Nachweise sicherstellen

Ein ISMS wird erst dann auditfähig, wenn die geplanten Maßnahmen umgesetzt und nachvollziehbar nachgewiesen werden. Dazu gehören technische Einstellungen, organisatorische Regelungen, Schulungen, Prüfprotokolle, Berechtigungsreviews, Backup Tests und dokumentierte Entscheidungen.

Beispiele für wichtige Nachweise

  • Nachweise über durchgeführte Awareness Schulungen
  • Protokolle von Berechtigungsprüfungen
  • Backup Nachweise und Wiederherstellungstests
  • Patchstände und Schwachstellenbewertungen
  • Lieferantenbewertungen und Verträge
  • Protokolle zu Sicherheitsvorfällen
  • Nachweise zur Managementbewertung
  • interne Auditberichte und Maßnahmenverfolgung

Praxisbeispiel: ISO 27001 Start im Mittelstand

Ein mittelständisches Unternehmen möchte ISO 27001 einführen, weil ein wichtiger Kunde einen Nachweis zur Informationssicherheit verlangt. Die IT ist technisch gut aufgestellt, aber es fehlen strukturierte Dokumentation, Risikoanalyse, SoA und interne Auditnachweise.

Sinnvoller Projektstart

  • Geltungsbereich auf relevante Dienstleistungen und Systeme festlegen
  • kritische Assets wie Cloud Dienste, Server, Kundendaten und Backups erfassen
  • Risiken für Vertraulichkeit, Integrität und Verfügbarkeit bewerten
  • bestehende technische Maßnahmen dokumentieren
  • fehlende Richtlinien und Nachweise priorisieren
  • SoA auf Basis der Risiken und vorhandenen Maßnahmen erstellen
  • internes Audit und Managementbewertung vor dem Zertifizierungsaudit durchführen

Ergebnis

Durch diesen strukturierten Einstieg entsteht kein theoretisches Papier ISMS, sondern ein nachvollziehbares, auditfähiges und praxistaugliches Managementsystem. Gleichzeitig wird vermieden, dass Maßnahmen wahllos umgesetzt werden, ohne Bezug zu Risiken, Assets oder Kundenanforderungen.

Typische Fehler beim Start mit ISO 27001

Viele ISO 27001 Projekte geraten ins Stocken, weil zu Beginn falsche Prioritäten gesetzt werden. Besonders kritisch ist, wenn Unternehmen direkt mit Vorlagen, Tools oder technischen Einzelmaßnahmen starten, ohne den Geltungsbereich, die Risiken und die Verantwortlichkeiten sauber zu klären.

Häufige Startfehler

  • kein klar definierter Scope
  • unvollständiges Asset Inventar
  • Risikoanalyse wird nur formal erstellt
  • SoA wird ohne Bezug zur Risikoanalyse ausgefüllt
  • Richtlinien passen nicht zur tatsächlichen Praxis
  • Verantwortlichkeiten sind nicht eindeutig geregelt
  • Nachweise zur Umsetzung fehlen
  • interne Audits und Managementbewertung werden zu spät vorbereitet

Fazit: ISO 27001 beginnt mit Struktur, nicht mit Aktionismus

Der richtige Start mit ISO 27001 entscheidet über den späteren Erfolg. Unternehmen sollten zunächst Ziele, Scope, Verantwortlichkeiten, Assets und Risiken sauber klären. Erst danach folgen SoA, Richtlinien, Maßnahmen, Schulungen und Auditnachweise.

Praktische Empfehlung

Ein gutes ISO 27001 Projekt startet mit einer Bestandsaufnahme und einem realistischen Projektplan. Wichtig ist, vorhandene Maßnahmen zu nutzen, Lücken gezielt zu schließen und die Dokumentation so aufzubauen, dass sie im Unternehmen tatsächlich verwendet werden kann. So entsteht ein ISMS, das nicht nur das Audit besteht, sondern Informationssicherheit dauerhaft verbessert.

Unterstützung beim Start mit ISO 27001

Wir unterstützen Unternehmen beim strukturierten Einstieg in ISO 27001: Scope, Asset Inventar, Risikoanalyse, SoA, Richtlinien, Maßnahmenplan, internes Audit und Vorbereitung auf die Zertifizierung. Ziel ist ein praxistaugliches, nachvollziehbares und auditfähiges ISMS.

ISO 27001 Einstieg anfragen

FAQ – Wie startet man mit ISO 27001?

1 Was ist der erste Schritt bei ISO 27001?
Der erste Schritt ist die Festlegung von Ziel, Geltungsbereich und Verantwortlichkeiten. Danach folgen Asset Inventar, Risikoanalyse und SoA.
2 Wie lange dauert die Einführung von ISO 27001?
Die Dauer hängt von Unternehmensgröße, Scope, Reifegrad und vorhandener Dokumentation ab. Kleine und mittlere Unternehmen können häufig innerhalb weniger Monate auditfähig werden.
3 Braucht man für ISO 27001 ein Asset Inventar?
Ja. Das Asset Inventar ist eine wichtige Grundlage für Schutzbedarfsbewertung, Risikoanalyse, Verantwortlichkeiten und die Ableitung geeigneter Sicherheitsmaßnahmen.
4 Was ist die SoA bei ISO 27001?
Die Statement of Applicability dokumentiert, welche Controls aus Anhang A anwendbar sind, welche ausgeschlossen wurden und wie die anwendbaren Controls umgesetzt werden.
5 Kann man ISO 27001 remote einführen?
Ja, viele Teile der ISO 27001 Einführung können remote umgesetzt werden. Dazu gehören Dokumentation, Risikoanalyse, SoA, Richtlinien, Schulungen und Auditvorbereitung. Vor Ort können ergänzend Begehungen oder Interviews sinnvoll sein.
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel