Zum Inhalt springen
Security & Datenschutz

ISO 27001: 16 Kontrollbereiche und die Nachweise, die im Audit zählen

ISO 27001 verständlich erklärt: die 16 zentralen Kontrollbereiche mit ihren Richtlinien, Verfahren und vor allem den Nachweisen, die im Audit den Unterschied machen.

Von DI Herwart Wermescher, MBA ↗

Warum ISO-27001-Audits an Nachweisen scheitern

Bei einem ISO-27001-Audit zählt am Ende vor allem eines: ob du belegen kannst, dass deine Kontrollen wirklich greifen. Gute Absichten allein reichen dafür nicht. Die häufigste Ursache für ein durchgefallenes Audit liegt dabei selten an fehlenden Sicherheitswerkzeugen. Viel öfter fehlt schlicht der Nachweis, dass eine Maßnahme tatsächlich gelebt wird.

Die Logik dahinter ist einfach: Wer nicht beweisen kann, dass eine Kontrolle funktioniert, muss damit rechnen, dass die Auditorin oder der Auditor genau das Gegenteil annimmt. Ein sauber dokumentierter, nachvollziehbarer Nachweis schlägt jede mündliche Beteuerung. Genau deshalb lohnt es sich, jede Kontrolle von Anfang an mit Blick auf ihre Belegbarkeit aufzubauen.

Hinweis zur Einordnung: Die offizielle Annex A der ISO/IEC 27001:2022 listet 93 Controls in vier Themen (organisatorisch, personell, physisch, technologisch). Die folgenden 16 Bereiche sind eine praxisnahe Bündelung, die zeigt, worauf in echten Audits geachtet wird – sie ersetzt nicht die formale Control-Liste, hilft aber beim Aufbau eines prüfungsfesten ISMS.

Das Prinzip: Richtlinie, Verfahren, Umsetzung, Nachweis

Jeder Kontrollbereich lässt sich über vier Ebenen denken. Wer alle vier sauber bedient, ist audit-ready:

  • Richtlinie (Policy): Was sind die Regeln? Eine freigegebene, kommunizierte Vorgabe legt fest, was gilt.
  • Verfahren (Procedure): Wie wird die Regel umgesetzt? Ein dokumentierter Ablauf macht sie wiederholbar.
  • Umsetzung (Mechanism): Womit wird sie technisch oder organisatorisch erzwungen – etwa MFA, ein SIEM oder ein Onboarding-Workflow?
  • Nachweis (Evidence): Was beweist, dass das alles passiert? Logs, Protokolle, Screenshots, freigegebene Dokumente und Tickets.

Die ersten drei Ebenen baust du auf. Die vierte entscheidet das Audit.

Die 16 Kontrollbereiche und ihre Nachweise

1. Informationssicherheitsleitlinie

Die freigegebene Leitlinie bildet das Fundament des ISMS und gibt die Richtung für alle weiteren Regeln vor. Sie muss vom Management genehmigt und allen Mitarbeitenden und relevanten Partnern kommuniziert sein. Nachweis: die freigegebene Leitlinie selbst, Kommunikationsnachweise sowie dokumentierte Kenntnisnahmen der Belegschaft.

2. Asset-Management

Du kannst nur schützen, was du kennst. Alle Informationswerte werden inventarisiert, klassifiziert und mit klaren Eigentümern versehen. Nachweis: ein gepflegtes Asset-Register, Klassifizierungsnachweise und dokumentierte Ownership-Zuordnung.

3. Zugriffsmanagement

Hier geht es um die Frage, wer worauf zugreifen darf – idealerweise nach dem Prinzip der geringsten Rechte. Bausteine sind SSO, MFA, rollenbasierte Rechte (RBAC) und ein sauberer Joiner-Mover-Leaver-Prozess. Nachweis: Zugriffsanträge und -freigaben, eine aktuelle Benutzerliste, MFA-Belege und Protokolle regelmäßiger Zugriffs-Reviews.

4. Schwachstellenmanagement

Schwachstellen werden systematisch gesucht, bewertet und behoben – durch automatisierte Scans und periodische Penetrationstests (VAPT). Nachweis: Scan- und VAPT-Berichte, ein Remediation-Tracker und Belege für geschlossene Findings.

5. Patch-Management

Eng verwandt mit dem Schwachstellenmanagement, aber eigenständig: Patches werden getestet, freigegeben und nachverfolgt eingespielt. Nachweis: Patch-Berichte, Deployment-Logs und eine dokumentierte Ausnahmeliste für nicht patchbare Systeme.

6. Incident-Management

Sicherheitsvorfälle brauchen einen geübten Ablauf von der Meldung über die Eskalation bis zur Ursachenanalyse (RCA) und zum sauberen Abschluss. Nachweis: ein Incident-Log, RCA-Berichte, Kommunikationsnachweise und Closure-Dokumentation.

7. Backup und Wiederherstellung

Backups sind nur so gut wie der letzte erfolgreiche Restore-Test. Gefragt sind geplante Sicherungen, definierte Aufbewahrung und eine Offsite- oder Cloud-Kopie. Nachweis: Backup-Logs, Berichte von Restore-Tests und Verifizierungsprotokolle.

8. Business Continuity und Disaster Recovery

Für den Ernstfall braucht es BCP- und DR-Pläne mit definierten Wiederanlaufzielen (RTO/RPO), die regelmäßig geübt werden. Nachweis: die BCP/DR-Dokumente, Berichte durchgeführter Tests bzw. Übungen und abgeleitete Verbesserungsmaßnahmen.

9. Lieferanten- und Drittparteienmanagement

Risiken enden nicht an der eigenen Firewall. Lieferanten werden vor und während der Zusammenarbeit geprüft, vertraglich gebunden und regelmäßig bewertet. Nachweis: Due-Diligence- bzw. Bewertungsformulare, Verträge mit Sicherheitsklauseln, NDAs und Performance-Reviews.

10. Personalsicherheit (HR Security)

Sicherheit beginnt bei der Einstellung und endet beim Austritt. Dazu gehören Background-Checks, NDAs, Awareness-Schulungen und der zeitnahe Entzug von Zugriffen. Nachweis: Schulungsnachweise, unterschriebene NDAs, Background-Verifizierungen und Exit-Checklisten.

11. Physische und umgebungsbezogene Sicherheit

Auch der physische Zugang zu Räumen und Systemen ist eine Kontrolle: Zutrittssteuerung, Videoüberwachung, Besuchermanagement und Umgebungskontrollen. Nachweis: Besucher- und Zutrittsprotokolle, CCTV-Aufzeichnungen und Wartungsnachweise relevanter Anlagen.

12. Logging und Monitoring

Ohne zentrale Protokollierung bleiben Vorfälle unsichtbar. Gefragt sind zentralisiertes Logging (SIEM), Alerting und eine definierte Aufbewahrung. Nachweis: Log-Review-Berichte, Alert-Tickets und Dashboard-Screenshots.

13. Change-Management

Änderungen an Systemen werden beantragt, auf Auswirkungen bewertet und freigegeben, bevor sie umgesetzt werden. Nachweis: Change-Tickets, dokumentierte Impact-Bewertungen, Freigaben und Post-Implementation-Reviews.

14. Dokumenten- und Aufzeichnungsmanagement

Richtlinien und Aufzeichnungen brauchen Versionskontrolle, definierte Aufbewahrung und Archivierung – sonst ist im Audit unklar, welche Fassung gilt. Nachweis: ein Dokumentenregister, Versionshistorie und Zugriffs- bzw. Archivierungsnachweise.

15. Compliance und rechtliche Anforderungen

Welche Gesetze, Verträge und Normen sind anwendbar, und wie wird ihre Einhaltung verfolgt? Genau das hält ein Rechts- und Compliance-Register fest. Nachweis: ein gepflegtes Legal Register, Compliance-Checklisten und Review-Berichte.

16. Internes Audit

Das ISMS prüft sich selbst: geplante interne Audits, dokumentierte Durchführung und die Nachverfolgung von Korrektur- und Vorbeugemaßnahmen (CAPA). Nachweis: Auditplan, Auditberichte, ein CAPA-Log und Belege für geschlossene Maßnahmen.

Tipps für die Audit-Readiness

Die Kontrollbereiche stehen nicht für sich, sie müssen gepflegt werden. Fünf Gewohnheiten machen den Unterschied zwischen Hektik vor dem Audit und gelassener Routine:

  • Dokumente aktuell halten – eine veraltete Richtlinie ist im Audit fast so schlecht wie keine.
  • Aufzeichnungen konsistent führen – lückenlose Logs und Protokolle sind dein stärkster Beleg.
  • Reviews und Tests periodisch durchführen – und vor allem das Ergebnis dokumentieren, damit die Wirksamkeit belegt ist.
  • Least Privilege und Defense in Depth konsequent anwenden – mehrere Schutzschichten statt einer einzigen.
  • Das Team regelmäßig schulen – die meisten Vorfälle nehmen ihren Anfang beim Menschen.

Fazit

Ein bestandenes ISO-27001-Audit ist am Ende eine Frage der Belegbarkeit. Wer für jede Kontrolle weiß, welcher Nachweis sie stützt, geht entspannt in die Prüfung. Baue deine Kontrollen daher von Beginn an so, dass sie automatisch Spuren hinterlassen – im Ticketsystem, im SIEM, im Dokumentenregister.

Wenn du tiefer einsteigen willst: Die Cybersecurity-Grundlagen ordnen ISO 27001 in den größeren Kontext ein, und in der Übersicht der wichtigsten GRC-Frameworks findest du, wie sich die Norm zu NIST, COBIT, NIS2 und Co. verhält. Für die tägliche ISMS-Arbeit zeigt der Beitrag ChatGPT für CISOs, wie ein LLM Richtlinien und Risikoanalysen beschleunigt. Vor dem Zertifizierungsaudit hilft ein strukturiertes Cybersecurity-Assessment, die größten Lücken früh zu finden.

Über diesen Blog

Ein Sammelsurium an Denkanstößen.

Hier sammle ich Wissen, Argumente und Links zu allem, was mich beschäftigt — von Technik über Küche bis Nachhaltigkeit. Beruflich berate ich zu Cybersecurity.