ISO 27001: 16 Kontrollbereiche und die Nachweise, die im Audit zählen
ISO 27001 verständlich erklärt: die 16 zentralen Kontrollbereiche mit ihren Richtlinien, Verfahren und vor allem den Nachweisen, die im Audit den Unterschied machen.
Warum ISO-27001-Audits an Nachweisen scheitern
Bei einem ISO-27001-Audit zählt am Ende vor allem eines: ob du belegen kannst, dass deine Kontrollen wirklich greifen. Gute Absichten allein reichen dafür nicht. Die häufigste Ursache für ein durchgefallenes Audit liegt dabei selten an fehlenden Sicherheitswerkzeugen. Viel öfter fehlt schlicht der Nachweis, dass eine Maßnahme tatsächlich gelebt wird.
Die Logik dahinter ist einfach: Wer nicht beweisen kann, dass eine Kontrolle funktioniert, muss damit rechnen, dass die Auditorin oder der Auditor genau das Gegenteil annimmt. Ein sauber dokumentierter, nachvollziehbarer Nachweis schlägt jede mündliche Beteuerung. Genau deshalb lohnt es sich, jede Kontrolle von Anfang an mit Blick auf ihre Belegbarkeit aufzubauen.
Hinweis zur Einordnung: Die offizielle Annex A der ISO/IEC 27001:2022 listet 93 Controls in vier Themen (organisatorisch, personell, physisch, technologisch). Die folgenden 16 Bereiche sind eine praxisnahe Bündelung, die zeigt, worauf in echten Audits geachtet wird – sie ersetzt nicht die formale Control-Liste, hilft aber beim Aufbau eines prüfungsfesten ISMS.
Das Prinzip: Richtlinie, Verfahren, Umsetzung, Nachweis
Jeder Kontrollbereich lässt sich über vier Ebenen denken. Wer alle vier sauber bedient, ist audit-ready:
- Richtlinie (Policy): Was sind die Regeln? Eine freigegebene, kommunizierte Vorgabe legt fest, was gilt.
- Verfahren (Procedure): Wie wird die Regel umgesetzt? Ein dokumentierter Ablauf macht sie wiederholbar.
- Umsetzung (Mechanism): Womit wird sie technisch oder organisatorisch erzwungen – etwa MFA, ein SIEM oder ein Onboarding-Workflow?
- Nachweis (Evidence): Was beweist, dass das alles passiert? Logs, Protokolle, Screenshots, freigegebene Dokumente und Tickets.
Die ersten drei Ebenen baust du auf. Die vierte entscheidet das Audit.
Die 16 Kontrollbereiche und ihre Nachweise
1. Informationssicherheitsleitlinie
Die freigegebene Leitlinie bildet das Fundament des ISMS und gibt die Richtung für alle weiteren Regeln vor. Sie muss vom Management genehmigt und allen Mitarbeitenden und relevanten Partnern kommuniziert sein. Nachweis: die freigegebene Leitlinie selbst, Kommunikationsnachweise sowie dokumentierte Kenntnisnahmen der Belegschaft.
2. Asset-Management
Du kannst nur schützen, was du kennst. Alle Informationswerte werden inventarisiert, klassifiziert und mit klaren Eigentümern versehen. Nachweis: ein gepflegtes Asset-Register, Klassifizierungsnachweise und dokumentierte Ownership-Zuordnung.
3. Zugriffsmanagement
Hier geht es um die Frage, wer worauf zugreifen darf – idealerweise nach dem Prinzip der geringsten Rechte. Bausteine sind SSO, MFA, rollenbasierte Rechte (RBAC) und ein sauberer Joiner-Mover-Leaver-Prozess. Nachweis: Zugriffsanträge und -freigaben, eine aktuelle Benutzerliste, MFA-Belege und Protokolle regelmäßiger Zugriffs-Reviews.
4. Schwachstellenmanagement
Schwachstellen werden systematisch gesucht, bewertet und behoben – durch automatisierte Scans und periodische Penetrationstests (VAPT). Nachweis: Scan- und VAPT-Berichte, ein Remediation-Tracker und Belege für geschlossene Findings.
5. Patch-Management
Eng verwandt mit dem Schwachstellenmanagement, aber eigenständig: Patches werden getestet, freigegeben und nachverfolgt eingespielt. Nachweis: Patch-Berichte, Deployment-Logs und eine dokumentierte Ausnahmeliste für nicht patchbare Systeme.
6. Incident-Management
Sicherheitsvorfälle brauchen einen geübten Ablauf von der Meldung über die Eskalation bis zur Ursachenanalyse (RCA) und zum sauberen Abschluss. Nachweis: ein Incident-Log, RCA-Berichte, Kommunikationsnachweise und Closure-Dokumentation.
7. Backup und Wiederherstellung
Backups sind nur so gut wie der letzte erfolgreiche Restore-Test. Gefragt sind geplante Sicherungen, definierte Aufbewahrung und eine Offsite- oder Cloud-Kopie. Nachweis: Backup-Logs, Berichte von Restore-Tests und Verifizierungsprotokolle.
8. Business Continuity und Disaster Recovery
Für den Ernstfall braucht es BCP- und DR-Pläne mit definierten Wiederanlaufzielen (RTO/RPO), die regelmäßig geübt werden. Nachweis: die BCP/DR-Dokumente, Berichte durchgeführter Tests bzw. Übungen und abgeleitete Verbesserungsmaßnahmen.
9. Lieferanten- und Drittparteienmanagement
Risiken enden nicht an der eigenen Firewall. Lieferanten werden vor und während der Zusammenarbeit geprüft, vertraglich gebunden und regelmäßig bewertet. Nachweis: Due-Diligence- bzw. Bewertungsformulare, Verträge mit Sicherheitsklauseln, NDAs und Performance-Reviews.
10. Personalsicherheit (HR Security)
Sicherheit beginnt bei der Einstellung und endet beim Austritt. Dazu gehören Background-Checks, NDAs, Awareness-Schulungen und der zeitnahe Entzug von Zugriffen. Nachweis: Schulungsnachweise, unterschriebene NDAs, Background-Verifizierungen und Exit-Checklisten.
11. Physische und umgebungsbezogene Sicherheit
Auch der physische Zugang zu Räumen und Systemen ist eine Kontrolle: Zutrittssteuerung, Videoüberwachung, Besuchermanagement und Umgebungskontrollen. Nachweis: Besucher- und Zutrittsprotokolle, CCTV-Aufzeichnungen und Wartungsnachweise relevanter Anlagen.
12. Logging und Monitoring
Ohne zentrale Protokollierung bleiben Vorfälle unsichtbar. Gefragt sind zentralisiertes Logging (SIEM), Alerting und eine definierte Aufbewahrung. Nachweis: Log-Review-Berichte, Alert-Tickets und Dashboard-Screenshots.
13. Change-Management
Änderungen an Systemen werden beantragt, auf Auswirkungen bewertet und freigegeben, bevor sie umgesetzt werden. Nachweis: Change-Tickets, dokumentierte Impact-Bewertungen, Freigaben und Post-Implementation-Reviews.
14. Dokumenten- und Aufzeichnungsmanagement
Richtlinien und Aufzeichnungen brauchen Versionskontrolle, definierte Aufbewahrung und Archivierung – sonst ist im Audit unklar, welche Fassung gilt. Nachweis: ein Dokumentenregister, Versionshistorie und Zugriffs- bzw. Archivierungsnachweise.
15. Compliance und rechtliche Anforderungen
Welche Gesetze, Verträge und Normen sind anwendbar, und wie wird ihre Einhaltung verfolgt? Genau das hält ein Rechts- und Compliance-Register fest. Nachweis: ein gepflegtes Legal Register, Compliance-Checklisten und Review-Berichte.
16. Internes Audit
Das ISMS prüft sich selbst: geplante interne Audits, dokumentierte Durchführung und die Nachverfolgung von Korrektur- und Vorbeugemaßnahmen (CAPA). Nachweis: Auditplan, Auditberichte, ein CAPA-Log und Belege für geschlossene Maßnahmen.
Tipps für die Audit-Readiness
Die Kontrollbereiche stehen nicht für sich, sie müssen gepflegt werden. Fünf Gewohnheiten machen den Unterschied zwischen Hektik vor dem Audit und gelassener Routine:
- Dokumente aktuell halten – eine veraltete Richtlinie ist im Audit fast so schlecht wie keine.
- Aufzeichnungen konsistent führen – lückenlose Logs und Protokolle sind dein stärkster Beleg.
- Reviews und Tests periodisch durchführen – und vor allem das Ergebnis dokumentieren, damit die Wirksamkeit belegt ist.
- Least Privilege und Defense in Depth konsequent anwenden – mehrere Schutzschichten statt einer einzigen.
- Das Team regelmäßig schulen – die meisten Vorfälle nehmen ihren Anfang beim Menschen.
Fazit
Ein bestandenes ISO-27001-Audit ist am Ende eine Frage der Belegbarkeit. Wer für jede Kontrolle weiß, welcher Nachweis sie stützt, geht entspannt in die Prüfung. Baue deine Kontrollen daher von Beginn an so, dass sie automatisch Spuren hinterlassen – im Ticketsystem, im SIEM, im Dokumentenregister.
Wenn du tiefer einsteigen willst: Die Cybersecurity-Grundlagen ordnen ISO 27001 in den größeren Kontext ein, und in der Übersicht der wichtigsten GRC-Frameworks findest du, wie sich die Norm zu NIST, COBIT, NIS2 und Co. verhält. Für die tägliche ISMS-Arbeit zeigt der Beitrag ChatGPT für CISOs, wie ein LLM Richtlinien und Risikoanalysen beschleunigt. Vor dem Zertifizierungsaudit hilft ein strukturiertes Cybersecurity-Assessment, die größten Lücken früh zu finden.
Mehr aus „Security & Datenschutz"
GRC-Frameworks im Überblick: die wichtigsten Standards für Governance, Risk und Compliance
GRC-Frameworks kompakt erklärt: ISO 27001, NIST, COBIT, ITIL, NIS2, DORA und mehr – für wen sie gedacht sind und welchen Nutzen sie im Alltag bringen.
WeiterlesenChatGPT für CISOs
ChatGPT für CISOs: So nutzt Du das LLM im ISMS für Richtlinien, Risikoanalysen und NIS2-Umsetzung, inkl. praxiserprobter Prompts und ISO27001-Workflow.
WeiterlesenTools für ein technisches Security Audit
Tools für ein technisches Security Audit: Netzwerk-Sniffer, Vulnerability-Scanner, Pentest-Werkzeuge und Methodologien zum Aufdecken von Schwachstellen.
WeiterlesenÜber diesen Blog
Ein Sammelsurium an Denkanstößen.
Hier sammle ich Wissen, Argumente und Links zu allem, was mich beschäftigt — von Technik über Küche bis Nachhaltigkeit. Beruflich berate ich zu Cybersecurity.