BPG BPG Beratungs- und Prüfungsgesellschaft mbH
Zurück zu den News
Server

Informationssicherheit nach ISO/IEC 27001:2022: Relevanz, Risiken, Umsetzung

IT

Warum Informationssicherheit heute unternehmenskritisch ist

Die Bedeutung von Informationssicherheit hat in den vergangenen Jahren stark zugenommen. Neben der wachsenden Bedrohung durch Cyberangriffe gewinnen auch gesetzliche und vertragliche Anforderungen an Gewicht. Unternehmen jeder Größe werden zunehmend gefordert, personenbezogene und unternehmenskritische Daten systematisch zu schützen. 

Mit der Umsetzung der NIS2-Richtlinie, der Einführung des DORA-Rahmens im Finanzwesen sowie steigenden Anforderungen durch Datenschutz- und IT-Sicherheitsgesetze, nimmt der regulatorische Druck weiterhin zu. 

Insbesondere Großunternehmen und öffentliche Stellen setzen zunehmend flächendeckend auf Informationssicherheits-Managementsysteme (ISMS), häufig auf Basis der internationalen Norm ISO/IEC 27001. Daraus resultieren erhöhte Anforderungen entlang der gesamten Lieferkette – ein Trend, der auch kleine und mittlere Unternehmen (KMU) zunehmend betrifft, um regulatorische Vorgaben zu erfüllen, Risiken angemessen zu managen, aber auch langfristig ihre Wettbewerbsfähigkeit aufrechtzuerhalten.

Die Rolle des Informationssicherheits-Managementsystems (ISMS) 

Ein gut aufgesetztes Informationssicherheits-Managementsystem (ISMS) erhöht die Resilienz der gesamten Organisation – und sichert damit langfristig Werte, Prozesse und Marktpositionen. Der „Return on Security Investment“ (RoSI) wird so zu einem messbaren Faktor.

Ein ISMS z.B. auf Basis der aktuellsten Norm ISO/IEC 27001:2022 bietet eine international bewährte und anerkannte Grundlage, Risiken strukturiert zu identifizieren, zu bewerten und durch gezielte Maßnahmen zu minimieren, um gesetzliche sowie vertragliche Anforderungen rechtskonform zu erfüllen und gleichzeitig der gestiegenen Bedrohungslage durch Cyberattacken entgegenzuwirken. 

Die Sicherheitsstrategie wird hierdurch gegenüber Kunden, Partnern und Behörden dokumentiert und gilt als international anerkannter Nachweis, der bereits für viele Organisationen Zugangsvoraussetzung zu bestimmten Ausschreibungen oder Branchen darstellt.

Was ist die ISO/IEC 27001:2022?

Die ISO 27001:2022 ist eine internationale Norm, um für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS) festzulegen. Das ISMS dient dazu die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Die Norm adressiert zudem auch Widerstandsfähigkeit gegenüber Angriffen, Minimierung von Risiken und eine schnelle Wiederherstellung nach Sicherheitsvorfällen. Ziel ist es, einen systematischen und dokumentierten Ansatz zur Informationssicherheit zu etablieren.

ISMS nach ISO/IEC 27001:2022 oder IT-Grundschutz?

Die Wahl des passenden Standards für das ISMS spielt eine entscheidende Rolle. 
Im Vergleich zum stärker formalisierten IT-Grundschutz des BSI, der auf vordefinierten Gefährdungen basiert und einen hohen Ressourceneinsatz erfordert, bietet ISO/IEC 27001:2022 Unternehmen deutlich mehr Flexibilität: Maßnahmen werden risikobasiert und bedarfsgerecht unter Berücksichtigung der organisatorischen Gegebenheiten gewählt, was besonders für KMU wirtschaftlich sinnvoll ist: So können Ressourcen gezielt und effizient für die Reduzierung der Unternehmensrisiken eingesetzt werden.
Der IT-Grundschutz des BSI eignet sich aufgrund des hohen Ressourcenbedarfs weniger für KMUs. Darüber hinaus handelt es sich bei ISO/IEC 27001:2022  um einen international anerkannten Standard, welcher bei Geschäftspartnern im Ausland anerkannt wird.

ISO/IEC 27001:2022 – Grundlagen und Neuerungen

Die ISO/IEC 27001:2022 definiert die Anforderungen an die Einrichtung, Umsetzung und kontinuierliche Verbesserung eines ISMS. Ziel ist es, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch zu gewährleisten – unabhängig von der Branche oder Unternehmensgröße.

Anwendungsbereich und Vorteile

Die ISO/IEC 27001:2022 Norm ist aufgrund ihrer generischen Art branchen- und größenunabhängig anwendbar und somit für Unternehmen jeglicher Art und Größe umsetzbar. Es werden sowohl interne Anforderungen wie z.B. der Schutz sensibler Unternehmensdaten als auch Anforderungen externer Partner erfüllt. Ein ISMS nach ISO/IEC 27001:2022 bringt zahlreiche strategische und operative Vorteile mit sich:

  • Stärkung des Vertrauens von Kunden, Partnern und Stakeholdern durch zertifizierte Sicherheit.

  • Wettbewerbsvorteil in Ausschreibungen und Vertragsverhandlungen, da die Zertifizierung im KMU-Bereich häufig noch nicht vorhanden ist.

  • Klare Strukturen, Prozesse und Verantwortlichkeiten im Umgang mit Informationen, die den sicheren Umgang mit Informationen im Unternehmen fördern.

  • Frühzeitige Erkennung von Schwachstellen durch systematische Risikoanalysen und interne Audits.

  • Erhöhte Resilienz gegenüber Cybervorfällen durch strukturierte Risikoanalysen und kontinuierliche Überwachung.

  • Erfüllung gesetzlicher und vertraglicher Anforderungen, z. B. Unterstützung bei der Umsetzung der DSGVO, branchenspezifischer Vorschriften oder vertraglicher Anforderungen.

  • Verbesserte Versicherungskonditionen (z. B. bei Cyberversicherungen)

  • Business Continuity im Krisenfall

Gegenüber der Vorgängerversion wurde die aktuelle Ausgabe grundlegend überarbeitet. Die Norm ist nun stärker an andere ISO-Managementsysteme (z. B. ISO 9001 für Qualitätsmanagement) angeglichen. Die Anzahl der Sicherheitsmaßnahmen (Controls) wurde von 114 auf 93 reduziert und in vier Themenbereiche gegliedert:

  • Organisatorische Maßnahmen: Beispielsweise Regelungen, Richtlinien, Verantwortlichkeiten, welche wichtige Prozesse zur Wahrung der Informationssicherheit in der Organisation steuern.

  • Personenbezogene Maßnahmen: Zum Beispiel die Schulung und Sensibilisierung der Mitarbeitenden, das sichere Verhalten von Mitarbeitenden im Umgang mit Informationen und die Überprüfung von neuen Mitarbeitenden vor deren Einstellung.

  • Physische Maßnahmen: Der Schutz physischer Zugänge zu Informationen und IT-Systemen, zum Beispiel durch Zugangskontrollen und der Überwachung und Sicherung von Gebäuden.

  • Technologische Maßnahmen: Zum Beispiel systemseitige Zugriffskontrollen, Verschlüsselungsmaßnahmen, Netzwerksicherheit und Backup-Strategien.

Diese Struktur erleichtert den systematischen Aufbau eines ISMS und fördert eine praxisorientierte Umsetzung, die sich an den individuellen Bedürfnissen und Zielen der Organisation und deren Sicherheitsanforderungen, organisatorischen Abläufen, sowie Größe und Struktur orientiert. So ist es im Rahmen der Anpassung an die individuellen Bedürfnisse möglich, einzelne Sicherheitsmaßnahmen (Controls) von der Betrachtung auszuschließen: Beispielsweise umfassen die technologischen Maßnahmen 7 Controls, welche sich mit der Softwareentwicklung befassen. Da viele Organisationen jedoch keine eigene Software entwickeln, können diese Sicherheitsmaßnahmen (Controls) ohne Einschränkungen im Hinblick auf die angestrebte Zertifizierung von der Betrachtung ausgeschlossen werden.

Typische Herausforderungen auf dem Weg zur Zertifizierung

Im Rahmen der Umsetzung zeigt sich in der Praxis, dass viele Organisationen an vergleichbaren Punkten Unterstützung benötigen:

  • Es existiert keine strukturierte Risikoanalyse oder die vorhandene Analyse wurde unvollständig durchgeführt.

  • Eine dokumentierte ISMS-Struktur fehlt oder ist nicht nachvollziehbar aufgebaut.

  • Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit sind nicht klar definiert und dokumentiert.

  • Es bestehen keine kontinuierlichen Maßnahmen zur Sensibilisierung der Mitarbeitenden in Bezug auf sicherheitsrelevante Themen.

  • Externe Partner oder Dienstleister werden nicht systematisch in das ISMS eingebunden.

Fazit

Ein Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001:2022 ist weit mehr als eine rein technische Maßnahme oder ausschließliche Angelegenheit der IT – es ist ein strategisches Instrument, um Risiken zu minimieren, Vertrauen zu schaffen und die unternehmerische Handlungsfähigkeit und Unternehmensfortbestand zusätzlich abzusichern. Wer Informationssicherheit systematisch angeht, stärkt nicht nur seine IT, sondern die gesamte Organisation.
Gerade für mittelständische Unternehmen bietet die Norm ISO/IEC 27001:2022 einen skalierbaren Rahmen, um mit überschaubarem Aufwand ein hohes Maß an Sicherheit und Compliance zu erreichen. Entscheidend ist, frühzeitig Klarheit zu gewinnen, realistische Ziele zu definieren – und den Aufbau konsequent und angemessen zu begleiten.

Ressourcenmanagement zum Aufbau eines ISMS - Intern oder extern?

Informationssicherheit braucht Verantwortlichkeit – aber nicht jedes Unternehmen kann dafür interne Ressourcen dauerhaft bereitstellen, um ein ISMS eigenständig zu entwickeln und langfristig wirksam aufrechtzuerhalten. Gerade im Mittelstand fehlt es häufig an personellen Kapazitäten oder spezialisierten Kenntnissen. Ein externer Informationssicherheitsbeauftragter (ISB) kann hier eine wirtschaftlich sinnvolle Lösung darstellen. Er bringt nicht nur fachliche Expertise und Projekterfahrung mit, sondern auch einen neutralen Blick auf interne Prozesse. Durch die Begleitung mehrerer Unternehmen in unterschiedlichen Branchen kennt ein externer Informationssicherheitsbeauftragter (ISB) typische Fallstricke und kann bewährte Vorgehensweisen einbringen – individuell abgestimmt auf die Anforderungen der jeweiligen Organisation.

Der erste Schritt zum ISMS: GAP-Analyse nach ISO/IEC 27001:2022

Ein bewährter Einstieg in den Aufbau eines ISMS ist eine strukturierte GAP-Analyse. Sie zeigt auf, in welchen Bereichen die Organisation bereits normkonform ist und in welchen Bereichen Handlungsbedarf besteht. Das Ergebnis ist ein strukturierter Maßnahmenplan, der als Fahrplan für den Aufbau eines effektiven ISMS dient, um auf eine mögliche Zertifizierung vorzubereiten.

  • Identifikation von Lücken gegenüber der Norm 

  • Reduktion von Implementierungskosten durch gezielte Planung & Priorisierung

  • Reduktion von Zertifizierungsrisiken durch frühzeitige Korrekturmaßnahmen

  • Identifikation von Schwachstellen vor einem offiziellen Zertifizierungsaudit

Auf dieser Basis entsteht ein individuell abgestimmter Maßnahmenplan, der als Leitfaden für den weiteren Aufbau eines effektiven ISMS dient. Eine solche Analyse ist in vielen Fällen der effizienteste Weg, um gezielt Handlungsfelder zu erkennen, die Informationssicherheit zu stärken und die Organisation auf eine mögliche Zertifizierung vorzubereiten.

Unser Angebot

Als erfahrener Partner im Bereich der Informationssicherheit, IT-Beratung und IT-Prüfung begleiten wir Sie bedarfsgerecht bei der Umsetzung:

  • Bestandsaufnahme, Bewertung u. Optimierung bereits vorhandener Prozesse

  • Durchführung einer GAP-Analyse nach ISO/IEC 27001:2022

  • Beratung, Konzeption und Projektbegleitung beim Aufbau eines ISMS

  • Übernahme der Rolle des externen Informationssicherheitsbeauftragten (ISB)

Gerne erstellen wir Ihnen ein individuelles Angebot, das auf Ihre Anforderungen zugeschnitten ist. 
Sprechen Sie uns an!

Autoren

Christian Maruhn

Weitere interessante Themen

Advisory

Finanzielle Risiken erkennen: Scope der Financial Due Diligence

Im Rahmen einer Financial Due Diligence (FDD) ist die präzise Definition des Untersuchungsumfangs (engl. Scope) sowie die Identifikation zentraler Analysebereiche von entscheidender Bedeutung.
Advisory

Crowe berät 1Q Health beim Erwerb der Mehrheitsanteile an VivaCell

Crowe hat die 1Q Health Gruppe („1Q Health“), ein Portfoliounternehmen der NORD Holding im Bereich CDMO für Nahrungsergänzungs- und Arzneimittel, bei der Übernahme der VivaCell Biotechnology GmbH („VivaCell“), einem deutschen Auftragsforschungsinstitut, beraten.
Advisory

Crowe berät Wellma beim Zusammenschluss mit PlantaCorp

Wellma, ein Portfoliounternehmen vom schwedischen Company Builder Systematic Growth, schließt sich mit PlantaCorp zusammen – einem in Deutschland ansässigen Private-Label- und Auftragshersteller für liposomale Nahrungsergänzungsmittel.
Advisory

Crowe BPG berät PINOVA bei Beteiligung an der Asutec GmbH

Von PINOVA Capital GmbH ("PINOVA") beratene Fonds haben die Mehrheitsanteile an der Asutec GmbH („Asutec“) mit Sitz in Nürtingen, Deutschland erworben.
Advisory

Crowe BPG berät NORD Holding Small Cap im Rahmen der Mehrheitsbeteiligung an der MedXpert GmbH

Crowe BPG hat den NORD Holding Small Cap Fonds beim Erwerb einer Mehrheitsbeteiligung an der MedXpert GmbH mit Sitz in Eschbach, im Rahmen der Unternehmens­nachfolge beraten. Die NORD Holding zählt mit Ihrer...
Advisory

Crowe unterstützt Hannover Finanz bei der Beteiligung am Cybersecurity-Spezialist 8com

Crowe hat die Hannover Finanz (HF Equity), einen Eigenkapitalpartner für mittelständische Familienunternehmen im DACH-Raum, bei der Beteiligung an der 8com GmbH & Co. KG unterstützt, einem schnell...
Cookie-Einstellungen