ISO 27001 Checkliste für kleine und mittlere Unternehmen

## Einleitung ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Für kleine und mittlere Unternehmen kann die Zertifizierung überwältigend wirken, muss sie aber nicht. Diese Checkliste unterteilt den Prozess in handhabbare Schritte, damit Ihr Team methodisch auf die Zertifizierung hinarbeiten kann, auch ohne Vorerfahrung. Der Standard gliedert sich in zwei Hauptteile: die Managementsystemanforderungen (Abschnitte 4–10) und Annex A, der 93 Referenzmaßnahmen in vier Themen enthält. Sie müssen nicht jede einzelne Annex-A-Maßnahme implementieren, nur diejenigen, die für das Risikoprofil Ihrer Organisation relevant sind. ## Schritt 1: Anwendungsbereich festlegen Definieren Sie zuerst, was Ihr ISMS abdecken soll. Für die meisten KMUs bedeutet das die gesamte Organisation, aber Sie können den Bereich auch auf ein bestimmtes Produkt, eine Abteilung oder einen Standort eingrenzen. Wichtige zu beantwortende Fragen: - Welche Geschäftsprozesse verarbeiten sensible Daten? - Welche IT-Systeme unterstützen diese Prozesse? - Gibt es regulatorische Anforderungen (DSGVO, NIS2), die den Anwendungsbereich beeinflussen? Dokumentieren Sie Ihren Anwendungsbereich klar. Auditoren werden Ihr ISMS strikt innerhalb dieser Grenzen bewerten. ## Schritt 2: Gap-Analyse durchführen Eine Gap-Analyse vergleicht Ihre aktuelle Sicherheitslage mit den ISO 27001-Anforderungen. Gehen Sie jeden Abschnitt und jede Annex-A-Maßnahme durch und bewerten Sie Ihren aktuellen Reifegrad: - **Nicht implementiert**. Es existiert keine Maßnahme - **Teilweise implementiert**. Einige Maßnahmen sind vorhanden, aber nicht formalisiert - **Vollständig implementiert**. Maßnahme ist dokumentiert, in Betrieb und wird überprüft Diese Übung liefert ein klares Bild des noch ausstehenden Aufwands. Die meisten KMUs stellen fest, dass sie bereits 30–50 % der Maßnahmen informell abdecken, sie müssen diese lediglich dokumentieren und formalisieren. ## Schritt 3: Risikobewertung durchführen ISO 27001 ist ein risikobasierter Standard. Sie müssen Informationssicherheitsrisiken identifizieren, ihre Eintrittswahrscheinlichkeit und Auswirkung bewerten und entscheiden, wie Sie damit umgehen. Ein praxisorientierter Ansatz für KMUs: 1. Informationsassets auflisten (Datenbanken, Cloud-Dienste, Mitarbeitergeräte) 2. Bedrohungen für jeden Asset identifizieren (Ransomware, Insider-Bedrohungen, Fehlkonfigurationen) 3. Eintrittswahrscheinlichkeit und Geschäftsauswirkung jeder Bedrohung bewerten 4. Behandlung festlegen: reduzieren, akzeptieren, transferieren oder vermeiden Dokumentieren Sie Ihre Risikobewertungsmethodik und die Ergebnisse. Dies wird ein lebendes Dokument, das Sie regelmäßig überarbeiten. ## Schritt 4: Richtlinien erstellen ISO 27001 erfordert einen Satz dokumentierter Richtlinien. Mindestens benötigen Sie: - **Informationssicherheitsrichtlinie**. Ihre übergeordnete Verpflichtung zur Sicherheit - **Risikobewertungsmethodik**. Wie Sie Risiken identifizieren und bewerten - **Anwendbarkeitserklärung (Statement of Applicability, SoA)**. Welche Annex-A-Maßnahmen gelten und warum - **Zugangskontrollrichtlinie**. Wer auf was zugreifen darf und wie Zugang gewährt wird - **Incident-Response-Richtlinie**. Wie Sie Vorfälle erkennen, melden und darauf reagieren - **Business-Continuity-Plan**. Wie Sie den Betrieb bei Störungen aufrechterhalten Halten Sie Richtlinien prägnant und praxisnah. Eine 3-seitige Richtlinie, die tatsächlich gelesen wird, ist mehr wert als ein 30-seitiges Dokument, das niemand öffnet. ## Schritt 5: Annex A im Überblick verstehen Die Revision von ISO 27001 aus dem Jahr 2022 gliedert Annex A in vier Themen: - **Organisatorische Maßnahmen (37 Maßnahmen)**. Richtlinien, Rollen, Verantwortlichkeiten, Bedrohungsanalyse, Asset-Management, Zugangskontrolle, Lieferantenbeziehungen - **Personenbezogene Maßnahmen (8 Maßnahmen)**. Überprüfung, Beschäftigungsbedingungen, Sicherheitsbewusstseinstraining, Disziplinarverfahren, Verantwortlichkeiten nach Beendigung - **Physische Maßnahmen (14 Maßnahmen)**. Physische Sicherheitsbereiche, Zugangskontrollen, Schutz vor Umweltbedrohungen, Gerätewartung - **Technologische Maßnahmen (34 Maßnahmen)**. Endpoint-Sicherheit, Zugriffsrechte, Kryptografie, sichere Entwicklung, Schwachstellenmanagement, Protokollierung, Netzwerksicherheit Für jede Maßnahme dokumentieren Sie, ob sie gilt (in Ihrer SoA), wie Sie sie umsetzen und welche Nachweise die Konformität belegen. ## Schritt 6: Implementieren und schulen Mit erstellten Richtlinien und definierten Maßnahmen setzen Sie diese in die Praxis um: - Technische Maßnahmen einsetzen (MFA, Verschlüsselung, Endpoint-Schutz) - Alle Mitarbeitenden zu Sicherheitsbewusstsein schulen - Maßnahmen-Verantwortliche benennen, die für die Pflege jeder Maßnahme zuständig sind - Prozesse für Vorfallsmeldung, Zugriffsüberprüfungen und Änderungsmanagement einrichten Die meisten KMUs können die Implementierung in 8–12 Wochen abschließen, wenn sie fokussiert vorgehen. ## Schritt 7: Internes Audit und Management-Review Vor Ihrem Zertifizierungsaudit müssen Sie ein internes Audit und ein Management-Review durchführen: - **Internes Audit**. Eine unabhängige Überprüfung Ihres ISMS gegenüber den ISO 27001-Anforderungen. Dies kann von einem geschulten internen Teammitglied oder einem externen Auditor durchgeführt werden. - **Management-Review**. Ein formales Meeting, bei dem die Geschäftsführung die ISMS-Performance, den Risikostatus, Audit-Ergebnisse und Verbesserungsmöglichkeiten überprüft. Dokumentieren Sie beides sorgfältig. Auditoren werden nach Nachweisen für beides fragen. ## Schritt 8: Zertifizierungsaudit Das Zertifizierungsaudit findet in zwei Phasen statt: - **Stage 1 (Dokumentenprüfung)**. Der Auditor prüft Ihre Dokumentation, um zu bestätigen, dass Ihr ISMS korrekt konzipiert ist - **Stage 2 (Implementierungsprüfung)**. Der Auditor verifiziert, dass Ihr ISMS durch Interviews, Nachweisüberprüfung und Beobachtung betriebsbereit und wirksam ist Beheben Sie etwaige Abweichungen zeitnah. Geringfügige Abweichungen blockieren die Zertifizierung nicht, aber wesentliche Abweichungen müssen vor der Ausstellung eines Zertifikats behoben werden. ## Zeitplan für KMUs Ein realistischer Zeitplan für ein Unternehmen mit 50–200 Personen: - Wochen 1–2: Anwendungsbereichsdefinition und Gap-Analyse - Wochen 3–4: Risikobewertung - Wochen 5–8: Richtlinienerstellung und Maßnahmenimplementierung - Wochen 9–10: Mitarbeiterschulung und Sensibilisierung - Woche 11: Internes Audit - Woche 12: Management-Review - Wochen 13–16: Zertifizierungsaudit (Stage 1 + Stage 2) Bei gezieltem Einsatz können die meisten KMUs die Zertifizierung in 3–4 Monaten erreichen. Plattformen wie KaitoSec können dies durch Automatisierung von Gap-Analyse, Risikobewertung und Richtlinienerstellung weiter beschleunigen.