Unternehmen weltweit sind der Gefahr von Cyberangriffen ausgesetzt. Viele gewährleisten den Schutz ihrer IT-Systeme durch das ISO/IEC 27001 Zertifikat, ein internationaler Standard für IT-Sicherheit. Die Zertifizierung wurde letztes Jahr aktualisiert. Warum aber ist die ISO 27001 so wichtig? Was müssen Unternehmen bei der Erstzertifizierung beachten?
Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor.
(Bild: WrightStudio - stock.adobe.com)
Mit der zunehmenden Digitalisierung der Wirtschaft werden die Cybersicherheit und der Schutz sensibler Daten zu einem entscheidenden Thema, insbesondere im Zusammenhang mit Online-Geschäftsvorgängen, Remote-Arbeitsplätzen, Open-Banking und einer steigenden Anzahl elektronischer Geräte. Das Weltwirtschaftsforum meldete, dass die Zahl der Cyberangriffe im Jahr 2021 global 125 Prozent im Vergleich zum Vorjahr gestiegen ist. Tendenz steigend für das Jahr 2022. Und wie Deloitte berichtet, wurden 35 Prozent der Angriffe während der Covid-19-Pandemie mit bisher unbekannter Malware und Methoden durchgeführt.
Der Schutz von Informationssystemen und Netzwerken ist daher von entscheidender Bedeutung – vornehmlich in postpandemischen Zeiten für Finanztransaktionen, Betriebsabläufe und den Datenaustausch.
Höchster Schutz
Um diesen Schutz zu gewährleisten, gibt es das ISO/IEC 27001-Zertifikat. Es ist eine von fast 25.000 internationalen Normen, die von der Internationalen Organisation für Normung vergeben wird. Die Norm weist nach, dass ein Unternehmen ein Informationssicherheits-Managementsystem (ISMS) eingerichtet hat, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch Anwendung eines überprüften Risikomanagementprozesses zu gewährleisten.
Einfach ausgedrückt: Es handelt sich um den höchsten heute existierenden globalen Standard, den ein Unternehmen einhalten kann, um sicherzustellen, dass es mit Daten auf die sicherste Art und Weise umgeht. Mit einer ISO/IEC 27001-Zertifizierung stärken Unternehmen ihren Schutz vor Cyberangriffen und beugen dem Verlust sensibler Informationen vor. Über 58.000 Organisationen weltweit setzen bereits auf den ISO/IEC 27001 Standard.
Aktualisierung der Norm 2022
Zur Bewältigung der globalen Herausforderungen im Bereich der Cybersicherheit und zur Verbesserung des digitalen Vertrauens hat die Internationale Organisation für Normung im Oktober letzten Jahres eine neue Version der ISO/IEC 27001 veröffentlicht: ISO/IEC 27001:2022, die damit die Version aus dem Jahr 2013 ablöst. Die neue ISO-Version formuliert klare Anforderungen und Maßnahmen an ein ISMS, sowie den notwendigen Handlungsbedarf für Unternehmen.
Bereits zertifizierte Unternehmen haben bis Herbst 2025 Zeit, die neuen Maßnahmen des ISO/IEC 27001:2022 umzusetzen. Alle Erstzertifizierungen nach der neuen Norm müssen ab dem 31. Oktober 2023 durchgeführt werden.
Keine Verpflichtung, aber…
Wie andere ISO-Normen für Managementsysteme ist eine Zertifizierung nach ISO/IEC 27001 nicht obligatorisch. Einige Organisationen entscheiden sich trotzdem für die Umsetzung der Norm, um von den darin enthaltenen bewährten Verfahren zu profitieren, während andere sich auch zertifizieren lassen wollen, um Vertrauen gegenüber ihren Kunden, Auftraggebern und Geschäftspartnern zu schaffen.
Jedes Unternehmen, das eine Zertifizierung durchführt, sollte die entsprechenden Ressourcen frühzeitig einplanen, denn der Prozess nimmt viel Zeit in Anspruch. Bei Silvr haben wir sechs Monate gemeinsam mit unserem Compliance-Dienstleister Vanta und der von der britischen Regierung geförderten ISO-Zertifizierungsstelle British Assessment Bureau an der Sicherung der IT-Infrastruktur gearbeitet. Bis zum Ende des Zertifizierungsprozesses wurden alle existierenden Sicherheiten, Systeme und Strukturen intensiv und bis ins kleinste Detail geprüft.
Warum ist ISO/IEC 27001 so schwer zu erreichen?
Das Verfahren erfordert die Zertifizierung des Schutzes von Daten in allen Formen. Und dazu muss Folgendes gewährleistet werden:
Informationen in allen Formen, digital und analog, sind geschützt.
Die Widerstandsfähigkeit gegen Cyberangriffe wird fortlaufend ausgebaut.
Die Zentralisierung von Informationen ist gewährleistet.
Ein unternehmensweiter Schutz (sowohl digital als auch physisch) ist gewährleistet.
Bedrohungen werden erkannt und unter Kontrolle gebracht.
Datenintegrität, Datenschutz und Verfügbarkeit sind sichergestellt.
Wie läuft der Zertifizierungsprozess ab?
Wer sich zum ersten Mal nach ISO/IEC 27001 zertifizieren lassen möchte, muss einige Vorgaben erfüllen, zum Beispiel in Bezug auf:
Verantwortung: Es ist unerlässlich, dass eine Führungskraft die kollektive Verantwortung für das ISMS übernimmt, zum Beispiel der CTO des Unternehmens.
Prozesse und Budgets: Diese müssen zeigen, dass Sicherheit nichts ist, das ausschließlich mit der IT-Abteilung zu tun hat. Das gesamte Unternehmen mit jeder einzelnen Abteilung ist daran beteiligt. Deshalb sollten alle Führungskräfte jeder Abteilung darüber informiert werden.
Bestandsaufnahme: Es muss eine gründliche Prüfung durchgeführt werden, um das aktuelle Datenschutzniveau zu ermitteln und den Ist-Zustand festzustellen.
Aktionsplan: Nach der Bestandsaufnahme legt das Unternehmen einen Plan fest, um langfristig ein geeignetes Informationsschutzniveau zu erreichen.
Betriebsmanagement: Es muss ein angemessenes und wirksames Management der ISMS-bezogenen Aktivitäten sichergestellt werden. Für uns bedeutete dies, 15 zusätzliche Richtlinien zu verfassen, die das gesamte Unternehmen ab sofort zu befolgen hat. Das entspricht mehr als 110 Kontrollpunkte.
Für die Fertigstellung des Stufe-1-Berichts haben wir etwa vier Monate intensiver Zusammenarbeit benötigt. In Stufe 2 bestätigte dann das britische Assessment Bureau, dass wir für jede der Anforderungen der ISO/IEC 27001-Norm einen Kontrollmechanismus definiert haben, und prüfte stichprobenartig die Anwendung dieser Kontrollen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ihr Unternehmen denkt auch über eine ISO-Zertifizierung nach?
Trotz eines langwierigen Prozesses sind wir uns sicher, dass er sich auszahlt. Das notwendige und sorgfältige Hinterfragen aller Prozesse, sorgt für eine neue Perspektive auf die IT-Infrastruktur. Nachdem wir den Prozess durchlaufen haben, empfehlen wir Unternehmen, die noch vor dieser Aufgabe stehen, die folgenden Punkte rechtzeitig zu beachten:
1. Fangen Sie so früh wie möglich an – mindestens sechs Monate im Voraus. Größere Unternehmen sollten acht bis neun Monate einplanen, da eine Prüfung durch die komplexeren Strukturen länger dauert.
2. Involvieren Sie alle Führungskräfte. Wir empfehlen, dass die Führungskräfte aller Abteilungen von Anfang an gebrieft sind und in den Zertifizierungsprozess mit eingebunden werden, da er abteilungsübergreifend stattfindet.
3. Eine Lizenz für eine Compliance-Plattform lohnt sich. Wir empfehlen, mit einem externen Compliance-Dienstleister zusammenzuarbeiten und eine Lizenz zu erwerben.
4. Setzen Sie sich mit der ISO 27001 Norm im Detail auseinander. Es ist wichtig die ISO 27001 Norm zu verstehen und sich mit den Einzelheiten der Norm vertraut zu machen, schon bevor der Zertifizierungsprozess beginnt. Details sind verfügbar über das ISO Institut.
5. Machen Sie sich die Praktikabilität bewusst: ISO 27001 ist für Unternehmen jeder Größe gedacht. Die besten Prozesse sind die, die der Norm und Ihren individuellen Unternehmensabläufen entsprechen. Egal welche Größe Ihr Unternehmen hat, Sie profitieren von den bestmöglichen Standards. Das ist die Mühe wert.
Auch wenn der Prozess der Zertifizierung aufwändig war, ist die ISO 27001 Norm ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. Das Zertifikat sorgt für die Einrichtung und Aufrechterhaltung eines effektiven Informationssicherheitsmanagementsystems. Es hilft Organisationen bei der Bewältigung von Sicherheitsrisiken und der Einhaltung gesetzlicher Vorschriften und schafft in Folge Vertrauen gegenüber Mitarbeitenden, Geschäftspartnern und Kunden. Die Zertifizierung nach ISO 27001 kann außerdem einen Wettbewerbsvorteil darstellen und Organisationen dabei helfen, ihre Verfahren zur Verwaltung der Informationssicherheit kontinuierlich zu verbessern.
Über den Autor: Gregory Tappero ist Mitgründer und CTO bei Silvr, Europas erstem Neolender und Marktführer für datenbasierte Finanzierungen. Die Plattform ermöglicht digitalen Wachstumsunternehmen, ihren Cashflow durch on-demand Finanzierungen flexibel zu optimieren. Vor seiner Gründung von Silvr war Herr Tappero als CTO und Gründer für mehrere Startups in den USA, Australien und Europa tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/98/c29852ca70a005b2d5efe5a94f01cc75/0129257897v2.jpeg "Sophos Workspace Protection soll eine einfache Alternative zu herkömmlichen SASE-Ansätzen sein und hybrides Arbeiten absichern. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/12/721208d0cf7c674ebbd3ea17d71c8caa/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/6d/61/6d6178219ecd964eff6a8fe5054cac23/0125774365v1.jpeg "Das C5-Zertifikat umfasst über 120 Sicherheitsmaßnahmen, die von externen Prüfern überprüft werden. Es ist besonders wichtig für regulierte Branchen wie das Gesundheitswesen, wo es künftig verpflichtend sein wird. (Bild: © AREE - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/ac/33acfa3027fb7bb6330d0472e734e21a/0122914422v2.jpeg "TISAX ist ein Standard für die Informationssicherheitsbewertung in der Automobilbranche. (Bild: gemeinfrei)")