Die ISO 27001 ist ein global anerkannter Standard für das Management von Informationssicherheit in Unternehmen. Ihr Zweck besteht darin, Organisationen dabei zu unterstützen, angemessene Sicherheitskontrollen und -maßnahmen zu etablieren, um Informationen vor Verlust, Diebstahl oder unbefugtem Zugriff zu schützen.
Die Struktur und der Aufbau der ISO 27001 Norm wurden 2022 überarbeitet, um sie besser an aktuelle Anforderungen anzupassen.
(Bild: Pakin - stock.adobe.com)
Die Norm ISO 27001 bildet das Grundgerüst für ein Informationssicherheitsmanagementsystem (ISMS) und hilft dabei die Sicherheit im Unternehmen zu verbessern und auf einen einheitlichen Stand zu bringen.
Die ISO 27001 wurde erstmals 2005 veröffentlicht und hat sich seither zu einem Eckpfeiler im Bereich der Informationssicherheit entwickelt. Sie basiert auf bewährten Prinzipien des Risikomanagements und der kontinuierlichen Verbesserung. Ihr Ursprung liegt in der Notwendigkeit, den steigenden Bedrohungen für Unternehmensdaten und Informationssysteme wirksam zu begegnen. Die Norm wurde im Laufe der Zeit an die sich wandelnde Technologielandschaft und die neuen Gefahren angepasst.
Die Revision der ISO 27001:2022 bringt wesentliche Neuerungen, um den veränderten Anforderungen in der Informationssicherheit Rechnung zu tragen. Eine signifikante Änderung ist die Einführung zusätzlicher Steuerungsmaßnahmen und die Neustrukturierung des Anhangs A. Der Anhang A, der die Kontrollen für Informationssicherheitsmaßnahmen auflistet, wurde von 114 auf 93 Kontrollen reduziert und in vier Hauptthemen gegliedert: Organisatorische Kontrollen, Personenbezogene Kontrollen, Physische Kontrollen und Technologische Kontrollen. Diese Neugruppierung erleichtert das Verständnis und die Implementierung der Kontrollen.
Zudem wurden neue Themenbereiche wie Informationssicherheit in Projektmanagement, Bedrohungsinformationen und IT-Service-Management nach ISO/IEC 20000-1 eingeführt. Eine weitere signifikante Änderung betrifft die stärkere Betonung des Risikomanagements und des kontinuierlichen Verbesserungsprozesses, um Organisationen dabei zu unterstützen, proaktiv auf sich ändernde Sicherheitsbedrohungen und -anforderungen zu reagieren. Diese Änderungen zielen darauf ab, die Relevanz und Effektivität des Standards in der dynamischen Welt der Informationssicherheit zu erhöhen.
ISO 27001:2013 vs. ISO 27001:2022
Die jüngste Modernisierung der ISO 27001, die Version von 2022, bringt bedeutende Änderungen mit sich. Die Struktur und der Aufbau wurden überarbeitet, um die Norm besser an aktuelle Anforderungen anzupassen. Neue Anforderungen, wie risikobasierte Ansätze, erweiterte Kontrollen und die Berücksichtigung des Kontexts der Organisation, wurden eingeführt. Diese Modernisierungen zielen darauf ab, Organisationen besser auf die aktuellen Bedrohungen und Herausforderungen im Bereich der Informationssicherheit vorzubereiten. Die Umsetzung der modernisierten ISO 27001 kann für Unternehmen herausfordernd sein. Sie erfordert Ressourcen, Schulung und Sensibilisierung der Mitarbeiter sowie eine sorgfältige Dokumentation. Die Anpassung an die neuen Anforderungen erfordert ein gründliches Verständnis der Norm und die Bereitschaft zur kontinuierlichen Verbesserung.
Die Neuerungen der ISO 27001:2022 fokussieren sich darüber hinaus auch auf moderne Angriffsmethoden wie Phishing und berücksichtigen dabei auch Sicherheitsfunktionen wie Multifaktor-Authentifizierung (MFA).
Tipps zur erfolgreichen Umsetzung
Für eine erfolgreiche Umsetzung der modernisierten ISO 27001 ist eine strukturierte Vorgehensweise entscheidend. Das beinhaltet eine gründliche Risikobewertung und -management sowie die Einbindung des Informationssicherheitsmanagements in die unternehmensweiten Prozesse. Seit knapp 20 Jahren ist die ISO 27001 einer der wichtigsten Standards für die Zertifizierung von sicheren Rechenzentren. Die Neue Version ISO 27001:2022 modernisiert die Prozesse und geht auch auf die Belange von modernen Betriebssystemen wie Windows 10/11 und Windows Server 2019/2022 sowie modernen Linux-Versionen ein. Unternehmen, die für ISO 27001 zertifiziert sind, sollten sich mit der modernisierten Version ebenfalls zertifizieren, um ihre Sicherheits-Infrastruktur auf den neusten Stand zu bringen.
Die Harmonized Structure“ (HS) bringt Struktur in Prozesse im Bereich der Security
Die Harmonized Structure“ (HS) in der ISO 27001 integriert eine harmonisierte Struktur, bisher bekannt als High Level Structure (HLS). Diese Struktur ermöglicht die Integration mit anderen Managementstandards, wie ISO 9001 oder ISO 14001, und gewährleistet eine konsistente und vereinheitlichte Herangehensweise in Organisationen. Die HLS besteht aus verschiedenen Abschnitten, beginnend mit dem Anwendungsbereich, gefolgt von normativen Verweisen, Begriffen und Definitionen. Wesentlich sind die Abschnitte über den Kontext der Organisation, die Führung und das Engagement der obersten Leitung, Planung, Unterstützung, Betrieb, Leistungsbewertung und kontinuierliche Verbesserung.
Durch diese Struktur werden systematische Prozesse und ein risikobasiertes Denken gefördert, was die Effizienz des ISMS steigert und gleichzeitig eine Anpassung an s Mit der ISO 27001:2022 wurden auch die Anforderungen an die „Harmonized Structure“ (HS) formuliert. Die Prozessorientierung ist im Fokus eines ISMS. Damit ein Sicherheitssystem wirksam ist, müssen Prozesse definiert und deren Wechselwirkungen festgelegt sein. Dazu kommen Kriterien für die Steuerung dieser Prozesse. Die HS soll dabei helfen eine einheitliche Struktur zu schaffen, nach der sich ISMS planen und umsetzen lassen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Harmonized Structure (HS) geht im Grunde genommen aus der bisherigen „High Level Structure“ (HLS) hervor. Im Grunde genommen ändert sich vor allem der Aufbau. Nach der ISO 27001:2022 sollen in Zukunft Änderungen an der Infrastruktur geplanter ablaufen. Das ist vor allem für Unternehmen wichtig, die sich erneut zertifizieren. Die Prozessorientierung auf Basis der HS gehört zu den wichtigsten Neuerungen der neuen ISO 27001:2022.
ISO/IEC 27001:2022 bringt Neuerungen bei Prozessen und deren Wechselwirkungen
Im Rahmen der Neuzertifizierung ändert sich auch das ISMS. Dabei spielen die Neuerungen aus Abschnitt 4.4 der ISO 27001 eine Rolle. Diese legen fest, dass die Prozesse und deren Wechselwirkungen dokumentiert sein müssen, die für den Betrieb des ISMS benötigt werden. Hier ist festgelegt, dass alle Prozesse, auf die ein ISMS aufbaut nachvollziehbar und dokumentiert sein müssen. Wichtige Maßnahmen für die Absicherung sind im Anhang A der ISO 27001:2022 aufgelistet.
Genauer ist im Abschnitt 8.1 definiert, dass Unternehmen Prozesse im Bereich der Sicherheit planen und sich an die Planung halten müssen. Dabei spielen auch die Kriterien dieser Prozesse eine wesentliche Rolle. Ebenfalls neu ist das Festlegen von Verantwortlichkeiten im Unternehmen (Abschnitt 5.3) und auch das Festschreiben der Kommunikation zwischen Verantwortlichen und der Ablauf bei Sicherheitsvorfällen (Abschnitt 9.2 und Abschnitt 9.3).
Das sind die neuen Maßnahmen des Anhang A von ISO 27001:2022
Im Anhang der 27001:2022 sind die Neuerungen integriert, die bisher in der ISO 27002:2022 enthalten waren. Diese bestehen aus 4 Abschnitten und 93 Maßnahmen:
Die 11 neuen Maßnahmen sind in den Abschnitten A.5.7, A.5.23, A.5.30, A.7.4, A.8.9, A.8.10, A.8.11, A.8.12, A.8.16, A.8.22/23 und A.8.28 aufgelistet. In der Tabelle unten haben wir die Maßnahmen aufgelistet. Die verschiedenen Maßnahmen umfassen wiederum verschiedene Attribute. Die Attribute können wiederum Attributwerte annehmen. Die Attribute sind:
1. Wann und wie hat eine Maßnahme das Risiko bezüglich der Sicherheit verändert?
2. Welches Ziel soll mit einer Maßnahme erreicht werden?
3. Betrachtung der Maßnahmen bezüglich des Sicherheitsframeworks
4. Perspektive aus Sicht der Anwender für die Informationssicherheit
5. Maßnahmen aus der Sicht von verschiedenen Informationssicherheitsdomänen
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9c/d6/9cd6ed16877dd38efecebef1d01b5ccd/0116236134v2.jpeg "Die Neufassung der ISO 27001 rückt die Sicherheit und den Schutz von Daten noch stärker in den Vordergrund. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/04/0404ff494ae793255c252788d20428cd/0126256656v1.jpeg "Im Dschungel der Cybersecurity-Zertifizierungen reicht es nicht, einfach drauflos zu marschieren. Wer die Spielregeln kennt und klug kombiniert, sichert sich nicht nur die Gunst von Auditoren, sondern auch das Vertrauen der Kunden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/33/ac/33acfa3027fb7bb6330d0472e734e21a/0122914422v2.jpeg "TISAX ist ein Standard für die Informationssicherheitsbewertung in der Automobilbranche. (Bild: gemeinfrei)")