Cluster 1: Cloud und Datenverarbeitung - Neue Anforderungen der ISO 27001:2022

 

Warum neue Anforderungen an den Umgang mit Daten und Cloud-Diensten immer wichtiger werden

Die fortschreitende Digitalisierung und der Trend zum Cloud Computing haben die Art und Weise, wie Unternehmen Daten speichern, verarbeiten und austauschen, grundlegend verändert. Immer mehr geschäftskritische Informationen werden heute nicht mehr lokal, sondern in Cloud-Diensten gespeichert und verarbeitet – oft verteilt über verschiedene Anbieter und Standorte. Durch die gestiegene Flexibilität und Skalierbarkeit entstehen neue Chancen, aber auch neue Risiken und neue Herausforderungen an den Schutz dieser Daten:

  • Cloud Computing wächst stetig: Daten werden heute nicht mehr nur im eigenen Rechenzentrum gespeichert und verarbeitet, sondern zunehmend in externen Cloud-Umgebungen.
  • Daten sind mobil und verteilt: Informationen verlassen das eigene Unternehmen und werden zwischen verschiedenen Systemen, Standorten und Dienstleistern ausgetauscht.
  • Sensibilität und Menge der Daten steigen: Neben Geschäftsdaten werden auch personenbezogene und besonders schützenswerte Informationen digital verarbeitet.
  • Neue Bedrohungen und technische Anforderungen: Cyberangriffe, Datenlecks und Fehlkonfigurationen in der Cloud stellen relevante Risiken dar, die technische und organisatorische Schutzmaßnahmen notwendig machen.  

Den Gesamtüberblick zur 2022er-Revision geben wir in Beitrag 01 „ISMS im Wandel: Was die ISO/IEC 27001:2022 für Unternehmen jetzt bedeutet“.

Was fordert die ISO-Norm in diesem Zusammenhang?

Die überarbeitete Norm reagiert gezielt auf diese Entwicklungen und ergänzt vier neue Controls, die den sicheren Umgang mit Daten in modernen IT-Landschaften adressieren:

5.23 Cloud-Sicherheit

Die ISO 27001:2022 verlangt, Verfahren für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg aus Cloud-Diensten in Übereinstimmung mit den Informationssicherheitsanforderungen der Organisation festzulegen. Hierbei müssen die Verantwortlichkeiten zwischen Cloud-Anbieter und -Kunde klar geregelt sein (Shared Responsibility Model).  

8.10 Informationslöschung

Informationen, die in Systemen, Geräten oder auf Speichermedien gespeichert sind, müssen gelöscht werden, wenn sie nicht mehr benötigt werden. Dies betrifft auch Daten in der Cloud und bei Dienstleistern. Die Löschung muss nachweisbar und sicher erfolgen.  

8.11 Datenmaskierung

Datenmaskierung ist einzusetzen, um die Offenlegung sensibler Daten – insbesondere personenbezogener Daten – zu begrenzen. Dabei muss die Maskierung der Daten in Übereinstimmung mit den internen Richtlinien sowie den geschäftlichen und rechtlichen Anforderungen bzw. Vorschriften umgesetzt werden.    

8.12 Data Leakage Prevention (DLP)

Es sind Maßnahmen zu implementieren, die das unbefugte Abfließen von Daten von Systemen, Netzwerken und allen anderen verwendeten Geräten, die sensible Informationen verarbeiten, speichern oder übermitteln, verhindern. Wie sich technische Anforderungen in Entwicklungs- und Systemhärtung übersetzen, vertiefen wir in Beitrag 03 „Entwicklung & technische Absicherung“  

Was bedeutet das für Unternehmen?

5.23 Cloud-Sicherheit

Unternehmen sollten klare Anforderungen und Verfahren für Auswahl, Nutzung, Management, Überwachung und Ausstieg aus Cloud-Diensten definieren.    

Es sollte hierzu eine spezifische Cloud-Nutzungs-Richtlinie geben, die u. a. behandelt, was bei der Auswahl eines geeigneten Cloud-Dienstes zu beachten ist und wie die vertraglichen Vereinbarungen in sogenannte Service Level Agreements (SLAs) und Data Connection Agreements (DCAs) bei Anbindung des eigenen internen Netzes an Netze Dritter auszugestalten sind.    

Die Vereinbarungen mit dem Cloud-Anbieter sollten alle Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der Daten abdecken, die Rollen und Verantwortlichkeiten zwischen Cloud-Anbieter und der eigenen Organisation sowie die Kommunikationswege definieren. Darüber hinaus sollten in den Vereinbarungen festgelegt werden, welche Sicherheitsmaßnahmen vom Anbieter und welche von der eigenen Organisation umgesetzt werden, wie der Zugriff auf Daten geregelt ist, wie Informationssicherheitsvorfälle gemeldet und behandelt werden sowie wie mit der Beendigung oder Änderung der Nutzung von Cloud-Diensten umgegangen wird.  

8.10 Informationslöschung

Unternehmen sollten in Übereinstimmung mit den internen themenspezifischen Richtlinien Verfahren festlegen, wie und wann Daten gelöscht werden – sowohl auf eigenen Systemen als auch bei Dienstleistern -  weil Daten in immer mehr Systemen und Clouds gespeichert werden. Das umfasst die Auswahl geeigneter Löschmethoden (z. B. Überschreiben, kryptografische Löschung oder physische Zerstörung), die Dokumentation der Löschvorgänge und die Nachweisführung, dass Daten tatsächlich entfernt wurden.    

Bei der Nutzung von Cloud-Diensten muss sichergestellt werden, dass der Anbieter die Daten ebenfalls nachweislich und vollständig löscht. Hierzu sind vom Unternehmen entsprechende Anforderungen in Dienstleistungsverträgen aufzunehmen und es ist regelmäßig zu überprüfen, ob die Löschprozesse funktionieren.    

8.11 Datenmaskierung

Um personenbezogene oder vertrauliche Daten zu verbergen, empfiehlt die ISO/IEC 27002:2022 geeignete Maskierungs-, Pseudonymisierungs- oder Anonymisierungstechniken einzusetzen. Die Datenmaskierung sollte so gestaltet sein, dass sie den gesetzlichen und regulatorischen Anforderungen entsprechen sowie den jeweiligen Anwendungsfall und die Schutzbedarfe abdeckt. Hierbei können Originaldaten durch Platzhalter, verfremdete Werte, bzw. Hashwerte oder Pseudonyme ersetzt werden.    

8.12 Data Leakage Prevention (DLP)

Zur Verhinderung von Datenlecks fordert die Norm, dass Unternehmen Maßnahmen und Technologien einsetzen, um die unbefugte Weitergabe oder den Abfluss sensibler Daten zu erkennen und zu verhindern. Dazu gehört die Identifikation und Klassifizierung schützenswerter Informationen, die Überwachung relevanter Kanäle (z. B. E-Mail, Cloud-Uploads, mobile Geräte) und der Einsatz von DLP-Tools, die Datenübertragungen blockieren oder protokollieren können.        

Darüber hinaus kann der Export oder das Kopieren von Daten durch z. B. das Einschränken von Benutzerberechtigungen geregelt werden. Die Einführung einer IT-Mitarbeiterrichtlinie in Verbindung von internen Schulungen zur zulässigen Nutzung von IT-Geräten ist ebenso ein geeignetes Mittel zur Data Leakage Prevention. Wichtig ist, dass alle Maßnahmen im Einklang mit Datenschutz- und Arbeitsrecht stehen, da DLP-Lösungen oft auch Kommunikationsdaten überwachen.  

Wie unterstützt die dhpg Sie bei der Umsetzung?

Als Experte für Informationssicherheit begleiten wir Unternehmen bei der Umsetzung der neuen ISO 27001:2022-Anforderungen:

  • Gap-Analyse: Wir prüfen, welche Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht.
  • Cloud-Strategie & Vertragsmanagement: Wir unterstützen Sie bei der Erstellung unternehmensinterner Richtlinien, bei der Auswahl geeigneter Cloud-Anbieter und der Vertragsgestaltung.
  • Lösch- und Maskierungskonzepte: Wir entwickeln mit Ihnen Prozesse für die sichere Löschung und Maskierung von Daten – auch in komplexen Cloud-Umgebungen.
  • DLP-Lösungen: Wir beraten Sie bei der Auswahl, Einführung und dem Betrieb von DLP-Tools.
  • Projektmanagement: Wir unterstützen Sie bei der Zeitplanung, der Umsetzung, dem Controlling und der Dokumentation Ihres ISMS-Projektes.

Ähnliche Beiträge

17. November 2025

ISMS im Wandel: Was die ISO/IEC 27001:2022 für Unternehmen jetzt bedeutet

Cyberangriffe, Datenpassen, Systemausfälle - das sind keine Ausnahmen mehr, sondern tägliche Realität. Angreifer nutzen automatisierte Tools, KI und globale Infrastrukturen. Dabei treffen sie längst nicht nur Großkonzerne.
Cyber Security
IT-Sicherheit
Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

ISMS

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden