ISMS im Wandel: Was die ISO/IEC 27001:2022 für Unternehmen jetzt bedeutet

Informationssicherheit - ein Muss für jedes Unternehmen!

Cyberangriffe, Datenpassen, Systemausfälle - das sind keine Ausnahmen mehr, sondern tägliche Realität. Angreifer nutzen automatisierte Tools, KI und globale Infrastrukturen. Dabei treffen sie längst nicht nur Großkonzerne. Auch Mittelständler, Zulieferer oder IT-Dienstleister geraten ins Visier - oft als "Einfallstor" für größere Ziele.

Gleichzeitig wächst der Druck durch Regulierungen: Mit der NIS-2-Richtlinie, dem Digital Operational Resilience Act (DORA) und der DSGVO steigen die Anforderungen an Unternehmen spürbar. Es geht nicht mehr nur um technische Sicherheit, sondern auch um organisatorische Nachweise, also Prozesse, Zuständigkeiten, Risikobewertungen, Kontrollen. Hinzu kommt, dass Kunden, Partner und Ausichtsbehörden erwarten, dass mit sensiblen Informationen verantwortungsvoll umgegangen wirtd und das auch belegt werden kann. Ein professionelles Informationssicherheits-Managementsystem (ISMS) liefert dafür eine nachweisbare Struktur, wie Risisken erkannt, bewertet und behandelt werden.

Was ist ein ISMS überhaupt - und was gibt die ISO/IEC 27001:2022 vor?

Ein ISMS ist ein Rahmenwerk, mit dem Unternehmen Informationen systematisch schützen. Es geht dabei nicht nur um Technik, sondern um klare Prozesse: Wer ist wofür verantwortlich? Welche Risiken gibt es? Welche Schutzmaßnahmen sind angemessen?

Die ISO/IEC27001:2022 ist der internationale Standard dafür. Sie gibt vor, wie ein ISMS aufgebaut, betrieben und kontinuierlich verbessert wird. Unternehmen, die sich an ihr orientieren, schaffen damit eine nachvollziehbare Struktur für Informationssicherheit - abgestimmt auf die eigenen Risiken und Anforderungen.

Die Norm besteht aus zwei zentralen Bestandteilen:

  • Kapitel 4 bis 10 bilden den Managementsystem-Kern. Hier sind die Anforderungen an den Aufbau, die Einführung, die Umsetzung, die Überwachung und die kontinuierliche Verbesserung eines ISMS beschrieben. Sie folgen der sogenannten High Level Structure (HLS).
  • Anhang (oder Annex) A enthält eine Sammlung konkreter Maßnahmen ("Controls"), die im Rahmen des ISMS zur Behandlung identifizierter Risiken herangezogen werden können. Dieser Maßnahmenkatalog wurde in der aktuellen Version ISO/IEC 27001:2022 umfassend überarbeitet.

Eine enge inhaltliche Verbindung besteht außerdem zur ISO/IEC 27002, die als Leitlinie zur Umsetzung der im Anhang A gelisteten Controls dient. Während die ISO/IEC 27001 "Was muss getan werden?" beschreibt, liefert die ISO/IEC 27002 die Antwort auf "Wie kann das praktisch umgesetzt werden?". Sie enthält zu jedem Control detaillierte Umsetzungsempfehlungen, Beispiele und Hinweise zur Anwendung.

Was ist neu an der ISO/IEC 27001:2022

Die ISO/IEC 27001:2022 wurde, im Vergleich zur ISO 27001:2013, mit dem Ziel überarbeitet, die Norm schlanker, verständlicher und praxisnaher zu machen. Gleichzeitig sollten neue technologische Entwicklungen und Bedrohungsszenarien besser abgebildet werden.

Kapitel 4 bis 10 der ISO 27001:2022

Die Grundstruktur bleibt unverändert. Inhaltlich wurden einzelne Abschnitte sprachlich geschärft. Das betrifft etwa:

  • die Rolle der Führung
  • die Festlegung von Sicherheitszielen
  • den Umgang mit dokumentierten Informationen und
  • die Kommunikation innerhalb des ISMS.  

Für bereits zertifizierte Unternehmen bedeutet das, dass ein kompletter Umbau nicht notwendig ist – allerdings ist eine sorgfältige Prüfung auf Konsistenz ratsam.  

Annex A

Hier liegt der größte Veränderungsschwerpunkt zwischen der alten und der neuen Norm. Der Maßnahmenkatalog wurde vollständig überarbeitet:

  • Konsolidierung und Neustrukturierung: Die Anzahl der Controls wurde von 114 auf 93 reduziert. Thematisch ähnliche Maßnahmen wurden zusammengefasst, die Struktur ist damit klarer und übersichtlicher
  • Einführung von Attributen: Die Attribute sind in der ISO/IEC 27002:2022 definiert und den dort beschriebenen Maßnahmen (Controls) zugeordnet. Die ISO/IEC 27001:2022 verweist über Annex A auf diese Controls. Die Attribute (z. B. Schutzziele, Sicherheitsdomänen, Kontrolltypen) erleichtern die gezielte, risikobasierte Auswahl und Priorisierung von Maßnahmen und unterstützen die Steuerung in komplexen ISMS-Strukturen.
  • Neue Gliederung in vier Kategorien:
    • organisatorische Maßnahmen mit insgesamt 37 Controls,
    • personenbezogene Maßnahmen mit insgesamt 8 Controls,
    • physische Maßnahmen mit insgesamt 14 Controls,
    • technologische Maßnahmen mit insgesamt 34 Controls.

Diese vier Kategorien ersetzen die bisherigen 14 Themenbereiche und erleichtern die systematische Zuordnung.

  • Weiterhin wurden 11 neue Controls im Annex A ergänzt:

Control-Nr. Name der Control Kurzbeschreibung
5.7 Threat Intelligence Aufbau und Nutzung von Informationen über aktuelle Bedrohungen zur Risikominimierung
5.23 Cloud-Sicherheit Anforderungen und Maßnahmen zur sicheren Nutzung von Cloud-Diensten inkl. Verantwortungsteilung
5.30 IKT-Bereitschaft (BC) Sicherstellung, dass Informations- und Kommunikationstechnologie im Krisenfall verfügbar bleibt
7.4 Physische Überwachung Überwachung physischer Bereiche mit Kameras, Alarmsystemen, etc.
8.9 Konfigurationsmanagement Absicherung und Kontrolle von Systemkonfigurationen zur Vermeidung unbeabsichtigter Schwachstellen
8.10. Informationslöschung Geregelte und nachvollziehbare Löschung von Daten (z.B. DSGVO-konform)
8.11 Datenmaskierung Maskierung sensibler Daten, z.B. für Testumgebungen
8.12 Data Leakage Prevention Maßnahmen zur Erkennung und Verhinderung von Datenabflüssen, z.B. durch technische Lösungen
8.16 Überwachungsaktivitäten (Monitoring) Protokollierung und Überwachung von Systemaktivitäten, z.B. zur Angriffserkennung
8.23 Webfilterung Kontrolle des Zugriffs auf Webinhalte zum Schutz vor Schadsoftware oder Datenfluss
8.28 Sichere Codierung Anwendung von Grundsätzen sicherer Codierung in der Softwareentwicklung, unabhängig davon, ob intern, ausgelagert oder unter Nutzung von Open Source; Vermeidung unsicherer Praktiken (z.B. hart kodierte Passwörter, unsichere Deserialisierung), verbindliche Coding-Standards und Reviews.

So starten Unternehmen mit der neuen ISO/IEC 27001:2022

Die aktualisierte ISO/IEC 27001:2022 bietet Unternehmen, die sich ernsthaft mit Informationssicherheit auseinandersetzen, eine moderne und klar strukturierte Grundlage für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Besonders für Unternehmen, die bisher noch kein ISMS implementiert haben, ergeben sich damit zahlreiche Vorteile:

  • Klare Struktur und modernisierte Terminologie: Die Norm erleichtert die Umsetzung und spätere Zertifizierung.
  • Regulatorische Vorbereitung: Ein zertifizierungsfähiges ISMS hilft, Anforderungen aus NIS2, DORA oder DSGVO frühzeitig zu erfüllen.
  • Vertrauensaufbau bei Kunden und Partnern: Ein gut dokumentiertes Sicherheitsmanagementsystem signalisiert Professionalität und Verantwortungsbewusstsein.
  • Effizienzsteigerung interner Prozesse: Durch die Einführung eines ISMS werden Abläufe standardisiert und Verantwortlichkeiten klar definiert.

So gelingt die Umsetzung – mit externer Unterstützung

Ein ISMS aufzubauen oder umzustellen ist kein Selbstläufer. Viele Unternehmen starten motiviert – und stellen dann fest: Die Anforderungen sind komplex, und interne Ressourcen oft knapp.

Gerade die neue ISO/IEC 27001:2022 stellt zusätzliche Anforderungen an Struktur, Dokumentation und technische Umsetzung. Externe Beratung kann hier gezielt entlasten – und typische Stolpersteine vermeiden.

Was professionelle Unterstützung bringt:

  • Strukturierte Gap-Analyse: Welche Anforderungen erfüllt das Unternehmen bereits? Wo bestehen Lücken?
  • Priorisierung: Welche Maßnahmen sind wirklich relevant – und welche haben höchste Dringlichkeit?
  • Projektsteuerung: Unterstützung bei Zeitplanung, Zuständigkeiten und Dokumentation.
  • Umsetzungsbegleitung: Fachliche Hilfe bei neuen Controls, interner Kommunikation und Auditvorbereitung.
  • Vermeidung von Mehraufwand: Statt übermäßig dokumentenlastiger Ansätze entsteht ein schlankes, wirksames System.

Besonders für mittelständische Unternehmen ist es entscheidend, die richtigen Stellschrauben zu identifizieren – ohne sich in Details zu verlieren. Mit externer Unterstützung gelingt der Umstieg effizient, zielgerichtet und auditfähig.

Ausblick – die nächsten Themen unserer Blog-Serie

Mit der überarbeiteten ISO/IEC 27001:2022 wächst die Bedeutung von Informationssicherheit – und viele Unternehmen stellen sich ähnliche Fragen:

  • Welche der neuen Controls sind für uns relevant?
  • Was bedeutet „Cloud-Sicherheit“ konkret im Alltag?
  • Wie setzen wir sichere Codierung in der Praxis um?
  • Und wie bereiten wir uns auf ein Überwachungsaudit vor?

In den nächsten Teilen unserer Serie (Beitrag 02–05) vertiefen wir diese Schwerpunkte; eine praxisnahe Roadmap und Case Study folgen in Beitrag 06. Konkret geht es um:

  • Cloud und Datenverarbeitung: Was fordert die ISO/IEC 27001:2022 – und wie lässt sich das kontrollieren?
  • Entwicklung & technische Absicherung: Was ist bei sicherer Codierung (8.28), Konfigurationsmanagement (8.9) und Webfilterung (8.23) entscheidend – und wo lauern Fallstricke?
  • Bedrohungserkennung und Monitoring: Welche Rolle spielen Logging, Threat Intelligence und co.?
  • Resilienz und physische Sicherheit: Was tun, wenn etwas schiefläuft – und wie bleibt das Unternehmen handlungsfähig?
  • Von der Anforderung zur Umsetzung: Wie entsteht aus Vorgaben eine tragfähige ISMS-Roadmap?    

Zurück

Philipp Koch

Prozessmanager Digitalisierung

Zum Profil von Philipp Koch

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

Cyber Security IT-Sicherheit

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden