18. August 2025

ISO 27001 Kapazitätsmanagement: Engpässe vermeiden

Author Image

Von Joachim Reinke

August 18, 2025

ISO 27001
Share 0
Share 0
Post 0

Kapazitätsprobleme fallen in vielen Unternehmen erst dann auf, wenn es schon weh tut. Systeme werden langsam, Speicher läuft voll, Datenbanken stoßen an Grenzen oder Teams arbeiten dauerhaft am Anschlag.

Genau das ist der Punkt: Kapazitätsmanagement beginnt nicht dann, wenn etwas ausfällt. Es beginnt deutlich früher.

ISO 27001 greift dieses Thema in Anhang A.8.6 Kapazitätsmanagement auf. Der Kern ist einfach: Ressourcen sollen so überwacht und angepasst werden, dass sie zu den aktuellen und erwarteten Anforderungen passen. Es geht also nicht um theoretische Perfektion, sondern darum, Engpässe rechtzeitig zu erkennen und vernünftig zu steuern.

Was Kapazitätsmanagement in der Praxis eigentlich bedeutet

Kapazitätsmanagement heißt nicht nur, CPU und RAM im Blick zu behalten.

Praktisch geht es immer um dieselbe Frage: Reichen unsere vorhandenen Ressourcen aus, damit kritische Leistungen stabil und ohne unnötige Risiken erbracht werden können?

Je nach Unternehmen betrifft das zum Beispiel:

  • Rechenleistung,
  • Speicherplatz,
  • Datenbankgrößen,
  • Bandbreite,
  • Cloud-Ressourcen,
  • Test- und Produktionsumgebungen,
  • personelle Kapazitäten in Betrieb oder Support.

Der eigentliche Denkfehler ist oft, Kapazitätsmanagement nur technisch zu sehen. In Wahrheit geht es um die Verfügbarkeit und Belastbarkeit der Dinge, von denen der laufende Betrieb abhängt.

Der häufigste Fehler: Erst reagieren, wenn es schon eng ist

Viele Unternehmen arbeiten beim Thema Kapazitäten rein reaktiv.

Dann passiert typischerweise eines von drei Dingen:

  • Systeme werden schleichend langsamer,
  • Ressourcen werden unnötig teuer überdimensioniert,
  • Engpässe schlagen genau in ungünstigen Momenten durch.

Kapazitätsmanagement ist kein Schönheitsdetail, sondern Teil stabilen Betriebs.

Was ISO 27001 hier wirklich von Ihnen will

Die Norm verlangt nicht zwingend ein riesiges Capacity-Management-Framework.

Sie verlangt auch nicht, dass jedes Unternehmen komplizierte Forecast-Modelle baut.

Was sie praktisch will, ist deutlich einfacher:

  • relevante Ressourcen im Blick haben,
  • aktuelle Nutzung kennen,
  • erwartete Entwicklung berücksichtigen,
  • rechtzeitig gegensteuern, bevor Engpässe den Betrieb beeinträchtigen.

Das kann in einem kleinen Unternehmen sehr schlank aussehen. Entscheidend ist nicht die Komplexität des Modells, sondern dass das Thema nicht dem Zufall überlassen wird.

Woran man knappe Kapazitäten früh erkennt

Gutes Kapazitätsmanagement beginnt mit Beobachtung.

Wenn Sie nicht wissen, wie stark Ihre Systeme oder Teams tatsächlich belastet sind, können Sie nur raten. Deshalb ist Monitoring meistens der erste sinnvolle Schritt.

Typische Indikatoren sind:

  • CPU-, RAM- und Storage-Auslastung,
  • I/O-Engpässe,
  • Bandbreitennutzung,
  • Laufzeiten kritischer Jobs,
  • Datenbankwachstum,
  • Antwortzeiten wichtiger Anwendungen,
  • Anzahl offener Tickets oder Rückstände im Betrieb.

Wichtig ist dabei nicht, möglichst viele Metriken zu sammeln. Wichtig ist, die Metriken zu beobachten, die für Ihre kritischen Leistungen wirklich etwas aussagen.

Monitoring ist nur dann nützlich, wenn jemand daraus etwas ableitet

Viele Unternehmen haben Dashboards. Das allein löst noch nichts.

Ein Dashboard ist nur dann hilfreich, wenn klar ist:

  • welche Werte kritisch sind,
  • welche Schwellenwerte gelten,
  • wer bei Auffälligkeiten reagiert,
  • und welche Maßnahme daraus folgt.

Sonst wird Monitoring schnell zur hübschen Bildschirmtapete.

Der bessere Ansatz ist: wenige relevante Kennzahlen, klare Schwellenwerte, eindeutige Verantwortlichkeiten und eine saubere Reaktion, wenn etwas aus dem Rahmen läuft.

Kapazitätsplanung heißt: nach vorne denken

Der zweite große Baustein ist nicht Beobachtung, sondern Vorausschau.

Kapazitätsengpässe entstehen oft nicht aus dem Nichts. Sie kündigen sich an, wenn man auf die richtigen Faktoren schaut:

  • starkes Kundenwachstum,
  • neue Projekte oder größere Releases,
  • Migrationen,
  • saisonale Lastspitzen,
  • neue Datenmengen,
  • neue Schnittstellen oder Integrationen,
  • lange Beschaffungszeiten für Hardware oder Personal.

Wer diese Dinge früh einbezieht, plant anders. Dann wird nicht erst reagiert, wenn eine kritische Schwelle schon überschritten ist. Genau diese vorausschauende Logik ist der eigentliche Wert von Kapazitätsmanagement.

Was tun, wenn Kapazitäten knapp werden?

Wenn es eng wird, gibt es im Kern nur zwei Hebel:

1. Kapazität erhöhen

Zum Beispiel durch:

  • mehr Speicher,
  • leistungsfähigere Systeme,
  • zusätzliche Cloud-Ressourcen,
  • bessere Verteilung von Last,
  • zusätzliche Mitarbeiter oder externe Unterstützung.

2. Bedarf senken

Zum Beispiel durch:

  • Löschung oder Archivierung alter Daten,
  • Abschaltung unnötiger Dienste,
  • Optimierung von Datenbankabfragen oder Code,
  • Entlastung über Caching oder Lastverteilung,
  • Priorisierung wichtiger gegenüber unwichtigen Lasten.

Genau darin liegt oft der praktische Unterschied zwischen gutem und schlechtem Kapazitätsmanagement: Gute Unternehmen denken nicht nur an "mehr kaufen", sondern auch an "weniger unnötig verbrauchen".

Welche Nachweise im Audit überzeugen

Im Audit braucht es zu diesem Thema meist keine Theoriepräsentation.

Überzeugender sind einfache, saubere Nachweise wie:

  • Monitoring oder Dashboards für kritische Systeme,
  • definierte Schwellenwerte,
  • dokumentierte Verantwortlichkeiten,
  • Kapazitätspläne oder Prognosen,
  • Maßnahmen bei Engpässen,
  • Entscheidungen zu Skalierung, Optimierung oder Stilllegung,
  • Reviews für besonders kritische Systeme und
  • geklärte und festgelegte Verantwortlichkeiten.

Ein schlichtes, gelebtes Vorgehen ist auch hier stärker als ein aufwendiges Konzept, das niemand ernsthaft nutzt.

Ein pragmatischer Ansatz für kleine und mittlere Unternehmen

Für viele kleinere Unternehmen reicht schon ein sehr einfacher Start:

  1. kritische Systeme und Ressourcen benennen,
  2. relevante Kennzahlen festlegen,
  3. Schwellenwerte definieren,
  4. Verantwortliche benennen,
  5. monatlich oder quartalsweise prüfen,
  6. erkennbare Trends festhalten,
  7. Maßnahmen ableiten, wenn es eng wird.

Das muss kein Mammutprozess sein. Aber es sollte sichtbar und wiederholbar sein.

Welche Tools kann man nutzen?

In der Praxis sieht man häufig die folgenden Tools für gelebtes Kapazitätsmanagement:

  • Zabbix oder Icinga: bewährte Open-Source-Lösungen für klassisches Infrastruktur-Monitoring;
  • Prometheus und Grafana: vor allem in Kubernetes- und Cloud-nativen Umgebungen beliebt;
  • PRTG oder Checkmk: mit benutzerfreundlicher Oberfläche, gut für kleinere IT-Teams;
  • Datadog oder New Relic: als leistungsfähige SaaS-Angebote mit tiefem Einblick in Systeme, Anwendungen und Logs;
  • Azure Monitor oder AWS CloudWatch: wenn Ressourcen in der Cloud laufen, oft schon im Paket enthalten.

Wichtig ist nicht das Tool an sich - sondern dass Schwellenwerte definiert, Dashboards gepflegt und Warnungen ernst genommen werden.

Für kritische Systeme kann man auch regelmäßige Stresstests einplanen - etwa vor Launches oder saisonalen Spitzen.

FAQ

Was verlangt ISO 27001 beim Kapazitätsmanagement?

Im Kern, dass Ressourcen überwacht und an aktuelle sowie erwartete Kapazitätsanforderungen angepasst werden. Ziel ist, Engpässe und daraus entstehende Betriebsprobleme frühzeitig zu vermeiden.

Geht es nur um Server und Speicher?

Nein. Technische Ressourcen sind oft der naheliegendste Teil, aber je nach Organisation können auch personelle oder organisatorische Engpässe relevant sein, wenn davon kritische Leistungen abhängen. 

Muss jedes Unternehmen dafür Spezialsoftware einsetzen?

Nein. Wichtiger als das konkrete Tool ist, dass relevante Ressourcen beobachtet, Trends erkannt und Maßnahmen abgeleitet werden. Der aktuelle Artikel nennt dafür beispielhaft klassische Monitoring- und Cloud-Tools.

Was ist der häufigste Fehler?

Zu spät zu reagieren. Viele Unternehmen merken Kapazitätsprobleme erst dann, wenn Systeme schon langsam sind oder der Betrieb bereits gestört ist. Das ist dann nicht mehr Kapazitätsmanagement, sondern Incident Management. Andere Baustelle.

Wie aufwendig muss Kapazitätsmanagement sein?

So aufwendig wie nötig, nicht mehr. Für viele Unternehmen reicht ein schlanker, wiederkehrender Blick auf kritische Ressourcen, Trends und Zuständigkeiten.

Unser Tipp

Betrachten Sie Kapazitätsmanagement nicht als Luxus oder als reines Infrastrukturthema. Es geht darum, kritische Ressourcen so im Blick zu behalten, dass Engpässe nicht erst dann sichtbar werden, wenn der Betrieb schon leidet. Wer aktuelle Nutzung kennt, Entwicklungen mitdenkt und rechtzeitig gegensteuert, spart Ausfälle, Hektik und oft auch unnötige Kosten.

Interesse geweckt?

Wenn Sie Ihr Kapazitätsmanagement so aufsetzen wollen, dass es im Alltag funktioniert und im Audit nicht nur nach Bauchgefühl aussieht, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Share 0
Share 0
Post 0
Author Image
Share0

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}