Wer sich mit ISO 27001 im englischen Original beschäftigt, stolpert schnell über den Begriff Controls. Und genau hier beginnt oft das Missverständnis.
Viele übersetzen Controls spontan mit Kontrollen. Das klingt naheliegend, führt in der Praxis aber oft in die falsche Richtung. Denn in ISO 27001 geht es bei Controls nicht einfach um Prüfungen oder Inspektionen. Es geht in erster Linie um dauerhaft wirksame Sicherheitsmaßnahmen, mit denen Risiken behandelt und Informationssicherheit praktisch umgesetzt wird. Anhang A wird in der 2022er Fassung ausdrücklich als Referenz für Informationssicherheits-Controls beschrieben; die begleitende Auslegung nennt diese Controls eine Sammlung von Sicherheitsmaßnahmen.
Die kurze Antwort
Wenn Sie den Begriff Control im ISO-27001-Kontext verstehen wollen, dann hilft diese Faustregel:
- Kontrolle klingt nach Überprüfung.
- Das englische Wort "Control" ist hier aber ein "false friend" - gemeint ist hier Sicherheitsmaßnahme.
Das heißt nicht, dass Prüfungen (=Kontrollen) keine Rolle spielen - das tun sie sehr wohl! Aber sie sind nicht das Control selbst, sondern eher etwas, womit man überprüft, ob ein Control vorhanden, sinnvoll und wirksam ist. Genau diese Trennung macht den Unterschied zwischen Papierdenken und echter Umsetzung aus.
Was Controls in ISO 27001 wirklich sind
Controls sind die Dinge, die Sie einführen, um Informationssicherheitsrisiken zu behandeln oder Anforderungen sauber abzudecken.
Das können ganz unterschiedliche Dinge sein:
- technische Maßnahmen,
- organisatorische Regelungen,
- Prozesse,
- Rollen und Zuständigkeiten,
- Vorgaben für Mitarbeiter,
- physische Schutzmaßnahmen.
Wichtig ist: Ein Control ist nicht zwingend eine technische Funktion. Es kann genauso gut eine Richtlinie, eine Freigabelogik, ein Berechtigungskonzept oder ein definierter Prozess sein. Anhang A ist dafür kein starres Pflichtenheft, sondern ein Referenzsatz, mit dem Unternehmen ihre notwendigen Controls abgleichen sollen. Die Auslegung dazu betont ausdrücklich, dass Controls aus Anhang A nicht automatisch alle nötig sind und dass zusätzliche oder eigene Controls ebenfalls zulässig und oft sinnvoll sind.
Warum "Kontrolle" als Übersetzung oft in die Irre führt
Das Wort Kontrolle lenkt gedanklich sofort auf Prüfung, Nachschau, Audit oder Inspektion.
Genau dadurch entsteht schnell der falsche Fokus:
Dann denken Unternehmen zuerst darüber nach, ob etwas kontrolliert wird, statt darüber, welche Maßnahme eigentlich eingerichtet (und kontrolliert) werden muss.
Das Problem daran ist praktisch: Eine Überprüfung allein schützt noch nichts. Erst die Maßnahme schützt. Die Prüfung kommt danach.
Genau deshalb ist "Control" im ISO 27001-Kontext näher an Maßnahme, Sicherheitsvorkehrung als an einer bloßen Kontrolle. Dass Anhang A als Sammlung von Sicherheitsmaßnahmen verstanden werden soll, macht diese Leserichtung fachlich sehr plausibel.
Ein einfaches Beispiel
Nehmen wir Zugriffsschutz.
Wenn Sie festlegen, dass nur berechtigte Personen auf bestimmte Informationen zugreifen dürfen, und dafür Rollen, Rechte und technische Durchsetzung einführen, dann ist das das eigentliche Control. Ihre Maßnahme ist genau diese Festlegung.
Wenn Sie anschließend regelmäßig prüfen, ob Berechtigungen noch passen oder ob unzulässige Rechte vergeben wurden, dann ist das eine Kontrolle der Wirksamkeit oder Einhaltung. (Auf Englisch würde man hier "Check" sagen, aber nicht "Control").
Beides gehört zusammen. Aber es ist nicht dasselbe.
Genau an dieser Stelle werden viele ISO 27001-Themen unnötig schief verstanden. Erst die Maßnahme schafft Schutz. Die Überprüfung zeigt danach, ob der Schutz noch trägt.
Wie Controls und Kontrollen zusammenhängen
Die sauberste Sicht ist diese:
- Das Control ist die Sicherheitsmaßnahme.
- Die Kontrolle prüft, ob diese Maßnahme vorhanden, passend und wirksam ist.
Das kann in der Praxis zum Beispiel so aussehen:
Beispiel 1: Passwortrichtlinie
Das Control ist die Regel samt technischer Durchsetzung.
Die Kontrolle ist die Überprüfung, ob die Regel tatsächlich angewendet wird.
Beispiel 2: Backup
Das Control ist die Einrichtung eines Backup-Verfahrens.
Die Kontrolle ist die Prüfung, ob Sicherungen erfolgreich laufen und Wiederherstellungen funktionieren.
Beispiel 3: Lieferantenmanagement
Das Control ist der Prozess zur Bewertung und Steuerung sicherheitsrelevanter Lieferanten.
Die Kontrolle ist die regelmäßige Überprüfung, ob Reviews, Nachweise und Verträge noch passen.
Genau deshalb ist es zu falsch, Controls einfach als Kontrollen zu lesen.
Warum dieses Missverständnis in der Praxis problematisch ist
Wenn Controls gedanklich zu reinen Prüfungen werden, entstehen oft zwei typische Probleme:
Es wird zu wenig umgesetzt
Dann wird vor allem geprüft, dokumentiert und nachgehalten, aber die eigentliche Sicherheitsmaßnahme bleibt schwach.
Es wird zu formal gedacht
Dann sieht das Thema im Audit vielleicht ordentlich aus, im Alltag schützt es aber nicht wirklich.
Genau hier ist der Unterschied zwischen einem gelebten ISMS und einer hübschen Dokumentenwelt.
Was Anhang A dabei eigentlich ist
Anhang A ist nicht die vollständige Wahrheit und auch nicht die einzig denkbare Liste.
Er ist ein gemeinsamer Referenzsatz, mit dem Unternehmen sicherstellen sollen, dass sie bei der Auswahl ihrer notwendigen Controls nichts Wichtiges übersehen. In der zugehörigen Auslegung wird ausdrücklich gesagt, dass Anhang A weder vollständig noch pauschal empfohlen ist und dass Unternehmen auch eigene Controls oder Controls aus anderen Quellen verwenden können. Das ist ein wichtiger Punkt, weil er zeigt: ISO 27001 will keine stumpfe Abarbeitung, sondern eine sinnvolle Auswahl notwendiger Maßnahmen.
Der häufigste Fehler beim Thema Controls
Der größte Fehler ist nicht die falsche Vokabel an sich.
Der größte Fehler ist, dass aus der falschen Vokabel ein falsches Verständnis wird. Dann landet der Fokus zu früh bei Auditlogik, Checklisten und Prüfungen, obwohl eigentlich erst einmal robuste Maßnahmen gebraucht werden.
Die richtige Reihenfolge ist: erst Maßnahme, dann Prüfung der Maßnahme.
FAQ
Controls sind im ISO 27001-Kontext Sicherheitsmaßnahmen, mit denen Risiken behandelt oder Anforderungen abgedeckt werden. Anhang A dient dabei als Referenzsatz von Informationssicherheits-Controls.
Nein, nicht im üblichen deutschen Sinn. „Kontrollen“ klingt nach Überprüfung. "Controls" meint hier meist eher die eigentliche Maßnahme, nicht nur deren Prüfung.
Eine Kontrolle ist in der Praxis eher die Überprüfung, ob ein Control vorhanden ist, angewendet wird und wirksam funktioniert.
Nein. Die offizielle Auslegung betont ausdrücklich, dass Annex A weder vollständig noch pauschal empfohlen ist. Unternehmen können und sollen zusätzliche oder eigene Controls nutzen, wenn sie nötig sind.
Nein. Relevant ist, welche Controls für die eigene Organisation notwendig sind. Genau dafür dient der Abgleich mit Anhang A. Nicht jeder Control-Eintrag ist automatisch für jedes Unternehmen erforderlich. Leider ist es mittlerweile so, dass manche nationalen Akkreditierungsorganisationen dazu übergehen, die Nichtanwendung von Controls aus Anhang A zu sanktionieren (dadurch, dass sie die Zertifizierungsstellen mit überbordender Bürokratie belasten, wenn die es durchgehen lassen).
Im ISO 27001-Kontext meist als Maßnahme oder Sicherheitsmaßnahme. Das ist inhaltlich meist treffender als die direkte Übersetzung mit "Kontrolle".
Die Rückübersetzung des dt. Worts "Kontrolle" (ob eine Maßnahme funktioniert), wäre "Check" auf Englisch.
Unser Tipp
"Controls" in ISO 27001 sind nicht einfach bloß Kontrollen. Wer den Begriff zu eng als Prüfung versteht, landet schnell bei der falschen Denkweise.
Gemeint sind in erster Linie Sicherheitsmaßnahmen (die bspw. Risiken wirksam behandeln sollen). Die eigentliche Kontrolle kommt danach: Sie prüft, ob diese Maßnahmen sinnvoll gewählt, sauber umgesetzt und wirksam betrieben werden. Genau so wird aus Normtext echte Praxis.
Interesse geweckt?
Wenn Sie Ihre Controls nicht nur normnah benennen, sondern auch so aufbauen wollen, dass sie im Alltag wirklich funktionieren und im Audit sauber erklärt werden können, ssprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!