25. Januar 2025

ISO 27001 „Controls“: Was damit wirklich gemeint ist

Von Joachim Reinke

Januar 25, 2025

Controls, ISO 27001

Wer sich mit ISO 27001 im englischen Original beschäftigt, stolpert schnell über den Begriff Controls. Und genau hier beginnt oft das Missverständnis.

Viele übersetzen Controls spontan mit Kontrollen. Das klingt naheliegend, führt in der Praxis aber oft in die falsche Richtung. Denn in ISO 27001 geht es bei Controls nicht einfach um Prüfungen oder Inspektionen. Es geht in erster Linie um dauerhaft wirksame Sicherheitsmaßnahmen, mit denen Risiken behandelt und Informationssicherheit praktisch umgesetzt wird. Anhang A wird in der 2022er Fassung ausdrücklich als Referenz für Informationssicherheits-Controls beschrieben; die begleitende Auslegung nennt diese Controls eine Sammlung von Sicherheitsmaßnahmen.

Die kurze Antwort

Wenn Sie den Begriff Control im ISO-27001-Kontext verstehen wollen, dann hilft diese Faustregel:

  • Kontrolle klingt nach Überprüfung.
  • Das englische Wort "Control" ist hier aber ein "false friend" - gemeint ist hier Sicherheitsmaßnahme.

Das heißt nicht, dass Prüfungen (=Kontrollen) keine Rolle spielen - das tun sie sehr wohl! Aber sie sind nicht das Control selbst, sondern eher etwas, womit man überprüft, ob ein Control vorhanden, sinnvoll und wirksam ist. Genau diese Trennung macht den Unterschied zwischen Papierdenken und echter Umsetzung aus.

Was Controls in ISO 27001 wirklich sind

Controls sind die Dinge, die Sie einführen, um Informationssicherheitsrisiken zu behandeln oder Anforderungen sauber abzudecken.

Das können ganz unterschiedliche Dinge sein:

  • technische Maßnahmen,
  • organisatorische Regelungen,
  • Prozesse,
  • Rollen und Zuständigkeiten,
  • Vorgaben für Mitarbeiter,
  • physische Schutzmaßnahmen.

Wichtig ist: Ein Control ist nicht zwingend eine technische Funktion. Es kann genauso gut eine Richtlinie, eine Freigabelogik, ein Berechtigungskonzept oder ein definierter Prozess sein. Anhang A ist dafür kein starres Pflichtenheft, sondern ein Referenzsatz, mit dem Unternehmen ihre notwendigen Controls abgleichen sollen. Die Auslegung dazu betont ausdrücklich, dass Controls aus Anhang A nicht automatisch alle nötig sind und dass zusätzliche oder eigene Controls ebenfalls zulässig und oft sinnvoll sind. 

Warum "Kontrolle" als Übersetzung oft in die Irre führt

Das Wort Kontrolle lenkt gedanklich sofort auf Prüfung, Nachschau, Audit oder Inspektion.

Genau dadurch entsteht schnell der falsche Fokus:

Dann denken Unternehmen zuerst darüber nach, ob etwas kontrolliert wird, statt darüber, welche Maßnahme eigentlich eingerichtet (und kontrolliert) werden muss.

Das Problem daran ist praktisch: Eine Überprüfung allein schützt noch nichts. Erst die Maßnahme schützt. Die Prüfung kommt danach.

Genau deshalb ist "Control" im ISO 27001-Kontext näher an Maßnahme, Sicherheitsvorkehrung als an einer bloßen Kontrolle. Dass Anhang A als Sammlung von Sicherheitsmaßnahmen verstanden werden soll, macht diese Leserichtung fachlich sehr plausibel.

Ein einfaches Beispiel

Nehmen wir Zugriffsschutz.

Wenn Sie festlegen, dass nur berechtigte Personen auf bestimmte Informationen zugreifen dürfen, und dafür Rollen, Rechte und technische Durchsetzung einführen, dann ist das das eigentliche Control. Ihre Maßnahme ist genau diese Festlegung.

Wenn Sie anschließend regelmäßig prüfen, ob Berechtigungen noch passen oder ob unzulässige Rechte vergeben wurden, dann ist das eine Kontrolle der Wirksamkeit oder Einhaltung. (Auf Englisch würde man hier "Check" sagen, aber nicht "Control").

Beides gehört zusammen. Aber es ist nicht dasselbe.

Genau an dieser Stelle werden viele ISO 27001-Themen unnötig schief verstanden. Erst die Maßnahme schafft Schutz. Die Überprüfung zeigt danach, ob der Schutz noch trägt.

Wie Controls und Kontrollen zusammenhängen

Die sauberste Sicht ist diese:

  • Das Control ist die Sicherheitsmaßnahme.
  • Die Kontrolle prüft, ob diese Maßnahme vorhanden, passend und wirksam ist.

Das kann in der Praxis zum Beispiel so aussehen:

Beispiel 1: Passwortrichtlinie

Das Control ist die Regel samt technischer Durchsetzung.

Die Kontrolle ist die Überprüfung, ob die Regel tatsächlich angewendet wird.

Beispiel 2: Backup

Das Control ist die Einrichtung eines Backup-Verfahrens.

Die Kontrolle ist die Prüfung, ob Sicherungen erfolgreich laufen und Wiederherstellungen funktionieren.

Beispiel 3: Lieferantenmanagement

Das Control ist der Prozess zur Bewertung und Steuerung sicherheitsrelevanter Lieferanten.

Die Kontrolle ist die regelmäßige Überprüfung, ob Reviews, Nachweise und Verträge noch passen.

Genau deshalb ist es zu falsch, Controls einfach als Kontrollen zu lesen.

Warum dieses Missverständnis in der Praxis problematisch ist

Wenn Controls gedanklich zu reinen Prüfungen werden, entstehen oft zwei typische Probleme:

Es wird zu wenig umgesetzt

Dann wird vor allem geprüft, dokumentiert und nachgehalten, aber die eigentliche Sicherheitsmaßnahme bleibt schwach.

Es wird zu formal gedacht

Dann sieht das Thema im Audit vielleicht ordentlich aus, im Alltag schützt es aber nicht wirklich.

Genau hier ist der Unterschied zwischen einem gelebten ISMS und einer hübschen Dokumentenwelt.

Was Anhang A dabei eigentlich ist

Anhang A ist nicht die vollständige Wahrheit und auch nicht die einzig denkbare Liste.

Er ist ein gemeinsamer Referenzsatz, mit dem Unternehmen sicherstellen sollen, dass sie bei der Auswahl ihrer notwendigen Controls nichts Wichtiges übersehen. In der zugehörigen Auslegung wird ausdrücklich gesagt, dass Anhang A weder vollständig noch pauschal empfohlen ist und dass Unternehmen auch eigene Controls oder Controls aus anderen Quellen verwenden können. Das ist ein wichtiger Punkt, weil er zeigt: ISO 27001 will keine stumpfe Abarbeitung, sondern eine sinnvolle Auswahl notwendiger Maßnahmen.

Der häufigste Fehler beim Thema Controls

Der größte Fehler ist nicht die falsche Vokabel an sich.

Der größte Fehler ist, dass aus der falschen Vokabel ein falsches Verständnis wird. Dann landet der Fokus zu früh bei Auditlogik, Checklisten und Prüfungen, obwohl eigentlich erst einmal robuste Maßnahmen gebraucht werden.

Die richtige Reihenfolge ist: erst Maßnahme, dann Prüfung der Maßnahme.

FAQ

Unser Tipp

"Controls" in ISO 27001 sind nicht einfach bloß Kontrollen. Wer den Begriff zu eng als Prüfung versteht, landet schnell bei der falschen Denkweise.

Gemeint sind in erster Linie Sicherheitsmaßnahmen (die bspw. Risiken wirksam behandeln sollen). Die eigentliche Kontrolle kommt danach: Sie prüft, ob diese Maßnahmen sinnvoll gewählt, sauber umgesetzt und wirksam betrieben werden. Genau so wird aus Normtext echte Praxis.

Interesse geweckt?

Wenn Sie Ihre Controls nicht nur normnah benennen, sondern auch so aufbauen wollen, dass sie im Alltag wirklich funktionieren und im Audit sauber erklärt werden können, ssprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments