27. April 2023

ISO 27001: Keine Checkliste für Cybersecurity

Von Joachim Reinke

April 27, 2023

Cybersecurity, ISO 27001

Viele Unternehmen kommen mit einer falschen Erwartung an ISO 27001 heran. Sie glauben, dort eine klare technische Checkliste zu finden: Welche Firewall-Regeln gelten sollen, wie ein Router konfiguriert werden muss, welche Anti-Malware-Lösung richtig ist und welche Einstellungen in Microsoft 365 gesetzt werden müssen.

Genau das bietet ISO 27001 aber nicht.

Und das ist kein Mangel, sondern Absicht. ISO 27001 ist kein technisches Kochbuch für Cybersecurity, sondern ein Rahmen für ein Informationssicherheitsmanagementsystem. Die Norm soll Unternehmen dabei helfen, Informationssicherheit systematisch zu steuern und Risiken passend zur eigenen Organisation zu behandeln - nicht eine weltweite Einheitskonfiguration für alle Technologien vorzugeben

Die kurze Antwort

Nein, ISO 27001 ist keine Checkliste für Cybersecurity.

Die Norm sagt nicht im Detail, wie die Firewall konfiguriert werden muss oder welches konkrete Tool Sie einsetzen sollen. Stattdessen gibt sie vor, dass Sie strukturiert klären müssen,

  • welche Informationen für Ihr Unternehmen wichtig sind;
  • welche Risiken diese Informationen bedrohen;
  • welche Maßnahmen für Ihre Umgebung angemessen sind;
  • und wie Sie deren Wirksamkeit steuern und verbessern.

Genau darin liegt der Unterschied zwischen einer technischen Checkliste und einem Managementsystem. ISO 27001 ist darauf ausgelegt, dass die Sicherheitssteuerung zur jeweiligen Organisation passt und nicht aus allgemeingültigen Technikvorgaben besteht.

Warum die falsche Erwartung so naheliegt

Die Verwechslung ist verständlich.

Wer "Cybersecurity" hört, denkt oft zuerst an Technik: Firewalls, Virenscanner, Router, MFA, Logging, EDR, Segmentierung. Und natürlich sind diese Themen wichtig. Aber ISO 27001 ist bewusst eine Ebene darüber angesiedelt.

Die Norm fragt nicht zuerst: Wie muss System X technisch konfiguriert sein?

Sie fragt zuerst:

  • Welche Informationen verarbeiten Sie?
  • Was davon ist schützenswert?
  • Wo liegen die größten Risiken?
  • Welche Maßnahmen sind dafür sinnvoll?
  • Wie stellen Sie sicher, dass diese Maßnahmen nicht nur eingeführt, sondern auch betrieben und verbessert werden?

Warum ISO 27001 bewusst keine technische Checkliste ist

Wenn ISO 27001 eine starre Cybersecurity-Checkliste wäre, hätte das ein massives Problem: Sie müsste für alle Technologien, Länder, Branchen, Betriebsmodelle und Unternehmensgrößen gleichzeitig passen.

Das ist schlicht nicht realistisch.

Ein Softwareunternehmen mit Cloud-Schwerpunkt, ein Produktionsbetrieb mit OT-Anteilen, ein Managed Service Provider und eine Agentur haben sehr unterschiedliche Risiken, Systeme und Sicherheitsanforderungen.

Eine starre Liste technischer Soll-Konfigurationen würde dieser Realität nicht gerecht werden. ISO 27001 beschreibt deshalb als Rahmen, der an Größe und Bedürfnisse der Organisation angepasst wird und mit dem ein risikobasierter Umgang mit Informationssicherheit aufgebaut werden soll.

Was ISO 27001 stattdessen leistet

Der eigentliche Nutzen der Norm liegt nicht in technischen Detailvorgaben, sondern in Struktur.

ISO 27001 hilft Unternehmen dabei,

  • Informationssicherheit nicht zufällig zu behandeln;
  • Risiken systematisch zu erkennen;
  • Verantwortlichkeiten festzulegen;
  • Maßnahmen nachvollziehbar auszuwählen;
  • und Sicherheit nicht nur einmalig, sondern dauerhaft zu steuern.

Das ist gerade für Cybersecurity wertvoll. Denn Unternehmen haben meist nicht zu wenige Einzelmaßnahmen, sondern zu wenig Gesamtlogik. Genau dort setzt ISO 27001 an.

Cybersecurity ist Teil davon - aber nicht das Ganze

Cybersecurity und IT-Security ist ein wichtiger Teil von Informationssicherheit. Aber eben nur ein Teil. ISO 27001 betrachtet nicht nur Angriffe auf Systeme, sondern allgemein den Schutz von Informationen und deren Vertraulichkeit, Integrität und Verfügbarkeit. Das schließt Cybersecurity ein, geht aber darüber hinaus. ISO beschreibt das ISMS ausdrücklich genau in dieser "CIA-Logik" (Confidentiality, Integrity, Availability).

Praktisch bedeutet das:

  • Cybersecurity gehört dazu,
  • aber auch Organisation, Prozesse, Verantwortlichkeiten, Lieferanten, Vorfälle und Managemententscheidungen.

Wer ISO 27001 nur als Cybersecurity-Checkliste versteht, denkt deshalb zu klein.

Was Unternehmen stattdessen tun sollten

Die bessere Haltung ist nicht: Welche fertige Checkliste gibt uns ISO 27001 für Cybersecurity?

Sondern: Wie nutzen wir ISO 27001, um unsere wichtigsten Informations- und Cyber-Risiken sinnvoll zu steuern?

Das führt meist zu deutlich besseren Ergebnissen. Denn dann geht es nicht darum, jede theoretisch denkbare technische Maßnahme blind abzuhaken, auch wenn sie für das eigene Unternehmen nichts bringt - sondern die wirklich relevanten Risiken mit vertretbarem Aufwand zu adressieren.

Genau diese Stoßrichtung passt: lieber ein paar große Risiken wirksam reduzieren als sich in einer vermeintlichen Vollständigkeit zu verlieren.

Ein einfaches Beispiel

Nehmen wir Microsoft 365.

ISO 27001 sagt Ihnen nicht im Detail, welche Tenant-Einstellungen Sie aktivieren müssen. Die Norm wird Ihnen also keine Seite liefern mit "Schalter A auf an, Schalter B auf aus, Richtlinie C verpflichtend".

Was sie Ihnen aber vorgibt, ist die Pflicht, sich systematisch mit genau solchen Themen zu beschäftigen:

  • Welche Informationen liegen dort?
  • Wie kritisch sind sie?
  • Welche Risiken bestehen bei Zugriffen, Freigaben, Konten oder Fehlkonfigurationen?
  • Welche Maßnahmen sind dafür angemessen?
  • Wie stellen Sie sicher, dass diese Maßnahmen später auch geprüft und verbessert werden?

Genau deshalb ist ISO 27001 kein Technikhandbuch - aber ein sehr sinnvoller Überbau für technische Sicherheit.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: Wenn ISO 27001 keine technische Checkliste liefert, dann ist die Norm für Cybersecurity wohl zu abstrakt.

Das stimmt nicht.

Sie ist nicht zu abstrakt. Sie ist nur bewusst anders gebaut. Sie zwingt Unternehmen dazu, selbst zu denken, statt blind eine globale Einheitsliste abzuarbeiten. Das ist anstrengender als Copy-Paste, aber für die Praxis meist deutlich sinnvoller.

Was Auditoren hier sehen wollen

Ein Auditor will in der Regel nicht sehen, dass Sie irgendeine vermeintliche Master-Checkliste abgearbeitet haben.

Er will sehen, dass Sie

  • Ihre Risiken verstanden haben;
  • passende Maßnahmen gewählt haben;
  • diese Maßnahmen nachvollziehbar eingeführt haben;
  • und das Ganze nicht nur auf dem Papier betreiben.

Genau deshalb ist ein ISO 27001-Audit auch kein Technik-Quiz, sondern die Prüfung, ob Ihr Sicherheitsmanagementsystem als System trägt.

FAQ

Unser Tipp

ISO 27001 ist keine Checkliste für Cybersecurity. Und genau das ist ihre Stärke. Die Norm zwingt Unternehmen nicht in eine starre technische Einheitslösung, sondern hilft ihnen dabei, Informations- und Cyber-Risiken systematisch, risikobasiert und passend zur eigenen Realität zu steuern. Wer sie als vermeintlich „schlechte Checkliste“ liest, verfehlt ihren eigentlichen Nutzen. Wer sie als übergeordneten Rahmen für wirksame Informationssicherheit versteht, hat deutlich mehr davon.

Interesse geweckt?

Wenn Sie ISO 27001 nicht als starre Checkliste missverstehen, sondern als sinnvollen Rahmen für echte Informationssicherheit nutzen wollen, sprechen Sie mit uns. Oder Sie schreiben uns direkt hier rechts unten etwas in den Chat! Wir freuen uns!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments