ISO 27001: Wer muss mitmachen?

Viele Unternehmen starten mit ISO 27001 in derselben Denkfalle:

Wir kaufen Vorlagen, holen einen Berater dazu, benennen intern eine Person - und dann läuft das.

Genau so läuft es meistens nicht.

Ein ISMS nach ISO 27001 ist kein Einzelkämpferprojekt. Es lebt davon, dass mehrere Rollen im Unternehmen mitwirken: Führung, Fachbereiche, IT, Verantwortliche für Prozesse und am Ende auch die Mitarbeiter, die nach den Regeln arbeiten sollen. ISO 27001 ist ausdrücklich als Managementsystem für das Einführen, Umsetzen, Aufrechterhalten und fortlaufende Verbessern von Informationssicherheit angelegt und verfolgt dabei einen ganzheitlichen Ansatz über Menschen, Regeln und Technik.

Die kurze Antwort

Wenn Du es auf den Punkt bringen willst:

Ja, bei ISO 27001 müssen mehrere Leute mitmachen. Nicht jeder muss ständig in jedem Termin sitzen. Aber ohne echte Mitarbeit aus dem Unternehmen wird aus dem Projekt schnell ein Papiersystem.

Typischerweise brauchen Sie mindestens:

• Rückendeckung und Entscheidungen aus der Geschäftsführung,
• Fachwissen aus den betroffenen Bereichen,
• technische und organisatorische Umsetzung,
• klare Zuständigkeiten,
• und Mitarbeiter, die die Regeln später tatsächlich leben. ISO 27001 verlangt dafür Führung, passende Ressourcen, Kompetenz, Awareness und klar delegierte Rollen und Verantwortlichkeiten.

Warum ein Dokumentensatz oder ein Berater allein nicht reicht

Der alte Artikel trifft hier den richtigen Nerv: Vorlagen und Beratung können helfen, aber sie ersetzen nicht die Mitarbeit des Unternehmens. Ein Dokumentensatz weiß nicht, welche Informationen bei Ihnen wirklich kritisch sind, welche Prozesse im Alltag tragen, wo Ihre echten Risiken liegen oder welche Regeln für Ihre Kultur praktikabel sind. Und ein Berater kann das nur dann sinnvoll übersetzen, wenn das Unternehmen selbst Zeit, Kontext und Entscheidungen einbringt. Genau deshalb entsteht Informationssicherheit selten gut „von der Stange“.

Wer bei ISO 27001 wirklich mitmachen muss

1. Die Geschäftsführung

Ohne Führung von oben wird ISO 27001 schnell zum Nebenbei-Projekt.

Die Geschäftsführung muss nicht jede Richtlinie selbst schreiben. Aber sie muss das Thema tragen, Priorität geben, Entscheidungen treffen und sichtbar dahinterstehen. Genau dort liegt der Unterschied zwischen „wir haben da mal was gestartet“ und einem ISMS, das wirklich ernst genommen wird. Führung von oben und die Ausrichtung an strategischer Richtung und Scope gehören zum Kern des Standards.

2. Die Person oder das Team, das das ISMS koordiniert

Jemand muss die Fäden zusammenhalten.

Diese Rolle heißt je nach Unternehmen anders:

Informationssicherheitsbeauftragter, ISMS-Verantwortlicher, Projektleiter oder ähnlich. Wichtig ist nicht der Titel, sondern die Funktion: Koordination, Nachhalten, Strukturieren, Vorbereiten, Eskalieren. Die Rollen und Verantwortlichkeiten müssen so zugewiesen sein, dass das ISMS normkonform betrieben und seine Leistung an die Leitung berichtet werden kann.

Eine sehr wichtige Rolle - zu dieser Rolle haben wir noch einen Spezialartikel.

3. Die IT oder technische Verantwortliche

Sobald es um Zugriffe, Systeme, Backups, Endgeräte, Schwachstellen, Logging, Netzwerke, Cloud-Dienste oder Adminrechte geht, braucht es Leute, die die technische Realität kennen.

Diese Mitarbeit ist nicht optional. Denn viele Sicherheitsentscheidungen klingen nur auf Papier einfach. In der Praxis müssen sie zu Eurer Infrastruktur, Euren Tools und Euren Betriebsabläufen passen. Ein ISMS ohne technische Erdung wird schnell theoretisch.

4. Fachbereiche und Prozessverantwortliche

Informationssicherheit ist nicht nur IT.

Fachbereiche wissen oft am besten,

• welche Informationen wirklich kritisch sind;
• welche Prozesse nicht ausfallen dürfen;
• welche Abhängigkeiten es gibt;
• und wo im Alltag tatsächlich Risiken entstehen.

Wer diese Perspektive nicht einholt, baut schnell ein ISMS, das technisch vielleicht ordentlich aussieht, aber am Geschäft vorbeigeht. Die Norm ist ausdrücklich so gedacht, dass Sicherheitsmanagement an Ziele, Prozesse, Größe und Struktur der Organisation angepasst wird.

5. Personal, Einkauf, Legal und ähnliche Querschnittsrollen

Nicht jedes Unternehmen braucht alle Rollen gleich stark eingebunden. Aber je nach Aufbau werden weitere Bereiche wichtig:

• HR bei Onboarding, Offboarding, Awareness und Rollen,
• Einkauf oder Vendor Management bei Lieferanten,
• Legal bei Verträgen und Anforderungen,
• Datenschutz bei Überschneidungen mit personenbezogenen Daten.

Diese Rollen müssen nicht das Projekt führen. Aber sie sollten dort eingebunden sein, wo ihre Themen sicherheitsrelevant werden. Das ist genau der Unterschied zwischen einem schlanken System und einem blinden Fleck.

6. Die Mitarbeiter insgesamt

Auch die Mitarbeiter "machen mit", nur eben anders.

Sie müssen nicht alle das ISMS designen. Aber sie müssen die Regeln kennen, ihren Beitrag verstehen und im Alltag danach arbeiten. Genau das gehört zu den Anforderungen an Awareness: Personen unter Kontrolle der Organisation sollen die Informationssicherheitspolitik kennen, verstehen, wie sie zur Wirksamkeit beitragen, und wissen, was die Folgen von Nichtbeachtung sind.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: Wir benennen intern eine Person, dann ist das Thema organisiert.

Das reicht nicht.

Eine einzelne Person kann koordinieren. Sie kann Dinge vorbereiten, priorisieren und treiben. Aber sie kann nicht allein die Risiken kennen, die Prozesse definieren, die Geschäftsleitung ersetzen, die Technik umsetzen und die Belegschaft mitnehmen. Genau deshalb ist ISO 27001 kein Heldengeschichten-Thema, sondern ein Teamthema mit klaren Verantwortlichkeiten.

Was passiert, wenn zu wenige Leute mitmachen

Dann sieht das Projekt oft so aus:

• schöne Dokumente;
• schwache Verankerung;
• wenig echte Entscheidungen;
• technische Regeln ohne Alltagstauglichkeit;
• und Mitarbeiter, die das Ganze als Fremdkörper erleben.

Im Audit fällt das meist schnell auf. Nicht immer, weil ein einzelnes Dokument fehlt, sondern weil das System nicht wie ein gelebtes Managementsystem wirkt. Wenn Rollen, Ressourcen, Awareness und Zusammenarbeit fehlen, bleibt das ISMS theoretisch.

Was Auditoren hier sehen wollen

Ein Auditor will nicht sehen, dass „alle mal irgendwie dabei waren“. Er will erkennen, dass die richtigen Rollen eingebunden sind und dass Verantwortlichkeiten funktionieren.

Überzeugend ist zum Beispiel:

• klare Zuweisung von Rollen und Zuständigkeiten;
• sichtbare Führung durch das Management;
• Mitarbeit der relevanten Bereiche bei Risiken und Maßnahmen;
• Awareness bei den Mitarbeitern;
• und ein ISMS, das nicht nur vom Berater oder einer Einzelperson getragen wird. Genau diese Punkte tauchen auch als typische Auditfragen zu Rollen und Verantwortlichkeiten auf.

Wie man Mitarbeit sinnvoll organisiert

"Mitmachen" heißt nicht, dass plötzlich das ganze Unternehmen in jedem Workshop sitzen muss.

Der bessere Weg ist:

• die richtigen Personen für die richtigen Themen holen;
• Rollen klar schneiden;
• Entscheidungstermine schlank halten;
• Fachwissen punktuell abholen;
• und nicht jeden unnötig in alles ziehen.

Ein gutes ISO 27001-Projekt ist also nicht chaotisches Gruppenkuscheln, sondern strukturierte Mitarbeit dort, wo sie wirklich gebraucht wird. Das passt auch besser zur Normlogik: klare Rollen statt diffuse Beteiligung.

FAQ

Wenn Sie ISO 27001 so aufsetzen wollen, dass die richtigen Leute sinnvoll eingebunden sind, ohne daraus ein endloses Meeting-Projekt zu machen, sprechen Sie mit uns! Oder stellen Sie uns Ihre Frage rechts unten im Chat.