ISO 27001 Controls: Mit Annex-A-Maßnahmen zu mehr Cybersicherheit

Die ISO 27001 unterstützt Compliance-Verantwortliche dabei, ein robustes Informationssicherheitsmanagementsystem (ISMS) aufzubauen, das drei Schutzziele für Informationen verfolgt: Ein ISMS soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleisten. Ein zentraler Bestandteil des internationalen Standards sind die ISO 27001 Controls in Annex A.  

Was sind die ISO 27001 Controls?

ISO 27001 Controls sind insgesamt 93 spezifische Sicherheitsmaßnahmen, mit denen Unternehmen Risiken im Bereich der Informationssicherheit effektiv steuern und minimieren können. Dieser umfassende Maßnahmenkatalog bieten ein strukturiertes Rahmenwerk für den Schutz sensibler Informationen und bildet das Rückgrat eines ISMS.  

Alle 93 Sicherheitsmaßnahmen sind in Anhang A oder Annex A der ISO 27001 detailliert beschrieben und umfassen verschiedene Bereiche eines Unternehmens.  

Annex A und die vier Control-Gruppen im Überblick

Der Anhang A der ISO-Norm unterstützt Ihr Unternehmen dabei, die richtigen Sicherheitskontrollen für Ihre individuellen Risiken und Bedürfnisse auszuwählen und umzusetzen. Sie decken sämtliche Aspekte der Informationssicherheit ab, damit keine sicherheitsrelevanten Lücken entstehen.

Für eine bessere Übersicht ist Annex A in die Klauseln A 5 bis A 8 und in vier Kontrollkategorien unterteilt:

• Organisational Controls
• People Controls
• Physical Controls
• Technological Controls

Organisational Controls für durchgehende Informationssicherheit

Die Organisational Controls umfassen 37 Maßnahmen, die organisatorische Strukturen und Prozesse betreffen. Sie sind besonders wichtig, um sicherzustellen, dass ein systematischer und kontrollierter Ansatz für die Informationssicherheit vorhanden ist.

Beispiele für ISO 27001 Controls aus Anhang A 5:

• A 5.1 Informationssicherheitsrichtlinie: Festlegung einer klaren Sicherheitsrichtlinie im Unternehmen
• A 5.2 Rollen und Verantwortlichkeiten: Zuweisung klarer Verantwortlichkeiten für die Informationssicherheit

Diese Maßnahmen schaffen eine solide Basis für das ISMS und stellen sicher, dass die Informationssicherheitsstrategie in der gesamten Organisation verankert ist.

People Controls zum Schutz Ihres Teams

Die 8 People Controls betreffen den Schutz sie stellen sicher, dass die Belegschaft sich sicherheitsbewusst verhält und in der Lage ist, zum Minimieren potenzieller Risiken beizutragen.

Beispiele für ISO 27001 Controls aus Anhang A 6:

• A 6.1 Sicherheitsüberprüfung: Durchführung von Hintergrundprüfungen bei neuen Mitarbeitern
• A 6.2 Sensibilisierung und Schulung: Regelmäßige Schulungen zur Sensibilisierung für Informationssicherheitsrisiken

Die Sensibilisierung der Mitarbeiter ist ein kritischer Faktor in der Informationssicherheit, da menschliche Fehler oft die größte Schwachstelle darstellen.

Physical Controls

Die 14 Physical Controls beziehen sich auf den Schutz von physischen Standorten, Geräten und Einrichtungen vor unbefugtem Zugriff.

Beispiele für ISO 27001 Controls aus Anhang A 7:

• A 7.1 Sicherung von Einrichtungen: Zugangskontrollen zu Gebäuden und Serverräumen
• A 7.2 Schutz vor Umwelteinflüssen: Maßnahmen zum Schutz vor Feuer, Wasser oder anderen Umweltrisiken

Durch physische Sicherheitsmaßnahmen können Unternehmen sicherstellen, dass sensible Daten und Systeme vor Diebstahl oder physischen Schäden geschützt sind.

Technological Controls

Die Technological Controls sind 34 Maßnahmen, die technologische Systeme und Netzwerke absichern, um sicherzustellen, dass IT-Systeme vor Cyberangriffen und  geschützt sind.

Beispiele für ISO 27001 Controls aus Anhang A 8:

• A 8.1 Zugriffskontrollen: Implementierung von Zugriffsrechten auf IT-Systeme
• A 8.2 Verschlüsselung: Verschlüsselung sensibler Daten, sowohl im Ruhezustand als auch während der Übertragung

Technologische Maßnahmen wie Verschlüsselung und Zugriffsmanagement sind entscheidend, um sensible Daten vor unbefugtem Zugriff oder Verlust zu schützen.

ISO 27001:2022: Neuerungen im Anhang A seit 2013

Die ISO 27001 wurde 2022 aktualisiert, um den sich verändernden Anforderungen und Bedrohungen der digitalen Welt besser gerecht zu werden. Das sind die drei wichtigsten Änderungen:  

• Neue Struktur: Die Anzahl der Controls wurde von 114 auf 93 reduziert und in die vier Gruppen Organisational, People, Physical und Technological Controls unterteilt. Diese klare Struktur soll Unternehmen bei der Implementierung der Maßnahmen unterstützen.
• Neue Maßnahmen: Es wurden neue Controls hinzugefügt, um auf aktuelle Bedrohungen wie den Einsatz von Cloud-Diensten zu reagieren.
• Streichung veralteter Controls: Einige Maßnahmen, die in der Praxis kaum noch relevant waren, wurden entfernt.

Welche ISO 27001 Controls sind 2022 dazugekommen?

Die Änderungen der ISO 27001 reflektieren den wachsenden Bedarf an spezifischen Maßnahmen zur Bewältigung moderner IT-Herausforderungen wie Cloud-Sicherheit und den Schutz vor Cyberangriffen. Neu sind deshalb in Anhang A der ISO 27001:2022 unter anderem folgende Controls:

• A 5.7 Bedrohungsinformation: Regelmäßige Analyse und Kommunikation von aktuellen Bedrohungen
• A 8.28 Datenspeicherungsverfahren: Verwaltung und Schutz von in der Cloud gespeicherten Daten
• A 11.3 Schutz der Arbeitsumgebung: Maßnahmen zum Schutz von Arbeitsplätzen und Büroflächen

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

Neben der ISO 27001 gibt es die ISO 27002. Das sind die Unterschiede:

• Die ISO 27001 beschreibt die Rahmenbedingungen und Anforderungen für ein ISMS. Sie definiert, welche Sicherheitsziele erreicht werden müssen, um das System effektiv zu schützen.
• Die ISO 27002 liefert spezifische Richtlinien und Best Practices für die Umsetzung der in ISO 27001 beschriebenen Sicherheitsziele.

Die ISO 27001 definiert also die Ziele der Informationssicherheit und die ISO 27002 liefert konkrete Hinweise, wie diese Ziele erreicht werden können. Durch diese Kombination aus Zielen (ISO 27001) und deren Umsetzung (ISO 27002) haben Unternehmen eine klare Anleitung, wie sie ihre Informationssicherheitsmaßnahmen planen, implementieren und überwachen können.

Warum sind die ISO 27001 Controls aus Annex A so wichtig für Unternehmen?

Mit einem ISMS schützen Sie Ihre Daten und IT-Systeme und verbessern die Resilienz Ihres Unternehmens für besseren Schutz gegen Cyberangriffe, die für Betroffene finanzielle und Imageschäden bedeuten können.  

Bei der ISMS-Umsetzung können Sie sich bei den ISO 27001 Controls bedienen und ein Maßnahmenpaket für die individuellen Security-Bedürfnisse Ihrer Organisation schnüren und so die ISO 27001 Zertifizierung erlangen.

Mithilfe der ISO Controls können Sie:

• Risiken minimieren: Unternehmen sehen sich vielfältigen Risiken gegenüber, von Cyberangriffen bis hin zu Datenverlusten. Die ISO 27001 Controls helfen dabei, diese Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen, um sie zu minimieren.
• Gesetzliche Vorschriften leichter einhalten: Durch die Implementierung der ISO 27001 Controls können Unternehmen sicherstellen, dass sie regulatorische Anforderungen einhalten, z. B. die DSGVO oder das IT-Sicherheitsgesetz.
• Vertrauen und Reputation bewahren: Kunden und Partner vertrauen eher Unternehmen, die nach ISO 27001 zertifiziert sind, da dies bedeutet, dass Informationssicherheit einen hohen Stellenwert hat.

Welche Controls aus Anhang A sollte mein Unternehmen umsetzen?

Nicht alle 93 Controls müssen in jedem Unternehmen implementiert werden. Stattdessen sollten Sie basierend auf einer IT-Risikoanalyse nach ISO 27001 entscheiden, welche Controls relevant sind. Faktoren wie Unternehmensgröße, Branche und vorhandene Risiken spielen dabei eine Rolle. Es ist jedoch wichtig, alle Kategorien zumindest zu prüfen. So stellen Sie sicher, dass Sie keine kritischen Sicherheitslücken übersehen.

‍Praktisches Beispiel zur Umsetzung von ISO 27001 Controls

Ein mittelständisches Unternehmen, das Kundendaten mit Cloud-Diensten speichert und verarbeitet strebt die ISO 27001 Zertifizierung an. Eines der größten Risiken für das KMU ist der unbefugte Zugriff auf diese Daten durch Cyberangriffe oder interne Schwachstellen.  

Die Verantwortlichen können für den Aufbau eines ISMS verschiedene technologische Controls aus dem Annex A der ISO 27001 implementieren:  

• Mit Zugriffskontrollen aus Anhang A 8.1 kann das Unternehmen zum Beispiel sicherstellen, dass nur autorisierte Mitarbeiter Zugang zu sensiblen Daten haben.
• Durch die Einführung einer Multi-Faktor-Authentifizierung (MFA) und rollenbasierten Zugriffsrechten kann das Unternehmen den Zugriff auf die Cloud-Datenbank besser steuern und absichern.

Welche Rolle spielt die SoA ISO 27001 für die Controls?

Wer ein ISMS richtig implementieren möchte, muss die dafür ergriffenen Maßnahmen für Informationssicherheit sauber dokumentieren. Dabei hilft die Anwendbarkeitserklärung (englisch Statement of Applicability, kurz SoA).  

In der SoA können Unternehmen im Rahmen der ISO 27001 Zertifizierung alle Maßnahmen aus Anhang A auflisten, die bereits umgesetzt sind oder noch umgesetzt werden sollen und warum bestimmte Maßnahmen nicht ergriffen werden.

Jetzt lesen: Im Magazin erfahren Sie alles über Bedeutung und Inhalt der SoA Bedeutung und Inhalt der SoA

Tipps zur Auswahl und Umsetzung der Controls

• Risikobewertung voranstellen: Führe Sie eine gründliche Risikobewertung durch, um relevante Sicherheits zu identifizieren und die richtigen ISO 27001 Controls zu wählen.

• Prioritäten setzen: Priorisieren Sie die Maßnahmen basierend auf spezifischen Risiken, Ihrer Unternehmensgröße und den eingesetzten Technologien. In kleinen Unternehmen ohne eigene Serverräume sind beispielsweise physische Kontrollen wie die Sicherung von Rechenzentren weniger relevant als in Unternehmen mit mehreren Standorten.

• Kontinuierliche Überprüfung: Sicherheitsbedrohungen ändern sich ständig. Prüfen Sie deshalb die implementierten Controls regelmäßig und nehmen Sie Anpassungen vor, um neuen Bedrohungen wie Ransomware-Angriffen oder Schwachstellen in Cloud-Systemen entgegenzuwirken.

Mehrwert der ISO 27001 Controls für Unternehmen

Die Implementierung der ISO 27001 Controls bietet Unternehmen einen klaren Mehrwert. Sie helfen nicht nur dabei, Risiken zu minimieren und gesetzliche Anforderungen zu erfüllen, sondern stärken auch das Vertrauen von Kunden, Partnern und Aufsichtsbehörden in die Fähigkeit des Unternehmens, Daten sicher zu verwalten.

Die ISO 27001 Controls bieten dafür nicht nur ein flexibles Rahmenwerk, sondern auch eine klare Anleitung zur schrittweisen Verbesserung der Informationssicherheit und zur Anpassung des ISMS an veränderte Risiken. Wenn Sie die ISO Controls von Anfang an effizient und korrekt nutzen möchten, unterstützen wir Sie gern dabei.  

‍