· Rexoma Team · Compliance & Datenschutz  · 6 min read

ISO 27001 für KMU: Informationssicherheits-Managementsystem einführen

Kunden, Versicherer und NIS2 verlangen zunehmend einen Nachweis für IT-Sicherheit. ISO 27001 liefert ihn — so führen KMU ein ISMS Schritt für Schritt ein.

Kunden, Versicherer und NIS2 verlangen zunehmend einen Nachweis für IT-Sicherheit. ISO 27001 liefert ihn — so führen KMU ein ISMS Schritt für Schritt ein.

Immer mehr Ausschreibungen, Versicherer und Großkunden verlangen von ihren Zulieferern einen belastbaren Nachweis für IT-Sicherheit — und “wir achten schon drauf” reicht da nicht mehr aus. ISO 27001 ist der international anerkannte Standard für ein Informationssicherheits-Managementsystem (ISMS) und wird für KMU zunehmend zur Eintrittskarte für größere Aufträge. Wer NIS2-pflichtig ist, kann mit einem ISMS außerdem die geforderten Risikomanagement-Maßnahmen strukturiert nachweisen, statt sie improvisiert zusammenzustellen.

Was ISO 27001 eigentlich regelt

Kein Produkt, sondern ein Managementsystem

ISO 27001 zertifiziert keine Software und keine Firewall, sondern einen Prozess: Wie ein Unternehmen Informationssicherheitsrisiken systematisch identifiziert, bewertet, behandelt und überwacht. Der Standard folgt dem PDCA-Zyklus (Plan – Do – Check – Act) und verlangt, dass Sicherheit nicht einmalig eingerichtet, sondern kontinuierlich verbessert wird.

Das unterscheidet ISO 27001 von einer reinen technischen Maßnahme wie einer Firewall-Härtung: Ein ISMS legt fest, wer für welche Risiken verantwortlich ist, wie Vorfälle gemeldet werden und wann Maßnahmen überprüft werden.

Annex A: Die 93 Controls als Werkzeugkasten

Die aktuelle Fassung ISO/IEC 27001:2022 enthält im Anhang A 93 Controls, gegliedert in vier Themenbereiche:

  • Organisatorisch – Richtlinien, Rollen, Lieferantenbeziehungen, Vorfallmanagement
  • Personenbezogen – Schulungen, Verantwortlichkeiten, Verhalten bei Beendigung von Arbeitsverhältnissen
  • Physisch – Zugangskontrollen, Geräteschutz, sichere Entsorgung
  • Technologisch – Zugriffskontrolle, Verschlüsselung, Logging, sichere Entwicklung

Nicht jedes Unternehmen muss alle 93 Controls umsetzen. Im sogenannten Statement of Applicability (SoA) begründet das Unternehmen, welche Controls relevant sind und welche nicht — das ist einer der zentralen Dokumente im Zertifizierungsprozess.

ISO 27001 und NIS2: Wie beides zusammenhängt

NIS2 schreibt vor, dass Unternehmen Risikomanagement betreiben müssen, sagt aber wenig darüber, wie das konkret aussehen soll. ISO 27001 liefert genau dieses Wie. Eine ISO-27001-Zertifizierung ist keine automatische NIS2-Konformität, deckt aber einen Großteil der dort geforderten Maßnahmen ab — von der Risikoanalyse bis zum Incident-Management.

Warum sich ein ISMS für KMU lohnt

Kundenanforderungen und Ausschreibungen

Vor allem im B2B-Geschäft mit größeren Auftraggebern aus Industrie, Automotive oder dem öffentlichen Sektor wird ISO 27001 zunehmend zur Vorbedingung für Ausschreibungen. Wer als Zulieferer ohne Nachweis antritt, scheidet teils schon in der Vorqualifikation aus.

Cyber-Versicherungen

Versicherer fragen bei Cyber-Policen immer detaillierter nach dem Stand der IT-Sicherheitsmaßnahmen. Ein dokumentiertes ISMS erleichtert die Risikoeinschätzung und kann sich auf Prämie und Deckungsumfang auswirken — die konkreten Konditionen verhandelt jedes Unternehmen individuell mit seinem Versicherer.

Struktur statt Flickenteppich

Viele KMU haben über Jahre einzelne Sicherheitsmaßnahmen eingeführt — eine Firewall hier, ein Backup-Konzept dort —, ohne dass diese Maßnahmen je systematisch aufeinander abgestimmt wurden. Ein ISMS zwingt dazu, Risiken einmal vollständig zu erfassen und Lücken sichtbar zu machen, statt punktuell zu reagieren.

Ein ISMS einführen: Schritt für Schritt

Schritt 1: Anwendungsbereich (Scope) festlegen

Zu Beginn legt das Unternehmen fest, welche Standorte, Systeme und Prozesse das ISMS umfasst. Für KMU empfiehlt sich oft ein bewusst begrenzter Scope für den Start — etwa nur die Kernsysteme, über die Kundendaten verarbeitet werden — statt von Anfang an die gesamte Organisation einzubeziehen.

Schritt 2: Risikobewertung durchführen

Kernstück jedes ISMS ist die strukturierte Risikoanalyse: Welche Assets (Daten, Systeme, Prozesse) gibt es, welchen Bedrohungen sind sie ausgesetzt, wie wahrscheinlich und wie schwerwiegend wäre ein Vorfall? Das Ergebnis ist eine priorisierte Liste von Risiken mit Verantwortlichkeiten.

Schritt 3: Statement of Applicability erstellen

Auf Basis der Risikobewertung wählt das Unternehmen aus den 93 Annex-A-Controls die relevanten aus und dokumentiert die Begründung im SoA. Controls, die nicht zutreffen — etwa physische Zugangskontrollen für ein Unternehmen ohne eigenes Rechenzentrum — werden explizit als nicht anwendbar ausgewiesen.

Schritt 4: Richtlinien und Verfahren dokumentieren

Für jedes umgesetzte Control braucht es eine nachvollziehbare Dokumentation: Zugriffsrichtlinie, Passwortrichtlinie, Vorfallmeldeprozess, Lieferantenbewertung. Diese Dokumente sind kein Selbstzweck — sie sind die Grundlage, anhand der Auditoren später prüfen, ob das ISMS tatsächlich gelebt wird.

Schritt 5: Internes Audit und Management-Review

Vor der externen Zertifizierung prüft das Unternehmen selbst (oder mit externer Unterstützung), ob die dokumentierten Prozesse tatsächlich eingehalten werden. Die Geschäftsführung muss das ISMS im sogenannten Management-Review formell bewerten — ein Punkt, der bei kleineren Unternehmen oft unterschätzt wird.

Schritt 6: Zertifizierung durch eine akkreditierte Stelle

Die eigentliche Zertifizierung erfolgt durch eine unabhängige, akkreditierte Zertifizierungsstelle in zwei Stufen: einer Dokumentenprüfung (Stage 1) und einem Vor-Ort- oder Remote-Audit der tatsächlichen Umsetzung (Stage 2). Die Zertifizierung gilt für drei Jahre, mit jährlichen Überwachungsaudits.

Zeitlicher Aufwand realistisch einschätzen

Für ein KMU mit überschaubarem Scope ist ein Zeitraum von sechs bis zwölf Monaten von der Risikobewertung bis zur Zertifizierung realistisch — abhängig davon, wie viel Sicherheitsstruktur bereits vorhanden ist und wie viel interne Kapazität für die Dokumentation zur Verfügung steht. Unternehmen, die bereits Maßnahmen wie Patch-Management, MFA oder ein Backup-Konzept umgesetzt haben, sparen hier deutlich Zeit, weil ein Großteil der technischen Controls bereits erfüllt ist.

Häufige Fehler bei der ISMS-Einführung

Zu großer Scope von Anfang an. Wer versucht, sofort die gesamte Organisation inklusive aller Altsysteme einzubeziehen, verzettelt sich. Ein klar begrenzter Start-Scope lässt sich später erweitern.

Dokumentation ohne gelebte Praxis. Auditoren prüfen nicht nur, ob Richtlinien existieren, sondern ob Mitarbeitende sie tatsächlich kennen und anwenden. Eine Zugriffsrichtlinie, die niemand gelesen hat, fällt im Audit auf.

Fehlendes Management-Commitment. Ein ISMS, das allein von der IT-Abteilung getragen wird, ohne dass die Geschäftsführung Ressourcen und Verantwortung übernimmt, bleibt Papier.

Unterstützung für KMU in Dresden und Sachsen

Die Einführung eines ISMS ist ein Projekt mit vielen Querverbindungen zu bestehender IT-Infrastruktur — von Zugriffskontrollen über Backup-Konzepte bis zu Vorfallmanagement. Für ostdeutsche KMU, die diesen Aufwand neben dem Tagesgeschäft stemmen müssen, ist externe Begleitung oft der entscheidende Unterschied zwischen einem Projekt, das stockt, und einem, das in einem realistischen Zeitrahmen zur Zertifizierung führt.

Rexoma IT aus Dresden unterstützt KMU in Sachsen bei der Risikobewertung, der technischen Umsetzung der Annex-A-Controls und der Vorbereitung auf das Zertifizierungsaudit. Wir kennen die Schnittstellen zu NIS2 und sorgen dafür, dass die eingeführten Maßnahmen nicht nur auf dem Papier, sondern im laufenden Betrieb funktionieren. Sprechen Sie uns an — unkompliziert und auf Augenhöhe.


FAQ

Ist ISO 27001 für KMU gesetzlich vorgeschrieben?

Nein, die Zertifizierung selbst ist freiwillig. Verpflichtend werden kann allerdings die zugrunde liegende Risikomanagement-Praxis durch NIS2 oder durch vertragliche Anforderungen von Kunden, die ISO 27001 als Vorbedingung für eine Geschäftsbeziehung verlangen.

Wie lange ist eine ISO-27001-Zertifizierung gültig?

Drei Jahre, mit jährlichen Überwachungsaudits durch die Zertifizierungsstelle. Nach drei Jahren ist eine vollständige Rezertifizierung erforderlich.

Brauchen wir für ISO 27001 einen externen Berater?

Notwendig ist es nicht, aber für KMU ohne eigene Compliance-Abteilung beschleunigt externe Unterstützung den Prozess erheblich — insbesondere bei der Risikobewertung und der technischen Umsetzung der Controls, wo Erfahrung mit typischen Audit-Anforderungen viel Zeit spart.

Was ist der Unterschied zwischen ISO 27001 und einem internen Sicherheitskonzept?

Ein internes Sicherheitskonzept kann beliebig formlos sein. ISO 27001 verlangt eine standardisierte Struktur (Risikobewertung, SoA, dokumentierte Controls, Management-Review) und wird durch eine unabhängige, akkreditierte Stelle extern geprüft und zertifiziert — das schafft eine Nachweisbarkeit, die ein rein internes Konzept nicht bietet.

Müssen wir alle 93 Annex-A-Controls umsetzen?

Nein. Im Statement of Applicability begründet das Unternehmen, welche Controls aufgrund der eigenen Risikobewertung relevant sind. Controls, die für die eigene Organisation nicht zutreffen, werden mit Begründung als nicht anwendbar dokumentiert.

Back to Blog

Related Posts

View All Posts »