01Was ist ISO/IEC 27001?
ISO/IEC 27001 ist der weltweit fuehrende internationale Standard fuer das Management von Informationssicherheit. Er definiert Anforderungen an ein Information Security Management System (ISMS) — also das systematische Steuern, Kontrollieren und kontinuierliche Verbessern der Informationssicherheit einer Organisation.
Die aktuelle Version ist ISO/IEC 27001:2022, veroeffentlicht im Oktober 2022. Alle ISO 27001:2013-Zertifizierungen mussten bis zum 31. Oktober 2025 auf die 2022er Version umgestellt werden.
📅
Erste Veroeffentlichung
2005 — mit 133 Controls strukturiert fuer die damaligen Sicherheitsrisiken.
🔄
Revision 2013
114 Controls in 14 Domaenen. Jahrzehntelang der globale Standard.
✅
Aktuell: 2022
93 Controls in 4 Themes. Cloud, Remote Work, Supply Chain neu aufgenommen.
🌍
Globale Akzeptanz
Ueber 70.000 Organisationen in 150+ Laendern weltweit zertifiziert.
💡
CIA-Triade als Basis: ISO 27001 sichert Informationen nach den drei Grundprinzipien Confidentiality (Vertraulichkeit), Integrity (Integritaet) und Availability (Verfuegbarkeit). Jede Control in Annex A laesst sich einem oder mehreren dieser Ziele zuordnen.
02Fuer wen ist ISO 27001 geeignet?
ISO 27001 ist skalierbar und gilt fuer Organisationen jeder Groesse und Branche. Es gibt keine festgeschriebene Mindest- oder Maximalgroesse.
🏢
Enterprise
Konzerne, Banken, Versicherer, Pharma. Oft regulatorisch verpflichtend (NIS2, DORA, KRITIS).
🏭
KMU
Kleine und mittlere Unternehmen als Lieferanten grosser Konzerne brauchen ISO 27001 fuer Ausschreibungen.
🏛️
Behoerden & KRITIS
Oeffentlicher Sektor, kritische Infrastruktur. In Deutschland kombiniert mit BSI IT-Grundschutz.
☁️
Cloud & SaaS
Cloud-Anbieter und SaaS-Unternehmen benoetigen ISO 27001 als Grundlage fuer SOC 2 und Kundenvertrauen.
🏥
Healthcare
Krankenhaeuser, Labore, Med-Tech. Kombiniert mit ISO 27799 fuer Gesundheitsdaten (komplementaer zu HIPAA).
🔧
MSP / Pentest-Firmen
Managed Security Provider und Pentest-Unternehmen nutzen ISO 27001 als Nachweis ihrer eigenen Sicherheitsreife gegenueber Kunden.
⚠️
Supply Chain Pflicht: Seit NIS2 (2024) und DORA (2025) muessen viele Unternehmen sicherstellen dass ihre gesamte Lieferkette ausreichend gesichert ist. ISO 27001 ist der bevorzugte Nachweis-Standard fuer Zulieferer gegenueber ihren Enterprise-Kunden.
03Warum ist es der Standard?
🌍
Globale Anerkennung
Akzeptiert in 150+ Laendern. Einziger ISMS-Standard mit internationalem Zertifizierungsweg durch akkreditierte Zertifizierungsstellen.
⚖️
Rechtssicherheit
ISO 27001-Zertifizierung gilt als Nachweis fuer Art. 32 DSGVO, NIS2, DORA, PCI DSS und viele weitere regulatorische Anforderungen.
🔄
Kontinuierliche Verbesserung
PDCA-Zyklus (Plan-Do-Check-Act) als Kern: Kein statischer Zustand sondern lebendiges System das sich mit Bedrohungen weiterentwickelt.
🧩
Framework-Kompatibel
Mappt auf NIST CSF, SOC 2, PCI DSS, HIPAA, DORA, NIS2, BSI IT-Grundschutz. Einmal implementiert — viele Compliance-Ziele abgedeckt.
💰
Business Value
Oeffnet Enterprise-Ausschreibungen, senkt Cyber-Versicherungspraemien, schafft Kundenvertrauen. ROI durch vermiedene Incidents.
🧠
Risiko-basiert
Kein starres Pflicht-Checklisten-System. Controls werden basierend auf dem spezifischen Risikoprofil der Organisation ausgewaehlt und justiert.
04Aufbau & Klauseln (Clauses 4–10)
ISO 27001 besteht aus 10 Klauseln plus Annex A. Die Klauseln 1–3 sind Definitionen. Die operativen Anforderungen stecken in Klauseln 4–10.
4
Context of the Organization
Kontext der Organisation
Scope des ISMS definieren. Interne und externe Themen identifizieren. Interessierte Parteien (Stakeholder) und ihre Anforderungen bestimmen. Die Scope-Definition entscheidet ueber den gesamten Umfang der Zertifizierung.
5
Leadership
Fuehrung & Commitment
Top-Management muss das ISMS aktiv unterstuetzen, eine Informationssicherheitspolitik definieren und Rollen/Verantwortlichkeiten klar zuweisen. Ohne sichtbares Management-Commitment scheitern ISMS-Implementierungen.
6
Planning
Planung & Risikobewertung
Risiken und Chancen identifizieren. Formaler Risk Assessment Prozess: Bedrohungen, Schwachstellen, Wahrscheinlichkeit, Impact. Statement of Applicability (SoA) erstellen: welche Annex A Controls angewendet werden und warum.
7
Support
Ressourcen & Bewusstsein
Ressourcen bereitstellen, Kompetenzen sicherstellen, Awareness-Training, Dokumentation. Alle Mitarbeitenden muessen die Informationssicherheitspolitik kennen und verstehen.
8
Operation
Betrieb & Kontrolle
ISMS-Prozesse implementieren und steuern. Risikobehandlungsplan umsetzen. Annex A Controls operativ einfuehren. Change Management fuer ISMS-relevante Aenderungen.
9
Performance Evaluation
Leistungsbewertung
Monitoring, Messung, Analyse und Bewertung der ISMS-Effektivitaet. Interne Audits (mindestens jaehrlich). Management-Reviews. KPIs fuer Informationssicherheit verfolgen.
10
Improvement
Kontinuierliche Verbesserung
Nonkonformitaeten und Korrekturmassnahmen verwalten. Geschlossener PDCA-Loop: Erkenntnisse aus Incidents, Audits und Uebungen fliessen zurueck in die Planung. Verbindet A.5.24 (Incident Planning) mit A.5.27 (Learning from Incidents).
05Annex A — 93 Controls in 4 Themes
Annex A ist das technische Herzstuck von ISO 27001. 93 Controls (2022) in 4 Themes — nicht alle muessen implementiert werden. Im Statement of Applicability (SoA) wird dokumentiert welche Controls angewendet werden und warum nicht angewendete ausgeschlossen sind.
⚠️
Wichtig: Annex A ist KEINE Pflicht-Checkliste. Die Auswahl der Controls basiert auf dem Risiko-Assessment der Organisation. Nicht angewendete Controls muessen im SoA begruendet werden.
A.5
Organizational Controls
37 Controls
Policies, Rollen, Verantwortlichkeiten, Threat Intelligence, Supply Chain Security, Business Continuity, Compliance. Das groesste Theme — definiert das Governance-Fundament des ISMS.
A.6
People Controls
8 Controls
Screening, Arbeitsvertraege, Awareness-Training, Disziplinarverfahren, Remote Work, Confidentiality Agreements. Human Factor als kritischer Sicherheitsvektor.
A.7
Physical Controls
14 Controls
Perimeterschutz, physischer Zugang, Buerobereich-Sicherheit, Clear Desk/Clear Screen, Geraeteschutz, sichere Entsorgung. Physische Sicherheit als Voraussetzung fuer digitale Sicherheit.
A.8
Technological Controls
34 Controls
Das technische Kerntheme. MFA, Malware-Schutz, Vulnerability Management, Logging, Netzwerksicherheit, Kryptographie, Secure Coding, DLP, Web-Filtering, SIEM. Hier arbeiten IT- und Security-Teams am intensivsten.
🗂️ Alle 93 Controls per Klick
A.5 — Organizational Controls
37 Controls
▼
A.5.1
Policies for Information Security
Genehmigte, dokumentierte und kommunizierte Richtlinien die die Informationssicherheit der Organisation steuern.
A.5.2
Information Security Roles and Responsibilities
Klare Definitionen wer fuer was im ISMS verantwortlich ist — von Top-Management bis zu einzelnen Mitarbeitenden.
A.5.3
Segregation of Duties
Trennung konfligierender Aufgaben zwischen verschiedenen Personen um Betrug oder Fehler zu verhindern.
A.5.4
Management Responsibilities
Management muss aktiv sicherstellen dass Mitarbeitende Sicherheitsrichtlinien kennen und befolgen.
A.5.5
Contact with Authorities
Etablierte Beziehungen zu Regulatoren und Strafverfolgungsbehoerden bevor sie benoetigt werden.
A.5.6
Contact with Special Interest Groups
Aktive Teilnahme in Sicherheitsforen und Branchennetzwerken um ueber neue Bedrohungen informiert zu bleiben.
A.5.7
Threat Intelligence NEU 2022
Sammeln und Analysieren von Informationen ueber aktuelle und aufkommende Bedrohungen zur Unterstuetzung von Sicherheitsentscheidungen.
A.5.8
Information Security in Project Management
Sicherheitsaspekte von Anfang an in Projektplanung und -durchfuehrung integrieren.
A.5.9
Inventory of Information and Other Associated Assets
Gepflegtes Register aller informationsrelevanten Systeme und Assets mit benannten Eigentuemern.
A.5.10
Acceptable Use of Information and Other Associated Assets
Dokumentierte Regeln wie Mitarbeitende mit Informationen und Geraten der Organisation umgehen duerfen.
A.5.11
Return of Assets
Prozess zur Rueckgabe von Laptops, Ausweisen und anderen Assets wenn Mitarbeitende das Unternehmen verlassen.
A.5.12
Classification of Information
Schema zur Kategorisierung von Informationen nach Sensitivitaet und Schutzbeduerfnis.
A.5.13
Labelling of Information
Konsistente Kennzeichnung von Informationen entsprechend ihrer Klassifikation.
A.5.14
Information Transfer
Regeln und Schutzmechanismen fuer den sicheren Transfer von Informationen zwischen Personen, Systemen und Organisationen.
A.5.15
Access Control
Gesamtrahmen der definiert wer auf was zugreifen darf und wie Zugriff gesteuert wird.
A.5.16
Identity Management
Lebenszyklus von Benutzeridentitaeten von Erstellung ueber Aenderungen bis zur Loeschung.
A.5.17
Authentication Information
Management von Passwoertern, Tokens, Schluesseln und anderen Authentifizierungsgeheimnissen.
A.5.18
Access Rights
Taegliche Bereitstellung, Ueberpruefung und Entfernung von Benutzerzugriffen auf Systeme und Informationen.
A.5.19
Information Security in Supplier Relationships
Identifizierung, Bewertung und Management von Informationssicherheitsrisiken durch Lieferanten und Dritte.
A.5.20
Addressing Information Security within Supplier Agreements
Sicherheitsklauseln, Verantwortlichkeiten und Erwartungen in Lieferantenvertraegen verankern.
A.5.21
Managing Information Security in the ICT Supply Chain
Sicherheitsanforderungen auf die gesamte Lieferkette hinter direkten Lieferanten ausweiten.
A.5.22
Monitoring, Review and Change Management of Supplier Services
Laufende Ueberpruefung ob Lieferanten weiterhin vereinbarte Sicherheitsstandards einhalten.
A.5.23
Information Security for Use of Cloud Services NEU 2022
Prozesse fuer sichere Bewertung, Einfuehrung, Management und Exit von Cloud-Diensten.
A.5.24
Information Security Incident Management Planning and Preparation
Dokumentierte Incident-Response-Faehigkeit bevor sie benoetigt wird: Playbooks, Eskalationspfade, Kommunikationsplaene.
A.5.25
Assessment and Decision on Information Security Events
Prozess zur Entscheidung ob ein gemeldetes Ereignis tatsaechlich ein Sicherheitsincident ist der eine Reaktion erfordert.
A.5.26
Response to Information Security Incidents
Strukturiertes Handling bestaedigter Incidents inkl. Eindaemmung, Kommunikation und Behebung.
A.5.27
Learning from Information Security Incidents
Lessons Learned aus Incidents in Verbesserungen des ISMS einfliessen lassen.
A.5.28
Collection of Evidence
Sicherung von Beweisen waehrend und nach Incidents fuer Untersuchung, rechtliche Schritte oder Meldepflichten.
A.5.29
Information Security during Disruption
Angemessene Informationssicherheit auch bei Betriebsunterbrechungen aufrechterhalten.
A.5.30
ICT Readiness for Business Continuity NEU 2022
Sicherstellen dass ICT-Dienste bei Unterbrechungen auf erforderlichem Niveau wiederhergestellt werden koennen.
A.5.31
Legal, Statutory, Regulatory and Contractual Requirements
Gepflegtes Verstaendnis aller externen Anforderungen und wie die Organisation diese erfuellt.
A.5.32
Intellectual Property Rights
Eigenes IP schuetzen und sicherstellen dass fremdes IP nicht verletzt wird.
A.5.33
Protection of Records
Aufzeichnungen vor Verlust, Vernichtung, Faelschung und unbefugtem Zugriff schuetzen.
A.5.34
Privacy and Protection of PII
Personenbezogene Daten entsprechend geltender Datenschutzgesetze und Erwartungen der betroffenen Personen behandeln.
A.5.35
Independent Review of Information Security
Regelmaessige Ueberpruefungen des ISMS durch Personen unabhaengig vom Tagesbetrieb.
A.5.36
Compliance with Policies, Rules and Standards
Ueberpruefung ob eigene Richtlinien und Standards in der Praxis tatsaechlich eingehalten werden.
A.5.37
Documented Operating Procedures
Schriftliche Verfahren fuer Betriebsaufgaben die Informationssicherheit unterstuetzen — konsistent unabhaengig vom Ausfuehrenden.
A.6 — People Controls
8 Controls
▼
A.6.1
Screening
Hintergrundpruefungen fuer Kandidaten in Rollen mit sensiblem Zugang oder hoher Verantwortung.
A.6.2
Terms and Conditions of Employment
Informationssicherheitsverantwortlichkeiten in Arbeitsvertraege einbauen — Vertraulichkeit und akzeptables Verhalten formal verankern.
A.6.3
Information Security Awareness, Education and Training
Laufendes Training damit Mitarbeitende Risiken kennen, Richtlinien verstehen und wissen was von ihnen erwartet wird.
A.6.4
Disciplinary Process
Formaler Prozess fuer Mitarbeitende die Sicherheitsrichtlinien verletzen — proportionale Konsequenzen.
A.6.5
Responsibilities after Termination or Change of Employment
Klaerung welche Sicherheitspflichten nach Austritt oder Rollenwechsel weiterhin gelten — insbesondere Vertraulichkeit.
A.6.6
Confidentiality or Non-Disclosure Agreements
Formale NDAs fuer Mitarbeitende, Auftragnehmer und andere Parteien die Zugang zu vertraulichen Informationen haben.
A.6.7
Remote Working
Regeln und Schutzmechanismen fuer Mitarbeitende die von ausserhalb des Bueros auf Unternehmensdaten zugreifen.
A.6.8
Information Security Event Reporting
Klarer, zugaenglicher Prozess fuer Mitarbeitende um Sicherheitsereignisse ohne Schuldangst zu melden.
A.7 — Physical Controls
14 Controls
▼
A.7.1
Physical Security Perimeters
Definierte und geschuetzte Sicherheitsbereiche die unberechtigten Zugang zu sensiblen Bereichen verhindern.
A.7.2
Physical Entry
Zugangskontrollmechanismen fuer sichere Bereiche — nur autorisierte Personen erhalten Zugang.
A.7.3
Securing Offices, Rooms and Facilities
Physische Sicherheit von Bueroraumen, Serverraeumen und anderen Einrichtungen gewaehrleisten.
A.7.4
Physical Security Monitoring NEU 2022
Kontinuierliches Monitoring physischer Sicherheitsbereiche gegen unbefugten Zugang (CCTV, Sensoren, Wachpersonal).
A.7.5
Protecting against Physical and Environmental Threats
Schutz gegen Naturkatastrophen, Stromausfaelle und andere physische oder Umweltbedrohungen.
A.7.6
Working in Secure Areas
Verhaltensregeln und Prozeduren fuer Arbeit in sicherheitsrelevanten Bereichen.
A.7.7
Clear Desk and Clear Screen
Richtlinien sicherstellen dass sensible Informationen nicht unbeaufsichtigt auf Schreibtischen oder Bildschirmen bleiben.
A.7.8
Equipment Siting and Protection
IT-Equipment sicher positionieren und schuetzen um Risiken durch Umgebungsfaktoren oder unbefugten Zugang zu minimieren.
A.7.9
Security of Assets Off-Premises
Schutz von Assets die ausserhalb des Unternehmensstandorts genutzt werden (Laptops, Mobile Devices).
A.7.10
Storage Media
Management von Speichermedien waehrend ihres Lebenszyklus — von Erstellung bis zur sicheren Vernichtung.
A.7.11
Supporting Utilities
Schutz der Infrastruktur die IT-Systeme unterstuetzt: Stromversorgung, Klimaanlage, Netzwerkverkabelung.
A.7.12
Cabling Security
Netzwerk- und Stromkabel schuetzen gegen Abhoeren, Stoerung oder Beschaedigung.
A.7.13
Equipment Maintenance
Regelmaessige Wartung von Equipment zur Sicherstellung dauerhafter Verfuegbarkeit und Integritaet.
A.7.14
Secure Disposal or Re-Use of Equipment
Sicherstellen dass sensible Daten vor Entsorgung oder Wiederverwendung von Geraten vollstaendig entfernt werden.
A.8 — Technological Controls
34 Controls
▼
A.8.1
User Endpoint Devices
Sicherheit von Endgeraeten (Laptops, Smartphones, Tablets) — Konfiguration, Schutz und Management.
A.8.2
Privileged Access Rights
Vergabe, Einschraenkung und Ueberwachung privilegierter Zugaenge zu Systemen und Anwendungen.
A.8.3
Information Access Restriction
Zugriff auf Informationen und Anwendungsfunktionen basierend auf Zugriffskontrollrichtlinien beschraenken.
A.8.4
Access to Source Code
Lesenden und schreibenden Zugang zu Source Code, Entwicklungstools und Software-Libraries kontrollieren.
A.8.5
Secure Authentication
Sichere Authentifizierungstechnologien und -verfahren basierend auf Zugriffsbeschraenkungen — inkl. MFA.
A.8.6
Capacity Management
Nutzung von Ressourcen ueberwachen und anpassen sowie kuenftige Kapazitaetsanforderungen prognostizieren.
A.8.7
Protection against Malware
Schutz gegen Malware implementieren und durch Benutzerbewusstsein unterstuetzen.
A.8.8
Management of Technical Vulnerabilities
Informationen ueber technische Schwachstellen rechtzeitig beschaffen und das Risiko entsprechend behandeln.
A.8.9
Configuration Management NEU 2022
Konfigurationen von Hardware, Software, Diensten und Netzwerken sicher definieren, dokumentieren und durchsetzen.
A.8.10
Information Deletion NEU 2022
Informationen sicher loeschen wenn sie nicht mehr benoetigt werden — auf Systemen, Geraten und Speichermedien.
A.8.11
Data Masking NEU 2022
Datenmaskierung gemaess Zugriffskontrollrichtlinien und anderen Anforderungen inkl. rechtlicher Vorgaben anwenden.
A.8.12
Data Leakage Prevention NEU 2022
DLP-Massnahmen auf Systeme und Netzwerke anwenden die sensitive Informationen verarbeiten, speichern oder uebertragen.
A.8.13
Information Backup
Backup-Kopien von Informationen, Software und Systemen regelmaessig erstellen, testen und gemaess Richtlinien aufbewahren.
A.8.14
Redundancy of Information Processing Facilities
Ausreichende Redundanz implementieren um Verfuegbarkeitsanforderungen zu erfuellen.
A.8.15
Logging
Logs erstellen, speichern, schuetzen und analysieren die Aktivitaeten, Ausnahmen und Sicherheitsereignisse aufzeichnen.
A.8.16
Monitoring Activities NEU 2022
Netzwerke, Systeme und Anwendungen auf anomale Aktivitaeten ueberwachen und entsprechende Massnahmen ergreifen.
A.8.17
Clock Synchronisation
Uhren von Informationsverarbeitungssystemen mit genehmigten Zeitquellen synchronisieren.
A.8.18
Use of Privileged Utility Programs
Nutzung von Dienstprogrammen die Systemkontrollen umgehen koennten beschraenken und streng kontrollieren.
A.8.19
Installation of Software on Operational Systems
Sichere Verfahren fuer die Verwaltung von Software-Installationen auf Produktivsystemen implementieren.
A.8.20
Networks Security
Netzwerke und Netzwerkgeraete sichern, verwalten und kontrollieren um Informationen und Systeme zu schuetzen.
A.8.21
Security of Network Services
Sicherheitsmechanismen, Service Level und Anforderungen aller Netzwerkdienste identifizieren und implementieren.
A.8.22
Segregation of Networks
Netzwerke segmentieren um Gruppen von Informationsdiensten, Benutzern und Systemen zu trennen.
A.8.23
Web Filtering NEU 2022
Zugriff auf externe Websites kontrollieren um potenziell gefaehrliche Inhalte zu reduzieren.
A.8.24
Use of Cryptography
Regeln fuer den effektiven und angemessenen Einsatz von Kryptographie inkl. kryptographischem Schluesseln-Management.
A.8.25
Secure Development Life Cycle
Regeln fuer sichere Softwareentwicklung und -pflege auf Systeme innerhalb der Organisation anwenden.
A.8.26
Application Security Requirements
Informationssicherheitsanforderungen bei der Entwicklung oder Beschaffung von Anwendungen identifizieren und spezifizieren.
A.8.27
Secure System Architecture and Engineering Principles
Prinzipien fuer das Engineering sicherer Systeme etablieren, dokumentieren und auf alle Implementierungsarbeiten anwenden.
A.8.28
Secure Coding NEU 2022
Sichere Programmierprinzipien in der Softwareentwicklung anwenden — OWASP-Standards, Input Validation, Fehlerbehandlung.
A.8.29
Security Testing in Development and Acceptance
Sicherheitstestprozesse im Entwicklungslebenszyklus definieren und implementieren.
A.8.30
Outsourced Development
Ausgelagerte Systementwicklung durch die Organisation leiten, ueberwachen und ueberprufen.
A.8.31
Separation of Development, Test and Production Environments
Entwicklungs-, Test- und Produktionsumgebungen identifizieren, implementieren und schuetzen.
A.8.32
Change Management
Aenderungen an Informationsverarbeitungsanlagen und Systemen gemaess Aenderungsmanagement-Verfahren durchfuehren.
A.8.33
Test Information
Testinformationen angemessen auswaehlen, schuetzen und verwalten.
A.8.34
Protection of Information Systems during Audit Testing
Audittests und andere Sicherheitspruefungen an Produktivsystemen sorgfaeltig planen und mit dem Management abstimmen.
✨ Neue Controls in 2022 (11 neu)
| Control | Name | Was es bedeutet | Relevant fuer |
|---|---|---|---|
| A.5.7 | Threat Intelligence | Sammeln und Analysieren von Bedrohungsinformationen um Angriffe zu antizipieren. | Red & Blue Team |
| A.5.23 | Cloud Services Security | Sicherheitsanforderungen fuer Nutzung, Verwaltung und Exit von Cloud-Diensten. | Blue Team, DevOps |
| A.5.30 | ICT Readiness for BC | Sicherstellen dass ICT-Systeme bei Disruption fuer Business Continuity bereit sind. | Blue Team, BCDR |
| A.7.4 | Physical Security Monitoring | Kontinuierliches Monitoring physischer Sicherheitsbereiche gegen unbefugten Zugang. | Physical Pentest |
| A.8.9 | Configuration Management | Sichere Konfigurationen definieren, dokumentieren und durchsetzen. | Blue Team |
| A.8.10 | Information Deletion | Sicheres Loeschen von Informationen wenn nicht mehr benoetigt. | Compliance |
| A.8.11 | Data Masking | Datenmaskierung um sensitive Daten zu schuetzen. | Dev, Compliance |
| A.8.12 | Data Leakage Prevention | DLP-Massnahmen gegen unerlaubten Datenabfluss. | Blue Team |
| A.8.16 | Monitoring Activities | Netzwerk- und System-Anomalie-Erkennung und Response. | Blue Team, SOC |
| A.8.23 | Web Filtering | Zugriff auf externe Websites kontrollieren und gefaehrliche Seiten blockieren. | Blue Team |
| A.8.28 | Secure Coding | Secure Development Lifecycle-Prinzipien in der Softwareentwicklung verankern. | Dev, Red Team |
06ISO 27001 aus Red Team Sicht
Als Red Teamer begegnest du ISO 27001 in zwei Kontexten: Du testest ob die implementierten Controls wirklich greifen, und du wirst von Kunden engagiert die ihre ISMS-Konformitaet nachweisen muessen.
🎯
Red Team Mandat: ISO 27001 A.5.36 (Compliance with policies) und A.8.8 (Management of technical vulnerabilities) fordern explizit regelmaessige Tests der implementierten Controls — das ist dein Einsatz als Pentester.
🔴 Annex A Controls die du als Angreifer kennst
| Control | Was es schuetzen soll | Wie du es als Red Teamer umgehst / testest | Attack Vector |
|---|---|---|---|
| A.8.2 Privileged Access | Admin-Rechte beschraenken | PrivEsc-Pfade suchen, sudo-Misconfigurations, SUID-Binaries, Token Impersonation | PrivEsc |
| A.8.3 Information Access Restriction | Least Privilege durchsetzen | IDOR-Tests, BOLA, Broken Access Control, horizontale PrivEsc | Web, API |
| A.8.5 Secure Authentication | Starke Auth erzwingen | Password Spraying, Credential Stuffing, MFA-Bypass, Kerberoasting | Auth Bypass |
| A.8.8 Vuln Management | Bekannte CVEs patchen | CVE-Scan, veraltete Software identifizieren, unvollstaendiges Patching ausnutzen | Exploitation |
| A.8.12 DLP | Datenabfluss verhindern | Exfiltration ueber DNS, HTTPS, Steganographie, Cloud-Storage testen | Exfiltration |
| A.8.20 Network Security | Netzwerksegmentierung | Lateral Movement, VLAN Hopping, Pivoting, Segmentierungstest | Lateral Move |
| A.8.22 Segregation of Networks | Kritische Systeme isolieren | Pivot-Angriffe, Tunnel durch DMZ, nicht korrekt segmentierte Assets finden | Pivoting |
| A.8.28 Secure Coding | Unsicheren Code verhindern | OWASP Top 10, SQLi, XSS, SSRF, Deserialization, Business Logic Bugs | Web App |
| A.5.7 Threat Intelligence | Angriffe antizipieren | OSINT durchfuehren, oeffentliche Leaks pruefen, Angreifer-TTPs simulieren | Recon |
| A.6.3 Awareness Training | Menschen gegen Social Eng. | Phishing-Simulation, Vishing, Pretext-Calls, USB-Drop-Tests | Social Eng. |
📋 Was du im Pentest-Report angeben solltest
Control-Referenz: Jeden Finding mit dem entsprechenden Annex A Control verknuepfen (z.B. "Verletzte Control: A.8.8 - Vulnerability Management")
Gap-Analyse: Zeigen welche Controls laut SoA implementiert sein sollten aber nicht effektiv greifen
Risikobewertung: ISO 27001 nutzt eigene Risikomatrix — CVSS-Scores auf Kundens Risikomatrix mappen
Remediation: Fixes als Control-Implementierungen formulieren, nicht nur als technische Patches
07ISO 27001 aus Blue Team Sicht
Fuer Blue Teamer ist ISO 27001 der Rahmen der definiert was implementiert sein muss, damit Audits bestanden werden. Die Technological Controls (A.8) sind der Arbeitsbereich des SOC und der Security Engineers.
🔴 Red Team testet ob...
- A.8.2 Privileged Access wirklich eingeschraenkt ist
- A.8.5 MFA tatsaechlich nicht bypassbar ist
- A.8.8 Vulnerability Management lueckenlos funktioniert
- A.8.20 Netzwerksegmentierung Lateral Movement verhindert
- A.6.3 Awareness-Training gegen Phishing hilft
- A.7.4 Physical Controls einen Tailgating-Angriff stoppen
🔵 Blue Team implementiert...
- A.8.15 Logging aller sicherheitsrelevanten Events
- A.8.16 Monitoring und Anomalie-Erkennung (SIEM)
- A.5.24 Incident Management Planung und Vorbereitung
- A.5.25 Assessment und Entscheidung zu Incidents
- A.5.26 Response auf Informationssicherheits-Incidents
- A.5.27 Lessons Learned aus Incidents
📡 Kritische Blue Team Controls im Detail
| Control | Name | Blue Team Massnahmen | Tools |
|---|---|---|---|
| A.8.15 | Logging | Zentrales Log-Management, Retention-Policy, Tamper-Protection der Logs | ELK Stack, Splunk, Graylog |
| A.8.16 | Monitoring | 24/7 Anomalie-Erkennung, Alerting-Regeln, SOC-Integration | SIEM, Wazuh, Sentinel |
| A.8.7 | Malware Protection | AV/EDR auf allen Endpoints, regelmaessige Scans, Quarantaene-Prozesse | CrowdStrike, Defender, SentinelOne |
| A.8.8 | Vuln Management | Regelmaessige Scans, Patch-SLAs, CVE-Tracking, Risk-Based Patching | Nessus, Qualys, OpenVAS |
| A.5.24 | Incident Management | IR-Playbooks, Eskalationspfade, Communication Plans, Retainer-Vertrag | TheHive, JIRA, ServiceNow |
| A.8.9 | Config Management | Baselines definieren, Config-Drift erkennen, Hardening-Standards | Ansible, Chef, CIS Benchmarks |
| A.8.12 | DLP | Datenstroeme klassifizieren, Exfiltrations-Alerts, Cloud-Upload-Kontrolle | Microsoft Purview, Symantec DLP |
| A.5.7 | Threat Intelligence | IOC-Feeds integrieren, TTPs tracken (MITRE ATT&CK), Threat Hunts | MISP, OpenCTI, VirusTotal |
08Zertifizierungsprozess
Die Zertifizierung erfolgt durch eine akkreditierte externe Zertifizierungsstelle (z.B. TUeV, BSI, Bureau Veritas, DNV). In Deutschland akkreditiert durch die DAkkS (Deutsche Akkreditierungsstelle).
1
Phase 1 — Vorbereitung (3–12 Monate)
Gap-Analyse & ISMS-Aufbau
Aktuellen Sicherheitszustand mit ISO 27001-Anforderungen vergleichen. Scope definieren. Risk Assessment durchfuehren. Statement of Applicability erstellen. Controls implementieren. Interne Audits durchfuehren.
2
Phase 2 — Stage 1 Audit (Dokumenten-Review)
Readiness Assessment
Externer Auditor prueft Dokumentation: ISMS-Scope, Informationssicherheitspolitik, Risk Assessment, SoA, interne Audit-Ergebnisse. Kein tiefes technisches Testing — Feststellung ob die Organisation bereit fuer Stage 2 ist.
3
Phase 3 — Stage 2 Audit (Implementierungs-Review)
Zertifizierungsaudit
Auditor prueft ob Controls tatsaechlich implementiert und effektiv sind. Interviews mit Mitarbeitenden, technische Stichproben, Prozess-Beobachtungen. Nonkonformitaeten werden als Major (Zertifizierung verweigert) oder Minor (Massnahmen bis Deadline) klassifiziert.
4
Phase 4 — Zertifikat (3 Jahre)
Surveillance Audits
Zertifikat gilt 3 Jahre. In Jahr 1 und 2 finden jaehrliche Surveillance Audits statt — kuerzere Ueberpruefungen ob das ISMS weiterhin funktioniert. Nach 3 Jahren vollstaendiges Rezertifizierungsaudit.
💰
Kosten: KMU (50–250 Mitarbeiter) rechnen mit 15.000–50.000 EUR fuer Erstimplementierung + 5.000–15.000 EUR jaehrlich fuer Surveillance Audits. Enterprise: deutlich hoeher, abhaengig von Scope und Komplexitaet.
09Framework Mapping
ISO 27001 laesst sich auf andere Standards und Frameworks mappen. Das spart Aufwand: Ein implementiertes ISO 27001 ISMS deckt grosse Teile anderer Compliance-Anforderungen bereits ab.
| Framework | Ueberlappung | Was ISO 27001 abdeckt | Was zusaetzlich noetig |
|---|---|---|---|
| NIST CSF 2.0 | ∼80% | Identify, Protect, Detect, Respond, Recover komplett abgedeckt | NIST-spezifische Dokumentationsformate |
| SOC 2 (Trust Criteria) | ∼70% | Security, Availability, Confidentiality Common Criteria stark ueberlappt | SOC 2 Type II Audit-Beweise, TSP 100 |
| DSGVO Art. 32 | ∼85% | Technische und organisatorische Massnahmen vollstaendig | Datenschutzrechtliche Spezifika (DSGVO Art. 13-22) |
| PCI DSS v4.0 | ∼60% | Access Control, Logging, Vuln Management, Incident Response | Karteninhaber-spezifische Controls, ASV-Scans |
| NIS2 | ∼90% | Fast alle NIS2-Sicherheitsmassnahmen (Art. 21) abgedeckt | Meldepflichten (24h/72h), Behoerden-Meldung |
| DORA TLPT | ∼55% | ISMS-Rahmen, Incident Management, Business Continuity | Threat-Led Penetration Testing, TIBER-EU-Prozess |
| BSI IT-Grundschutz | ∼75% | Technische und organisatorische Controls stark ueberlappt | BSI-spezifische Bausteine, DER.3.2 Pentest-Anforderungen |
| HIPAA | ∼65% | Administrative, Physical, Technical Safeguards weitgehend abgedeckt | US-spezifische PHI-Regelungen, BAA-Vertraege |
🧩 MITRE ATT&CK Mapping
ISO 27001 Annex A Controls lassen sich direkt auf MITRE ATT&CK Defensivmassnahmen (Mitigations) mappen — das erleichtert Blue Teams die Priorisierung:
A.8.2 → M1026 Privileged Account Management
A.8.15 → M1047 Audit
A.8.7 → M1049 Antivirus/Antimalware
A.8.20 → M1030 Network Segmentation
A.8.5 → M1032 Multi-factor Authentication
A.8.28 → M1045 Code Signing / Secure Dev
10Quick-Reference Checkliste
🔴 Red Team — Vor dem Engagement
ISO 27001 Zertifizierungsstatus des Kunden pruefen — welche Version, wann letztes Audit
Statement of Applicability (SoA) anfordern — zeigt welche Controls implementiert sein sollen
Scope des ISMS mit Pentest-Scope abgleichen — Out-of-Scope-Systeme klar abgrenzen
Interne Audit-Berichte anfordern (falls vertraglich erlaubt) — bekannte Luecken identifizieren
Findings im Report immer mit Annex A Control-Referenzen verknuepfen
🔵 Blue Team — ISMS Monitoring Basics
A.8.15 Logging: Alle Authentication-Events, Privileged-Access-Nutzung, Firewall-Drops, Admin-Aktionen zentralisiert loggen
A.8.8 Vuln Management: Kritische CVEs innerhalb 24h, High innerhalb 7 Tagen, Medium innerhalb 30 Tagen patchen (SLA definieren)
A.5.24 Incident Management: IR-Playbooks fuer haeufige Incident-Typen (Ransomware, Phishing, Datenleck) vorhanden und getestet
A.8.9 Config Management: Baseline-Konfigurationen dokumentiert, Config-Drift-Alerts aktiv, Hardening-Standards implementiert
A.5.7 Threat Intel: IOC-Feeds in SIEM integriert, MITRE ATT&CK-basierte Detection Rules aktiv
Interne Audits: Mindestens jaehrlich, Ergebnisse dokumentiert, Nonkonformitaeten mit Massnahmenplan versehen
📚