Zum Inhalt springen

NIS2 & Standards

ISO 27001 strukturiert, was sonst chaotisch bleibt

ISO 27001 wirkt komplex, liefert aber das Gegenteil. Warum die Norm Cybersicherheit strukturiert, statt sie zu verkomplizieren — aus Auditoren-Sicht.

Wir hören es regelmäßig in Erstgesprächen: ISO 27001 sei zu komplex, zu groß, zu bürokratisch für eine mittelständische Struktur. Die Annahme ist verständlich. Sie ist auch falsch.

Was ISO 27001 tatsächlich tut, ist das Gegenteil von Komplexität. Sie strukturiert, was in den meisten Organisationen ohnehin chaotisch läuft.

Was die Norm wirklich liefert

Die ISO/IEC 27001 in der aktuellen Version 2022 verlangt im Kern drei Dinge. Eine Risikobeurteilung mit Methode, statt Bauchgefühl. Eine Auswahl an Maßnahmen aus dem Annex A — den 93 Controls in vier Themen, organisatorisch, personell, physisch, technologisch — begründet im Statement of Applicability. Und den Nachweis, dass diese Maßnahmen nicht nur eingeführt sind, sondern wirken.

Das ist kein Mehraufwand zur eigentlichen Sicherheitsarbeit. Das ist die Sicherheitsarbeit, in disziplinierter Form.

Warum „einfach” und „strukturiert” nicht das Gleiche sind

Die Verwechslung von „einfach” mit „unstrukturiert” ist verbreitet. Eine Organisation hat ein Backup-Tool, ein Patch-System, eine MFA-Lösung und eine ISMS-Policy, die vor zwei Jahren freigegeben wurde. Alles vorhanden, alles dokumentiert, alles gefühlt einfach.

Bis ein Auditor fragt: Welches Risiko deckt die MFA-Lösung bei euch ab? Wer prüft, ob das Backup-System die kritischen Systeme tatsächlich erfasst? Wann wurde die ISMS-Policy zuletzt gegen die aktuelle Risikobeurteilung gespiegelt? In dem Moment ist das vermeintlich Einfache eine Sammlung unverbundener Bausteine.

Was ein Auditor sieht

Wer Audits selbst durchführt, weiß, wo der Unterschied zwischen Tool-Sammlung und ISMS liegt. Das Statement of Applicability ist die zentrale Stelle, an der sich Disziplin zeigt. Welche Controls sind aus welchem Risiko begründet, welche bewusst ausgeschlossen, mit welcher Argumentation. Eine sehr häufige Findung sind Ausschlüsse, die in der Risikobehandlung nicht wiederzufinden sind. Genau das ist die Lücke zwischen einfach gemacht und strukturiert gemacht.

ISO 27001 zwingt nicht zu mehr Maßnahmen. Sie zwingt zu nachvollziehbaren Maßnahmen.

Fazit

Wer Cybersicherheit ohne ISMS macht, sammelt Tools und Dokumente, die voneinander nichts wissen. Wer sie mit ISMS macht, erkennt seine Lücken früher und schließt sie gezielter. Die Norm ist nicht der Komplexitätstreiber. Sie ist die Methode, die Komplexität wieder beherrschbar macht. Das verlangt mehr Disziplin als ein neues Tool zu kaufen — liefert aber etwas, das kein Tool-Stack je liefert: einen begründeten Stand.

Themen

Mehr aus „NIS2 & Standards"

Stilisierter EU-Sternenkreis mit NIS2-Headline — Symbolbild zur EU-Cybersecurity-Richtlinie.
NIS2 & Standards

NIS2 — was die Richtlinie für österreichische Unternehmen wirklich bedeutet

Eine Einordnung der NIS2-Anforderungen aus Sicht der Unternehmensführung — pragmatisch, ohne Buzzwords.

Weiterlesen
Vier gestapelte Aktendeckel, der oberste angehoben in Blau hervorgehoben
NIS2 & Standards

ISO 27001 ist kein Projekt, sondern Pflege

Wer ISO 27001 als Projekt mit Stichdatum behandelt, scheitert vorhersehbar. Warum die Norm einen kontinuierlichen Pflegezyklus statt eines Endpunkts braucht.

Weiterlesen
Drei Aktendeckel in unterschiedlichen Größen nebeneinander, der mittlere in Blau hervorgehoben
NIS2 & Standards

ISO 27001 ist auch für den Mittelstand machbar

ISO 27001 gilt als Großunternehmen-Standard. Falsch. Drei Hebel, mit denen mittelständische Organisationen die Norm pragmatisch und skalierbar einsetzen.

Weiterlesen

Erstgespräch

Sicherheit braucht ein Gegenüber, kein Tool.

Im 30-Minuten-Erstgespräch klären wir, wo Ihr Unternehmen steht und welcher nächste Schritt sinnvoll ist.

Termin vereinbaren Kontakt aufnehmen