LAGEBRIEFING · 11.07.2026 DEENFRES

Sicherheitslexikon

Was ist ISO 27001? Definition, Zertifikat und Abgrenzung

Von Benedikt Langer · 10. Juli 2026 · 5 Minuten Lesezeit

Was ist ISO 27001? ISO/IEC 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Sie legt Anforderungen fest, wie Organisationen Informationssicherheit planen, betreiben, überwachen und verbessern. Ein Zertifikat bescheinigt ein auditiertes Management-System und damit Prozessreife. Es ist kein Nachweis dafür, dass Systeme technisch nicht kompromittiert werden können. Die aktuelle Fassung ist ISO/IEC 27001:2022.

Das Wichtigste in Kürze

  • Geltungsbereich: internationale Norm für ein Informationssicherheits-Managementsystem (ISMS), zertifizierbar durch akkreditierte Auditoren.
  • Kern: das Zertifikat bescheinigt ein auditiertes Management-System und Prozessreife. Es ist kein Beweis für technische Unverwundbarkeit.
  • Treiber: Großkunden fordern das Zertifikat zunehmend von Zulieferern und prägen so die Lieferketten.

Was ISO 27001 konkret bedeutet

ISO/IEC 27001 ist die internationale Norm für ein Informationssicherheits-Managementsystem, kurz ISMS. Sie legt fest, wie eine Organisation Informationssicherheit systematisch plant, betreibt, überwacht und verbessert. Die Norm folgt dem Plan-Do-Check-Act-Zyklus und fordert eine risikobasierte Herangehensweise. Sie ist die weltweit am häufigsten genutzte Norm für ein ISMS und in vielen Branchen etabliert.

93 Controls

Annex A der Fassung ISO/IEC 27001:2022

vier Themenfelder statt 14 Kapitel

Die aktuelle Fassung ISO/IEC 27001:2022 hat den Annex A grundlegend überarbeitet. Die Kontrollmaßnahmen sind jetzt in vier Themenfelder gegliedert: organisatorische, personelle, physische und technologische Controls. Insgesamt umfasst Annex A 93 Controls. Die Übergangsfrist für Zertifikate nach der Vorgängerversion ISO/IEC 27001:2013 endete am 31. Oktober 2025. Wer heute zertifiziert ist oder ein neues Zertifikat anstrebt, bewegt sich auf der 2022er Fassung.

Was das Zertifikat wirklich aussagt

Das ISO-27001-Zertifikat ist ein Management-System-Zertifikat. Es bescheinigt, dass eine Organisation ein ISMS aufgebaut hat, das den Anforderungen der Norm entspricht und von einer unabhängigen, akkreditierten Stelle auditiert wurde. Geprüft wird die Prozessreife: Liegt eine Risikoanalyse vor? Sind die definierten Controls wirksam und wird das System regelmäßig überwacht?

Was das Zertifikat nicht bescheinigt, ist technische Unverwundbarkeit. Ein zertifiziertes Unternehmen kann dennoch von einem Angriff getroffen werden. Die Norm fordert ein systematisches Management von Risiken, kein festes Set spezifischer technischer Maßnahmen. ISMS-Sicherheit und Checklisten-Sicherheit sind unterschiedliche Dinge: Ein durchgeführtes Audit ist nicht mit einem Penetrationstest gleichzusetzen.

In der Praxis zeigt sich diese Lücke oft in Erwartungsbrüchen. Ein zertifiziertes Unternehmen kann von einem Zero-Day-Exploit getroffen werden oder Opfer eines Social-Engineering-Angriffs werden. Umgekehrt schützt eine perfekt konfigurierte Firewall wenig, wenn es keine dokumentierte Risikoanalyse und keine klaren Verantwortlichkeiten gibt.

Der Weg zum Zertifikat

Die Zertifizierung erfolgt in zwei Stufen. Das Stufe-1-Audit prüft die Dokumentation: Sind alle Bestandteile des ISMS vollständig beschrieben und mit den Anforderungen der Norm abgeglichen? Das Stufe-2-Audit prüft die Umsetzung vor Ort, mit Stichproben in Prozessen und Nachweisen.

Nach erfolgreichem Abschluss stellt die Zertifizierungsstelle das Zertifikat aus. Es ist drei Jahre gültig. In diesem Zeitraum finden jährliche Überwachungsaudits statt, die sicherstellen, dass das ISMS weiterhin den Anforderungen entspricht. Nach drei Jahren steht die Re-Zertifizierung an, die den Zyklus erneut eröffnet.

Abgrenzung zu verwandten Begriffen

Im deutschsprachigen Raum hat ISO 27001 zwei wichtige Bezugspunkte. Der erste ist BSI IT-Grundschutz. IT-Grundschutz ist der deutsche Weg zu einem ISMS und wird vom Bundesamt für Sicherheit in der Informationstechnik herausgegeben. Er ist mit ISO 27001 kompatibel und in vielen Punkten detaillierter. Ein kombiniertes Zertifikat ist möglich: ein ISO-27001-Zertifikat auf Basis einer IT-Grundschutz-Analyse. Wer sehr detaillierte Vorgaben benötigt, findet in IT-Grundschutz oft den direkteren Weg.

Der zweite Bezugspunkt ist NIS2. Die Richtlinie fordert von betroffenen Unternehmen ein Risikomanagement und Nachweise über dessen Wirksamkeit. ISO 27001 hilft beim Nachweis eines funktionierenden Risikomanagements. Die Norm ersetzt die gesetzliche Compliance aber nicht. Wer unter NIS2 fällt, muss die spezifischen Anforderungen des nationalen Umsetzungsgesetzes erfüllen. Das Zertifikat ist ein Baustein, kein automatischer Erfüllungsnachweis.

Warum Unternehmen das Zertifikat anstreben

Ein starker Treiber in der Praxis sind Lieferketten-Anforderungen. Große Kunden verlangen das ISO-27001-Zertifikat zunehmend von ihren Zulieferern, meist als Nachweis in Ausschreibungen und Lieferantenaudits. Wer kein Zertifikat vorlegen kann, verliert Aufträge oder erhält weniger attraktive Konditionen. Dieser B2B-Effekt wirkt tief in die Wertschöpfungskette.

Für IT-Leiter und CISOs ist das Zertifikat sowohl Schutz als auch Hebel. Es zwingt zu einer dokumentierten Risikoanalyse, klaren Verantwortlichkeiten und einem nachvollziehbaren Verbesserungsprozess. Gleichzeitig öffnet es Türen bei Ausschreibungen und in der Neukundenakquise. Wer es als operatives Steuerungsinstrument nutzt, bekommt einen Rahmen für nachweisbare Sicherheit.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Was ist ISO/IEC 27001:2022?

ISO/IEC 27001:2022 ist die aktuelle Fassung der Norm. Sie überarbeitet den Annex A und gliedert die Kontrollmaßnahmen in vier Themenfelder statt wie bisher in 14 Kapitel.

Bescheinigt ein ISO-27001-Zertifikat Sicherheit?

Nein. Das Zertifikat bescheinigt ein auditiertes Management-System und damit Prozessreife. Es ist kein Nachweis dafür, dass Systeme technisch nicht kompromittiert werden können.

Wie läuft eine ISO-27001-Zertifizierung ab?

Die Zertifizierung erfolgt in zwei Stufen: Stufe 1 prüft die Dokumentation, Stufe 2 die Umsetzung vor Ort. Das Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungsaudits und einer Re-Zertifizierung nach drei Jahren.

Verpflichtet NIS2 zur ISO-27001-Zertifizierung?

Nein. NIS2 fordert ein Risikomanagement, schreibt aber keine bestimmte Norm vor. ISO 27001 hilft beim Nachweis eines solchen Risikomanagements, ersetzt aber nicht die gesetzliche Compliance nach NIS2.

Wie unterscheidet sich ISO 27001 von BSI IT-Grundschutz?

BSI IT-Grundschutz ist der deutsche Weg zu einem ISMS und in vielen Punkten detaillierter. Beide Ansätze sind kompatibel. Ein ISO-27001-Zertifikat kann auf Basis einer IT-Grundschutz-Analyse ausgestellt werden.

Bildquelle: KI-generiert (Juli 2026)

Lesetipps der Redaktion

LesetippWas ist NIS2? Definition, Pflichten und HaftungLesetippWas ist der CRA? Pflichten für digitale ProdukteLesetippWas ist DORA? Definition, Pflichten und Fristen

Mehr aus dem MBF Media Netzwerk

MyBusinessFutureDie KI-Aufsicht in Deutschland hat jetzt eine AdresseDigital ChiefsCyber-Versicherung 2026: Prämien verdoppelt, Deckung halbiert, die Rechnung die kein CFO sehen will

Weiterführende Lektüre

Sicherheitslexikon · 10. Juli 2026

Was ist Phishing? Definition, Formen und Schutz

Phishing einfach erklärt: wie die Angriffe funktionieren, welche Formen es von Spear-Phishing bis Quishing gibt und warum Passkeys der wirksamste Schutz sind.

Ein Magazin der Evernine Media GmbH