Informationssicherheit nach ISO 27001

Informationssicherheit – als strategisches Fundament der digitalisierten Geschäftswelt.

Informationssicherheit strategisch umsetzen: Beratung zu ISO 27001, NIS2, KRITIS und Internem Kontrollsystem – wirksamer Schutz für Ihr Unternehmen.

In einer zunehmend digitalisierten Geschäftswelt wird Informationssicherheit zum entscheidenden Erfolgsfaktor für Unternehmen aller Größenordnung. Unternehmen stehen vor der Herausforderung, sensible Daten zu schützen, zahlreiche Compliance-Anforderungen zu erfüllen und dabei handlungsfähig und flexibel zu bleiben. Ein durchdachtes Informationssicherheitsmanagementsystem (ISMS) bildet dabei das Rückgrat einer robusten Sicherheitsstrategie. Es gewährleistet nicht nur den Schutz unternehmenskritischer Informationen, sondern schafft auch die Grundlage für Vertrauen bei Kunden, Partnern und Stakeholdern. Bei moderner Informationssicherheit geht es um mehr als nur technischer Schutz. Es handelt sich um ein strategisches Managementthema, das alle Ebenen einer Organisation durchdringt.

Kontaktieren Sie uns

Warum ist Informationssicherheit heute so wichtig?

Die Bedrohungslage verschärft sich kontinuierlich und Cyberangriffe werden immer ausgefeilter, zielgerichteter und alltäglicher. Gleichzeitig steigen regulatorische Anforderungen zum Betrieb von sicherer IT und kritischer Infrastruktur. Die Abhängigkeit von digitalen Prozessen und Infrastruktur wächst stetig.  

Ein funktionierendes ISMS stellt die drei Grundpfeiler der Informationssicherheit sicher – Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Dabei geht es nicht nur um technische Schutzmaßnahmen, sondern um einen ganzheitlichen Ansatz, der auch Aufbau- und Ablauforganisation sowie physische Aspekte umfasst.

Neben der wirtschaftlichen Notwendigkeit gibt es zahlreiche regulatorische Anforderungen die es zu erfüllen gilt. Regulatorische Anforderungen wie ISO 27001, KRITIS-Verordnung und NIS2 fordern von Unternehmen einen systematischen Ansatz zur Informationssicherheit

ISO 27001 – der internationale IT-Goldstandard

Die ISO 27001 bildet den weltweit anerkannten Standard für Informationssicherheitsmanagementsysteme (ISMS). Der Standard definiert Anforderungen für die Planung, Umsetzung, Überwachung und kontinuierliche Verbesserung eines ISMS. Mit der letzten Revision 2022 wurden die Kontrollziele überarbeitet und an aktuelle Bedrohungslagen angepasst. 

Wie alle modernen Managementstandards verfolgt auch die ISO 27001 einen risikobasierten Ansatz. Dies erlaubt es Organisationen, ihre Sicherheitsmaßnahmen gezielt auf die spezifischen Risiken und Anforderungen ihres Geschäftsumfelds auszurichten. Bei der Bestimmung der Relevanz und Wesentlichkeit bietet sich die Verknüpfung zu strategischen Zielen der Organisation sowie zu Methoden des Risikomanagement an. 

KRITIS-Verordnung

Betreiber Kritischer Infrastrukturen (KRITIS) unterliegen in Deutschland besonderen Anforderungen. Dazu gehören (Stand 2021) Energieversorgung, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und Lebensmitteleinzelhandel, Siedlungsabfallentsorgung, Finanz- und Versicherungswesen, Staat und Verwaltung sowie Medien und Kultur.
Das IT-Sicherheitsgesetz verpflichtet KRITIS-Betreiber zu organisatorischen und technischen Vorkehrungen nach dem Stand der Technik. Diese müssen alle zwei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden.

Zur Ordnungsgemäßen Erfüllung der Anforderungen gibt es zahlreiche Hilfen und Handreichungen z.B. durch das BSI 0der OpenKritis.

NIS2 – Erweiterte Cybersicherheit in der EU

Auch die NIS2 bzw. die in deutsches Recht überführende NIS2-Umsetzungsverordnung (nis2umsucg) betrifft zahlreiche Unternehmen und Sektoren. Die Umsetzungsverordnung liegt seit Juni 2025 im Referentenentwurf vor und umfasst zahlreiche „wichtige“ und „besonders wichtige“ Unternehmen und „kritische Analagen“. Schätzungsweise 42.000 Unternehmen fallen unter die neuen Regelungen (ab 250 Mitarbeitern oder 50 Mio. Umsatz). 
Zu den Anforderungen des NIS2 gehören umfassende Risikomanagementpflichten inkl. Betrachtung externer Abhängigkeiten sowie der Meldung von Sicherheitsvorfällen. 
Das Gesetz soll bis Ende 2025 in Deutschland in Kraft treten.  

Weitergehende Standards:

Darüber hinaus gibt es weitere informationssicherheitsorientierte Standards, die es je nach Branche und Unternehmensgröße zu beachten gilt. 

BSI IT Grundschutz: Spezifische Maßnahmen (200-1, 200-2 uns 200-3) und Umsetzungshilfe zur Absicherung von IT Systemen und Aufbau eines ISMS (ergänzend zu ISO 27001). Das BSI IT-Grundschutzkompendium enthält aktuell da 111 IT-Grundschutz-Bausteine, die unterschiedliche Themen der Informationssicherheit behandeln. 

 C5 Cloud Security Standard: Der C5 (Cloud Computing Compliance Criteria Catalogue) beschreibt Mindestanforderungen an sicherers Cloud Computing und richtet sich an professionelle Cloud Anbieter. 

TISAX – Automotive Informationssicherheit: Hierbei handelt es sich um einen speziell für die Automobilindustrie entwickelter Bewertungsmechanismus, der oftmals als Coraussetzung für die Zusammenarbeit mit Automobilindustrie gesehen wird. Die vier Module umfassen Informationssicherheit (Hauptmodul, basierend auf ISO 27001), Datenschutz (nach DSGVO), Prototypenschutz (branchenspezifisch) sowie Einbindung von Partnern in die IT-Infrastruktur. 

Es gibt also zahlreiche Anforderungen die sich ergänzen, überschneiden, manchmal aber sicherlich auch widersprüchliche Anforderungen enthalten. Die „Kunst“ liegt in der intelligenten Verzahnung zu einem unternehmensweiten und individuellen Informationssicherheits-Framework das nicht nur regulatorische Anforderungen erfüllt sondern auch wirksam kritische Prozesse absichert.  

Wie Lässt Sich ein Informationssicherheitsmanagement (ISMS) effektiv umsetzen? 

Nur mit einer systematischen und methodischen Verzahnung und Umsetzung ist die effiziente Umsetzung eines wirksamen ISMS möglich. Hierbei gilt über die unterschiedlichen Bereiche und Verantwortlichkeiten zusammenzuarbeiten, um Synergien zu nutzen und Redundanzen zu vermeiden. Dies betrifft insbesondere die Disziplinen Informationssicherheit, Notfallmanagement und Risikomanagement.


Die erfolgreiche Implementierung eines integrierten Informationssicherheitsmanagementsystems beginnt mit einer sauberen Schaffung von Grundlagen. Es gilt zusammen mit der Geschäftsleitung zu klären, was die Ziele der Informationssicherheitspolitik sind und welches Rollenverständnis der Umsetzung zugrunde liegen soll (z.B. Methodengeber, Spezialist, Umsetzungsverantwortlicher). Nur mit einer einheitlichen Governance können Verantwortlichkeiten, Eskalationswege und Entscheidungsprozesse übergreifend definiert und aufeinander abgestimmt werden.

Ein gemeinsamer Ansatz zur Bewertung von operativen und compliancerelevanten Risiken kann helfen, unter Beachtung von Ressourcenknappheit und oftmals vielfältigen Aufgaben der beteiligten Personen, die wichtigsten Dinge „risikoorientiert“ anzugehen. 

Zwecks pragmatischer Umsetzung hilft es, Anforderungen aus verschiedenen Standards mit gleichen Kontrollen zu erfüllen. Viele Standards überschneiden sich in ihren grundlegenden Anforderungen, sodass intelligente Mapping-Ansätze erhebliche Effizienzgewinne ermöglichen. Kontrollen werden so gestaltet, dass sie mehrere Zielsetzungen gleichzeitig erfüllen. Eine Zugriffskontrolle kann beispielsweise gleichzeitig IKS-Anforderungen (Segregation of Duties), ISMS-Anforderungen (Access Control) und BCM-Anforderungen (Verfügbarkeit) erfüllen.

Das Berichtswesen sollte konsolidiert gestaltet werden, um isolierte Sichtweisen und widersprüchliche Berichte zu vermeiden. Kennzahlen und Indikatoren werden aufeinander abgestimmt und in Managemetn Dashboards dargestellt. 

Der Weg zu einem erfolgreichen Informationssicherheitsmanagementsystem (ISMS)

Schritt 1: Schaffung organisatorischer Rahmen (Plan)

Im ersten Schritt werden in Abstimmung und getrieben von der Geschäftsleitung (tone-from-the top) die Grundlagen für das Projekt geschaffen.

  • Wie sieht unsere Informationssicherheitsstrategie aus? Abgleich mit den Unternehmenszielen und -strategie. 
  • Welche gesetzlichen Anforderungen können/ müssen wir erfüllen und wer kann uns bei der Interpretation der Anforderungen helfen?
  • Was gibt es schon im Unternehmen und wie können bestehende Initiativen eingebunden werden? 
  • Wer ist verantwortlich für Methode, Ausgestaltung und Umsetzung?
  • Wollen wir den Scope eingrenzen und welche Teile des Unternehmens sollen heute und zukünftig betrachtet werden?
Schritt 2: Systematische Risikoanalyse (Bewertung)

In Zusammenarbeit zwischen Risikomanagement, Compliance und IT werden die wesentlichen rechtlichen und operativen Risiken und Gefährdungen ermittelt. Mit Blick auf Gefährdungen der IT liefert auch hier der Grundschutzkatalog des Bundesamt für die Sicherheit in der Informationstechnologie (BSI) eine gute Hilfestellung.

  • Welche Prozesse sind kritisch und welche Assets werden für die durchführung der Prozesse benötigt? 
  • Wer ist Zuständigkeiten für Prozesse und Assets? 
  • Welche Gefahren und Gefährdungsszenarien sind relevant?
  • Welche Maßnahmen sind bereits implementiert?
  • Wo liegen „gaps“ zum aktuellen Stand der Technik ?
Schritt 3: Umsetzung (Do)

Im Anschluss an die Risikoanalyse werden Pläne für relevante Gefährdungs- und Bedrohungs-Szenarien erstellt. Systeme zur Detektion werden etabliert und präventive sowie reaktive Maßnahmen werden ausgestaltet. Hierbei können zahlreiche Umsetzungsstandards ISO 27001, ISO 27002, ISO 27005, IT-Grundschutzkompendium oder andere Handreichungen und Mappings (z.b. Openkritis) genutzt werden. 

  • Welche Assets haben wir, wie ist der Schutzbefarf und wer ist verantwortlich?  
  • Welche Kontrollziele gibt es und mit welchen Kontrollen können die Ziele erreicht werden?  
  • Können wir bestehende Kontrollen zu unterschiedlichen Anforderungen mappen um Redundanzen zu vermeiden? 
  • Wer ist für die Umsetzung, test od design (TOD) und test of effectiveness (TOE) verantwortlich?  
  • Sind alle Abläufe, Verantwortlichkeiten dokumentiert und in Richtlinien/ Policies geregelt?  
  • Sind alle Mitarbeiter des Unternehmens auf Informationssicherheit sensibilisiert?  


Schritt 4: Überwachung und Verbesserung (Check+Act))

Kontrollen und Maßnahmen müssen allen Beteiligten bekannt und kommuniziert sein. Die Umsetzung gilt es durch organisatorische und technische Maßnahmen zu überwachen.  

  • Sind alle Maßnahmen umgesetzt und getestet?
  • Wo sind Lücken im System?
  • Welche Incidents gab es in der zurückliegenden Periode und wie können diese durch zusätzliche Maßnahmen vermieden werden? 

Zur Dokumentation der sauberen Umsetzung sind Zertifizierungen z.B. gem ISO 27001 anzustreben und umzusetzen. 

Informationssicherheit- Der Weg zu sicheren Informationen

Unsere Erfahrungen

Mit unserer Erfahrung unterstützen wir Sie gezielt dabei, Informationssicherheitsmanagement praktikabel zu gestalten und unternehmensweit umzusetzen. So bleibt ihr Unternehmen sicher und geschützt 

Entwicklung und Einführung weltweiter Systeme für Informationssicherheit

Analyse kritischer IT Assets und deren Schutzbedarf 

Bewertung unterschiedlicher Informationssicherheitsrisiken

Kritikalitätskriterien definieren

Mapping von Kontrollen zu unterschiedlichen Standards

Auswahl der richtigen
ISMS/ ICS Lösung

Vereinbaren Sie einen Gesprächstermin

Zum Kontaktformular
Adressdaten
  • Ludwigstrasse 11
    74906 Bad Rappenau
Kontaktdaten
  • +49 7268 960 65 59
  • info@schuergs.de
Register
  • Handelsregister: HRB 772945
    Registergericht Stuttgart
  • Steuernummer: 65203/49878
    USt.-ID: DE330353809
  • vertreten durch: Steffen Schürg
Datenschutzerklärung
© 2025 INRI Management Consulting GmbH.