Was benötige ich für eine ISO 27001 Zertifizierung?

ISO 27001 ist der weltweit anerkannte Standard für die Einführung, Umsetzung und Kontrolle eines unternehmensweiten Sicherheitsrahmens. Er definiert, wie Organisationen Informationen schützen, Risiken managen und Sicherheitsprozesse dokumentieren – strukturiert, nachvollziehbar und kontinuierlich überprüfbar. 

Doch ISO 27001 ist mehr als eine formale Anforderung. Unternehmen, die sich an diesem Standard orientieren, schaffen nachweisbares Vertrauen gegenüber Kunden, Partnern und Behörden. Sie zeigen, dass Informationssicherheit nicht dem Zufall überlassen, sondern integrierter Bestandteil der Unternehmensführung ist. 

Ein zentrales Element dabei ist die sichere Verwaltung von digitalen Identitäten, Zugriffsrechten und privilegierten Benutzerkonten. Hier liegt nicht nur das höchste Risiko – sondern auch das grösste Potenzial zur Effizienzsteigerung und Transparenz. 

Die ISO/IEC 27001 hat ihren Ursprung in Großbritannien. Sie wurde zunächst als BS 7799 durch das British Standards Institute entwickelt und später durch die ISO und IEC international normiert. Heute gilt sie als der weltweit führende Standard für Informationssicherheit in Organisationen – unabhängig von Branche, Grösse oder geografischem Standort. 

Obwohl ISO 27001 nicht rechtlich verpflichtend ist, hat sie sich in vielen Branchen längst zum De-facto-Standard etabliert – insbesondere dort, wo Kunden, Partner oder Regulierungsbehörden nachweisbare Sicherheitsprozesse erwarten. Gerade in Österreich besteht viel Nachholbedarf. Laut dem ISO Survey 2023 belegt Österreich mit nur 253 zertifizierten Organisationen Platz 37 im internationalen Vergleich. Darüber hinaus zeigt der ISO 27001 Statusreport 2024, dass 42 % der befragten österreichischen Unternehmen planen, in den nächsten zwei Jahren eine ISO 27001-Zertifizierung anzustreben. Damit möchte man zu Deutschland und der Schweiz aufschliessen. 

Gerade im deutschsprachigen Raum steht die ISO 27001 in enger Beziehung zum IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI). Während ISO 27001 risikobasiert und international ausgerichtet ist, verfolgt der BSI-Grundschutz einen modularen, katalogbasierten Ansatz mit starkem Praxisbezug.  

Wer eine ISO 27001 Zertifizierung anstrebt, muss zeigen, dass technische und organisatorische Massnahmen wirken – nicht nur auf dem Papier, sondern in der täglichen Praxis. Dabei stehen besonders folgende Punkte im Fokus:

Ein zentrales Kapitel im Standard ist die Zugriffskontrolle. Unternehmen müssen nachvollziehbar dokumentieren, wer worauf Zugriff hat, warum und wie lange. ISO 27001 verlangt: 

• eine konsistente Rollen- und Rechtevergabe 

• dokumentierte Vergabe- und Entzugsprozesse 

• regelmässige Überprüfungen der Zugriffskonten 

Ein modernes IAM-System (Identity & Access Management) automatisiert diese Aufgaben, senkt die Fehlerquote und stellt sicher, dass nur autorisierte Personen Zugang zu relevanten Informationen erhalten. Die so gewonnene Transparenz ist nicht nur prüfbar, sondern auch messbar. 

Administratoren, Entwickler, Systembetreuer – sie alle verfügen über erweiterte Rechte. Genau deshalb verlangt ISO 27001 besondere Schutzmechanismen für privilegierte Konten. Ein standardkonformes Berechtigungskonzept muss: 

• den Einsatz solcher Konten minimieren 

• temporäre Freigaben ermöglichen (z. B. bei Wartung) 

• Zugriffe protokollieren und ggf. überwachen 

Hier kommen PAM-Lösungen (Privileged Access Management) ins Spiel. Sie ergänzen klassische IAM-Funktionen um Session Recording, Just-in-Time-Rechte und Auditfähigkeit und sorgen dafür, dass selbst die mächtigsten Konten sicher, regelbasiert und transparent verwaltet werden. 

ISO 27001 verlangt nicht nur korrekte Zugriffsentscheidungen, sondern auch deren lückenlose Nachvollziehbarkeit. Das umfasst: 

• Protokolle über Anmeldungen und Zugriffe 

• Änderungsverläufe bei Rollen und Berechtigungen 

• vollständige Rechtestrukturen für alle Benutzer 

IAM-Systeme liefern automatisiert revisionssichere Logs und Reports. Diese können direkt in Audits vorgelegt oder in SIEM-Plattformen integriert werden. Damit wird nicht nur die technische Sicherheit erhöht, sondern auch der Prüfaufwand massiv reduziert. 

Ein einmal korrekt vergebener Zugriff kann im Zeitverlauf zum Risiko werden – etwa durch Positionswechsel, Projektenden oder veränderte Aufgaben. ISO 27001 fordert deshalb, dass Zugriffsrechte regelmässig überprüft und bestätigt werden. 

IAM-gestützte Re-Zertifizierungen ermöglichen automatisierte Prüfzyklen: Fachverantwortliche sehen alle aktiven Berechtigungen, erhalten Benachrichtigungen und müssen diese aktiv bestätigen oder anpassen. Fehlentwicklungen werden früh erkannt, bevor daraus Sicherheitslücken entstehen. 

Viele Anforderungen der ISO 27001 sind bewusst offen formuliert. Sie sollen zu individuellen, aber nachvollziehbaren Lösungen führen. Ein IAM-System bietet hier konkrete Metriken, zum Beispiel: 

• Anzahl aktiver Admin-Konten ohne Rezertifizierung 

• Zeitspanne zwischen Eintritt und Rechtevergabe 

• Anzahl verwaister oder doppelter Zugriffe 

• Einhaltung von Richtlinien (z. B. MFA, Passwortregeln) 

Diese Zahlen machen Sicherheit messbar – und helfen dem Management, Entscheidungen datenbasiert zu treffen. 

Mit der überarbeiteten Fassung ISO/IEC 27001:2022 wurde der Standard an moderne Bedrohungslagen, technische Entwicklungen und regulatorische Anforderungen angepasst. Besonders auffällig ist die Neustrukturierung des Anhangs A, der nun auf die 93 Informationssicherheitskontrollen der ISO/IEC 27002:2022 verweist – reduziert, konsolidiert und thematisch neu gruppiert. 

Stärker in den Fokus rücken seither: 

• Identitäts- und Zugriffsmanagement als durchgehendes Schutzziel 

• Cloud-Nutzung und SaaS-Risiken 

• Privilegierte Zugriffskontrollen und Benutzerverhalten 

• Monitoring und Logging auf hohem Automatisierungsniveau 

• sowie erstmals Threat Intelligence und Business Continuity als strukturierte Sicherheitsbereiche 

Unternehmen müssen heute also nicht nur dokumentieren, dass sie ihre Daten schützen, sondern auch beweisen, dass sie Risiken aktiv steuern, Benutzerzugriffe granular kontrollieren und auf Vorfälle vorbereitet sind. Genau hier greifen IAM- und PAM-Systeme als zentrale technische Antwort auf die verschärften Anforderungen der aktuellen ISO 27001-Version. 

Die Anforderungen der ISO 27001 lassen sich auf dem Papier durchaus auch organisatorisch durch Richtlinien, Excel-Listen und manuellen Prüfungen abbilden. Doch wer auf Dauer Transparenz, Effizienz und Nachvollziehbarkeit sicherstellen will, braucht dafür technische Unterstützung. 

Ohne ein durchdachtes Identity & Access Management (IAM) bleiben Benutzerrechte schwer kontrollierbar, Veränderungen unprotokolliert und Auditprozesse aufwendig. Und ohne Privileged Access Management (PAM) sind administrative Zugriffe kaum transparent steuerbar – ein Risiko, das keine Auditstelle durchwinkt. 

Nur mit der Kombination aus klaren Rollenmodellen, automatisierter Rechtevergabe, Re-Zertifizierungsmechanismen und auditierbarer Protokollierung wird ISO 27001 lebbar im operativen Alltag. IAM und PAM sind dafür keine „nice-to-have“-Werkzeuge – sie sind die Basis für eine erfolgreiche, nachhaltige Zertifizierung. Wer Sicherheit ernst nimmt, kommt an dieser technischen Grundlage nicht vorbei. 

Dieser Bericht beruht auf Expertenwissen. Für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.