Wichtige internationale Standards im Überblick

Standards sind konzentriertes Fachwissen von Menschen, die tiefe Kenntnisse in ihrer Branche haben und die Anforderungen der Organisationen verstehen, die sie vertreten: Hersteller, Lieferanten, Auftraggeber, Nutzer, Berufsverbände und Behörden. Auf Grundlage dieses gemeinsamen Erfahrungswissens entstehen Normen und Anforderungen, die helfen, systematischer und erfolgreicher zu arbeiten.

Entdecken Sie einige der bekanntesten und verbreitetsten Standards, sowie solche, die aktuelle Herausforderungen und Veränderungen adressieren und uns alle betreffen.

ISO 9001:2015 – Qualitätsmanagementsysteme

ISO 9001:2015 ist eine weltweit anerkannte Norm, die Anforderungen an ein Qualitätsmanagementsystem (QMS) definiert. Sie ist Teil der ISO 9000-Familie und beschreibt Grundsätze sowie bewährte Praktiken für ein wirksames Qualitätsmanagement in Organisationen jeder Größe und Branche – ob Bildungseinrichtung, Handwerksbetrieb, Online-Akademie, Beratungsunternehmen oder Dienstleister. ISO 9001:2015 bietet einen Rahmen, um die Qualität von Produkten und Dienstleistungen dauerhaft sicherzustellen und die Zufriedenheit von Kundinnen und Kunden gezielt zu erhöhen.

Die Implementierung von ISO 9001:2015 bedeutet, dass Ihre Organisation systematische Prozesse etabliert hat, diese kontinuierlich überprüft und optimiert – und dass Ihre Mitarbeiterinnen und Mitarbeiter geschult sind, um zuverlässig und konsistent hochwertige Ergebnisse zu liefern.

Was ist ISO 9001:2015?

Warum ist ISO 9001:2015 wichtig?

Mit mehr als einer Million ausgestellten Zertifikaten in 189 Ländern ist ISO 9001:2015 der weltweit am häufigsten angewendete Standard für Qualitätsmanagementsysteme. Dies liegt daran, dass die Norm auf sieben grundlegenden Qualitätsmanagemantsprinzipien basiert – darunter Kundenorientierung, Mitarbeiterengagement und kontinuierliche Verbesserung.

ISO 9001:2015 ist der einzige Standard dieser Familie, für den eine Zertifizierung möglich ist (wobei diese nicht obligatorisch ist). Unternehmen aller Größen und Branchen nutzen ihn, um ihre internen Abläufe zu strukturieren, Fehler zu minimieren und langfristig wettbewerbsfähig zu bleiben.

Vorteile für Ihr Business

Vertrauen und Kundenzufriedenheit
Der Standard garantiert, dass Ihre Organisation zuverlässige Qualitätskontrollprozesse implementiert hat. Dies führt zu erhöhtem Vertrauen bei Kundinnen und Kunden sowie zu einer nachweisbaren Steigerung der Zufriedenheit.

Effektives Beschwerdemanagement
ISO 9001:2015 bietet klare Vorgaben für die strukturierte Bearbeitung von Kundenreklamationen. Probleme werden schneller identifiziert und zufriedenstellend gelöst – was Kundenbeziehungen stärkt.

Prozessoptimierung und Kosteneinsparungen
Der Standard hilft dabei, Ineffizienzen zu erkennen und zu beheben, Verschwendung zu reduzieren und Abläufe zu optimalisieren. Dies führt zu messbaren Einsparungen und besseren Ergebnissen bei gleichen oder niedrigeren Kosten.

Kontinuierliche Verbesserungskultur
Durch regelmäßige Audits und systematische Überprüfungen, die ISO 9001:2015 vorschreibt, entwickelt sich eine Kultur der ständigen Optimierung. Ihre Organisation bleibt innovativ, reagiert auf Veränderungen und arbeitet langfristig erfolgreicher.

Mitarbeitermotivation
Wenn Prozesse klar definiert sind und Ziele transparent kommuniziert werden, steigt das Engagement der Mitarbeiterinnen und Mitarbeiter. Sie verstehen ihre Rolle und können besser zur gemeinsamen Mission beitragen.

Wettbewerbsvorteil
Eine ISO 9001:2015-Zertifizierung signalisiert Kundinnen, Kunden und Partnern professionelle Standards. Dies kann ein Unterscheidungsmerkmal im Markt sein und neue Geschäftsmöglichkeiten eröffnen.

Zusammenfassung der wichtigsten Vorteile

• ✓ Erhöhtes Kundenvertrauen und -zufriedenheit

• ✓ Sichere und nachvollziehbare Qualitätskontrolle

• ✓ Kostenersparnis durch Prozessoptimierung

• ✓ Kultur der kontinuierlichen Verbesserung

• ✓ Klare, dokumentierte Abläufe für alle Mitarbeiterinnen und Mitarbeiter

• ✓ Wettbewerbsvorteil und Marktpräsenz

Für wen ist ISO 9001:2015 relevant?

• ISO 9001:2015 ist branchenübergreifend anwendbar und relevant für:

  • Bildungseinrichtungen (Schulen, Universitäten, Online-Akademien, Trainingsanbieter)

  • Handwerk und Produktion (Werkstätten, Manufakturen, Kunsthandwerk)

  • Dienstleistungsunternehmen (Consulting, Coaching, Beratung)

  • Kreative und künstlerische Bereiche (Kunstschulen, Ateliers, Online-Kurse)

  • Digitale und Online-Angebote (E-Learning, Webinare, Online-Kurse, virtuelle Schulungen)

  • Gesundheit und Wellness (Trainingsangebote, Kurse, therapeutische Dienstleistungen)

  • Kleinbetriebe und Startups (ISO 9001:2015 ist auch für kleine Organisationen skalierbar)

Wie unterstützt EAS™ Sie bei ISO 9001:2015?

Der European Attestation Standard™ (EAS™) orientiert sich an den Grundprinzipien von ISO 9001:2015 und wendet diese auf Online-Dienstleistungen und digitale Bildungsangebote an. EAS™ stellt sicher, dass Ihre Online-Akademie, Ihr Kurs oder Ihr digitales Angebot denselben hohen Qualitätsstandards entspricht, die ISO 9001:2015 definiert – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

• Ihre Prozesse systematisieren und dokumentieren

• Die Qualität Ihrer digitalen Angebote nachweislich verbessern

• Das Vertrauen Ihrer Lernenden oder Kundinnen und Kunden stärken

• Ihre Angebote kontinuierlich optimieren

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

ISO 29993:2017 – Lerndienstleistungen außerhalb formaler Bildung – Dienstleistungsanforderungen

(Learning services outside formal education – Service requirements)

ISO 29993:2017 ist eine weltweit anerkannte Norm, die speziell für Lerndienstleistungen außerhalb formaler Bildungssysteme entwickelt wurde. Das bedeutet: Sie richtet sich nicht an staatliche Schulen oder Universitäten, sondern an alle, die Lernangebote unabhängig anbieten – ob Online-Akademien, private Trainingsinstitute, Coaches, Kursanbieter, Kreativ-Studios oder Wellness-Trainer.

Die Norm definiert klare Anforderungen an die Gestaltung, Durchführung und Bewertung von Lerndienstleistungen. Sie hilft Anbietern dabei, ihre Kurse systematisch zu planen, transparent zu kommunizieren und kontinuierlich zu verbessern. Dabei spielt es keine Rolle, ob Sie Yoga-Kurse, Online-Sprachtrainings, Kunstworkshops, Business-Coachings oder Näh-Tutorials anbieten – ISO 29993:2017 gibt Ihnen die Struktur, um professionell und glaubwürdig aufzutreten.

Die Implementierung von ISO 29993:2017 zeigt Ihren Lernenden, dass Sie Ihre Dienstleistungen nach international anerkannten Standards gestalten, ihre Bedürfnisse ernst nehmen und kontinuierlich an der Verbesserung Ihrer Angebote arbeiten.

Was ist ISO 29993:2017?

Warum ist ISO 29993:2017 wichtig?

In einer Zeit, in der Online-Lernen und private Weiterbildungsangebote boomen, suchen Lernende nach Orientierung und Qualitätssicherheit. ISO 29993:2017 ist der erste internationale Standard, der speziell für den nicht-formalen Bildungssektor entwickelt wurde. Er wird weltweit von Trainingsanbietern, E-Learning-Plattformen, Coaches und privaten Bildungseinrichtungen genutzt.

Die Norm stellt sicher, dass Lerndienstleister:

• Klare Lernziele definieren und transparent kommunizieren

• Qualifizierte Lehrende oder Trainer einsetzen

• Lernmaterialien und -methoden systematisch planen und bereitstellen

• Feedback-Mechanismen etablieren, um die Qualität kontinuierlich zu verbessern

• Kundenservice und Support professionell gestalten

Für Lernende bedeutet dies: Sie können sich darauf verlassen, dass ein nach ISO 29993:2017 ausgerichtetes Angebot professionell geplant, transparent kommuniziert und auf ihre Bedürfnisse zugeschnitten ist.

Vorteile für Ihr Business

Vertrauen und Glaubwürdigkeit
ISO 29993:2017 signalisiert Ihren Lernenden, dass Sie nach international anerkannten Standards arbeiten. Dies erhöht das Vertrauen und macht Ihr Angebot attraktiver – besonders in einem wettbewerbsintensiven Markt.

Klare Struktur für Ihre Angebote
Die Norm hilft Ihnen, Ihre Kurse und Trainings systematisch zu planen: von der Definition der Lernziele über die Auswahl der Methoden bis zur Bewertung der Lernergebnisse. Das spart Zeit und verhindert Missverständnisse.

Bessere Kundenzufriedenheit
Durch transparente Kommunikation, klare Erwartungen und systematisches Feedback verbessern Sie die Erfahrung Ihrer Lernenden – was zu höherer Zufriedenheit und besseren Bewertungen führt.

Kontinuierliche Verbesserung
ISO 29993:2017 fordert regelmäßige Evaluationen und Anpassungen. Dies ermöglicht es Ihnen, auf Feedback zu reagieren, Ihre Angebote weiterzuentwickeln und langfristig erfolgreich zu bleiben.

Professionelles Marketing
Die Ausrichtung an ISO 29993:2017 ist ein überzeugendes Argument in Ihrer Kommunikation. Sie können potenziellen Kundinnen und Kunden zeigen, dass Sie Qualität ernst nehmen und professionell arbeiten.

Zugang zu neuen Märkten
Viele Organisationen und Unternehmen verlangen von ihren Trainingsanbietern Nachweise über Qualitätsstandards. ISO 29993:2017 kann Ihnen Türen öffnen und neue Geschäftsmöglichkeiten schaffen.

Zusammenfassung der wichtigsten Vorteile

• ✓ Erhöhtes Vertrauen und Glaubwürdigkeit bei Lernenden

• ✓ Systematische Planung und Durchführung von Lernangeboten

• ✓ Transparente Kommunikation von Lernzielen und -inhalten

• ✓ Bessere Kundenzufriedenheit durch klare Erwartungen

• ✓ Kontinuierliche Verbesserung durch Feedback-Mechanismen

• ✓ Professionelles Auftreten und Wettbewerbsvorteil

• ✓ Zugang zu Unternehmen und Organisationen mit Qualitätsanforderungen

Für wen ist ISO 9001:2015 relevant?

ISO 29993:2017 ist speziell für nicht-formale Lerndienstleister konzipiert und relevant für:

• Online-Akademien und E-Learning-Plattformen (Kurse zu allen Themen)

• Coaches und Berater (Business-Coaching, Life-Coaching, Karriereberatung)

• Fitness- und Wellness-Trainer (Yoga, Pilates, Meditation, Ernährung)

• Kreative Anbieter (Mal- und Zeichenkurse, Musikunterricht, Handwerksworkshops, Näh- und Strickkurse)

• Sprachtrainer und Nachhilfeinstitute

• Fachliche Weiterbildungsanbieter (IT-Trainings, Marketing-Kurse, Finanzberatung)

• Hobby- und Freizeitkurse (Koch-Workshops, Gartenbau, Fotografie)

• Corporate Training-Anbieter (interne Schulungen für Unternehmen)

Wie unterstützt EAS™ Sie bei ISO 29993:2017?

Der European Attestation Standard™ (EAS™) orientiert sich an den Grundprinzipien von ISO 29993:2017 und wendet diese gezielt auf Online-Lerndienstleistungen und digitale Bildungsangebote an. EAS™ stellt sicher, dass Ihre Online-Kurse, Webinare oder virtuellen Trainings denselben hohen Qualitätsstandards entsprechen, die ISO 29993:2017 definiert – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

• Ihre Lernziele klar definieren und transparent kommunizieren

• Ihre Kursinhalte systematisch strukturieren

• Feedback-Mechanismen etablieren und kontinuierlich verbessern

• Das Vertrauen Ihrer Lernenden stärken

• Ihre Angebote professionell präsentieren und erfolgreich vermarkten

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

Was deckt ISO 29993:2017 ab?

Die Norm umfasst folgende Kernbereiche:

1. Bedarfsanalyse und Zielgruppenbestimmung – Wer sind Ihre Lernenden und was brauchen sie?

2. Gestaltung des Lernangebots – Lernziele, Inhalte, Methoden, Materialien

3. Bereitstellung der Dienstleistung – Durchführung, Lehrpersonal, technische Infrastruktur

4. Bewertung und Feedback – Evaluation der Lernergebnisse und Zufriedenheit

5. Kontinuierliche Verbesserung – Anpassung basierend auf Feedback und Erfahrungen

Marketing und Kommunikation – Transparente und ehrliche Darstellung des Angebots

ISO 29994:2021 – Bildungs- und Lerndienstleistungen – Anforderungen an Fernunterricht

(Education and learning services – Requirements for distance learning)

ISO 29994:2021 ist eine weltweit anerkannte Norm, die spezialisierte Anforderungen an Fernlerndienstleistungen (auch E-Learning oder Online-Lernen genannt) definiert. Sie wurde entwickelt, um die Qualität von Lernangeboten zu sichern, die räumlich und zeitlich räumlich getrennt zwischen Lehrenden und Lernenden stattfinden.

Die Norm bezieht sich auf jede Form von Fernunterricht: Online-Kurse, digitale Schulungen, E-Learning-Plattformen, mobile Lernprogramme, Live-Webinare mit Aufzeichnungen, oder auch reine Online-Akademien. Sie gilt für Organisationen jeglicher Größe, die Fernlerndienstleistungen anbieten – unabhängig davon, ob sie als Hauptgeschäft oder Ergänzung zu anderen Unterrichtsformen fungieren.

ISO 29994:2021 behandelt alle spezifischen Anforderungen, die sich aus der Distanz und Technologie ergeben: technische Infrastruktur, digitale Lernumgebungen, virtuelle Unterstützung durch Lehrende, Assessment im Online-Format, und die Bewertung von Lernfortschritt in der Ferne. Sie ergänzt ISO 29993:2017 (Allgemeine Anforderungen an Lerndienstleistungen außerhalb formaler Bildung) und kann zusammen mit dieser implementiert werden.

Was ist ISO 29994:2021?

Warum ist ISO 29994:2021 wichtig?

Besonders seit der Verbreitung von Online-Lernen und digitaler Bildung ist der Bedarf an Qualitätsstandards für Fernlerndienstleistungen enorm gestiegen. ISO 29994:2021 wurde 2021 eingeführt, um Lernenden und Auftraggebern Klarheit zu geben: Woran erkenne ich einen seriösen Online-Kurs? Was sind die Qualitätsmerkmale eines guten Fernunterrichts?

Die Norm setzt an den spezifischen Herausforderungen von Online-Lernen an:

• Technische Barrieren: Nicht jeder hat zuverlässigen Internet-Zugang oder die richtige Ausrüstung – die Norm fordert Transparenz hierzu.

• Isolation: Bei Fernunterricht kann sich der Lernende isoliert fühlen – die Norm schreibt vor, dass es Unterstützungsmechanismen gibt.

• Qualitätskontrolle: Ohne physische Präsenz ist es schwerer, die Qualität zu überwachen – ISO 29994:2021 definiert systematische Überwachungsprozesse.

• Assessment und Feedback: Online-Leistungsbewertung ist komplexer – die Norm fordert faire und transparente Bewertungsmethoden.

Mit ISO 29994:2021 stellen Fernlerndienstleister sicher, dass ihre Angebote den gleichen hohen Standards entsprechen wie Präsenz-Trainings – und oft sogar besser dokumentiert und transparenter sind.

Vorteile für Ihr Business

Technische Zuverlässigkeit und Zugang
Die Norm stellt sicher, dass Ihre technische Plattform benutzerfreundlich, sicher und für alle zugänglich ist (auch für Menschen mit besonderen Bedürfnissen). Dies reduziert Frustrationen und erhöht die Abschlussquoten.

Transparenz schafft Vertrauen
ISO 29994:2021 fordert, dass Sie vor der Anmeldung alle technischen Anforderungen, Systemvoraussetzungen und benötigten Fähigkeiten klar kommunizieren. Potenzielle Lernende wissen genau, worauf sie sich einlassen – keine bösen Überraschungen, mehr Vertrauen.

Bessere Lernbetreuung
Die Norm verlangt, dass Fernlernende Unterstützung durch Lehrende oder Support-Fachleute erhalten – schnelle Antwortzeiten, regelmäßiges Feedback, und erreichbare Ansprechpartner. Dies verhindert Isolation und Abbrüche.

Qualitätsvolle Online-Inhalte
ISO 29994:2021 fordert, dass Inhalte speziell für Online-Formate gestaltet sind: Interaktive Elemente, multimediale Ressourcen (Video, Animation, Grafiken), angepasste Lernpfade und adaptive Technologien. Dies führt zu besseren Lernergebnissen.

Faire und klare Bewertungen
Die Norm definiert, wie Leistungen online bewertet werden müssen – fair, nachvollziehbar und mit regelmäßigem Feedback. Lernende sehen klar, wie sie vorankommen und was sie noch verbessern müssen.

Kontinuierliche Verbesserung durch Daten
Digitale Plattformen erfassen automatisch Lernfortschritt, Verweildauer, Engagement und Schwierigkeitsstellen. ISO 29994:2021 fordert, dass Sie diese Daten nutzen, um Ihre Kurse ständig zu optimieren.

Wettbewerbsvorteil im digitalen Bildungsmarkt
Mit ISO 29994:2021-Ausrichtung können Sie sich von Mitbewerbern unterscheiden und ein Qualitätssiegel kommunizieren – besonders wichtig in einem Markt, der von unseriösen oder schlecht gestalteten Online-Kursen überflutet wird.

Zusammenfassung der wichtigsten Vorteile

• ✓ Technische Zuverlässigkeit und benutzerfreundliche Plattformen

• ✓ Vollständige Transparenz über Anforderungen und Voraussetzungen

• ✓ Persönliche Unterstützung und schnelle Rückmeldungen auch online

• ✓ Hochwertig gestaltete Online-Inhalte und interaktive Elemente

• ✓ Fair und transparent durchgeführte Online-Bewertungen

• ✓ Datengestützte kontinuierliche Verbesserung

• ✓ Erhöhtes Vertrauen und bessere Abschlussquoten

Für wen ist ISO 29994:2021 relevant?

ISO 29994:2021 ist speziell für Fernlerndienstleister entwickelt und relevant für:

• Online-Akademien und E-Learning-Plattformen (alle Themenbereiche)

• Webgestützte Trainingsanbieter (Corporate Training, Berufliche Weiterbildung)

• Coaching-Programme im Online-Format (Business-Coaching, Persönlichkeitsentwicklung, Life-Coaching online)

• Online-Fitness und Wellness (Yoga-Kurse, Pilates, Meditationen, Online-Ernährungsprogramme)

• Kreative Online-Kurse (Malen, Zeichnen, Musik, Nähen, Handwerk, Fotografie – alles im Online-Format)

• Sprachtraining online (Sprachkurse, Nachhilfe per Videokonferenz)

• Fachliche Online-Schulungen (IT, Marketing, Finanzen, technisches Wissen – vollständig digital)

• Hybrid-Modelle (Unternehmen und Organisationen, die sowohl Präsenz- als auch Online-Trainings anbieten)

• Mobile und asynchrone Lernprogramme (Kurse, die zeitlich flexibel absolviert werden können)

• Virtuelle Hochschulen und Online-Universitäten (soweit nicht formale Bildung)

Wie unterstützt EAS™ Sie bei ISO 29994:2021?

Der European Attestation Standard™ (EAS™) orientiert sich an den Grundprinzipien von ISO 29994:2021 und stellt sicher, dass Ihre Online- und Fernlerndienstleistungen denselben hohen Qualitätsstandards entsprechen, die die Norm definiert – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

• Ihre Online-Plattform und Technologie optimieren und benutzerfreundlich gestalten

• Technische Anforderungen transparent kommunizieren

• Online-Inhalte systematisch für digitales Lernen aufbereiten

• Online-Betreuung und Support professionell strukturieren

• Fair und sicher Online-Bewertungen durchführen

• Lernfortschritt durch Daten überwachen und kontinuierlich verbessern

• Vollständige Transparenz und Vertrauenswürdigkeit gegenüber Lernenden demonstrieren

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

Was deckt ISO 29994:2021 spezifisch ab?

Im Gegensatz zu ISO 29993:2017, das allgemeine Anforderungen an alle Lerndienstleistungen außerhalb formaler Bildung stellt, konzentriert sich ISO 29994:2021 auf die Spezialitäten von Fernunterricht:

1. Technische Infrastruktur

• Plattformen müssen benutzerfreundlich, sicher und zuverlässig sein

• Einfacher und sicherer Zugang für Lernende und Lehrende

• Automatische Erfassung von Lernfortschritt und Engagement-Daten

2. Technische Anforderungen für Lernende

• Klare Vorgaben über notwendige Ausrüstung (Computer, Internetgeschwindigkeit, Software)

• Unterstützung von verschiedenen Geräten (Desktop, Tablet, Mobiltelefon)

• Beratung und Support bei technischen Problemen

3. Gestaltung für Online-Format

• Inhalte müssen speziell für digitales Lernen aufbereitet sein

• Multimediale Elemente (Videos, Animationen, Grafiken)

• Interaktive Komponenten und Aktivitäten

• Adaptive Lernpfade, die sich an den Fortschritt anpassen

• Barrierefreie Gestaltung für Menschen mit Behinderungen

4. Online-Unterstützung und Betreuung

• Verfügbarkeit von Lehrenden für Fragen und Feedback

• Definierte Antwortzeiten für Support-Anfragen

• Virtuelle Sprechstunden oder Gruppen-Sessions

• Learning-Support-Tools und Ressourcen

5. Online-Assessment (Prüfungen und Bewertungen)

• Faire und sichere Prüfungsformate online

• Prävention von Betrug und Manipulation

• Zeitnahe und konstruktive Rückmeldung zu Leistungen

• Dokumentation von Lernfortschritt

6. Überwachung und Evaluation

• Systematische Nutzung von Plattformdaten zur Qualitätskontrolle

• Analyse von Abbruchquoten und Lernfortschritt

• Regelmäßige Umfragen und Feedback-Mechanismen

• Anpassung von Inhalten basierend auf Erkenntnissen

ISO/IEC 27000:2018 – Informationssicherheits-Managementsysteme – Überblick und Begriffe

(Information security management systems – Overview and vocabulary)

ISO/IEC 27000:2018 ist die Einführung und das Glossar der gesamten ISO/IEC 27000-Standardfamilie für Informationssicherheit. Sie wurde entwickelt, um eine einheitliche Grundlage für das Verständnis von Informationssicherheits-Managementsystemen (ISMS) zu schaffen und sicherzustellen, dass alle Beteiligten – unabhängig von ihrer fachlichen Herkunft – dieselben Begriffe verwenden und verstehen.

Die Norm erklärt grundlegende Konzepte wie:

• Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit)

• ISMS (Information Security Management System)

• Risikomanagement (Bedrohungen, Schwachstellen, Risikobewertung)

• Kontrollen (Maßnahmen zur Risikominderung)

• Incident Management (Vorfälle, Reaktion, Wiederherstellung)

ISO/IEC 27000:2018 ist keine Zertifizierungsnorm – sie dient ausschließlich als Orientierungs- und Nachschlagewerk. Sie bildet das Fundament für alle anderen Standards der 27000-Familie, insbesondere:

• ISO/IEC 27001 (Anforderungen an ISMS – zertifizierbar)

• ISO/IEC 27002 (Praktische Sicherheitskontrollen)

• ISO/IEC 27005 (Risikomanagement)

Ohne ein gemeinsames Verständnis dieser Begriffe entstehen Missverständnisse, Fehlinterpretationen und ineffiziente Prozesse. ISO/IEC 27000:2018 löst dieses Problem, indem sie eine klare, international anerkannte Terminologie bereitstellt.

Was ist ISO/IEC 27000:2018?

Warum ist ISO/IEC 27000:2018 wichtig?

In einer Zeit, in der Cyberangriffe, Datenlecks und Informationssicherheitsvorfälle täglich Schlagzeilen machen, ist eine gemeinsame Sprache entscheidend. Unterschiedliche Abteilungen, externe Berater, Auditorinnen und internationale Partner müssen effektiv kommunizieren können, um Sicherheitsrisiken zu verstehen und zu bewältigen.

ISO/IEC 27000:2018 schafft diese Grundlage:

• Für IT-Fachleute: Klare Definitionen technischer Konzepte (z.B. Authentifizierung, Zugriffskontrolle, Schwachstellen)

• Für Management und Geschäftsführung: Verständliche Erklärungen von Governance, Risiko und Compliance-Anforderungen

• Für Auditorinnen und Beraterinnen: Einheitliche Terminologie für Zertifizierungen und Assessments

• Für Datenschutzbeauftragte: Abgrenzung zwischen Datenschutz und Informationssicherheit

Die Norm verhindert "Turmbau zu Babel"-Situationen, in denen jede Abteilung ihre eigenen Begriffe verwendet und niemand wirklich versteht, wovon die anderen sprechen. Sie ermöglicht es auch kleineren Organisationen, sich professionell mit dem Thema Informationssicherheit auseinanderzusetzen, ohne zuvor ein IT-Studium absolviert zu haben.

Vorteile für Ihr Business

Gemeinsame Sprache für alle Beteiligten
Wenn alle Mitarbeiterinnen, Beraterinnen, Auditorinnen und Partner dieselben Begriffe verwenden, werden Missverständnisse vermieden und Entscheidungen schneller getroffen. Dies spart Zeit und Geld.

Besseres Verständnis von Informationssicherheit
Viele Organisationen kämpfen damit, Informationssicherheit "greifbar" zu machen. ISO/IEC 27000 bietet klare Definitionen und Konzepte, die auch Nicht-Techniker verstehen können.

Grundlage für Zertifizierung
Wenn Sie eine ISO/IEC 27001-Zertifizierung anstreben, ist das Verständnis der Begriffe aus ISO/IEC 27000 unerlässlich. Auditorinnen erwarten, dass Sie die Terminologie korrekt verwenden.

Effizientere Kommunikation mit Partnern und Kunden
In internationalen Projekten oder bei Zusammenarbeit mit großen Unternehmen wird häufig ISO-Terminologie verwendet. Wer diese kennt, kann professioneller auftreten und Vertrauen aufbauen.

Vermeidung von Fehlinterpretationen
Begriffe wie "Risiko", "Vorfall" oder "Kontrolle" werden im Alltag oft unterschiedlich verwendet. ISO/IEC 27000 definiert sie präzise, sodass jeder dasselbe darunter versteht.

Schulung und Weiterbildung
Die Norm ist ein hervorragendes Schulungsdokument für neue Mitarbeiterinnen oder Teams, die sich mit Informationssicherheit vertraut machen möchten.

Zusammenfassung der wichtigsten Vorteile

• ✓ Einheitliche Terminologie für Informationssicherheit

• ✓ Grundlage für das Verständnis der gesamten ISO/IEC 27000-Familie

• ✓ Vermeidung von Missverständnissen zwischen Abteilungen und Partnern

• ✓ Professionelle Kommunikation mit Auditorinnen und Zertifizierungsstellen

• ✓ Effizienzsteigerung durch klare Begrifflichkeiten

• ✓ Schulungsinstrument für Mitarbeiterinnen und Führungskräfte

Für wen ist ISO/IEC 27000:2018 relevant?

ISO/IEC 27000:2018 ist relevant für jede Organisation, die sich mit Informationssicherheit beschäftigt:

• IT-Abteilungen und Sicherheitsteams (Technische Umsetzung von Sicherheitsmaßnahmen)

• Geschäftsführung und Management (Strategische Entscheidungen zu Sicherheitsinvestitionen)

• Datenschutzbeauftragte (Abgrenzung Datenschutz vs. Informationssicherheit)

• Auditorinnen und Beraterinnen (Zertifizierungen, Assessments, Compliance)

• Risikomanager (Bewertung und Behandlung von Informationssicherheitsrisiken)

• Online-Akademien und E-Learning-Plattformen (Schutz von Lernendendaten, Zahlungsinformationen)

• Coaches, Beraterinnen, Dienstleister (Schutz von Kundendaten und vertraulichen Informationen)

• Kreative und Freelancer (Schutz von geistigem Eigentum und Projektdaten)

• Kleine und mittlere Unternehmen (Einstieg in strukturierte Informationssicherheit)

Wie unterstützt EAS™ Sie bei ISO/IEC 27000:2018?

Die Norm gliedert sich in zwei Hauptteile:

Teil 1: Überblick über ISMS und die ISO/IEC 27000-Familie

• Was ist ein ISMS und warum ist es wichtig?

• Welche Prinzipien liegen einem ISMS zugrunde? (Vertraulichkeit, Integrität, Verfügbarkeit)

• Wie funktioniert der PDCA-Zyklus (Plan-Do-Check-Act) im Kontext von Informationssicherheit?

• Welche Standards gehören zur ISO/IEC 27000-Familie und wie hängen sie zusammen?

Teil 2: Begriffe und Definitionen (Glossar)

• Über 80 präzise definierte Begriffe, darunter:

  • Informationssicherheit (information security)

  • Risiko (risk)

  • Bedrohung (threat)

  • Schwachstelle (vulnerability)

  • Kontrolle (control)

  • Vorfall (incident)

  • Authentifizierung (authentication)

  • Zugriffskontrolle (access control)

  • Risikobewertung (risk assessment)

  • Risikomanagement (risk management)

  • Compliance (conformity)

Jede Definition ist präzise formuliert und international abgestimmt, sodass keine Interpretationsspielräume bleiben.

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

Was deckt ISO/IEC 27000:2018 konkret ab?

Der European Attestation Standard™ (EAS™) orientiert sich an den Grundprinzipien der ISO/IEC 27000-Familie und verwendet dieselbe Terminologie. Dies stellt sicher, dass Ihre Online-Dienstleistungen und digitalen Bildungsangebote nach international anerkannten Sicherheitsstandards bewertet werden – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

• Eine gemeinsame Sicherheitssprache in Ihrer Organisation etablieren

• Informationssicherheitsrisiken systematisch identifizieren und bewerten

• Sicherheitskontrollen nach ISO-Standards implementieren

• Professionell mit Auditorinnen, Partnern und Kundinnen kommunizieren

• Vertrauen bei Lernenden und Auftraggebern aufbauen

• Sich auf zukünftige ISO/IEC 27001-Zertifizierungen vorbereiten

Die ISO/IEC 27000-Familie im Überblick

ISO/IEC 27000:2018 ist das Eingangstor zur gesamten Standardfamilie:

1. Lesen Sie zuerst ISO/IEC 27000 – um die Begriffe und Konzepte zu verstehen

2. Implementieren Sie ISO/IEC 27001 – um ein zertifizierbares ISMS aufzubauen

3. Nutzen Sie ISO/IEC 27002 – um praktische Sicherheitskontrollen auszuwählen und umzusetzen

4. Wenden Sie ISO/IEC 27005 an – um Risiken systematisch zu managen

Ohne das Fundament von ISO/IEC 27000 ist es schwierig, die anderen Standards effektiv zu nutzen. Deshalb ist diese Norm der beste Startpunkt für jede Organisation, die sich ernsthaft mit Informationssicherheit beschäftigen möchte.

Beziehung zu anderen Standards der ISO/IEC 27000-Familie

ISO/IEC 27000:2018 beschreibt das gesamte Ökosystem der 27000-Standardfamilie. Diese Familie umfasst mehr als 40 Standards, die alle unterschiedliche Aspekte der Informationssicherheit abdecken. Die wichtigsten sind:

ISO/IEC 27000 – Überblick und Terminologie (dieser Standard)
ISO/IEC 27001 – Anforderungen an ein ISMS (zertifizierbar, Hauptstandard)
ISO/IEC 27002 – Praktische Sicherheitskontrollen (93 Controls)
ISO/IEC 27005 – Risikomanagement für Informationssicherheit
ISO/IEC 27701 – Datenschutz-Erweiterung (DSGVO-kompatibel)
ISO/IEC 27017 – Cloud-Sicherheit
ISO/IEC 27018 – Schutz personenbezogener Daten in der Cloud

Diese Standards arbeiten zusammen wie Bausteine eines umfassenden Sicherheitssystems. ISO/IEC 27000 ist das Fundament, auf dem alle anderen aufbauen.

ISO/IEC 27001:2022 – Informationssicherheits-Managementsysteme – Anforderungen

(Information security management systems – Requirements)

ISO/IEC 27001:2022 ist der weltweit bekannteste und anerkannteste Standard für Informationssicherheits-Managementsysteme (ISMS). Er wurde gemeinsam von der Internationalen Organisation für Normung (ISO) und der International Electrotechnical Commission (IEC) entwickelt und legt fest, welche Anforderungen ein ISMS erfüllen muss, um als wirksam zu gelten.

Im Gegensatz zu ISO/IEC 27000 (das die Terminologie erklärt) und ISO/IEC 27002 (das praktische Kontrollen beschreibt) ist ISO/IEC 27001 der einzige Standard der 27000-Familie, für den eine Zertifizierung möglich ist. Das bedeutet: Organisationen können durch unabhängige Auditoren überprüfen lassen, ob ihr ISMS den internationalen Best Practices entspricht, und ein offizielles Zertifikat erhalten.

Was ist ISO/IEC 27001:2022?

Was umfasst ISO/IEC 27001:2022?

Der Standard basiert auf einem risikobasierten Ansatz und deckt drei zentrale Sicherheitsziele ab:

• Vertraulichkeit (Confidentiality): Nur autorisierte Personen haben Zugriff auf Informationen

• Integrität (Integrity): Daten bleiben vollständig, korrekt und unverändert

• Verfügbarkeit (Availability): Informationen sind verfügbar, wenn sie benötigt werden

ISO/IEC 27001:2022 verlangt von Organisationen:

1. Kontext und Stakeholder zu verstehen (Was sind unsere Risiken? Wer ist betroffen?)

2. Einen ISMS-Rahmen zu etablieren (Policies, Prozesse, Verantwortlichkeiten)

3. Risiken systematisch zu bewerten (Was kann schiefgehen? Wie wahrscheinlich ist es?)

4. Sicherheitskontrollen zu implementieren (Technische, organisatorische und personelle Maßnahmen)

5. Leistung zu überwachen (Audits, Reviews, KPIs)

6. Kontinuierlich zu verbessern (Lernen aus Vorfällen, Anpassung an neue Bedrohungen)

Der Standard folgt dem PDCA-Zyklus (Plan-Do-Check-Act), der sicherstellt, dass Informationssicherheit kein einmaliges Projekt ist, sondern ein kontinuierlicher Prozess.

Vorteile für Ihr Business

Cyberkriminalität ist eine der größten Bedrohungen für Unternehmen weltweit. Laut Studien kostet eine durchschnittliche Datenpanne weltweit 4,88 Millionen USD (2024). Für viele kleine und mittlere Unternehmen ist ein einziger schwerer Sicherheitsvorfall existenzbedrohend.

ISO/IEC 27001:2022 hilft Organisationen, risikobewusst zu werden und Schwachstellen proaktiv zu identifizieren und zu beheben – bevor sie ausgenutzt werden. Der Standard fördert einen ganzheitlichen Ansatz: Menschen, Prozesse und Technologie werden gleichermaßen berücksichtigt.

Besonders für Online-Dienstleister ist ISO/IEC 27001 unverzichtbar:

• Online-Akademien speichern sensible Lernendendaten, Zahlungsinformationen und Zugriffsdaten

• E-Learning-Plattformen müssen Inhalte vor Diebstahl und Manipulation schützen

• Coaches und Beraterinnen verarbeiten vertrauliche Kunden- und Geschäftsinformationen

• Kreative und Freelancer müssen ihr geistiges Eigentum und Projektdaten sichern

Ein Sicherheitsvorfall kann nicht nur finanzielle Verluste verursachen, sondern auch das Vertrauen von Kunden dauerhaft zerstören. ISO/IEC 27001:2022 bietet einen strukturierten Rahmen, um solche Risiken systematisch zu managen.

Wichtige Treiber für ISO/IEC 27001-Zertifizierung:

• Kundenanforderungen: Viele Großkunden (insbesondere im B2B-Bereich) verlangen ISO/IEC 27001-Zertifikate von ihren Lieferanten

• Compliance: Gesetze wie die DSGVO, NIS2-Richtlinie und branchenspezifische Regulierungen fordern robuste Informationssicherheit

• Cyber-Versicherungen: Viele Versicherer verlangen Nachweise über Sicherheitsmaßnahmen – ISO/IEC 27001 erfüllt diese Anforderungen

• Wettbewerbsvorteil: Zertifizierung ist ein Differenzierungsmerkmal, das Vertrauen schafft und neue Geschäftsmöglichkeiten eröffnet

Zusammenfassung der wichtigsten Vorteile

• ✓ Bis zu 48 % niedrigere Kosten bei Datenpannen

• ✓ Erhöhtes Kundenvertrauen und gestärkte Marktreputation

• ✓ Zugang zu Enterprise-Kunden und öffentlichen Aufträgen

• ✓ Erfüllung gesetzlicher und regulatorischer Anforderungen (DSGVO, NIS2)

• ✓ Strukturiertes, messbares Risikomanagement

• ✓ Effizientere Sicherheitsprozesse und schnellere Reaktionszeiten

• ✓ Stärkere Sicherheitskultur und weniger menschliche Fehler

• ✓ Wettbewerbsvorteil durch international anerkannte Zertifizierung

Für wen ist ISO/IEC 27001:2022 relevant?

ISO/IEC 27001:2022 ist für alle Organisationen relevant, die Informationen verarbeiten – unabhängig von Größe, Branche oder Standort:

IT-Unternehmen und SaaS-Anbieter (Cloud-Dienste, Software-Entwicklung, Hosting-Provider)
E-Learning und Online-Akademien (Schutz von Lernendendaten, Zahlungsdaten, Kurs-Inhalten)
Coaches, Beraterinnen, Dienstleister (Vertrauliche Kundendaten, Geschäftsgeheimnisse)
E-Commerce und Online-Shops (Zahlungsdaten, Kundeninformationen)
Gesundheitswesen (Patientendaten, medizinische Aufzeichnungen)
Finanzdienstleister (Banken, Versicherungen, Fintech-Startups)
Kreative und Freelancer (Schutz von geistigem Eigentum, Projektdaten, Kundendaten)
Öffentliche Verwaltung (Bürgerdaten, kritische Infrastrukturen)
Kleine und mittlere Unternehmen (KMU) (ISO/IEC 27001 ist skalierbar und auch für kleinere Organisationen umsetzbar)

Wie unterstützt EAS™ Sie bei ISO/IEC 27001:2022?

Der European Attestation Standard™ (EAS™) orientiert sich an den Grundprinzipien von ISO/IEC 27001:2022 und stellt sicher, dass Ihre Online- und digitalen Dienstleistungen denselben hohen Sicherheitsstandards entsprechen – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

• Ein risikobasiertes Informationssicherheits-Managementsystem aufbauen

• Sicherheitskontrollen nach ISO-Standards implementieren

• Ihre Organisation auf eine zukünftige ISO/IEC 27001-Zertifizierung vorbereiten

• Vertrauen bei Lernenden, Kundinnen und Partnern aufbauen

• Compliance mit DSGVO und anderen Datenschutzgesetzen nachweisen

• Professionell mit Auditorinnen, Regulierungsbehörden und Großkunden kommunizieren

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

Was deckt ISO/IEC 27001:2022 konkret ab?

Der Standard ist in 10 Hauptklauseln (Clauses) und einen Annex A (Liste von 93 Sicherheitskontrollen) gegliedert:

Clauses 4–10: Das ISMS-Framework

Clause 4: Kontext der Organisation

• Verstehen Sie interne und externe Faktoren, die Ihre Informationssicherheit beeinflussen

• Identifizieren Sie relevante Stakeholder (Kunden, Aufsichtsbehörden, Lieferanten)

• Definieren Sie den Geltungsbereich Ihres ISMS

Clause 5: Führung

• Top-Management muss Verantwortung übernehmen und Sicherheitspolitik festlegen

• Rollen und Verantwortlichkeiten müssen klar definiert sein

Clause 6: Planung

• Risiken und Chancen systematisch identifizieren und bewerten

• Informationssicherheitsziele festlegen und Pläne zur Zielerreichung erstellen

Clause 7: Unterstützung

• Ressourcen (Budget, Personal, Technologie) bereitstellen

• Mitarbeiterinnen schulen und Bewusstsein schaffen

• Dokumentation aufbauen und pflegen

Clause 8: Betrieb

• Sicherheitskontrollen implementieren und betreiben

• Risikomanagement-Prozess umsetzen

Clause 9: Bewertung der Leistung

• Überwachung, Messung, Audits und Management-Reviews durchführen

• Effektivität des ISMS bewerten

Clause 10: Verbesserung

• Nichtkonformitäten korrigieren

• Kontinuierliche Verbesserung sicherstellen

Annex A: 93 Sicherheitskontrollen

Annex A listet konkrete Sicherheitsmaßnahmen in 4 Kategorien:

A.5 Organisatorische Kontrollen (37 Kontrollen)

• Informationssicherheits-Policies

• Rollen und Verantwortlichkeiten

• Lieferantenmanagement

• Incident Management

• Business Continuity

A.6 Personelle Kontrollen (8 Kontrollen)

• Hintergrundüberprüfungen

• Schulungen und Bewusstseinsbildung

• Disziplinarverfahren

A.7 Physische Kontrollen (14 Kontrollen)

• Zugangskontrolle zu Räumen

• Sicherheitsüberwachung

• Schutz vor Umweltgefahren (Feuer, Wasser)

A.8 Technologische Kontrollen (34 Kontrollen)

• Zugriffskontrolle und Authentifizierung

• Verschlüsselung

• Sichere Softwareentwicklung

• Netzwerksicherheit

• Backup und Wiederherstellung

• Monitoring und Logging

Organisationen wählen aus diesen 93 Kontrollen diejenigen aus, die für ihre Risiken relevant sind. Nicht alle Kontrollen müssen implementiert werden – aber jede Entscheidung muss dokumentiert und begründet werden.

Neue Kontrollen in ISO/IEC 27001:2022:

• A.5.7 Threat Intelligence (Proaktive Bedrohungserkennung)

• A.5.23 Information Security bei Cloud-Services

• A.8.8 Management von technischen Schwachstellen

• A.8.10 Datenmaskierung (Schutz sensibler Daten in Test- und Entwicklungsumgebungen)

• A.8.16 Monitoring von Aktivitäten

• A.8.28 Sichere Codierung (Secure Coding Practices)

Warum ist ISO/IEC 27001:2022 wichtig?

Schutz vor finanziellen Verlusten
Organisationen mit ISO/IEC 27001-Zertifizierung können die Kosten von Datenpannen um bis zu 48 % reduzieren. Schon die Vermeidung eines einzigen größeren Vorfalls rechtfertigt oft die Investition in das ISMS.

Kundenvertrauen und Marktreputation
Eine ISO/IEC 27001-Zertifizierung signalisiert Kundinnen und Partnern: "Wir nehmen Sicherheit ernst." Dies ist besonders wichtig in Branchen wie Fintech, Gesundheitswesen, E-Learning und Cloud-Services, wo Datenschutz und Sicherheit entscheidend sind.

Zugang zu neuen Märkten und Kunden
Viele Großunternehmen und öffentliche Auftraggeber fordern ISO/IEC 27001-Zertifikate als Mindestanforderung. Ohne Zertifizierung können Sie bestimmte Ausschreibungen oder Verträge nicht gewinnen. Ein SaaS-Anbieter berichtete: "Nach der Zertifizierung verkürzten sich unsere Verkaufszyklen erheblich, und wir gewannen mehrere Enterprise-Kunden."

Compliance mit gesetzlichen Anforderungen
ISO/IEC 27001 hilft bei der Erfüllung von Datenschutzgesetzen (DSGVO), Branchenvorschriften (z.B. Finanzsektor) und nationalen Cybersecurity-Anforderungen. Auditoren und Regulierungsbehörden erkennen die Norm als Beweis für robuste Sicherheitspraktiken an.

Effizientere Sicherheitsprozesse
Durch die Implementierung von ISO/IEC 27001 werden Sicherheitsprozesse strukturiert, dokumentiert und messbar. Dies führt zu weniger Ad-hoc-Entscheidungen, kürzeren Reaktionszeiten bei Vorfällen und insgesamt höherer Effizienz.

Risikomanagement als strategisches Instrument
ISO/IEC 27001 zwingt Organisationen, Risiken systematisch zu identifizieren, zu bewerten und zu behandeln. Dies führt zu besseren Entscheidungen auf Managementebene und verhindert, dass wichtige Risiken übersehen werden.

Mitarbeiterengagement und Sicherheitskultur
Die Implementierung schafft Bewusstsein für Informationssicherheit im gesamten Unternehmen. Mitarbeiterinnen verstehen ihre Rolle und Verantwortung – was menschliche Fehler (eine Hauptursache für Sicherheitsvorfälle) reduziert.

Vorbereitung auf neue Bedrohungen
Der Standard verlangt kontinuierliche Überwachung und Verbesserung. Organisationen bleiben dadurch auf dem neuesten Stand und können auf neue Bedrohungen (z.B. Ransomware, Supply-Chain-Angriffe) schneller reagieren.

Der Weg zur ISO/IEC 27001-Zertifizierung

1. Gap-Analyse
Bewerten Sie Ihre aktuelle Sicherheitslage im Vergleich zu ISO/IEC 27001-Anforderungen.

2. ISMS-Planung
Definieren Sie Geltungsbereich, Policies, Rollen und Verantwortlichkeiten.

3. Risikobewertung
Identifizieren und bewerten Sie Informationssicherheitsrisiken.

4. Implementierung von Kontrollen
Setzen Sie relevante Sicherheitsmaßnahmen aus Annex A um.

5. Dokumentation
Erstellen Sie erforderliche Policies, Verfahren und Aufzeichnungen.

6. Schulung und Bewusstseinsbildung
Schulen Sie Mitarbeiterinnen und schaffen Sie eine Sicherheitskultur.

7. Internes Audit
Überprüfen Sie Ihr ISMS intern, bevor externe Auditorinnen kommen.

8. Zertifizierungsaudit
Lassen Sie Ihr ISMS von einer akkreditierten Zertifizierungsstelle überprüfen.

9. Kontinuierliche Verbesserung
Nach der Zertifizierung: Überwachungsaudits, regelmäßige Reviews, Anpassungen.

Die Version 2022 – Was ist neu?

ISO/IEC 27001 wurde 2022 aktualisiert (vorherige Version: 2013). Die wichtigsten Änderungen:

• Annex A wurde von 114 auf 93 Kontrollen reduziert (Konsolidierung und Modernisierung)

• 11 neue Kontrollen wurden hinzugefügt, die moderne Bedrohungen adressieren (Cloud-Sicherheit, Threat Intelligence, ICT-Bereitschaft, sichere Softwareentwicklung, Datenmaskierung)

• Klarere Struktur mit 4 Kategorien statt 14 Domänen (Organisatorisch, Personell, Physisch, Technologisch)

• Stärkerer Fokus auf Risikomanagement als strategisches Instrument

• Integration mit anderen ISO-Standards (Annex SL – einheitliche Struktur für alle Management-Systeme)

ISO/IEC 27002:2022 – Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitskontrollen

(Information security, cybersecurity and privacy protection – Information security controls)

ISO/IEC 27002:2022 ist der Implementierungs-Leitfaden für Informationssicherheitskontrollen. Während ISO/IEC 27001 die Anforderungen an ein ISMS festlegt und nur kurz beschreibt, welche Kontrollen existieren (Annex A), geht ISO/IEC 27002 in die Tiefe und erklärt wie jede einzelne Kontrolle praktisch umgesetzt werden kann.

Der fundamentale Unterschied:

• ISO/IEC 27001 sagt: "Sie müssen Zugangskontrolle implementieren" (1 Satz in Annex A)

• ISO/IEC 27002 sagt: "So implementieren Sie Zugangskontrolle: Zweck, Vorgehen, technische Details, Best Practices, typische Fehler" (1 ganze Seite)

ISO/IEC 27002:2022 ist nicht zertifizierbar – es ist ein Referenzdokument, das Sie zusammen mit ISO/IEC 27001 verwenden, um Ihr ISMS erfolgreich aufzubauen. Es beseitigt das Rätselraten: Organisationen wissen genau, was jede Kontrolle bedeutet, warum sie wichtig ist und wie sie konkret umgesetzt werden sollte.

Struktur von ISO/IEC 27002:2022:

Der Standard beschreibt 93 Sicherheitskontrollen, gruppiert in 4 Kategorien (Themes):

1. Organisatorische Kontrollen (37 Kontrollen) – Governance, Policies, Risikomanagement, Lieferantenmanagement

2. Personelle Kontrollen (8 Kontrollen) – Schulung, Hintergrundprüfungen, Sensibilisierung

3. Physische Kontrollen (14 Kontrollen) – Gebäudesicherheit, Zugangskontrollen, Schutz vor Umweltgefahren

4. Technologische Kontrollen (34 Kontrollen) – Zugriffskontrolle, Verschlüsselung, Netzwerksicherheit, sichere Softwareentwicklung

Jede Kontrolle in ISO/IEC 27002:2022 enthält:

• Zweck (Purpose): Warum ist diese Kontrolle wichtig?

• Beschreibung: Was umfasst die Kontrolle?

• Implementierungsanleitung: Wie setzen Sie sie um?

• Weitere Informationen: Zusätzliche Hinweise, Best Practices

Attribute-System:

ISO/IEC 27002:2022 führt ein innovatives Attribut-System ein, das jede Kontrolle nach mehreren Dimensionen kategorisiert:

• Kontrolltyp: Präventiv, Detektiv, Korrektiv

• Sicherheitseigenschaften: Vertraulichkeit, Integrität, Verfügbarkeit

• Cybersecurity-Konzepte: Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen (angelehnt an NIST)

• Operational Capabilities: Governance, Asset Management, Identity Management, etc.

• Sicherheitsdomänen: Governance, Schutz, Verteidigung, Resilienz

Diese Attribute helfen Organisationen, Kontrollen nach ihren spezifischen Bedürfnissen zu filtern und mit anderen Frameworks (NIST, CIS Controls) zu verknüpfen.

Was ist ISO/IEC 27002:2022?

Warum ist ISO/IEC 27002:2022 wichtig?

ISO/IEC 27001 allein kann überwältigend sein: "Implementieren Sie 93 Kontrollen" – aber wie genau? Hier kommt ISO/IEC 27002 ins Spiel. Es ist der Brückenbauer zwischen Theorie und Praxis.

Ohne ISO/IEC 27002:

• Organisationen müssen raten, wie Kontrollen umgesetzt werden sollen

• Unterschiedliche Interpretationen führen zu inkonsistenten Implementierungen

• Auditoren finden Lücken, weil Best Practices nicht beachtet wurden

Mit ISO/IEC 27002:

• Klare, praxisnahe Anleitungen für jede Kontrolle

• Einheitliches Verständnis im gesamten Team

• Höhere Erfolgsquote bei Audits und Zertifizierungen

Besonders wertvoll für:

• Sicherheitsteams, die konkrete Umsetzungsschritte brauchen

• IT-Abteilungen, die technische Kontrollen implementieren

• Beraterinnen und Auditorinnen, die Standards konsistent interpretieren müssen

• Management, das verstehen will, warum bestimmte Kontrollen wichtig sind

Vorteile für Ihr Business

Praktische Umsetzung statt Theorie
ISO/IEC 27002 verwandelt abstrakte Anforderungen in konkrete Handlungsanweisungen. Sie wissen genau, was zu tun ist – kein Rätselraten mehr.

Schnellere Implementierung
Mit klaren Anleitungen und Best Practices verkürzt sich die Zeit bis zur vollständigen ISMS-Implementierung erheblich. Teams können sofort loslegen, ohne erst externe Berater zu engagieren.

Höhere Audit-Erfolgsquote
Organisationen, die ISO/IEC 27002 als Leitfaden nutzen, bestehen Audits häufiger beim ersten Versuch, da sie wissen, was Auditoren erwarten.

Konsistente Umsetzung im gesamten Unternehmen
Alle Abteilungen arbeiten nach denselben Standards und Best Practices – keine unterschiedlichen Interpretationen mehr.

Bessere Sicherheitskultur
Die detaillierten Erklärungen helfen Mitarbeiterinnen zu verstehen, warum bestimmte Maßnahmen wichtig sind – was zu höherem Engagement führt.

Kostenersparnis
Durch strukturierte Implementierung werden teure Fehler vermieden. Sie investieren gezielt in die richtigen Kontrollen, statt Budget für ineffektive Maßnahmen zu verschwenden.

Vorbereitung auf moderne Bedrohungen
Die 11 neuen Kontrollen adressieren aktuelle Risiken wie Cloud-Sicherheit, Ransomware und Supply-Chain-Angriffe – Ihr ISMS bleibt auf dem neuesten Stand.

Kompatibilität mit anderen Frameworks
Das Attribut-System ermöglicht einfache Verknüpfung mit NIST Cybersecurity Framework, CIS Controls und anderen Standards.

Zusammenfassung der wichtigsten Vorteile

• ✓ Klare, praxisnahe Implementierungsanleitungen für alle 93 Kontrollen

• ✓ Schnellere und effizientere ISMS-Umsetzung

• ✓ Höhere Erfolgsquote bei Audits und Zertifizierungen

• ✓ Konsistente Umsetzung im gesamten Unternehmen

• ✓ Besseres Verständnis und höhere Akzeptanz bei Mitarbeiterinnen

• ✓ Kosteneinsparung durch gezielte Investitionen

• ✓ Abdeckung moderner Bedrohungen (Cloud, Ransomware, Supply Chain)

• ✓ Kompatibilität mit NIST, CIS Controls und anderen Frameworks

Für wen ist ISO/IEC 27002:2022 relevant?

ISO/IEC 27002:2022 ist relevant für alle, die ISO/IEC 27001 implementieren oder bereits ein ISMS betreiben:

Sicherheitsteams und CISOs (Konkrete Umsetzungsschritte für Kontrollen)
IT-Abteilungen (Technische Implementierungsanleitungen)
Compliance- und Risikomanager (Verständnis der Kontrollziele)
Beraterinnen und Auditorinnen (Standardisierte Interpretationen)
Management und Geschäftsführung (Verständnis für Investitionsentscheidungen)
Online-Akademien und E-Learning-Plattformen (Schutz von Lernendendaten)
SaaS- und Cloud-Anbieter (Cloud-Sicherheitskontrollen)
E-Commerce und Online-Dienstleister (Zahlungsdatensicherheit)
Kleine und mittlere Unternehmen (Strukturierte Sicherheitsimplementierung)

Wie unterstützt EAS™ Sie bei ISO/IEC 27002:2022?

A.5 Organisatorische Kontrollen (37 Kontrollen)

Diese Kontrollen betreffen Governance, Policies, Prozesse und organisatorische Rahmenbedingungen:

Wichtige Kontrollen:

• A.5.1 Policies für Informationssicherheit – Erstellung und Kommunikation von Sicherheitsrichtlinien

• A.5.7 Threat Intelligence – Sammlung und Analyse von Bedrohungsinformationen

• A.5.9 Inventar von Informationen und anderen Werten – Asset-Management

• A.5.19 Informationssicherheit in Lieferantenbeziehungen – Sicherheit bei Drittanbietern

• A.5.23 Informationssicherheit bei Cloud-Services – Cloud-Sicherheit

• A.5.24 Incident Management – Planung und Reaktion auf Sicherheitsvorfälle

• A.5.30 ICT-Bereitschaft für Business Continuity – IT-Notfallpläne

A.6 Personelle Kontrollen (8 Kontrollen)

Diese Kontrollen betreffen Menschen und deren Rolle in der Informationssicherheit:

Wichtige Kontrollen:

• A.6.1 Screening – Hintergrundprüfungen bei Einstellungen

• A.6.2 Arbeitsverträge – Sicherheitsklauseln in Verträgen

• A.6.3 Sensibilisierung, Schulung und Training – Bewusstseinsbildung

• A.6.4 Disziplinarverfahren – Umgang mit Sicherheitsverstößen

• A.6.5 Verantwortlichkeiten nach Beendigung – Offboarding-Prozesse

• A.6.8 Remote-Arbeit – Sicherheit bei Homeoffice und mobilem Arbeiten

A.7 Physische Kontrollen (14 Kontrollen)

Diese Kontrollen betreffen physische Sicherheit von Gebäuden, Räumen und Geräten:

Wichtige Kontrollen:

• A.7.1 Physische Sicherheitsbereiche – Abgrenzung und Schutz sensibler Bereiche

• A.7.2 Physischer Zutritt – Zugangskontrollen zu Gebäuden und Räumen

• A.7.4 Physische Sicherheitsüberwachung – Überwachungskameras, Alarme

• A.7.7 Clear Desk und Clear Screen – Saubere Schreibtische und Bildschirme

• A.7.10 Sichere Entsorgung oder Wiederverwendung von Geräten – Löschen von Daten

A.8 Technologische Kontrollen (34 Kontrollen)

Diese Kontrollen betreffen IT-Systeme, Netzwerke, Anwendungen und Daten:

Wichtige Kontrollen:

• A.8.1 Benutzer-Endgeräte – Sicherheit von Laptops, Smartphones

• A.8.2 Privilegierte Zugriffsrechte – Verwaltung von Admin-Rechten

• A.8.3 Einschränkung des Informationszugriffs – Need-to-know-Prinzip

• A.8.5 Sichere Authentifizierung – Passwörter, Multi-Faktor-Authentifizierung

• A.8.9 Konfigurationsmanagement – Verwaltung von System-Konfigurationen

• A.8.10 Informationslöschung – Sichere Datenlöschung

• A.8.11 Datenmaskierung – Schutz sensibler Daten in Test-Umgebungen

• A.8.12 Verhinderung von Datenlecks – Data Loss Prevention (DLP)

• A.8.16 Überwachung von Aktivitäten – Logging und Monitoring

• A.8.23 Web-Filterung – Kontrolle des Internetzugangs

• A.8.24 Verwendung von Kryptographie – Verschlüsselung

• A.8.26 Anforderungen an Anwendungssicherheit – Secure Development

• A.8.28 Sichere Codierung – Secure Coding Practices

• A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

Die 4 Kategorien von ISO/IEC 27002:2022 im Detail?

Der European Attestation Standard™ (EAS™) orientiert sich an den praktischen Kontrollen von ISO/IEC 27002:2022 und stellt sicher, dass Ihre Online-Dienstleistungen und digitalen Angebote nach denselben Best Practices geschützt werden – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

• Konkrete Sicherheitskontrollen nach ISO-Standards implementieren

• Ihre technischen, organisatorischen und personellen Maßnahmen strukturieren

• Best Practices für Cloud-Sicherheit, Zugangskontrolle und Datenschutz anwenden

• Ihre Organisation auf eine zukünftige ISO/IEC 27001-Zertifizierung vorbereiten

• Vertrauen bei Lernenden, Kundinnen und Partnern durch nachweisbare Sicherheit aufbauen

• Professionell mit Auditorinnen, Regulierungsbehörden und Enterprise-Kunden kommunizieren

Was hat sich in ISO/IEC 27002:2022 geändert?

Die Version 2022 ist eine grundlegende Überarbeitung der Vorgängerversion 2013:

Von 114 auf 93 Kontrollen:

• 58 Kontrollen wurden aktualisiert und modernisiert

• 24 Kontrollen entstanden durch Zusammenführung von 57 älteren Kontrollen (Konsolidierung)

• 11 neue Kontrollen wurden hinzugefügt, um moderne Bedrohungen zu adressieren

Von 14 Domänen auf 4 Kategorien:

• Alte Struktur: 14 Domänen (Asset Management, Access Control, Cryptography, etc.)

• Neue Struktur: 4 klare Kategorien (Organisatorisch, Personell, Physisch, Technologisch)

Die 11 neuen Kontrollen in ISO/IEC 27002:2022:

1. A.5.7 Threat Intelligence – Proaktive Sammlung und Analyse von Bedrohungsinformationen

2. A.5.23 Informationssicherheit bei Cloud-Services – Sicherheit in Cloud-Umgebungen

3. A.5.30 ICT-Bereitschaft für Business Continuity – Notfallpläne für IT-Systeme

4. A.7.4 Physische Sicherheitsüberwachung – Überwachung von Gebäuden und Räumen

5. A.8.9 Konfigurationsmanagement – Verwaltung von System- und Software-Konfigurationen

6. A.8.10 Informationslöschung – Sichere Löschung von Daten

7. A.8.11 Datenmaskierung – Schutz sensibler Daten in Test- und Entwicklungsumgebungen

8. A.8.12 Verhinderung von Datenlecks (Data Leakage Prevention) – Technologien gegen Datenverluste

9. A.8.16 Überwachung von Aktivitäten – Monitoring von Benutzer- und Systemaktivitäten

10. A.8.23 Web-Filterung – Kontrolle des Internetzugangs

11. A.8.28 Sichere Codierung – Best Practices für sichere Softwareentwicklung

Diese neuen Kontrollen spiegeln die Realität moderner IT-Umgebungen wider: Cloud-Computing, Remote-Arbeit, DevOps, Supply-Chain-Angriffe und Zero-Trust-Architekturen.

ISO/IEC 27001 vs. ISO/IEC 27002: Der Unterschied

Beide Standards werden zusammen verwendet: ISO/IEC 27001 gibt die Struktur vor, ISO/IEC 27002 liefert die Details.

ISO/IEC 27005:2022 – Informationssicherheit, Cybersicherheit und Datenschutz –

Anleitung zum Informationssicherheits-Risikomanagement

(Information security, cybersecurity and privacy protection – Guidance on managing information security risks)

ISO/IEC 27005:2022 ist der Leitfaden für Informationssicherheits-Risikomanagement. Er bietet strukturierte Methoden und Best Practices, um Risiken systematisch zu identifizieren, zu bewerten und zu behandeln – die Kernprozesse eines jeden erfolgreichen Information Security Management Systems (ISMS).

Die Rolle von ISO/IEC 27005 in der 27000-Familie:

• ISO/IEC 27000 → Terminologie und Überblick (Was bedeuten die Begriffe?)

• ISO/IEC 27001 → Anforderungen an ein ISMS (Was müssen Sie tun?)

• ISO/IEC 27002 → Praktische Sicherheitskontrollen (Wie setzen Sie Kontrollen um?)

• ISO/IEC 27005 → Risikomanagement-Prozess (Wie identifizieren und behandeln Sie Risiken?)

ISO/IEC 27005 ist nicht zertifizierbar – es ist ein Leitfaden, den Sie zusammen mit ISO/IEC 27001 verwenden, um ein wirksames, risikobasiertes ISMS aufzubauen. Der Standard basiert auf ISO 31000 (dem allgemeinen Risikomanagement-Standard) und passt dessen Prinzipien speziell auf Informationssicherheit an.

Was ist ISO/IEC 27001:2022?

Der Risikomanagement-Prozess nach ISO/IEC 27005:2022:

Der Standard beschreibt einen 5-stufigen Prozess:

1. Kontext etablieren – Definieren Sie den Rahmen, Risikobewertungskriterien und Risikoakzeptanzkriterien

2. Risiken identifizieren – Erkennen Sie potenzielle Bedrohungen, Schwachstellen und Szenarien (event-based oder asset-based)

3. Risiken analysieren – Bewerten Sie die Wahrscheinlichkeit und Auswirkung jedes Risikos (qualitativ, quantitativ, semiquantitativ)

4. Risiken bewerten – Vergleichen Sie Risiken mit Akzeptanzkriterien und priorisieren Sie sie

5. Risiken behandeln – Entscheiden Sie, wie Sie mit jedem Risiko umgehen (vermeiden, verringern, übertragen, akzeptieren)

Zusätzlich fordert der Standard:

• Kommunikation und Beratung – Stakeholder während des gesamten Prozesses einbeziehen

• Überwachung und Review – Risikomanagement kontinuierlich überwachen und anpassen

Vorteile für Ihr Business

Risikomanagement ist das Herzstück jedes ISMS. ISO/IEC 27001 fordert, dass alle Sicherheitskontrollen risikobasiert implementiert werden – aber wie stellt man das sicher? ISO/IEC 27005 liefert die Antwort.

Ohne strukturiertes Risikomanagement:

• Organisationen verschwenden Budget für unwichtige Kontrollen

• Kritische Risiken werden übersehen

• Sicherheitsentscheidungen basieren auf Bauchgefühl, nicht auf Fakten

• Audits scheitern, weil Risikobewertungen unzureichend sind

Mit ISO/IEC 27005:

• Risiken werden systematisch und wiederholbar identifiziert

• Sicherheitsinvestitionen richten sich nach tatsächlichen Bedrohungen

• Management kann fundierte Entscheidungen treffen

• Das ISMS wird effizienter und wirksamer

Besonders wichtig für Online-Dienstleister:

• E-Learning-Plattformen müssen Risiken wie Datenlecks, Zahlungsbetrug und Plattform-Ausfälle managen

• SaaS-Anbieter stehen vor Risiken wie Cloud-Ausfällen, API-Schwachstellen und Supply-Chain-Angriffen

• Online-Coaches und Beraterinnen müssen vertrauliche Kundendaten vor unbefugtem Zugriff schützen

• E-Commerce muss Zahlungsdaten, Kundendaten und Geschäftsgeheimnisse sichern

ISO/IEC 27005 hilft diesen Organisationen, Risiken zu verstehen, zu priorisieren und systematisch zu behandeln.

Zusammenfassung der wichtigsten Vorteile

• ✓ Gezielte Sicherheitsinvestitionen basierend auf tatsächlichen Risiken

• ✓ Systematischer, wiederholbarer Risikomanagement-Prozess

• ✓ Erfüllung der Risikomanagement-Anforderungen von ISO/IEC 27001

• ✓ Fundierte Entscheidungsfindung durch transparente Risikobewertungen

• ✓ Proaktive Identifikation und Behandlung von Bedrohungen

• ✓ Erhöhte Resilienz und Anpassungsfähigkeit

• ✓ Vertrauen bei Kunden, Partnern und Regulierungsbehörden

• ✓ Flexibel anpassbar an jede Organisation

Für wen ist ISO/IEC 27005:2022 relevant?

ISO/IEC 27005:2022 ist relevant für alle, die ein ISMS aufbauen oder bereits betreiben:

Risikomanager und Sicherheitsbeauftragte (Durchführung von Risikobewertungen)
CISOs und Sicherheitsteams (Identifikation und Behandlung von Bedrohungen)
IT-Abteilungen (Bewertung technischer Risiken)
Compliance- und Audit-Teams (Nachweis risikobasierten Handelns)
Management und Geschäftsführung (Strategische Entscheidungen basierend auf Risikobewertungen)
Beraterinnen und Auditorinnen (Unterstützung von Organisationen bei Risikobewertungen)
Online-Akademien und E-Learning-Plattformen (Risiken für Lernendendaten und Plattform-Verfügbarkeit)
SaaS- und Cloud-Anbieter (Risiken für Cloud-Infrastruktur, APIs, Datenintegrität)
E-Commerce und Online-Dienstleister (Risiken für Zahlungsdaten, Kundendaten, Geschäftsgeheimnisse)
Kleine und mittlere Unternehmen (Strukturierte Herangehensweise an Risikomanagement)

Wie unterstützt EAS™ Sie bei ISO/IEC 27005:2022?

Der European Attestation Standard™ (EAS™) orientiert sich an den Risikomanagement-Prinzipien von ISO/IEC 27005:2022 und stellt sicher, dass Ihre Online-Dienstleistungen und digitalen Angebote auf Basis strukturierter Risikobewertungen geschützt werden – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

• Einen strukturierten Risikomanagement-Prozess für Ihr ISMS aufbauen

• Risiken systematisch identifizieren, analysieren und behandeln

• Sicherheitsinvestitionen auf Basis tatsächlicher Bedrohungen priorisieren

• ISO/IEC 27001-Anforderungen an risikobasiertes Handeln erfüllen

• Ihre Organisation auf eine zukünftige ISO/IEC 27001-Zertifizierung vorbereiten

• Vertrauen bei Lernenden, Kundinnen, Partnern und Regulierungsbehörden aufbauen

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

Der Risikomanagement-Prozess im Detail

1. Kontext etablieren

Zweck: Den Rahmen für das Risikomanagement festlegen.

Wichtige Fragen:

• Was ist der Geltungsbereich? (Welche Systeme, Daten, Prozesse?)

• Welche internen und externen Faktoren beeinflussen Risiken? (Compliance-Anforderungen, Geschäftsumfeld, Stakeholder)

• Was sind unsere Risikoakzeptanzkriterien? (Welche Risiken sind akzeptabel? Welche nicht?)

• Wer ist für welche Risiken verantwortlich? (Risk Ownership)

Ergebnis: Ein klar definierter Rahmen, innerhalb dessen Risiken identifiziert und bewertet werden.

2. Risiken identifizieren

Zweck: Potenzielle Bedrohungen, Schwachstellen und Szenarien erkennen.

ISO/IEC 27005:2022 bietet zwei Ansätze:

Event-based Approach (Szenariobasiert):

• Fokus auf Bedrohungsszenarien (z.B. „Ransomware-Angriff", „DDoS-Angriff", „Insider-Bedrohung")

• Nützlich für strategische Risikobewertungen und Bedrohungslandschaften

• Beispiel: „Was passiert, wenn ein Mitarbeiter versehentlich Malware herunterlädt?"

Asset-based Approach (Vermögensbasiert):

• Fokus auf spezifische Assets (Systeme, Daten, Prozesse)

• Für jedes Asset: Welche Bedrohungen? Welche Schwachstellen?

• Nützlich für detaillierte, technische Risikobewertungen

• Beispiel: „Welche Risiken betreffen unsere Kundendatenbank?"

Organisationen können beide Ansätze kombinieren für umfassende Risikoidentifikation.

Ergebnis: Eine Liste identifizierter Risiken mit Beschreibungen von Bedrohungen, Schwachstellen und betroffenen Assets.

3. Risiken analysieren

Zweck: Wahrscheinlichkeit und Auswirkung jedes Risikos bewerten.

ISO/IEC 27005:2022 unterstützt drei Methoden:

Qualitative Analyse:

• Risiken werden in Kategorien eingeordnet (z.B. „hoch", „mittel", „niedrig")

• Schnell und einfach, ideal für kleinere Organisationen

• Beispiel: „Das Risiko eines DDoS-Angriffs ist mittel (Wahrscheinlichkeit) und hoch (Auswirkung)."

Quantitative Analyse:

• Risiken werden in numerischen Werten ausgedrückt (z.B. „erwarteter Verlust: 50.000 EUR")

• Präzise, aber aufwendig – ideal für große Organisationen oder kritische Assets

• Beispiel: „Das Risiko eines Datenverlusts hat eine 5%ige Wahrscheinlichkeit und würde 200.000 EUR kosten."

Semiquantitative Analyse (neu in 2022):

• Kombination aus qualitativen Kategorien und numerischen Skalen

• Bietet mehr Präzision als rein qualitativ, ohne den Aufwand quantitativer Analysen

• Beispiel: „Wahrscheinlichkeit: 3 von 5, Auswirkung: 4 von 5 → Risikostufe: 12"

Ergebnis: Eine bewertete Liste von Risiken mit Wahrscheinlichkeits- und Auswirkungsbewertungen.

4. Risiken bewerten

Zweck: Risiken priorisieren, indem sie mit Risikoakzeptanzkriterien verglichen werden.

Wichtige Fragen:

• Welche Risiken übersteigen unsere Akzeptanzschwelle?

• Welche Risiken müssen sofort behandelt werden?

• Welche Risiken können akzeptiert werden?

Ergebnis: Eine priorisierte Liste von Risiken, die behandelt werden müssen.

5. Risiken behandeln

Zweck: Entscheiden, wie mit jedem Risiko umgegangen wird.

ISO/IEC 27005 beschreibt vier Risikobehandlungsoptionen:

1. Risikominderung (Risk Modification)
Implementieren Sie Sicherheitskontrollen, um Wahrscheinlichkeit oder Auswirkung zu reduzieren.
Beispiel: Einführung von Multi-Faktor-Authentifizierung, um unbefugten Zugriff zu verhindern.

2. Risikovermeidung (Risk Avoidance)
Vermeiden Sie die Aktivität, die das Risiko verursacht.
Beispiel: Verzicht auf die Speicherung sensibler Daten in der Public Cloud.

3. Risikoübertragung (Risk Sharing/Transfer)
Teilen oder übertragen Sie das Risiko auf Dritte (z.B. Cyber-Versicherung, Outsourcing).
Beispiel: Abschluss einer Cyber-Versicherung für Datenpannen.

4. Risikoakzeptanz (Risk Retention)
Akzeptieren Sie das Risiko bewusst, weil die Kosten der Behandlung den potenziellen Schaden übersteigen.
Beispiel: Ein geringfügiges Risiko mit minimaler Auswirkung wird akzeptiert.

Wichtig: Risk Owners müssen den Risikobehandlungsplan genehmigen und Restrisiken akzeptieren.

Ergebnis: Ein Risikobehandlungsplan mit ausgewählten Kontrollen (die mit ISO/IEC 27001 Annex A abgeglichen werden müssen) und ein Statement of Applicability (SoA).

Kommunikation und Beratung

Zweck: Stakeholder während des gesamten Prozesses einbinden.

• Informieren Sie Management, Teams und externe Partner über Risiken

• Holen Sie Feedback ein und stellen Sie sicher, dass alle relevanten Perspektiven berücksichtigt werden

• Dokumentieren Sie Entscheidungen transparent

Überwachung und Review

Zweck: Risikomanagement kontinuierlich überwachen und anpassen.

• Überprüfen Sie Risikobewertungen regelmäßig (z.B. jährlich oder bei größeren Änderungen)

• Überwachen Sie neue Bedrohungen und Schwachstellen

• Passen Sie Risikobehandlungspläne an, wenn sich das Geschäftsumfeld ändert

ISO/IEC 27005 unterscheidet zwei Zyklen:

• Strategischer Zyklus: Grundlegende Änderungen im Geschäftsumfeld, neue Assets, neue Bedrohungslandschaft → vollständige Risikobewertung

• Operativer Zyklus: Kleinere Änderungen, neue Schwachstellen → partielle Updates

Warum ist ISO/IEC 27005:2022 wichtig?

Risikobasierte Sicherheitsinvestitionen
Statt Budget wahllos zu verteilen, können Sie gezielt in Kontrollen investieren, die die größten Risiken adressieren. Das spart Geld und maximiert die Wirkung.

Systematischer, wiederholbarer Prozess
ISO/IEC 27005 bietet einen strukturierten Ansatz, der konsistent angewendet werden kann – unabhängig davon, wer die Risikobewertung durchführt. Ergebnisse sind vergleichbar und nachvollziehbar.

Erfüllung von ISO/IEC 27001-Anforderungen
ISO/IEC 27001 fordert risikobasiertes Handeln. Mit ISO/IEC 27005 können Sie diese Anforderung zuverlässig erfüllen und bei Audits überzeugen.

Bessere Entscheidungsfindung auf Managementebene
Risikobewertungen liefern dem Management klare Fakten: Welche Bedrohungen existieren? Wie wahrscheinlich sind sie? Was kosten Gegenmaßnahmen? Entscheidungen werden transparenter und fundierter.

Proaktive statt reaktive Sicherheit
Organisationen, die ISO/IEC 27005 anwenden, identifizieren Risiken, bevor sie zu Vorfällen werden. Das reduziert die Wahrscheinlichkeit von Datenpannen, Ausfällen und Sicherheitsvorfällen erheblich.

Erhöhte Resilienz
Durch kontinuierliche Überwachung und Anpassung des Risikomanagements bleibt Ihre Organisation widerstandsfähig – auch bei sich ändernden Bedrohungen (z.B. neue Ransomware-Varianten, Zero-Day-Exploits).

Vertrauen bei Stakeholdern
Kunden, Partner, Investoren und Regulierungsbehörden wollen wissen, dass Risiken professionell gemanagt werden. ISO/IEC 27005 zeigt, dass Sie das tun.

Flexibilität für unterschiedliche Organisationen
Der Standard schreibt keine spezifische Methode vor – Organisationen können event-based, asset-based oder hybride Ansätze wählen, je nach ihren Bedürfnissen.

Integration mit anderen Frameworks
ISO/IEC 27005 lässt sich leicht mit ISO 31000, NIST Risk Management Framework und anderen Standards kombinieren.

Verbindung zu anderen Standards

ISO/IEC 27005 und ISO/IEC 27001:
ISO/IEC 27001 fordert Risikomanagement – ISO/IEC 27005 erklärt, wie man es macht. Beide Standards arbeiten Hand in Hand.

ISO/IEC 27005 und ISO 31000:
ISO/IEC 27005 basiert auf den Prinzipien von ISO 31000 (allgemeines Risikomanagement) und passt sie speziell für Informationssicherheit an.

ISO/IEC 27005 und ISO/IEC 27002:
Nach der Risikobewertung wählen Sie Kontrollen aus ISO/IEC 27002, um Risiken zu behandeln. ISO/IEC 27005 sagt Ihnen, welche Kontrollen nötig sind – ISO/IEC 27002 sagt Ihnen, wie Sie sie umsetzen.

Was ist neu in ISO/IEC 27005:2022?

Die Version 2022 ist eine umfassende Überarbeitung der Version 2018:

• Konsolidierung: Von 12 Klauseln und 6 Anhängen auf 10 Klauseln und 1 Anhang reduziert

• Neuer 5-Stufen-Prozess: Klarer strukturiert (vorher 6 Stufen)

• Risikoakzeptanz verschoben: Jetzt Teil der Risikobehandlung (nicht mehr separater Schritt)

• Zwei Ansätze zur Risikoidentifikation: Event-based (szenariobasiert) und asset-based (vermögensbasiert) – Organisationen können beide kombinieren

• Engere Verknüpfung mit ISO 27001: Statement of Applicability (SoA) ist jetzt Teil des Risikobehandlungsprozesses

• Alignment mit ISO 31000: Stärkere Anlehnung an die allgemeine Risikomanagement-Norm

KONTAKTE

We want to live in a world where people can buy homes that match their needs, rather than having to find a compromise and settle on the second-best option. That's why we take a lot of time and care in getting to know our clients from the moment they reach out to us and ask for our help.