ISO 27001 Annex A Kontrollen: Vollständiger Leitfaden zu allen 93 Kontrollen

Annex A ist der Teil, in dem ISO 27001 konkret wird. Während der Hauptteil des Standards (Klauseln 4-10) definiert, was Ihr Informationssicherheits-Managementsystem tun muss — Geltungsbereich festlegen, Risikobewertung durchführen, Managementbewertung implementieren — bietet Annex A einen Referenzsatz von 93 Informationssicherheitskontrollen, die in vier Themen organisiert sind. Diese Kontrollen sind die Bausteine Ihrer Sicherheitsimplementierung, und die Entscheidung, welche anzuwenden sind (und welche auszuschließen), ist eine der folgenreichsten Entscheidungen auf Ihrem ISO 27001-Weg.

Die Revision von ISO 27001 aus dem Jahr 2022 hat Annex A erheblich umstrukturiert. Die vorherige Version (2013) organisierte 114 Kontrollen in 14 Bereichen. Die Version 2022 konsolidiert diese in 93 Kontrollen über vier thematische Kategorien, fügt 11 völlig neue Kontrollen hinzu und führt ein System von Kontrollattributen ein, das eine flexiblere Kategorisierung ermöglicht. Wenn Sie mit älterer Dokumentation oder Beratern arbeiten, die auf die 14-Bereiche-Struktur verweisen, ist die Umstrukturierung 2022 die wichtigste Änderung, die Sie verstehen müssen.

Dieser Leitfaden behandelt jedes Annex A-Thema, erklärt jede Kontrollkategorie, hebt die 11 neuen Kontrollen hervor und bietet praktische Anleitungen für SaaS-Unternehmen, die diese Kontrollen als Teil ihres ISMS implementieren.

Was ist Annex A und wie verhält er sich zu ISO 27001?

Annex A ist ein normativer Anhang — das bedeutet, er ist keine optionale Anleitung, sondern ein erforderlicher Teil des Standards. Sie müssen jedoch nicht jede Annex A Kontrolle implementieren. Sie müssen jede Annex A Kontrolle berücksichtigen und Ihre Ein- oder Ausschlussentscheidung in der Erklärung zur Anwendbarkeit (SoA) dokumentieren.

Die Beziehung zwischen Risikobewertung und Annex A

Der Prozess funktioniert wie folgt:

1. Führen Sie Ihre Risikobewertung durch — identifizieren Sie Bedrohungen, Schwachstellen und Risiken für die Informationssicherheit innerhalb Ihres ISMS-Geltungsbereichs.
2. Entwickeln Sie einen Risikobehandlungsplan — entscheiden Sie für jedes Risiko über Ihrem Akzeptanzschwellenwert, wie es behandelt werden soll (mindern, übertragen, vermeiden, akzeptieren).
3. Wählen Sie Annex A Kontrollen aus — identifizieren Sie für Risiken, die Sie mindern, welche Annex A Kontrollen die Behandlung implementieren. Sie können bei Bedarf auch Kontrollen implementieren, die nicht in Annex A enthalten sind, aber Annex A dient als Referenzbasis.
4. Dokumentieren Sie im SoA — listen Sie alle 93 Annex A Kontrollen auf, geben Sie an, ob jede ein- oder ausgeschlossen ist, geben Sie die Begründung für die Entscheidung an und notieren Sie den Implementierungsstatus.

Das bedeutet, dass Ihre Kontrollauswahl risikogetrieben ist, nicht willkürlich. Sie implementieren A.7.4 (Physische Sicherheitsüberwachung) nicht, weil es nach einer guten Idee klingt — Sie implementieren es, weil Ihre Risikobewertung physisches Eindringen als relevante Bedrohung für Ihre Informationswerte identifiziert hat, oder Sie schließen es aus, weil Ihr SaaS-Unternehmen vollständig aus Cloud-Infrastruktur betrieben wird und keine physischen Rechenzentren zu überwachen hat.

Annex A vs. ISO 27002

Annex A listet die Kontrollen auf. ISO 27002 ist der Begleitstandard, der detaillierte Implementierungsanleitungen für jede Kontrolle bietet. Betrachten Sie Annex A als das Inhaltsverzeichnis und ISO 27002 als das Handbuch. Sie müssen ISO 27002 nicht kaufen oder sich dagegen zertifizieren lassen, aber es ist eine unschätzbare Referenz bei der Implementierung von Kontrollen.

Die Umstrukturierung 2022: Von 14 Bereichen zu 4 Themen

Die Version 2013 von ISO 27001 organisierte Annex A in 14 Kontrollbereiche (A.5 bis A.18). Die Revision 2022 reorganisiert diese in vier übergeordnete Themen:

Thema	Kontrollen	Fokus
A.5 Organisatorisch	37 Kontrollen	Governance, Richtlinien, Rollen, Lieferantenmanagement, Rechtskonformität
A.6 Personell	8 Kontrollen	Überprüfung, Bewusstsein, Beschäftigungsbedingungen, Fernarbeit
A.7 Physisch	14 Kontrollen	Sichere Bereiche, Geräte schutz, physischer Zugang
A.8 Technologisch	34 Kontrollen	Zugriffskontrolle, Kryptographie, Betrieb, Entwicklung, Schwachstellenmanagement

Was sich geändert hat

Konsolidierung: Viele Kontrollen aus der Version 2013 wurden zusammengelegt. Beispiel: Der Standard von 2013 hatte separate Kontrollen für „Informationssicherheitsrichtlinie” und „Überprüfung der Informationssicherheitsrichtlinie” — in 2022 sind diese zu A.5.1 kombiniert.

Reorganisation: Kontrollen wurden verschoben, um in die Vier-Themen-Struktur zu passen. Zugriffskontrollrichtlinien, zuvor in ihrem eigenen Bereich (A.9), sind jetzt zwischen den Themen Organisatorisch (A.5.15) und Technologisch (A.8.3) aufgeteilt, je nachdem, ob die Kontrolle eine Governance-Aktivität oder eine technische Implementierung ist.

11 neue Kontrollen: Die Version 2022 führt Kontrollen ein, die in 2013 nicht existierten und die Entwicklung der Bedrohungslandschaft und moderner Technologiepraktiken widerspiegeln.

Kontrollattribute: Jede Kontrolle hat nun fünf Attribute (Kontrolltyp, Informationssicherheitseigenschaft, Cybersicherheitskonzept, operative Fähigkeit, Sicherheitsdomäne), die eine mehrdimensionale Kategorisierung über die vier Themen hinaus ermöglichen.

Übergangszeitrahmen

Organisationen, die nach ISO 27001:2013 zertifiziert sind, müssen auf die Version 2022 umstellen. Die Übergangsfrist ist für die meisten Zertifizierungsstellen abgelaufen, was bedeutet, dass alle neuen Zertifizierungen und Überwachungsaudits nun gegen die Version 2022 erfolgen. Wenn Sie erstmals eine Zertifizierung anstreben, werden Sie sich gegen ISO 27001:2022 zertifizieren lassen.

A.5 Organisatorische Kontrollen (37 Kontrollen)

Organisatorische Kontrollen umfassen Governance, Management und geschäftliche Sicherheitsfunktionen. Dies sind die Kontrollen, die definieren, wie Ihre Organisation Informationssicherheit als Geschäftsfunktion managt, nicht nur als technische Disziplin.

Richtlinien und Governance (A.5.1 - A.5.6)

A.5.1 — Richtlinien für die Informationssicherheit. Eine Informationssicherheitsrichtlinie und themenspezifische Richtlinien müssen definiert, vom Management genehmigt, veröffentlicht, kommuniziert und überprüft werden. Für SaaS-Unternehmen bedeutet dies eine übergeordnete ISMS-Richtlinie plus spezifische Richtlinien für Zugriffskontrolle, Datenklassifizierung, Vorfallreaktion, Änderungsmanagement und andere relevante Themen. Sehen Sie unseren Richtlinien-Leitfaden für die vollständige Liste.

A.5.2 — Rollen und Verantwortlichkeiten der Informationssicherheit. Rollen und Verantwortlichkeiten müssen definiert und zugewiesen werden. Dies umfasst die ISMS-Eigentümerschaft (typischerweise CISO oder Leiter Sicherheit), Risikoeigentümerschaft (je Risiko im Register zugewiesen) und operative Sicherheitsverantwortlichkeiten (wer patcht Server, wer überprüft Zugänge, wer managt Vorfälle).

A.5.3 — Aufgabentrennung. Widersprüchliche Aufgaben und Verantwortungsbereiche müssen getrennt werden. In SaaS-Begriffen: Die Person, die Code schreibt, sollte nicht die einzige Person sein, die ihn für das Produktionsdeployment genehmigt. Die Person, die Zugang bereitstellt, sollte nicht dieselbe Person sein, die Zugriffsanfragen genehmigt.

A.5.4 — Managementverantwortlichkeiten. Das Management muss verlangen, dass Mitarbeiter und Auftragnehmer die Informationssicherheit gemäß den festgelegten Richtlinien anwenden. Das bedeutet, Sicherheitsverantwortlichkeiten sind in Stellenbeschreibungen enthalten, Leistungsbeurteilungen berücksichtigen die Sicherheits-Compliance, und das Management unterstützt das ISMS aktiv, anstatt es als Problem des Sicherheitsteams zu behandeln.

A.5.5 — Kontakt mit Behörden. Pflegen Sie den Kontakt mit relevanten Behörden (Datenschutzbehörden, Strafverfolgungsbehörden, branchenspezifischen Regulierungsbehörden). Für SaaS-Unternehmen, die international tätig sind, bedeutet dies zu wissen, welche Behörden im Falle einer Datenschutzverletzung in verschiedenen Rechtsordnungen zu kontaktieren sind.

A.5.6 — Kontakt mit speziellen Interessengruppen. Pflegen Sie den Kontakt mit speziellen Interessengruppen und Sicherheitsforen. Dies umfasst ISACs (Information Sharing and Analysis Centers), Branchen-Sicherheitsgruppen, Sicherheitsberatungslisten von Anbietern und Communities, die für Ihren Technologie-Stack relevant sind.

Informationsmanagement (A.5.7 - A.5.14)

A.5.7 — Bedrohungsintelligenz. Sammeln und analysieren Sie Informationen über Bedrohungen für die Organisation. Für SaaS-Unternehmen bedeutet dies die Überwachung von CVE-Datenbanken auf Schwachstellen in Ihrem Technologie-Stack, das Abonnieren von Bedrohungsintelligenz-Feeds, die Verfolgung von Branchenverletzungsberichten und die Überwachung auf Erwähnungen Ihrer Organisation in Kommunikation von Bedrohungsakteuren.

A.5.8 — Informationssicherheit im Projektmanagement. Integrieren Sie Informationssicherheit in das Projektmanagement. Jede neue Funktion, Systemänderung oder Anbieterintegration sollte Sicherheitsüberlegungen einschließen. Dies ist kein separater Sicherheits-Gate, sondern ein integrierter Teil der Projekt planung und -durchführung.

A.5.9 — Inventar der Informationen und anderer zugehöriger Werte. Führen Sie ein Inventar der Informationswerte und ihrer Eigentümer. Für SaaS-Unternehmen umfasst dies Produktionsdatenbanken, Code-Repositories, Cloud-Konten, interne SaaS-Tools und die darin enthaltenen Daten.

A.5.10 — Zulässige Nutzung von Informationen und anderen zugehörigen Werten. Definieren Sie Regeln für die zulässige Nutzung von Informationswerten und kommunizieren Sie diese an alle Benutzer. Dies äußert sich typischerweise als Richtlinie zur zulässigen Nutzung, die Unternehmensgeräte, Cloud-Ressourcen, Kundendaten und interne Systeme abdeckt.

A.5.11 — Rückgabe von Werten. Stellen Sie sicher, dass Personal bei Beendigung des Beschäftigungs- oder Vertragsverhältnisses Werte zurückgibt. Für SaaS-Unternehmen umfassen „Werte” physische Geräte (Laptops, Telefone) und logischen Zugang (Deaktivierung von Konten, Widerruf von API-Schlüsseln, Entfernung von SSH-Schlüsseln).

A.5.12 — Klassifizierung von Informationen. Klassifizieren Sie Informationen gemäß den Bedürfnissen der Organisation unter Berücksichtigung von Vertraulichkeit, Integrität und Verfügbarkeit. Ein dreistufiges Schema (Vertraulich, Intern, Öffentlich) funktioniert für die meisten SaaS-Unternehmen.

A.5.13 — Kennzeichnung von Informationen. Implementieren Sie Kennzeichnungsverfahren, die auf das Klassifizierungsschema abgestimmt sind. In der Praxis bedeutet dies, Dokumente, E-Mails und Datenspeicher mit ihrem Klassifizierungsniveau zu versehen. Für SaaS-Unternehmen ist die automatisierte Kennzeichnung (z. B. Tagging von Datenbankfeldern als „Kunden-PII”) praktischer als die manuelle Dokumentenkennzeichnung.

A.5.14 — Informationsübertragung. Legen Sie Regeln und Verfahren für die Übertragung von Informationen innerhalb und außerhalb der Organisation fest. Dies umfasst E-Mail-Verschlüsselung, sichere Dateifreigabe, API-Authentifizierung für Datenübertragungen und Richtlinien für die Übertragung von Daten an Dritte.

Zugriffskontrolle und Identität (A.5.15 - A.5.18)

A.5.15 — Zugriffskontrolle. Legen Sie Regeln fest und setzen Sie diese um, um den physischen und logischen Zugang zu Informationen zu kontrollieren. Dies ist die Kontrolle auf Richtlinienebene — Ihre Zugriffskontrollrichtlinie definiert die Grundsätze (minimale Rechte, Kenntnis nur bei Bedarf, rollenbasierte Zugriffskontrolle), die technische Kontrollen umsetzen. Sehen Sie unseren Zugriffskontroll-Leitfaden für detaillierte Implementierungsanleitungen.

A.5.16 — Identitätsmanagement. Verwalten Sie den vollständigen Lebenszyklus von Identitäten — Bereitstellung, Änderung, Aufhebung. Für SaaS-Unternehmen, die zentralisierte Identitätsanbieter (Okta, Azure AD, Google Workspace) verwenden, bedeutet dies automatisierte Bereitstellung über SCIM, rollenbasierte Gruppenzuweisungen und zeitnahe Aufhebung, wenn Mitarbeiter das Unternehmen verlassen oder ihre Rolle wechseln.

A.5.17 — Authentifizierungsinformationen. Kontrollieren Sie die Zuweisung und Verwaltung von Authentifizierungsinformationen (Passwörter, Tokens, Zertifikate, MFA-Geräte). Setzen Sie starke Passwortrichtlinien durch, verlangen Sie MFA für alle Systeme und verwalten Sie Dienstkonto-Anmeldedaten über Geheimnismanagement-Tools statt über geteilte Tabellenkalkulationen.

A.5.18 — Zugriffsrechte. Bereitstellung, Überprüfung, Änderung und Entzug von Zugriffsrechten gemäß der Zugriffskontrollrichtlinie. Vierteljährliche Zugriffsüberprüfungen sind die Standardpraxis — Vergleich des tatsächlichen Zugangs mit dem autorisierten Zugang und Entfernung von Abweichungen.

Lieferantenmanagement (A.5.19 - A.5.23)

A.5.19 — Informationssicherheit in Lieferantenbeziehungen. Etablieren Sie Prozesse zur Verwaltung von Sicherheitsrisiken im Zusammenhang mit der Nutzung von Produkten und Dienstleistungen von Lieferanten. Für SaaS-Unternehmen ist jeder Anbieter, der Kundendaten berührt, auf Produktionssysteme zugreift oder kritische Infrastruktur bereitstellt, ein Lieferant, dessen Sicherheitslage Ihre eigene beeinflusst. Sehen Sie unseren Lieferantenmanagement-Leitfaden für umfassende Behandlung.

A.5.20 — Behandlung der Informationssicherheit in Lieferantenvereinbarungen. Nehmen Sie relevante Sicherheitsanforderungen in Vereinbarungen mit Lieferanten auf. Das bedeutet Datenverarbeitungsvereinbarungen, Sicherheits-SLAs, Pflichten zur Meldung von Verletzungen, Auditrechte und Bestimmungen zur Datenrückgabe/-löschung.

A.5.21 — Management der Informationssicherheit in der IKT-Lieferkette. Verwalten Sie Sicherheitsrisiken in der IKT-Lieferkette, einschließlich Software-Abhängigkeiten, Cloud-Dienstanbieter-Ketten und Hardware-Beschaffung. Für SaaS-Unternehmen erstreckt sich dies auf Open-Source-Abhängigkeiten, SaaS-Tools, die in Entwicklung und Betrieb verwendet werden, und die eigenen Lieferketten der Anbieter.

A.5.22 — Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen. Überwachen, überprüfen und verwalten Sie kontinuierlich Änderungen an den Sicherheitspraktiken der Lieferanten. Jährliche Anbieterüberprüfungen, kontinuierliche Überwachung der Sicherheitslage von Anbietern und Neubewertung, ausgelöst durch Anbietervorfälle oder Serviceänderungen.

A.5.23 — Informationssicherheit für die Nutzung von Cloud-Diensten. Verwalten Sie die Beschaffung, Nutzung, Verwaltung und den Ausstieg aus Cloud-Diensten unter Berücksichtigung der Informationssicherheitsanforderungen. Dies ist besonders relevant für SaaS-Unternehmen — es umfasst Ihre Nutzung von AWS, GCP, Azure sowie SaaS-Tools in Ihrem Stack.

Vorfall und Kontinuität (A.5.24 - A.5.30)

A.5.24 — Planung und Vorbereitung des Informationssicherheits-Vorfallmanagements. Planen und bereiten Sie das Management von Informationssicherheitsvorfällen vor. Entwickeln Sie Playbooks zur Vorfallreaktion, definieren Sie Schweregrade, etablieren Sie Kommunikationsprotokolle und weisen Sie Rollen für die Vorfallreaktion zu.

A.5.25 — Bewertung und Entscheidung über Informationssicherheitsereignisse. Bewerten Sie Ereignisse und entscheiden Sie, ob sie Informationssicherheitsvorfälle darstellen. Definieren Sie klare Kriterien dafür, was ein Sicherheitsereignis gegenüber einem Vorfall ausmacht, und etablieren Sie Eskalationsverfahren.

A.5.26 — Reaktion auf Informationssicherheitsvorfälle. Reagieren Sie auf Vorfälle gemäß dokumentierten Verfahren. Dies umfasst Eindämmung, Beseitigung, Wiederherstellung und Kommunikation — gemäß den unter A.5.24 entwickelten Playbooks.

A.5.27 — Lernen aus Informationssicherheitsvorfällen. Nutzen Sie das aus Vorfällen gewonnene Wissen zur Stärkung der Kontrollen. Überprüfungen nach Vorfällen (schuldzuweisungsfreie Nachbesprechungen), die umsetzbare Verbesserungen hervorbringen und in den Risikobewertungsprozess zurückfließen.

A.5.28 — Sammlung von Beweismitteln. Etablieren Sie Verfahren zur Identifizierung, Sammlung, Erfassung und Aufbewahrung von Beweismitteln. Bereitschaft zur digitalen Forensik — sicherstellen, dass Protokolle aufbewahrt werden, Beweismittel mit Beweisketteverfahren behandelt werden und Systeme so konfiguriert sind, dass sie Ermittlungen unterstützen.

A.5.29 — Informationssicherheit bei Störungen. Halten Sie die Informationssicherheit während Störungen auf einem angemessenen Niveau aufrecht. Wenn Systeme ausfallen und Sie sich im Krisenmodus befinden, gelten die Sicherheitskontrollen weiterhin — die Vorfallreaktion sollte keine Zugriffskontrollen umgehen, und die Notfallwiederherstellung sollte keine Daten durch provisorische Umgehungen offenlegen.

A.5.30 — IKT-Bereitschaft für die Geschäftskontinuität. Planen, implementieren, pflegen und testen Sie die IKT-Bereitschaft zur Gewährleistung der Geschäftskontinuität. Für SaaS-Unternehmen bedeutet dies Tests der Notfallwiederherstellung, Failover-Verfahren, Überprüfung der Backup-Wiederherstellung und dokumentierte Wiederherstellungszeitziele (RTOs) und Wiederherstellungspunktziele (RPOs).

Compliance und Recht (A.5.31 - A.5.37)

A.5.31 — Gesetzliche, regulatorische und vertragliche Anforderungen. Identifizieren und dokumentieren Sie geltende gesetzliche, regulatorische und vertragliche Anforderungen. Für SaaS-Unternehmen umfasst dies typischerweise die DSGVO (bei Bedienung von EU-Kunden), branchenspezifische Vorschriften, vertragliche Verpflichtungen gegenüber Kunden und Anforderungen zur Datenlokalisierung.

A.5.32 — Rechte an geistigem Eigentum. Schützen Sie Rechte an geistigem Eigentum, einschließlich der Einhaltung von Softwarelizenzen. Stellen Sie die Einhaltung von Open-Source-Lizenzen, proprietärer Softwarelizenzierung und den Schutz Ihres eigenen geistigen Eigentums (Quellcode, Algorithmen, Kundenerkenntnisse) sicher.

A.5.33 — Schutz von Aufzeichnungen. Schützen Sie Aufzeichnungen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und unbefugter Offenlegung. Dies umfasst sowohl Geschäftsunterlagen als auch Nachweise des ISMS-Betriebs (Auditprotokolle, Risikoregister, Besprechungsprotokolle, Richtliniengenehmigungen).

A.5.34 — Datenschutz und Schutz personenbezogener Daten. Gewährleisten Sie den Datenschutz und den Schutz personenbezogener Daten gemäß den geltenden Gesetzen und Vorschriften. Für SaaS-Unternehmen, die Kundendaten mit personenbezogenen Daten verarbeiten, verbindet diese Kontrolle ISO 27001 mit Datenschutzanforderungen wie der DSGVO.

A.5.35 — Unabhängige Überprüfung der Informationssicherheit. Führen Sie unabhängige Überprüfungen des ISMS in geplanten Abständen oder bei wesentlichen Änderungen durch. Dies ist Ihr internes Audit- und Managementbewertungsprozess.

A.5.36 — Einhaltung von Richtlinien, Regeln und Standards für Informationssicherheit. Überprüfen Sie regelmäßig die Einhaltung der Informationssicherheitsrichtlinien und -standards der Organisation. Stellen Sie sicher, dass die von Ihnen verfassten Richtlinien tatsächlich befolgt werden — durch Überwachung, Auditierung und Managementbewertung.

A.5.37 — Dokumentierte Betriebsverfahren. Dokumentieren Sie Betriebsverfahren für Informationsverarbeitungseinrichtungen und stellen Sie sie dem Personal zur Verfügung, das sie benötigt. Runbooks, Standardbetriebsverfahren und Betriebsdokumentation für Systeme innerhalb des ISMS-Geltungsbereichs.

A.6 Personelle Kontrollen (8 Kontrollen)

Personelle Kontrollen behandeln das menschliche Element der Informationssicherheit — von der Einstellung über die Beschäftigung bis zum Austritt.

A.6.1 — Überprüfung. Führen Sie Hintergrundüberprüfungen bei Kandidaten vor der Einstellung durch. Das Niveau der Überprüfung sollte der Rolle angemessen sein — Ingenieure mit Produktionszugang zu Kundendaten rechtfertigen gründlichere Überprüfungen als Marketing-Teammitglieder.

A.6.2 — Beschäftigungsbedingungen. Arbeitsverträge müssen die Informationssicherheitsverantwortlichkeiten des Mitarbeiters und der Organisation festlegen. Aufnahme von Vertraulichkeitsklauseln, Pflichten zur zulässigen Nutzung und den Konsequenzen bei Richtlinienverstößen.

A.6.3 — Informationssicherheitsbewusstsein, Bildung und Training. Alle Mitarbeiter müssen ein angemessenes Sicherheitsbewusstseinstraining erhalten, und Personal mit spezifischen Sicherheitsrollen muss rollenspezifisches Training erhalten. Jährliches Sicherheitsbewusstseinstraining für alle Mitarbeiter, ergänzt durch gezieltes Training für Ingenieure (sichere Programmierung), Administratoren (Cloud-Sicherheit) und Manager (Vorfallseskalation).

A.6.4 — Disziplinarverfahren. Etablieren Sie ein formales Disziplinarverfahren für Mitarbeiter, die gegen Informationssicherheitsrichtlinien verstoßen. Das Verfahren muss allen Mitarbeitern kommuniziert werden, damit sie die Konsequenzen der Nichteinhaltung verstehen.

A.6.5 — Verantwortlichkeiten nach Beendigung oder Änderung des Beschäftigungsverhältnisses. Definieren Sie Informationssicherheitsverantwortlichkeiten, die nach der Beendigung gültig bleiben. Geheimhaltungsvereinbarungen, die über das Beschäftigungsverhältnis hinaus bestehen, Rückgabe von Werten und die Anforderung, keine Unternehmensinformationen zu behalten.

A.6.6 — Vertraulichkeits- oder Geheimhaltungsvereinbarungen. Identifizieren und dokumentieren Sie Vertraulichkeits- und Geheimhaltungsanforderungen. Geheimhaltungsvereinbarungen für Mitarbeiter, Auftragnehmer und Dritte, die auf sensible Informationen zugreifen.

A.6.7 — Fernarbeit. Implementieren Sie Sicherheitsmaßnahmen für die Fernarbeit. Für SaaS-Unternehmen (in denen Fernarbeit oft der Standard ist) umfasst dies VPN-Anforderungen, Endpunktsicherheit, Anleitungen zur Sicherheit des Heimnetzwerks und Richtlinien für das Arbeiten an öffentlichen Orten.

A.6.8 — Meldung von Informationssicherheitsereignissen. Stellen Sie einen Mechanismus bereit, über den Personal beobachtete oder vermutete Sicherheitsereignisse melden kann. Das bedeutet klare Meldekanäle (ein Slack-Kanal, eine E-Mail-Adresse, ein Ticketsystem), Training darüber, was zu melden ist, und eine Kultur, die Meldende nicht bestraft.

A.7 Physische Kontrollen (14 Kontrollen)

Physische Kontrollen umfassen die Sicherheit physischer Umgebungen, Geräte und Versorgungseinrichtungen. Für SaaS-Unternehmen, die vollständig in der Cloud ohne physische Rechenzentren arbeiten, kommen mehrere dieser Kontrollen für einen Ausschluss im SoA in Frage — aber der Ausschluss muss begründet werden, und einige physische Kontrollen gelten auch für Cloud-native Organisationen.

A.7.1 — Physische Sicherheitsperimeter. Definieren Sie Sicherheitsperimeter um Bereiche, die Informationen und Informationsverarbeitungseinrichtungen enthalten. Für SaaS-Unternehmen mit Büros gilt dies für die Büroumgebung — insbesondere Bereiche, in denen sensible Arbeit stattfindet (Sicherheitsteam-Bereich, Serverräume, falls vorhanden).

A.7.2 — Physischer Zugang. Sichere Bereiche sollten durch angemessene Zugangskontrollen geschützt werden. Zutrittskarten, Besuchermanagement und eingeschränkter Zugang zu sensiblen Bereichen.

A.7.3 — Sicherung von Büros, Räumen und Einrichtungen. Entwerfen und implementieren Sie physische Sicherheit für Büros, Räume und Einrichtungen. Dies umfasst Serverraumsicherheit (falls zutreffend), Clean-Desk-Richtlinien und sichere Aufbewahrung für physische Dokumente.

A.7.4 — Physische Sicherheitsüberwachung. Überwachen Sie Räumlichkeiten kontinuierlich auf unbefugten physischen Zugang. CCTV, Einbruchmeldesysteme, Sicherheitspersonal. Für vollständig remote arbeitende SaaS-Unternehmen kann diese Kontrolle ausgeschlossen werden, wenn keine physischen Räumlichkeiten zu überwachen sind.

A.7.5 — Schutz vor physischen und umweltbedingten Bedrohungen. Entwerfen und implementieren Sie Schutz vor physischen und umweltbedingten Bedrohungen (Feuer, Überschwemmung, Erdbeben, Stromausfall). Auch Cloud-native Unternehmen sollten die physische Sicherheit ihrer Büroumgebungen und die Umgebungskontrollen, die ihre Cloud-Anbieter aufrechterhalten, berücksichtigen.

A.7.6 — Arbeiten in sicheren Bereichen. Definieren und implementieren Sie Sicherheitsmaßnahmen für das Arbeiten in sicheren Bereichen. Einschränkungen für elektronische Geräte in sicheren Bereichen, Aufsichtsanforderungen und Zugangsprotokollierung.

A.7.7 — Aufgeräumter Schreibtisch und gesperrter Bildschirm. Definieren Sie Regeln für aufgeräumte Schreibtische und gesperrte Bildschirme. Bildschirme sperren, wenn der Arbeitsplatz verlassen wird, keine sensiblen Dokumente auf Schreibtischen liegen lassen und physische Medien in verschlossenen Aufbewahrungen sichern.

A.7.8 — Aufstellung und Schutz von Geräten. Platzieren und schützen Sie Geräte, um Risiken durch umweltbedingte Bedrohungen und unbefugten Zugang zu reduzieren. Für SaaS-Unternehmen gilt dies hauptsächlich für Mitarbeiterarbeitsplätze und vorhandene Netzwerkgeräte vor Ort.

A.7.9 — Sicherheit von Werten außerhalb der Geschäftsräume. Schützen Sie Werte, die außerhalb der Geschäftsräume mitgenommen werden. Laptop-Verschlüsselung, Fernlöschfähigkeit, VPN-Anforderungen und Richtlinien für die Mitnahme von Geräten zu Konferenzen, Kundenstandorten oder nach Hause.

A.7.10 — Speichermedien. Verwalten Sie Speichermedien über ihren Lebenszyklus — Beschaffung, Nutzung, Transport und Entsorgung. Dies umfasst Festplatten, USB-Geräte und Backup-Medien. Für SaaS-Unternehmen ist das Cloud-Speicher-Lebenszyklusmanagement (Verschlüsselung, Zugriffskontrolle, sichere Löschung) das moderne Äquivalent.

A.7.11 — Unterstützende Versorgungseinrichtungen. Schützen Sie Informationsverarbeitungseinrichtungen vor Stromausfällen und anderen Versorgungsunterbrechungen. Für Cloud-native SaaS-Unternehmen übernimmt Ihr Cloud-Anbieter dies für die Produktionsinfrastruktur — berücksichtigen Sie jedoch USV und Notstromversorgung für Ihre Büronetzwerkinfrastruktur.

A.7.12 — Verkabelungssicherheit. Schützen Sie Verkabelungen, die Strom und Daten übertragen, vor Abhören, Störungen oder Beschädigungen. Hauptsächlich relevant für Unternehmen mit lokaler Infrastruktur oder Bürovernetzung.

A.7.13 — Gerätewartung. Warten Sie Geräte ordnungsgemäß, um ihre fortlaufende Verfügbarkeit und Integrität zu gewährleisten. Für SaaS-Unternehmen gilt dies für Mitarbeitergeräte (Patching, Hardware-Erneuerung) und vorhandene Geräte vor Ort.

A.7.14 — Sichere Entsorgung oder Wiederverwendung von Geräten. Löschen oder vernichten Sie Daten auf Geräten sicher vor der Entsorgung oder Wiederverwendung. Stellen Sie bei der Außerdienststellung von Mitarbeiterlaptops sicher, dass Festplatten sicher gelöscht oder vernichtet werden. Stellen Sie bei der Außerdienststellung von Cloud-Ressourcen sicher, dass Daten gelöscht und Speicher freigegeben wird.

A.8 Technologische Kontrollen (34 Kontrollen)

Technologische Kontrollen sind die technischen Sicherheitsmechanismen, die Informationssysteme schützen. Für SaaS-Unternehmen ist dies typischerweise der größte und relevanteste Abschnitt.

Endpunkt und Zugang (A.8.1 - A.8.5)

A.8.1 — Benutzerendgeräte. Schützen Sie Informationen, die auf Benutzerendgeräten gespeichert, verarbeitet oder über diese zugänglich sind. Das bedeutet Endpoint Detection and Response (EDR)-Software, Festplattenverschlüsselung, automatische OS-Updates, Bildschirmsperrrichtlinien und Fernlöschfähigkeit für Unternehmensgeräte. Für BYOD-Umgebungen implementieren Sie Mobile Device Management (MDM) oder gleichwertige Kontrollen.

A.8.2 — Privilegierte Zugriffsrechte. Beschränken und verwalten Sie die Zuweisung und Nutzung privilegierter Zugriffsrechte. Trennen Sie Admin-Konten von täglichen Benutzerkonten, implementieren Sie Just-in-Time-Privilegienerweiterung, überwachen Sie privilegierte Sitzungen und führen Sie regelmäßige Überprüfungen privilegierter Zugriffsrechte durch.

A.8.3 — Informationszugangsbeschränkung. Beschränken Sie den Zugang zu Informationen gemäß der Zugriffskontrollrichtlinie. Dies ist die technische Umsetzung der in A.5.15 definierten Richtlinie — rollenbasierte Zugriffskontrolle, attributbasierte Zugriffskontrolle, API-Autorisierung und Datenzugangsbeschränkungen basierend auf Klassifizierung und Kenntnisbedarf.

A.8.4 — Zugriff auf Quellcode. Verwalten Sie den Zugang zu Quellcode, Entwicklungswerkzeugen und Softwarebibliotheken. Für SaaS-Unternehmen bedeutet dies Repository-Zugriffskontrollen (GitHub-/GitLab-Berechtigungen), Branch-Protection-Regeln, Code-Signierung und die Beschränkung des Zugriffs auf Build- und Deployment-Systeme.

A.8.5 — Sichere Authentifizierung. Implementieren Sie sichere Authentifizierungstechnologien und -verfahren. Multi-Faktor-Authentifizierung für alle Benutzer, SSO-Integration, starke Passwortrichtlinien (oder besser, passwortlose Authentifizierung) und sicheres Sitzungsmanagement.

Konfigurations- und Schwachstellenmanagement (A.8.6 - A.8.10)

A.8.6 — Kapazitätsmanagement. Überwachen und passen Sie die Ressourcenauslastung an, um aktuelle und zukünftige Kapazitätsanforderungen zu erfüllen. Auto-Scaling-Konfigurationen, Kapazitätsüberwachungs-Dashboards, Alarmierung bei Ressourcenerschöpfungsschwellenwerten und Kapazitätsplanung für Wachstum.

A.8.7 — Schutz gegen Schadsoftware. Implementieren Sie Schutz gegen Schadsoftware in Kombination mit Benutzerbewusstsein. EDR/Antivirus auf Endpunkten, E-Mail-Filterung, Webfilterung und Schulung der Benutzer zur Erkennung von Phishing und bösartigen Inhalten.

A.8.8 — Management technischer Schwachstellen. Beschaffen Sie Informationen über technische Schwachstellen, bewerten Sie die Exposition und ergreifen Sie geeignete Maßnahmen. Schwachstellenscanning, Abhängigkeitsprüfung (SCA-Tools), CVE-Überwachung für Ihren Technologie-Stack, Patch-Management-Prozesse und definierte SLAs für die Schwachstellenbehebung basierend auf dem Schweregrad.

A.8.9 — Konfigurationsmanagement. Etablieren, dokumentieren, implementieren, überwachen und überprüfen Sie Konfigurationen von Hardware, Software, Diensten und Netzwerken. Infrastructure-as-Code, Konfigurations-Baselines, Drift-Erkennung und unveränderliche Infrastrukturmuster. Dies ist eine der 11 neuen Kontrollen in 2022 und ist besonders relevant für SaaS-Unternehmen, die Cloud-Infrastruktur verwalten.

A.8.10 — Informationslöschung. Löschen Sie Informationen, wenn sie nicht mehr benötigt werden. Datenaufbewahrungsrichtlinien mit automatisierter Durchsetzung, sichere Löschung von Kundendaten bei Vertragsbeendigung und Bereinigung temporärer Datenspeicher. Eine weitere neue Kontrolle in 2022.

Datenschutz (A.8.11 - A.8.14)

A.8.11 — Datenmaskierung. Maskieren Sie Daten gemäß der Zugriffskontrollrichtlinie und den Geschäftsanforderungen. Produktionsdaten sollten nicht in Entwicklungs- oder Testumgebungen ohne Maskierung verwendet werden. Kunden-PII sollten in Protokollen, Analysen und Support-Tools maskiert werden, wo vollständige Daten nicht erforderlich sind. Dies ist eine neue Kontrolle in 2022.

A.8.12 — Verhinderung von Datenabfluss. Wenden Sie Maßnahmen zur Verhinderung von Datenabfluss auf Systeme, Netzwerke und Endpunkte an. DLP-Tools auf Endpunkten und E-Mail, Einschränkungen beim Kopieren von Daten auf externe Speicher, Überwachung von Massendatenexporten und API-Rate-Limiting zur Verhinderung von Datenscraping. Eine weitere neue Kontrolle in 2022.

A.8.13 — Informationssicherung. Pflegen Sie getestete Sicherungskopien von Informationen, Software und Systemkonfigurationen. Automatisierte Backups mit definierten RPOs, Backup-Verschlüsselung, Offsite-Speicherung und — entscheidend — regelmäßige Wiederherstellungstests. Ein Backup, das noch nie getestet wurde, ist kein Backup.

A.8.14 — Redundanz von Informationsverarbeitungseinrichtungen. Implementieren Sie Redundanz für Informationsverarbeitungseinrichtungen, die ausreicht, um Verfügbarkeitsanforderungen zu erfüllen. Multi-AZ-Bereitstellungen, Datenbankreplikation, Lastverteilung und Failover-Mechanismen.

Protokollierung und Überwachung (A.8.15 - A.8.16)

A.8.15 — Protokollierung. Erstellen, speichern, schützen und analysieren Sie Protokolle, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen. Zentralisierte Protokollierung (ELK, Splunk, Datadog), Protokollaufbewahrungsrichtlinien, manipulationssichere Protokollspeicherung und definierte Protokollquellen (Anwendungsprotokolle, Zugriffsprotokolle, Infrastrukturprotokolle, Sicherheitsereignisprotokolle).

A.8.16 — Überwachungsaktivitäten. Überwachen Sie Netzwerke, Systeme und Anwendungen auf anomales Verhalten und ergreifen Sie geeignete Maßnahmen. SIEM- oder Überwachungsplattformen, die Ereignisse korrelieren, bei Anomalien alarmieren und Untersuchungen ermöglichen. Dies ist eine neue Kontrolle in 2022, die die Bedeutung kontinuierlicher Überwachung widerspiegelt.

Betriebssicherheit (A.8.17 - A.8.22)

A.8.17 — Uhrsynchronisation. Synchronisieren Sie die Uhren von Informationsverarbeitungssystemen mit einer genehmigten Zeitquelle. NTP-Konfiguration über alle Systeme hinweg. Dies erscheint trivial, ist aber essenziell für die Protokollkorrelation bei Vorfalluntersuchungen.

A.8.18 — Nutzung privilegierter Dienstprogramme. Beschränken und kontrollieren Sie die Nutzung von Dienstprogrammen, die System- und Anwendungskontrollen umgehen können. Begrenzen Sie den Zugang zu Datenbankverwaltungstools, Systemverwaltungsprogrammen und Debugging-Tools in der Produktion.

A.8.19 — Installation von Software auf Betriebssystemen. Implementieren Sie Verfahren zur Kontrolle der Installation von Software auf Betriebssystemen. Beschränken Sie die Softwareinstallation auf Mitarbeitergeräten, kontrollieren Sie, was in die Produktion bereitgestellt werden kann, und pflegen Sie Listen genehmigter Software.

A.8.20 — Netzwerksicherheit. Verwalten und kontrollieren Sie Netzwerke zum Schutz der Informationen in Systemen und Anwendungen. Netzwerksegmentierung, Firewall-Regeln, VPC-Konfiguration, Security Groups und Netzwerkzugriffskontrolllisten in Cloud-Umgebungen.

A.8.21 — Sicherheit von Netzwerkdiensten. Identifizieren, implementieren und überwachen Sie Sicherheitsmechanismen, Service-Level und Managementanforderungen für Netzwerkdienste. Dies umfasst sowohl interne Netzwerkdienste als auch Netzwerkdienste von Drittanbietern (ISPs, CDNs, DNS-Anbieter).

A.8.22 — Netzwerktrennung. Trennen Sie Gruppen von Informationsdiensten, Benutzern und Informationssystemen in Netzwerken. Produktions-, Staging- und Entwicklungsumgebungen in separaten Netzwerken/VPCs. Kundenseitige und interne Verwaltungsnetzwerke getrennt. Datenbankserver nicht direkt aus dem Internet zugänglich.

Web- und Anwendungssicherheit (A.8.23 - A.8.24)

A.8.23 — Webfilterung. Filtern Sie den Zugang zu externen Websites, um die Exposition gegenüber bösartigen Inhalten zu reduzieren. DNS-Filterung, proxybasierte Webfilterung oder endpunktbasierte URL-Filterung zum Blockieren des Zugangs zu bekannten bösartigen Websites, Phishing-Seiten und unangemessenen Inhalten. Dies ist eine neue Kontrolle in 2022.

A.8.24 — Nutzung von Kryptographie. Definieren und implementieren Sie Regeln für den wirksamen Einsatz von Kryptographie, einschließlich Schlüsselmanagement. TLS 1.2+ für alle Daten im Transit, AES-256 für ruhende Daten, ordnungsgemäßes Schlüsselmanagement (Rotation, Speicherung in HSM oder Geheimnismanager) und eine kryptographische Richtlinie, die genehmigte Algorithmen definiert.

Entwicklungssicherheit (A.8.25 - A.8.34)

A.8.25 — Sicherer Entwicklungslebenszyklus. Etablieren und wenden Sie Regeln für die sichere Entwicklung von Software und Systemen an. Sichere Programmierstandards, Sicherheitsanforderungen in User Stories, Bedrohungsmodellierung beim Design, Sicherheitstests in der CI/CD-Pipeline und Sicherheitsüberprüfung für Produktionsbereitstellungen.

A.8.26 — Anwendungssicherheitsanforderungen. Identifizieren, spezifizieren und genehmigen Sie Informationssicherheitsanforderungen für die Entwicklung oder den Erwerb von Anwendungen. Definieren Sie Sicherheitsanforderungen (Authentifizierung, Autorisierung, Eingabevalidierung, Verschlüsselung) als Teil des Anwendungsdesignprozesses.

A.8.27 — Sichere Systemarchitektur und Entwicklungsgrundsätze. Etablieren, dokumentieren, pflegen und wenden Sie Grundsätze für die Entwicklung sicherer Systeme an. Defense in Depth, minimale Rechte, Fail Secure, Eingabevalidierung, sichere Standardwerte. Dokumentieren Sie diese Grundsätze und stellen Sie sicher, dass sie bei architektonischen Entscheidungen befolgt werden.

A.8.28 — Sichere Programmierung. Wenden Sie Grundsätze der sicheren Programmierung bei der Softwareentwicklung an. OWASP Top 10-Bewusstsein, Eingabevalidierung, parametrisierte Abfragen, Ausgabekodierung, sicheres Sitzungsmanagement und sichere Behandlung von Geheimnissen im Code. Dies ist eine neue Kontrolle in 2022.

A.8.29 — Sicherheitstests in Entwicklung und Abnahme. Definieren und implementieren Sie Sicherheitstestprozesse im Entwicklungslebenszyklus. SAST (statische Analyse), DAST (dynamische Analyse), Abhängigkeitsprüfung, Penetrationstests und Sicherheitsakzeptanzkriterien für Releases.

A.8.30 — Ausgelagerte Entwicklung. Leiten, überwachen und überprüfen Sie Aktivitäten im Zusammenhang mit der ausgelagerten Systementwicklung. Wenn Sie Auftragnehmer oder ausgelagerte Entwicklungsteams einsetzen, stellen Sie sicher, dass sie Ihre sicheren Entwicklungspraktiken befolgen, ihr Code überprüft wird und ihr Zugang kontrolliert ist.

A.8.31 — Trennung von Entwicklungs-, Test- und Betriebsumgebungen. Trennen Sie Entwicklungs-, Test- und Betriebsumgebungen, um Risiken unbefugten Zugriffs oder unbefugter Änderungen an der Betriebsumgebung zu reduzieren. Getrennte AWS-Konten oder GCP-Projekte für Entwicklung, Staging und Produktion. Keine Produktionsanmeldedaten in Entwicklungsumgebungen. Keine Kundendaten in Nicht-Produktionsumgebungen.

A.8.32 — Änderungsmanagement. Kontrollieren Sie Änderungen an Informationsverarbeitungseinrichtungen und Informationssystemen. Formelles Änderungsmanagement für Produktionssysteme — Änderungsanträge, Risikobewertung, Genehmigung, Tests, Bereitstellung und Rollback-Verfahren.

A.8.33 — Testinformationen. Schützen Sie Testinformationen angemessen. Testdaten sollten anonymisiert oder synthetisch sein — verwenden Sie niemals echte Kundendaten in Testumgebungen. Wenn Testdaten Produktionsdaten ähneln müssen, verwenden Sie Datenmaskierung (A.8.11).

A.8.34 — Schutz von Informationssystemen während Audittests. Planen und vereinbaren Sie Audittests, die Betriebssysteme betreffen, um die Geschäftsauswirkungen zu minimieren. Wenn Penetrationstests oder Schwachstellenscans auf Produktionssysteme abzielen, planen Sie diese so, dass Störungen minimiert werden, und stellen Sie sicher, dass Rollback-Verfahren vorhanden sind.

Die 11 neuen Kontrollen in ISO 27001:2022

Die Revision 2022 führte 11 Kontrollen ein, die in der Version 2013 nicht existierten. Diese spiegeln die Entwicklung der Bedrohungslandschaft und moderner Technologiepraktiken wider:

Kontrolle	Thema	Beschreibung	SaaS-Relevanz
A.5.7	Organisatorisch	Bedrohungsintelligenz	Hoch — essenziell für das Verständnis der Bedrohungen Ihres Stacks
A.5.23	Organisatorisch	Cloud-Dienste-Sicherheit	Kritisch — adressiert direkt die SaaS-Infrastruktur
A.5.30	Organisatorisch	IKT-Bereitschaft für Geschäftskontinuität	Hoch — DR/BCP für Cloud-Dienste
A.7.4	Physisch	Physische Sicherheitsüberwachung	Niedrig für Cloud-native SaaS; kann ausgeschlossen werden
A.8.9	Technologisch	Konfigurationsmanagement	Kritisch — IaC und Cloud-Konfigurationsmanagement
A.8.10	Technologisch	Informationslöschung	Hoch — Datenlebenszyklusmanagement
A.8.11	Technologisch	Datenmaskierung	Hoch — Schutz von Daten in Nicht-Produktionsumgebungen
A.8.12	Technologisch	Verhinderung von Datenabfluss	Mittel-Hoch — DLP für Endpunkte und APIs
A.8.16	Technologisch	Überwachungsaktivitäten	Kritisch — kontinuierliche Sicherheitsüberwachung
A.8.23	Technologisch	Webfilterung	Mittel — Endpunktschutz
A.8.28	Technologisch	Sichere Programmierung	Kritisch — grundlegend für die SaaS-Entwicklung

Diese neuen Kontrollen sind oft ein Schwerpunktbereich bei Audits, da Auditoren überprüfen wollen, ob Organisationen sie adressiert haben — insbesondere bei der Umstellung von einem ISMS auf Basis von 2013.

Kontrollattribute

ISO 27001:2022 führt fünf Attribute für jede Kontrolle ein, die eine mehrdimensionale Kategorisierung ermöglichen:

Kontrolltyp

• Präventiv — verhindert das Eintreten eines Sicherheitsvorfalls
• Erkennend — erkennt das Eintreten eines Sicherheitsvorfalls
• Korrigierend — behebt die Auswirkung eines Sicherheitsvorfalls nach seinem Eintreten

Informationssicherheitseigenschaften

Welche Eigenschaft der CIA-Triade die Kontrolle schützt:

• Vertraulichkeit
• Integrität
• Verfügbarkeit

Cybersicherheitskonzepte (Ausrichtung an NIST CSF)

• Identifizieren — Umgebung und Risiken verstehen
• Schützen — Schutzmaßnahmen implementieren
• Erkennen — Sicherheitsereignisse identifizieren
• Reagieren — auf erkannte Ereignisse handeln
• Wiederherstellen — Fähigkeiten wiederherstellen

Operative Fähigkeiten

Gruppiert Kontrollen nach operativer Funktion:

• Governance, Asset-Management, Informationsschutz, Personalsicherheit, Physische Sicherheit, System- und Netzwerksicherheit, Anwendungssicherheit, Sichere Konfiguration, Identitäts- und Zugriffsmanagement, Bedrohungs- und Schwachstellenmanagement, Kontinuität, Sicherheit von Lieferantenbeziehungen, Recht und Compliance, Management von Informationssicherheitsereignissen, Informationssicherheitsgewährleistung

Sicherheitsdomänen

• Governance und Ökosystem
• Schutz
• Verteidigung
• Resilienz

Diese Attribute sind nützlich für die Zuordnung von Kontrollen zu anderen Rahmenwerken (NIST CSF, CIS Controls), die Erstellung verschiedener Sichten Ihrer Kontrollumgebung (z. B. Anzeige aller erkennenden Kontrollen, Anzeige aller Kontrollen zum Schutz der Vertraulichkeit) und den Nachweis gegenüber Auditoren, dass Ihre Kontrollauswahl durchdacht und mehrdimensional ist.

Typische SaaS-Ausschlüsse

Nicht jede Annex A Kontrolle ist für jedes SaaS-Unternehmen relevant. Die Erklärung zur Anwendbarkeit dokumentiert Ihre Ein- und Ausschlussentscheidungen mit Begründung. Häufige Ausschlüsse für Cloud-native SaaS-Unternehmen umfassen:

Häufig ausgeschlossene physische Kontrollen

A.7.1-A.7.6 (Physische Perimeter, Zugang, Büros, Überwachung, Umwelt, Sichere Bereiche) — Wenn Ihre Organisation vollständig remote ohne physisches Büro ist oder wenn Ihr Büro keine Informationsverarbeitungseinrichtungen enthält (die gesamte Verarbeitung erfolgt in der Cloud), können einige davon ausgeschlossen werden. Wenn jedoch Mitarbeiter von einem Büro mit Unternehmensarbeitsplätzen aus arbeiten, kann eine Teilmenge dennoch gelten.

A.7.8 (Aufstellung und Schutz von Geräten) — Wenn Sie keine lokalen Server oder Netzwerkgeräte über die Standard-Büroausstattung hinaus haben.

A.7.11 (Unterstützende Versorgungseinrichtungen) — Wenn die gesamte Produktionsinfrastruktur in der Cloud liegt und Ihr Büro keine kritischen Informationsverarbeitungsgeräte beherbergt.

A.7.12 (Verkabelungssicherheit) — Wenn Sie kein lokales Rechenzentrum oder spezialisierte Netzwerkinfrastruktur haben.

Für SaaS selten ausgeschlossene Kontrollen

Praktisch kein SaaS-Unternehmen kann den Ausschluss folgender Kontrollen rechtfertigen:

• A.5.1 (Richtlinien) — jedes ISMS braucht Richtlinien
• A.5.15-A.5.18 (Zugriffskontrolle) — jedes SaaS hat Zugänge zu verwalten
• A.5.24-A.5.27 (Vorfallmanagement) — Vorfälle passieren in jeder Organisation
• A.8.5 (Sichere Authentifizierung) — Authentifizierung ist fundamental
• A.8.9 (Konfigurationsmanagement) — Cloud-Konfiguration ist immer relevant
• A.8.15-A.8.16 (Protokollierung und Überwachung) — jedes Produktionssystem braucht Protokollierung
• A.8.25 (Sicherer Entwicklungslebenszyklus) — jedes SaaS entwickelt Software

Begründungsanforderungen

Der Ausschluss ist keine Abkürzung. Für jede ausgeschlossene Kontrolle muss Ihr SoA angeben:

• Die ausgeschlossene Kontrolle (Referenznummer und Titel)
• Die Begründung — warum das Risiko, das die Kontrolle adressiert, für Ihre Organisation nicht anwendbar ist
• Bestätigung, dass der Ausschluss die Informationssicherheit nicht gefährdet

„Wir haben keine lokalen Server, daher wird A.7.12 (Verkabelungssicherheit) ausgeschlossen, da es keine Verkabelung gibt, die Daten oder Strom innerhalb des ISMS-Geltungsbereichs überträgt und die geschützt werden müsste” ist eine gültige Begründung. „Nicht anwendbar” ohne Erklärung ist es nicht.

Zuordnung von Kontrollen zum Risikobehandlungsplan

Der Risikobehandlungsplan und die Annex A Kontrollen müssen explizit verbunden sein. Diese Zuordnung ist das Rückgrat Ihres ISMS und das Wichtigste, was Auditoren überprüfen.

Vom Risiko zur Kontrolle

Für jedes Risiko in Ihrem Behandlungsplan:

1. Identifizieren Sie die Behandlungsmaßnahmen — welche spezifischen Maßnahmen das Risiko adressieren
2. Ordnen Sie jede Maßnahme einer oder mehreren Annex A Kontrollen zu — welche Kontrollreferenz zutrifft
3. Dokumentieren Sie die Zuordnung sowohl im Risikobehandlungsplan als auch im SoA
4. Implementieren Sie die Kontrolle — setzen Sie die technische oder organisatorische Maßnahme um
5. Sammeln Sie Nachweise — demonstrieren Sie, dass die Kontrolle funktioniert

Von der Kontrolle zum Risiko

Für jede Annex A Kontrolle in Ihrem SoA:

1. Identifizieren Sie die Risiken, die sie adressiert — verfolgen Sie zurück zum Risikoregister
2. Dokumentieren Sie die Risikoreferenz in der SoA-Begründung
3. Überprüfen Sie die Abdeckung — stellen Sie sicher, dass keine Lücken bestehen, bei denen Risiken ohne entsprechende Kontrollen existieren

Abdeckungsvalidierung

Überprüfen Sie Ihre Zuordnung auf Vollständigkeit:

• Jedes Risiko über Ihrem Akzeptanzschwellenwert sollte mindestens einer Annex A Kontrolle zugeordnet sein (oder formell akzeptiert sein)
• Jede eingeschlossene Annex A Kontrolle sollte mindestens einem Risiko zugeordnet sein (oder einer gesetzlichen/regulatorischen/vertraglichen Anforderung)
• Keine verwaisten Kontrollen — Kontrollen, die ohne klare Begründung implementiert werden
• Keine verwaisten Risiken — Risiken über dem Schwellenwert ohne entsprechende Behandlung

Diese Querverweisungen sind es, die eine Checklisten-Übung in ein integriertes Risikomanagementsystem verwandeln. Auditoren testen diese Nachverfolgbarkeit gezielt, und Lücken sind eine häufige Quelle von Nichtkonformitätsfeststellungen.

Wie GRCTrail hilft

GRCTrail gibt SaaS-Teams eine strukturierte Plattform zur Verwaltung von Annex A Kontrollen von der Auswahl über die Implementierung bis zur laufenden Überwachung.

• Interaktiver Annex A Kontrollkatalog mit SaaS-spezifischen Implementierungsanleitungen für jede der 93 Kontrollen, damit Ihr Team genau weiß, was jede Kontrolle in einem Cloud-nativen Kontext bedeutet, anstatt generische ISO-Sprache zu interpretieren
• Automatisierte SoA-Generierung, die aus Ihrer Risikobewertung schöpft, um Risiken den Kontrollen zuzuordnen, Einschlüsse und Ausschlüsse zu begründen und die Nachverfolgbarkeit aufrechtzuerhalten — das Dokument, das Auditoren am meisten Zeit für die Überprüfung aufwenden
• Kontrollimplementierungs-Tracking mit Nachweissammlung, das jede Annex A Kontrolle mit ihrem Implementierungsstatus, dem zugewiesenen Verantwortlichen und den unterstützenden Nachweisen verknüpft und sicherstellt, dass zwischen Risikobewertung und Audit nichts durch die Maschen fällt

Jetzt mit GRCTrail starten →

Verwandte Leitfäden

• Was ist ISO 27001? Ein Leitfaden für SaaS-Unternehmen
• ISO 27001 Risikobewertung: Prozess, Methodik und Beispiele
• ISO 27001 Erklärung zur Anwendbarkeit: So erstellen Sie sie
• ISO 27001 Zugriffskontroll-Leitfaden
• ISO 27001 Richtlinien-Leitfaden
• ISO 27001 Zertifizierungs-Checkliste
• ISO 27001 Anforderungen: Die Klauseln 4-10 verstehen