Kennst du alle? – Die wichtigsten Normen rund um Informationssicherheit

Kennst du alle? – Die wichtigsten Normen rund um Informationssicherheit

Wer sich ernsthaft mit Informationssicherheit beschäftigt, stößt früher oder später auf eine Flut an Abkürzungen und Normenbezeichnungen: ISO 27001, ISO 27002, BSI IT-Grundschutz, NIST, COBIT, TISAX, DORA, DSGVO – und das ist nur der Anfang. Für Außenstehende wirkt dieses Regelwerk wie ein unüberschaubarer Dschungel aus Vorschriften, Empfehlungen und Zertifizierungen. Doch wer die wichtigsten Normen kennt und versteht, erkennt schnell, dass sie mehr sind als bloße Bürokratie: Sie sind Werkzeuge, die Struktur schaffen, Risiken reduzieren, Compliance sichern und Vertrauen aufbauen. Das Ziel ist immer dasselbe – Informationen schützen –, aber die Wege dorthin unterscheiden sich. Manche Normen sind international, andere national. Manche sind gesetzlich vorgeschrieben, andere freiwillig, aber in vielen Branchen de facto unverzichtbar. Richtig eingesetzt, machen Normen Informationssicherheit planbar, messbar und nachhaltig – und zwar nicht trotz, sondern wegen ihrer Struktur.

ISO/IEC 27001: Der globale Rahmen für ein wirksames ISMS

ISO/IEC 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Sein Fokus liegt nicht auf Checklisten, sondern auf Management: Risiken verstehen, Ziele setzen, Maßnahmen festlegen, Wirksamkeit prüfen und fortlaufend verbessern. Die Norm folgt der harmonisierten ISO-Struktur (High Level Structure) und lässt sich daher gut mit anderen Managementsystemen (z. B. ISO 9001, ISO 22301) integrieren. Herzstück ist die risikobasierte Steuerung. Unternehmen entscheiden – auf Basis einer nachvollziehbaren Risikoanalyse – selbst, welche Kontrollen angemessen sind, und dokumentieren diese Auswahl in der „Statement of Applicability“ (SoA). Genau diese Flexibilität macht ISO 27001 so mächtig: Ein FinTech, ein Klinikum und ein Maschinenbauer können völlig unterschiedliche Kontrollen wählen und dennoch konform sein, solange die Auswahl risikogerecht und wirksam belegt ist. Das Zertifikat dient international als Gütesiegel: Es signalisiert Kunden, Partnern und Aufsichten, dass Informationssicherheit nicht dem Zufall überlassen wird, sondern nach einem anerkannten Regelwerk geführt wird.

ISO/IEC 27002: Aus Zielen werden Maßnahmen – der Praxiskatalog

Während ISO 27001 „was“ und „warum“ erklärt, liefert ISO/IEC 27002 das „wie“. Die aktuelle Fassung bündelt die Kontrollen moderner in Themenfeldern, richtet sich stärker an die Praxis und enthält zu jeder Kontrolle Zweck, Leitlinien und Umsetzungsbeispiele. Der Katalog deckt klassische Domänen (Zugriff, Kryptografie, Logging, Betrieb) ebenso ab wie heute unverzichtbare Themen (Cloud-Nutzung, DevSecOps-Nahe Aspekte, Lieferkette, Bedrohungsintelligenz). In der Praxis nutzen Teams ISO 27002 als Baukasten: Aus der Risikoanalyse werden Kontrollen ausgewählt, im SoA verankert und mit konkreten Umsetzungshinweisen aus 27002 hinterlegt. So bleibt das ISMS nicht abstrakt, sondern wird handfeste Betriebsrealität.

ISO-Erweiterungen, die man kennen sollte

ISO 27001/27002 sind das Fundament. Für Tiefe in Spezialthemen helfen flankierende Standards:

• ISO 27005 für das Risiko-Management (Methodik, Rollen, Bewertungslogik).
• ISO 27017 (Cloud-Sicherheitskontrollen) und ISO 27018 (Schutz personenbezogener Daten in Public-Clouds).
• ISO 27035 (Incident-Management) als Prozessleitfaden von Erkennung bis Lessons Learned.
• ISO 27701 als Privacy-Erweiterung (PIMS) zur Integration von Datenschutz-Anforderungen in das ISMS.
• ISO 22301 für Business Continuity – unverzichtbar, wenn RTO/RPO und Wiederanlauffähigkeit belastbar sein sollen.

Mit diesen Bausteinen lassen sich komplexe Umfelder (Multi-Cloud, globale Lieferketten, hochregulierte Branchen) konsistent abdecken, ohne das Rad neu zu erfinden.

BSI IT-Grundschutz: Deutsche Detailtiefe, die in der Praxis trägt

Der BSI IT-Grundschutz ist das deutschsprachige Schwergewicht für praxisnahe Sicherheit. Statt nur Prinzipien zu liefern, bietet er mit seinem Kompendium eine Bausteinlogik: Für Server, Netze, Anwendungen, Entwicklungsprozesse, physische Bereiche, Organisation und Personal existieren Bausteine mit Geltungsbereich, typischen Gefährdungen und konkreten Anforderungen – abgestuft nach Schutzbedarf (Basis/Standard/Erhöht). Dieses „Bauanleitung“-Prinzip verhindert Lücken, schafft eine gemeinsame Sprache im Unternehmen und erleichtert Audits. Besonders attraktiv: Die Möglichkeit, ISO/IEC-27001-Zertifizierungen auf Basis von IT-Grundschutz zu erlangen – international anerkannt, gleichzeitig in Deutschland tief verankert. Wer mit NIS2, KRITIS oder strengeren Aufsichtsanforderungen ringt, profitiert von der Struktur und der jährlichen Aktualisierung des Kompendiums.

NIST Cybersecurity Framework: Funktionen, die jeder versteht

Das NIST Cybersecurity Framework (CSF) hat sich weltweit etabliert, weil es komplexe Sicherheit auf fünf (in der neuesten Fassung sechs) leicht verständliche Funktionen verdichtet: Govern, Identify, Protect, Detect, Respond, Recover. Organisationen bewerten entlang dieser Funktionen ihren Reifegrad, definieren Zielprofile und schließen Lücken mit Roadmaps. Der große Vorteil: Das CSF ist technologie- und branchenagnostisch, anschlussfähig an ISO/BSI und exzellent geeignet für Vorstände, die „in einer Seite“ verstehen wollen, wo die Reise steht. Eine Zertifizierung gibt es bewusst nicht – das CSF ist Steuerungs- und Kommunikationswerkzeug, kein Formalnachweis.

COBIT: Governance und Steuerung der IT – über die Sicherheit hinaus

COBIT adressiert nicht nur Sicherheit, sondern die Gesamtsteuerung der Informationstechnologie. Mit Prozessen, Zielen und Metriken liefert es eine Brücke zwischen Unternehmenszielen und IT-Leistung. Für CISO-Teams ist COBIT dann wertvoll, wenn Sicherheitsziele in IT-Governance und Portfolio-Steuerung verankert werden sollen: Budgetallokation, Risikoakzeptanz, Architekturleitplanken, Sourcing-Entscheidungen. In integrierten Managementsystemen hilft COBIT, Sicherheitskontrollen in die Sprache von Audit-Komitees und CFO-Kennzahlen zu übersetzen.

TISAX: Branchenspezifische Pflicht im Automotive-Ökosystem

TISAX (Trusted Information Security Assessment Exchange) ist der Automotive-Spezialfall. Es basiert inhaltlich auf ISO 27001/27002 und dem VDA-ISA-Fragebogen, regelt aber wie geprüft wird und wie Ergebnisse entlang der Lieferkette geteilt werden. Je nach Schutzbedarf (z. B. Prototypen, Produktionsdaten, Geheimhaltungsstufen) werden Assessment Levels gefordert. Für OEM-Zuliefernetze ist TISAX faktisch Eintrittskarte: Ohne gültiges Label sind Ausschreibungen und Entwicklungsaufträge kaum erreichbar. Wer bereits ein ISMS nach ISO 27001 betreibt, reduziert TISAX-Mehraufwand erheblich – der Unterschied liegt primär in Scope, Tiefe der Prüfung und dem Austauschmechanismus.

DORA: Operationale Resilienz im Finanzsektor verbindlich machen

Mit DORA (Digital Operational Resilience Act) geht die EU über „klassische“ Sicherheit hinaus: Finanzunternehmen und kritische ICT-Dienstleister müssen Resilienz ganzheitlich nachweisen. Dazu gehören straffes ICT-Risikomanagement, Incident-Meldepflichten mit harmonisierten Formaten, streng geregeltes Third-Party-Management, regelmäßige Szenariotests bis hin zu Threat-Led Penetration Testing (TLPT) und klare Governance-Pflichten für Leitungsorgane. ISO 27001 ist eine solide Basis, reicht alleine aber nicht: Prozesse, Nachweise und Tests müssen explizit DORA-tauglich gestaltet werden. Wer intelligent plant, nutzt sein ISMS als Motor und ergänzt DORA-Spezifika (Meldeformate, TLPT-Planung, Drittanbieteraufsicht) gezielt.

DSGVO: Datenschutz als Sicherheitsverstärker

Die DSGVO ist keine Sicherheitsnorm, aber ein massiver Treiber für Sicherheit. Das Prinzip der „geeigneten technischen und organisatorischen Maßnahmen“ (TOM) passt perfekt zu ISO 27001 und BSI IT-Grundschutz. Wer Privacy by Design/Default, Löschkonzepte, Datenminimierung, Zugriffssteuerung und Sicherheitsvorfälle (Art. 33/34) sauber geregelt hat, reduziert gleichzeitig Sicherheits- und Rechtsrisiken. Mit ISO 27701 lassen sich Datenschutz-Prozesse in das ISMS integrieren – Rollen, Verzeichnisse, DPIAs, Betroffenenrechte – und Nachweise konsistent führen.

Weitere wichtige Puzzleteile im Überblick

Je nach Branche und Marktzugang spielen zusätzliche Standards eine Rolle:

• PCI DSS für Zahlungsdaten – technisch sehr konkret, für Kartenzahlungen Pflicht.
• IEC 62443 für industrielle Automatisierung/OT – Zonen/Conduits, sichere Fernwartung, Härtung.
• ISO 27036 (Lieferantenbeziehungen), ISO 27034 (Anwendungssicherheit), ISO 20000 (IT-Service-Management).
• Branchenspezifika in Energie, Gesundheit, Luftfahrt – häufig kombinierbar mit ISO/BSI.

Der Trick ist nicht, alles zu machen, sondern das Richtige zu kombinieren.

Wie man den „Normen-Zoo“ bändigt: Architektur statt Sammelsurium

Der größte Fehler ist, Normen nebeneinander herzurichten und doppelt zu arbeiten. Effizient wird’s, wenn Sie eine Kontroll-Bibliothek aufbauen: eine einzige, gepflegte Liste von Kontrollen (Policies, Prozesse, technische Settings), die mit Mappings auf ISO 27002, BSI-Bausteine, NIST-Funktionen, DORA-Artikel, DSGVO-TOMs verknüpft sind. Änderungen pflegen Sie genau einmal – alle Referenzen ziehen automatisch nach. Ergänzen Sie das um:

• ein integriertes Managementsystem (ISO-HLS) für Qualität, Sicherheit, Business Continuity, Umwelt,
• einen Audit-Kalender mit kombinierten Begehungen,
• ein zentrales Evidenz-Repository, das aus Systemen (SIEM, Vulnerability-Scanner, IAM, Backup) automatisiert Nachweise sammelt,
• und KPIs, die Wirkung statt Papier messen (MTTD/MTTR, Patch-SLO-Einhaltung, MFA-Abdeckung, Restore-Erfolg vs. RTO, Lieferanten-Nachweisquote).

So entsteht aus vielen Regelwerken ein schlüssiges Betriebsmodell.

Entscheidungshilfe: Welches Framework wofür?

Eine pragmatische Heuristik:

• Internationaler Vertrieb, viele Kunden-Audits? ISO 27001 als Kern, 27002/27701/22301 je nach Bedarf; NIST-CSF als Kommunikationsbrücke fürs Top-Management.
• Öffentlicher Sektor/Deutschland/KRITIS-Nähe? BSI IT-Grundschutz (Standard-Absicherung), ggf. ISO auf Grundschutz-Basis.
• Automotive-Lieferkette? ISO 27001 + TISAX-Assessment (VDA-ISA).
• Finanzsektor/EU? ISO 27001 als ISMS, DORA-Spezifika (Meldung, TLPT, Third-Party-Governance) ergänzen, BCM/ISO 22301 vertiefen.
• Starker Cloud-Footprint? 27017/27018 plus Grundschutz-Bausteine Cloud, Lieferkette und Kryptokonzept; klare Shared-Responsibility-Regeln.
• OT/Produktion? IEC 62443 kombiniert mit ISMS-Rahmen; Segmentierung, sichere Fernwartung, Härtung.

Wichtig: Kultur und Ressourcen einbeziehen. Ein sehr prozessorientiertes Haus fährt mit IT-Grundschutz oft schneller los; sehr agile Unternehmen nutzen die Flexibilität von ISO 27001 geschickter.

Von der Theorie zur Praxis: Ein 12-Monats-Fahrplan ohne Chaos

Ein beispielhafter, erprobter Ablauf für mittelgroße Unternehmen:

• Monat 1–2: Scope & Commitment. Geltungsbereich festlegen, Ziele und KPIs definieren, Lenkungskreis etablieren, Verantwortliche benennen.
• Monat 2–3: Bestandsaufnahme & Schutzbedarf. Struktur, Assets, Datenflüsse erfassen; Schutzbedarfe (CIA) realistisch bewerten; erste Quick-Wins (MFA, Patch-SLOs, Backup-Restore-Test).
• Monat 3–5: Gap-Analyse. Gegen ISO 27002/Grundschutz-Bausteine abgleichen; Maßnahmen nach Risiko/Wirkung priorisieren; Lieferanten-Tiering einführen, Mindestklauseln in Verträge.
• Monat 5–9: Umsetzung. Policies schlank schreiben, technische Kontrollen ausrollen (EDR, Segmentierung, Logging), Incident-Playbooks und Meldeprozesse (NIS2/DORA-tauglich) testen; Awareness gezielt rollenbasiert starten.
• Monat 9–11: Interne Audits & Management-Review. Wirksamkeitsnachweise einsammeln, Schwachstellen schließen, KPIs konsolidieren, Lessons Learned in Plan aufnehmen.
• Monat 12: Externes Audit/Zertifizierung (optional). Reife sichern, Nachweise geordnet bereitstellen, Verbesserungsplan für das nächste Jahr verabschieden.

Der Kern: Schrittweise liefern, statt alles gleichzeitig zu wollen. Sichtbare Fortschritte erzeugen Vertrauen – im Team, beim Management, bei Kunden.

Häufige Fallstricke – und bessere Wege

• „Wir nehmen einfach alles mit höchstem Schutzbedarf.“ Klingt sicher, ist aber ineffizient. Besser: differenziert bewerten, Vererbung/Kumulierung berücksichtigen, Prioritäten sauber setzen.
• Papier statt Praxis. Audits belohnen gelebte Prozesse, nicht Dokumentwüsten. Kurz, klar, aktuell – und mit Evidenz aus Systemen unterfüttert.
• Silo-Umsetzung. Sicherheit ist Querschnitt: IT, Fachbereiche, HR, Einkauf, Gebäude, Recht. Ohne alle an Bord entstehen Lücken.
• Tool-Heilsversprechen. GRC-Plattformen sind Helfer, keine Lösung. Ohne Rollen, Ownership und feste Routinen bleibt es beim Dashboard.
• Einmal-Projekte. Normen verlangen PDCA. Üben Sie Vorfälle und Wiederanlauf, rezertifizieren Sie Lieferanten, erneuern Sie Schutzbedarfe – kontinuierlich.

Synergien gezielt heben: Ein Kontrollsatz, viele Nachweise

Praktisch bewährt sich der Ansatz, einen einzigen Kontrollsatz im Unternehmen zu pflegen und ihn gegen alle relevanten Normen zu mappen. Beispiel: „Administrativer Zugriff nur mit MFA, protokolliert und regelmäßig rezertifiziert“ lässt sich gleichzeitig als ISO-Kontrolle (Zugriffsmanagement), BSI-Anforderung (IAM-Baustein), NIST-„Protect/Identity Management“, DORA-ICT-Risikokontrolle und DSGVO-TOM ausweisen. Einmal sauber implementiert, mehrfach nutzbar – das spart Zeit, vermeidet Widersprüche und macht Audits kalkulierbar.

Warum sich der Aufwand lohnt: Mehr als ein Zertifikat an der Wand

Wer Normen ernsthaft – und nicht nur „für das Zertifikat“ – umsetzt, gewinnt weit über Compliance hinaus:

• Besseres Risikoverständnis und zielgerichtete Investitionen.
• Höhere Resilienz: schnellere Erkennung, koordinierte Reaktion, belastbare Wiederanlauffähigkeit.
• Vertrauen am Markt: kürzere Due-Diligence-Zyklen, bessere Chancen in Ausschreibungen, weniger Nachaudit-Aufwände.
• Interne Effizienz: klare Zuständigkeiten, weniger Firefighting, weniger „Einzelfall-Entscheidungen“.
• Rechts- und Aufsichtssicherheit: nachvollziehbare Entscheidungen, dokumentierte Verantwortlichkeit, geringere Bußgeld- und Haftungsrisiken.

Kurz: Normen sind kein Hindernis, sondern eine Abkürzung zu professioneller, skalierbarer Sicherheitsführung.

Fazit: Mit System durch den Dschungel – und am Ende den Überblick behalten

Der „Normen-Zoo“ der Informationssicherheit wirkt auf den ersten Blick abschreckend. Doch hinter den Abkürzungen stehen erprobte Werkzeuge, die – klug kombiniert – Ordnung in Komplexität bringen. ISO 27001 liefert den Management-Rahmen, ISO 27002 die Maßnahmenpraxis, der BSI IT-Grundschutz die deutsche Detailtiefe, das NIST-CSF die verständliche Steuerungslogik, COBIT die Brücke zur IT-Governance, TISAX die branchenspezifische Eintrittskarte, DORA die aufsichtsrechtliche Schärfung der Resilienz und die DSGVO den rechtlichen Takt für personenbezogene Daten. Die Kunst besteht nicht darin, alles zu machen, sondern das Richtige auszuwählen, intelligent zu mappen und konsequent zu leben. Dann wird aus dem Dschungel ein gepflegter Garten – und Informationssicherheit vom Störfaktor zum Wettbewerbsvorteil.