93 Maßnahmen in 4 Kategorien: Annex A umfasst 93 konkrete Sicherheitsmaßnahmen, unterteilt in organisatorische, personelle, physische und technische Bereiche
Risikominimierung auf allen Ebenen: Die Maßnahmen senken systematisch das Risiko für vertrauliche Daten – von technischen bis hin zu organisatorischen und menschlichen Faktoren
Breites Spektrum abgedeckt: Beispiele reichen von physischen Zugangskontrollen bis zu Verschlüsselung und Netzwerksicherheit – also alle wesentlichen Aspekte der Informationssicherheit.
Organisatorische Maßnahmen
Sicherheitsleitlinien & Richtlinien: Übergreifende IT-Sicherheitspolitik festlegen (z.B. schriftliche Sicherheitsrichtlinie) und klare Vorgaben für sichere Prozesse definieren.
Rollen und Zuständigkeiten: Verantwortlichkeiten für Informationssicherheit klar zuweisen (z.B. ISO-Verantwortlicher, IT-Sicherheitsbeauftragter) und wichtige Aufgaben aufteilen (Prinzip der Aufgabentrennung).
Asset-Management & Klassifizierung: Bestandsaufnahme aller Informationswerte durchführen und diese nach Kritikalität/Vertraulichkeit einstufen (schützt Know-how und sensible Daten)
Zugangssteuerung & Identitätsmanagement: Zugriffsrechte nach dem Need-to-know-Prinzip vergeben und Nutzerkonten zentral verwalten (Passwortrichtlinien, 2-Faktor-Authentifizierung als Beispiele).
Lieferantenmanagement: Sicherheitsanforderungen bei Dienstleistern und Partnern sicherstellen (z.B. Geheimhaltungsvereinbarungen, vertragliche Sicherheitsklauseln) und Risiken in der Lieferkette überwachen.
Vorfallsmanagement & Notfallvorsorge: Prozesse zur Meldung und Behandlung von Sicherheitsvorfällen etablieren; Notfallpläne und Business Continuity-Konzepte erstellen und regelmäßig testen.
Compliance & Dokumentation: Gesetzliche, regulatorische und vertragliche Anforderungen erfüllen und dies dokumentieren (Nachweise führen, regelmäßige Audits)
Mitarbeiterauswahl & Verträge: Kandidaten vor Einstellung überprüfen (Screening) und Sicherheitsklauseln in Arbeitsverträge aufnehmen (z.B. Vertraulichkeitsvereinbarungen)
Schulung & Bewusstseinsbildung: Regelmäßige Trainings zur Informationssicherheit durchführen, damit Mitarbeiter Risiken kennen und sicher handeln (Awareness).
Sichere Arbeitsumgebung: Richtlinien für Homeoffice/Remote Work aufstellen (z.B. VPN-Nutzung, sichere WLAN-Regeln) und klare Clear-Desk/Screen-Vorgaben im Büro.
Onboarding/Offboarding: Bei Eintritt Berechtigungen geordnet vergeben und beim Austritt oder internem Stellenwechsel sofort entziehen, um unautorisierten Zugriff zu verhindern.
Umgang mit Verstößen & Vorfällen: Disziplinarische Prozesse für Sicherheitsverstöße festlegen und Meldewege definieren, damit Vorfälle sofort an die richtigen Stellen gemeldet werden
Physische Maßnahmen (Gebäude & Umwelt)
Zutrittskontrollen: Physische Sicherheitsbereiche abgrenzen (z.B. Zugang nur mit Ausweis/Schlüssel) und Besucher kontrollieren
Überwachung & Alarmierung: Einsatz von Kameras, Sensoren oder Wachdienst, um unbefugten Zugang frühzeitig zu erkennen (z.B. CCTV an Eingängen, Einbruchmeldeanlagen).
Schutz der Infrastruktur: Technische Einrichtungen vor Umweltgefahren schützen (z.B. Klimaanlage, Überspannungsschutz) und Wartung der Systeme sicherstellen
Sichere Arbeitsbereiche: Sensible Zonen als “Sicherheitsbereiche” ausweisen, Zugänge protokollieren und Clear-Desk/Screen-Policy durchsetzen, um Informationen vor neugierigen Blicken zu schützen
Geräte & Datenträger: IT-Geräte und Backup-Medien sicher aufbewahren (auch außerhalb des Firmengeländes), regelmäßige Backups durchführen und Datenträger sowie aussortierte Hardware sicher löschen oder zerstören.
Technologische Maßnahmen
Zugriffssicherheit: Endgeräte und Accounts absichern (z.B. Geräte-Hardening, Bildschirmsperre) und Privilegien begrenzen (Adminrechte nur für Berechtigte, Einsatz von MFA). Quellcodezugriffe schützen (kein unbefugter Code-Zugriff).
Malware-Schutz & Schwachstellenmanagement: Virenschutz und Anti-Malware-Tools einsetzen; Systeme aktuell halten (Patch-Management), um bekannte Sicherheitslücken zu schließen. Unnötige oder unsichere Programme vermeiden.
Logging & Überwachung: Wichtige Aktivitäten in Systemen protokollieren (Logging) und regelmäßig auswerten. Sicherheitsrelevante Ereignisse automatisch erkennen (Monitoring), um Vorfälle frühzeitig aufzudecken
Sicheres Konfigurations- und Änderungsmanagement: Standard-Konfigurationen festlegen (sichere Voreinstellungen) und Änderungen an Systemen nur kontrolliert vornehmen (Change-Management-Prozess), um Stabilität und Sicherheit zu gewährleisten.
Datenschutz & Kryptografie: Vertrauliche Informationen mit geeigneten Verfahren verschlüsseln (bei Speicherung und Übertragung) und Schlüssel sicher verwalten. Datenmaskierung einsetzen, um sensible personenbezogene Daten abzuschirmen
Data Leakage Prevention: Mechanismen zum Erkennen/Verhindern von Datenabfluss einführen (z.B. Sperren von USB-Ports, Filter für vertrauliche Inhalte in E-Mails). So wird das Risiko von Datenlecks minimiert.
Backups & Redundanz: Regelmäßige Datensicherungen durchführen und an getrennten Orten aufbewahren. Redundante Systeme oder Cloud-Backups vorhalten, um Ausfälle abzufangen und Geschäftsbetrieb schnell wiederherzustellen.
Netzwerksicherheit: Netzwerkzugriffe absichern (Firewalls, sichere Netzwerkdienste) und Netzwerke segmentieren (z.B. getrennte VLANs für sensiblere Bereiche). Dadurch bleibt ein Vorfall auf einen Teil des Netzwerks begrenzt.
Sichere Softwareentwicklung: Sicherheitsanforderungen in den Entwicklungsprozess integrieren (Secure Development Life Cycle). Sichere Programmierung umsetzen (Secure Coding, Code-Reviews) und Test-/Produktivumgebungen trennen, damit Schwachstellen nicht in Live-Systeme gelangen.
Vorteile der Umsetzung (Nutzen für Unternehmen)
Wettbewerbsfähigkeit steigern: ISO 27001-konforme Sicherheit bietet einen Marktvorteil und stärkt das Vertrauen von Kunden und Partnern
Vermeidung von Schäden: Reduzierung des Risikos teurer Sicherheitsvorfälle, Bußgelder (z.B. bei Datenschutzverstößen) und Folgekosten.
Positives Image: Verbesserung des Markenimages durch nachweislich hohe Sicherheitsstandards und verantwortungsvollen Umgang mit Daten.
Compliance & Audits: Erfüllung branchenspezifischer Gesetze und Vorgaben wird erleichtert, gleichzeitig sinkt der Aufwand für Prüfungen und Audits.
Effiziente Prozesse: Klar definierte Sicherheitsmaßnahmen führen zu klareren Strukturen und insgesamt effizienteren Abläufen im Unternehmen.
