ISO 27001 Annex A: 93 Controls erklärt

Wer sich mit der ISO 27001 beschäftigt, stößt früh auf den Anhang A. Dort listet die Norm 93 Referenzmaßnahmen (Controls), die Unternehmen als Baukasten für ihr Informationssicherheits-Managementsystem (ISMS) nutzen. Nicht jedes Control ist für jedes Unternehmen relevant. Die Auswahl richtet sich nach der Risikoanalyse und wird in der Anwendbarkeitserklärung (Statement of Applicability, SoA) dokumentiert.

Dieser Artikel gibt einen Überblick über die Struktur des Annex A, die vier Themenbereiche, die 11 neuen Controls seit der Revision 2022 und den Weg zur SoA. Die Methodik zur Risikobewertung, mit der Unternehmen die Relevanz einzelner Controls bestimmen, behandelt ein eigener Leitfaden.

Annex A: Die 93 Controls im Überblick

Annex A der ISO 27001:2022 enthält 93 Controls, die in vier Kategorien gegliedert sind: organisatorische, personenbezogene, physische und technologische Controls. Unternehmen wählen auf Basis ihrer Risikoanalyse die relevanten Controls aus und dokumentieren die Auswahl in der Anwendbarkeitserklärung (SoA). Die Controls sind keine konkreten Implementierungsanleitungen, sondern Referenzmaßnahmen. Wie ein Unternehmen ein Control umsetzt, hängt von seiner Größe, Branche und dem individuellen Risikoprofil ab.

Gegenüber der Vorgängerversion von 2013 hat sich die Struktur grundlegend geändert: Die damaligen 114 Controls in 14 Kategorien wurden zu 93 Controls in 4 Kategorien konsolidiert. Inhaltlich sind die meisten Anforderungen erhalten geblieben, aber klarer strukturiert. Die Konsolidierung war überfällig, weil die alten 14 Kategorien Überschneidungen hatten und die Navigation im Standard unnötig komplex machten.

Jedes Control besteht aus einem Titel, einer Beschreibung der Maßnahme und einem Zweck. Die eigentliche Umsetzung beschreibt die begleitende ISO 27002, die zu jedem Control detaillierte Hinweise, Beispiele und Best Practices liefert. Im Zertifizierungsaudit prüft der Auditor nicht, ob alle 93 Controls umgesetzt sind. Er prüft, ob die in der SoA als relevant markierten Controls nachweisbar wirksam sind. Das ist ein Unterschied: Nicht die Anzahl der umgesetzten Controls zählt, sondern die Qualität der Umsetzung und die Nachvollziehbarkeit der Auswahl.

Die Controls stehen nicht isoliert. Viele greifen ineinander: Eine Zugriffsrichtlinie (A.5.15, organisatorisch) definiert die Regeln, die dann technisch über Zugriffskontrollen (A.8.3) durchgesetzt und über Logging (A.8.15) überwacht werden. Wer Annex A als Checkliste behandelt, übersieht diese Zusammenhänge. Wer ihn als System versteht, baut ein ISMS, das in der Praxis funktioniert.

Für KMU mit begrenzten Ressourcen gilt: Nicht bei A.5.1 anfangen und sich durch alle 93 Controls arbeiten. Stattdessen mit der Risikoanalyse beginnen und nur die Controls vertiefen, die ein konkretes Risiko adressieren. ISMS-Plattformen wie SECJUR Digital Compliance Office unterstützen genau diesen risikobasierten Ansatz, indem sie Controls automatisch den identifizierten Risiken zuordnen.

Die vier Themenbereiche des Annex A

Die vier Kategorien des Annex A decken Informationssicherheit von der Organisationsebene bis zur technischen Implementierung ab. Jede Kategorie adressiert einen anderen Aspekt. In der Praxis scheitern Unternehmen selten an fehlender Technik. Der häufigere Grund: Organisatorische Controls (Richtlinien, Prozesse, Zuständigkeiten) wurden nie sauber dokumentiert oder leben nur auf dem Papier. Ein Auditor sucht nicht nach der perfekten Firewall. Er sucht nach dem Nachweis, dass Sicherheitsmaßnahmen systematisch geplant, umgesetzt, überwacht und verbessert werden.

Organisatorische Controls (A.5): 37 Maßnahmen

Die 37 organisatorischen Controls bilden das Fundament des ISMS und decken das breiteste Spektrum ab. Dazu gehören die Informationssicherheitsrichtlinie (A.5.1), die Definition von Rollen und Verantwortlichkeiten (A.5.2), Asset-Management, Zugriffsregeln, Lieferantensicherheit und Incident Management. Auch Threat Intelligence (A.5.7), eines der 11 neuen Controls, fällt in diese Kategorie. In Audits sind A.5-Controls die häufigste Quelle für Feststellungen, weil Unternehmen zwar technische Schutzmaßnahmen implementieren, aber die zugehörigen Richtlinien und Prozesse nicht dokumentiert haben.

Besonders die Lieferantensicherheit (A.5.19 bis A.5.22) fordert mehr als einen unterschriebenen Vertrag. Der Auditor erwartet eine dokumentierte Bewertung der Informationssicherheitsrisiken bei jedem Lieferanten, der Zugang zu sensiblen Daten oder Systemen hat. Ohne dokumentierte Lieferantenbewertung fehlt der Nachweis, dass das Risiko systematisch gemanagt wird.

Personenbezogene Controls (A.6): 8 Maßnahmen

Die 8 personenbezogenen Controls adressieren den Faktor Mensch, der in der Praxis das größte Sicherheitsrisiko darstellt. Sie umfassen Sicherheitsüberprüfungen vor der Einstellung (Screening), Awareness-Schulungen, arbeitsvertragliche Regelungen zur Informationssicherheit und den sicheren Umgang mit dem Ende eines Beschäftigungsverhältnisses. In der Praxis ist A.6.3 (Awareness, Schulung und Training) der Punkt, an dem Auditoren am genauesten hinschauen: Gibt es ein nachweisbares Schulungsprogramm mit dokumentierter Teilnahme? Und ist es kein einmaliges Onboarding, sondern ein wiederkehrender Prozess?

Oft unterschätzt wird A.6.5 (Verantwortlichkeiten nach Beendigung des Arbeitsverhältnisses). Es reicht nicht, den Laptop einzusammeln. Der Prozess muss sicherstellen, dass alle Zugriffsrechte entzogen, Vertraulichkeitsverpflichtungen bestätigt und übertragene Daten gesichert werden.

Physische Controls (A.7): 14 Maßnahmen

Die 14 physischen Controls regeln den Zutritt zu Gebäuden und Räumen, den Schutz von Geräten und die Umgebungssicherheit (Strom, Klima, Wasser). A.7.4 (Überwachung der physischen Sicherheit) ist seit 2022 neu und verlangt eine systematische Überwachung von Sicherheitsbereichen. Für Unternehmen, die ausschließlich in Cloud-Umgebungen arbeiten, sind viele physische Controls über den Cloud-Anbieter abgedeckt. Dann dokumentiert die SoA: "Verantwortung liegt beim Provider, Nachweis über ISO 27001 Zertifikat des Anbieters". Wichtig: Auch wenn die physische Infrastruktur ausgelagert ist, bleibt die Verantwortung für die Überprüfung beim Unternehmen selbst.

A.7.10 (Speichermedien) ist ein Control, das in der Praxis oft Lücken hat. USB-Sticks, externe Festplatten und Papierdokumente müssen über ihren gesamten Lebenszyklus geschützt werden, von der Ausgabe über die Nutzung bis zur sicheren Vernichtung.

Technologische Controls (A.8): 34 Maßnahmen

Die 34 technologischen Controls sind der umfangreichste Block und decken Zugriffsrechte, Authentifizierung, Verschlüsselung, Backup, Logging und Monitoring, Schwachstellenmanagement sowie sichere Softwareentwicklung ab. Drei der 11 neuen Controls seit 2022 fallen in diese Kategorie: Data Masking (A.8.11), Data Leakage Prevention (A.8.12) und Monitoring Activities (A.8.16). Diese drei spiegeln die veränderte Bedrohungslage wider: Mehr Daten in der Cloud, mehr Angriffsfläche, mehr Bedarf an automatisiertem Monitoring.

A.8.8 (Schwachstellenmanagement) verlangt einen systematischen Prozess: Schwachstellen identifizieren, bewerten, priorisieren und zeitnah beheben. Ein Schwachstellenscan allein reicht nicht. Der Auditor erwartet eine dokumentierte Vorgehensweise, wie erkannte Schwachstellen bewertet und innerhalb definierter Fristen geschlossen werden. A.8.24 (Kryptographie) ist ein weiteres Control, bei dem die Umsetzung oft hinter den Anforderungen zurückbleibt. Verschlüsselung im Transit (TLS) haben die meisten Unternehmen. Verschlüsselung ruhender Daten und ein dokumentiertes Schlüsselmanagement fehlen häufig.

"Der häufigste Fehler bei Annex A: Unternehmen listen alle 93 Controls in ihrer SoA als 'anwendbar', ohne eine Risikobewertung dahinter. Das Ergebnis ist ein ISMS, das auf dem Papier alle Controls abdeckt, in der Praxis aber keines davon wirksam umsetzt. Ein Auditor erkennt das in den ersten 30 Minuten."

Bettina Stearn, ISO/IEC 27001 Auditorin & QM-Expertin bei SECJUR

Die 11 neuen Controls der ISO 27001:2022

Mit der Revision 2022 hat die ISO 11 Controls hinzugefügt, die es in der Vorgängerversion nicht gab. Sie reagieren auf Entwicklungen, die 2013 noch keine Rolle spielten: Cloud-Nutzung als Standard, Threat Intelligence als Disziplin, Data Leakage Prevention als Notwendigkeit. Detaillierte Implementierungshinweise zu jedem einzelnen Control liefert die ISO 27002, der offizielle Implementierungsleitfaden zur ISO 27001.

Auffällig: 7 der 11 neuen Controls sind technologischer Natur. Das zeigt, wo die Norm nachgelegt hat. Cloud-Sicherheit, Data Leakage Prevention und Secure Coding waren 2013 noch Nischenthemen. 2022 sind sie Standard.

Für Unternehmen, die bereits ein ISMS nach ISO 27001:2013 betreiben, bedeutet das: Diese 11 Controls müssen in der SoA ergänzt und auf Anwendbarkeit geprüft werden. A.5.23 (Cloud-Sicherheit) betrifft dabei praktisch jedes Unternehmen, das SaaS-Dienste nutzt. A.8.28 (Secure Coding) ist vor allem für Unternehmen relevant, die eigene Software entwickeln. Die Anwendbarkeit hängt immer vom konkreten Geschäftsmodell und Risikoprofil ab.

Threat Intelligence (A.5.7) verdient besondere Beachtung. Es verlangt nicht, dass Unternehmen eine eigene Threat-Intelligence-Abteilung aufbauen. Es verlangt, dass sie systematisch Informationen über relevante Bedrohungen sammeln und in ihre Risikobeurteilung einfließen lassen. Für KMU kann das bedeuten: BSI-Warnmeldungen abonnieren, Branchenberichte auswerten und erkannte Bedrohungen dokumentiert bewerten.

A.5.23 (Informationssicherheit für Cloud-Dienste) ist das zweite Control, das fast jedes Unternehmen betrifft. Es verlangt eine dokumentierte Cloud-Sicherheitsstrategie: Welche Daten liegen in welcher Cloud? Welche Sicherheitsanforderungen gelten? Wie wird die Einhaltung überprüft? Unternehmen, die SaaS-Dienste nutzen (und das sind praktisch alle), brauchen für jedes dieser Dienste eine Risikobewertung und vertragliche Regelungen zur Informationssicherheit. A.8.10 (Information Deletion) schließt die DSGVO-Lücke: Personenbezogene Daten müssen nicht nur geschützt, sondern nach Ablauf der Aufbewahrungsfrist nachweisbar gelöscht werden. Unternehmen brauchen dafür ein dokumentiertes Löschkonzept mit definierten Fristen und Verantwortlichkeiten.

Statement of Applicability (SoA) erstellen

Die Anwendbarkeitserklärung (Statement of Applicability, SoA) dokumentiert, welche der 93 Controls ein Unternehmen umsetzt, welche es bewusst ausschließt und warum. Sie ist ein Pflichtdokument nach ISO 27001 Klausel 6.1.3 und wird im Zertifizierungsaudit als erstes geprüft. Eine gut geführte SoA zeigt dem Auditor sofort, dass die Control-Auswahl auf einer nachvollziehbaren Risikobeurteilung basiert. Sie ist nicht nur ein Compliance-Dokument, sondern auch ein internes Steuerungsinstrument: Die SoA gibt der Geschäftsleitung und dem ISMS-Team einen Überblick, welche Maßnahmen wo stehen.

Ein typischer Fehler: Unternehmen markieren alle 93 Controls als "anwendbar", um auf der sicheren Seite zu sein. Das Ergebnis ist eine SoA, die jedes Control als relevant deklariert, aber für viele davon keinen Nachweis der Umsetzung liefern kann. Der Auditor erkennt sofort, dass keine echte Risikobeurteilung stattgefunden hat.

Ein zweiter häufiger Fehler: Die SoA wird einmal erstellt und dann nie wieder angefasst. In einem lebenden ISMS ändert sich das Risikoprofil regelmäßig, und die SoA muss das widerspiegeln. Neue Geschäftsprozesse, neue Cloud-Dienste, neue regulatorische Anforderungen (etwa durch NIS2) verändern den Scope. Wer die SoA als statisches Dokument behandelt, fällt spätestens im Überwachungsaudit auf.

Annex A mit SECJUR umsetzen

Die Control-Auswahl, die SoA-Dokumentation und der Nachweis der Umsetzung kosten in der Praxis den größten Teil der Implementierungszeit. Besonders KMU ohne dediziertes Informationssicherheits-Team stehen vor der Frage: Wie schaffe ich das mit begrenzten Ressourcen? Die 93 Controls einzeln durchzugehen, für jedes die Relevanz zu bewerten und die Begründungen zu dokumentieren, bindet schnell mehrere hundert Personenstunden. Hinzu kommt die laufende Pflege: Nachweise sammeln, Umsetzungsstatus aktualisieren, SoA bei Änderungen anpassen.

SECJUR Digital Compliance Office ist eine ISMS-Plattform, die genau diesen Prozess strukturiert. Das automatisierte Control-Mapping ordnet die 93 Controls den Risiken des Unternehmens zu und generiert die SoA auf Basis der Risikobeurteilung. So wird die Implementierung von Annex A zu einem geführten Prozess statt einer leeren Excel-Tabelle. Unternehmen, die mit einer Plattform wie SECJUR arbeiten, verkürzen die Vorbereitungszeit auf die ISO 27001 Zertifizierung erfahrungsgemäß um bis zu 50 % gegenüber klassischer Beratung.