In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
ISO 27001 Annex A (2022): Praktische Umsetzung der Kontrollen

ISO 27001 Annex A (2022): Praktische Umsetzung der Kontrollen

Niklas Hanitsch

Volljurist und Compliance-Experte

December 19, 2025

5 Minuten

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Die neue Gliederung in vier Themenbereiche macht die Annex A Kontrollen übersichtlicher und erleichtert die klare Zuordnung von Verantwortlichkeiten.

Die wirksame Umsetzung beginnt nicht bei den Kontrollen, sondern bei einer sauberen Risikobewertung und einem fundierten SoA.

Menschliche Faktoren und Cloud-Nutzung erfordern klare Prozesse, Schulungen und vertragliche Sicherheitsanforderungen.

Der Nachweis der Wirksamkeit, nicht nur das Vorhandensein von Richtlinien, entscheidet im Audit über Erfolg oder Abweichung.

Die Entscheidung ist gefallen: Ihr Unternehmen strebt die ISO 27001-Zertifizierung an. Sie haben die Grundlagen verstanden und wissen, dass der Annex A das Herzstück der praktischen Umsetzung ist. Doch hier beginnt die eigentliche Herausforderung. Viele Anleitungen erklären, was die 93 Kontrollen sind, aber nur wenige zeigen, wie man sie in der Praxis so implementiert, dass sie einem Audit standhalten und echten Mehrwert für Ihre Sicherheit schaffen.

Sie stehen vor der Aufgabe, eine abstrakte Anforderungsliste in gelebte Sicherheitsprozesse zu verwandeln. Dieser Leitfaden ist Ihr Praxishandbuch. Wir übersetzen die Norm in konkrete Handlungsschritte, gestützt auf aktuelle Daten und die häufigsten Fallstricke, die wir in der Praxis beobachten. Denn die Zahlen sprechen eine klare Sprache: Laut einer Secureframe-Studie von 2024 planen 81 % der Unternehmen, bis 2025 nach ISO 27001 zertifiziert zu sein. Der Wettbewerb rüstet auf – und eine effiziente, korrekte Umsetzung ist Ihr entscheidender Vorteil.

Der Wandel 2022: Von 114 zu 93 Kontrollen und 4 Themenbereichen

Die wichtigste Neuerung der ISO/IEC 27001:2022 ist die Überarbeitung des Annex A. Die Anzahl der Kontrollen wurde von 114 auf 93 reduziert, wobei viele zusammengelegt und 11 neue hinzugefügt wurden. Entscheidender ist jedoch die neue Struktur: Statt 14 Domänen gibt es jetzt vier klare Themenbereiche. Diese thematische Gliederung vereinfacht das Verständnis und die Zuweisung von Verantwortlichkeiten erheblich.

  • Organisatorische Kontrollen (A.5): Richtlinien, Prozesse und Governance.
  • Personenbezogene Kontrollen (A.6): Der Faktor Mensch – von Onboarding bis Remote Arbeit.
  • Physische Kontrollen (A.7): Schutz von Hardware, Rechenzentren und Büros.
  • Technologische Kontrollen (A.8): Die technische Ebene der Cybersicherheit.

Diese neue Struktur ist mehr als nur eine kosmetische Änderung. Sie spiegelt ein modernes Verständnis von Informationssicherheit wider, bei dem Technologie nur ein Teil eines größeren, integrierten Systems ist.

Vergleich der ISO 27001 Annex A Kontrollstrukturen von 2013 und 2022 mit vier Themenbereichen – Grundlage für die praxisorientierte Umsetzung.

Thema 1: Organisatorische Kontrollen (Annex A.5)

Hier wird das Fundament für Ihr Informationssicherheits-Managementsystem (ISMS) gelegt. Diese 37 Kontrollen definieren die Richtlinien, Rollen und Verantwortlichkeiten. Sie sind die "Verfassung" Ihrer Informationssicherheit.

Schlüsselkontrollen und typische Fallstricke:

  • A.5.7 Threat Intelligence: Unternehmen müssen proaktiv Informationen über aktuelle Bedrohungen sammeln und analysieren.
    • Häufiger Fehler: Das Sammeln von Threat Feeds wird als ausreichend angesehen, ohne einen Prozess zur Analyse und Umsetzung der Erkenntnisse zu etablieren. Die Information verbleibt ungenutzt im Posteingang des IT-Teams.
  • A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten: Eine der wichtigsten neuen Kontrollen, die den "Cloud-First"-Ansatz vieler Unternehmen adressiert.
    • Häufiger Fehler: Man verlässt sich blind auf die Zertifizierungen des Cloud-Anbieters. Die ISO 27001 verlangt jedoch, dass Sie Ihre eigenen Anforderungen definieren, den Anbieter daran messen und dies vertraglich festhalten.
  • A.5.30 IKT-Kontinuität für die Geschäftskontinuität: Sicherstellung, dass die IT-Systeme auch im Krisenfall funktionieren.
    • Häufiger Fehler: Der Fokus liegt nur auf technischen Backups. Die Kontrolle verlangt jedoch getestete Wiederherstellungspläne, die auch Personal, Prozesse und die Kommunikation berücksichtigen. Besonders bei komplexen regulatorischen Anforderungen wie dem NIS2 vs Cyber Resilience Act ist ein robustes BCM unerlässlich.

Framework für Organisationskontrollen aus ISO 27001 Annex A mit Schwerpunkt auf praktischen Umsetzungshinweisen basierend auf den neuesten Standards.

Thema 2: Personenbezogene Kontrollen (Annex A.6)

Kein ISMS ist stärker als sein schwächstes Glied – oft der Mensch. Diese acht Kontrollen konzentrieren sich darauf, Risiken zu minimieren, die von Mitarbeitern, Auftragnehmern und anderen Personen ausgehen.

Schlüsselkontrollen und typische Fallstricke:

  • A.6.3 Schulung des Sicherheitsbewusstseins: Regelmäßige Schulungen, um Mitarbeiter für Risiken wie Phishing zu sensibilisieren.
    • Häufiger Fehler: Eine jährliche "Pflichtschulung" wird als ausreichend betrachtet. Ein Auditor wird jedoch nach Beweisen für ein kontinuierliches Programm fragen, das auf spezifische Rollen und aktuelle Bedrohungen zugeschnitten ist.
  • A.6.7 Remote-Arbeit: Sicherstellung, dass die Arbeit von zu Hause oder unterwegs genauso sicher ist wie im Büro.
    • Häufiger Fehler: Es werden zwar technische Maßnahmen wie VPNs bereitgestellt, aber keine klaren Richtlinien für die physische Sicherheit (z. B. Blickschutz in öffentlichen Bereichen, sichere WLAN-Nutzung) kommuniziert und durchgesetzt.

Thema 3: Physische Kontrollen (Annex A.7)

Diese 14 Kontrollen schützen die physische Umgebung Ihres Unternehmens – von Rechenzentren über Büros bis hin zu einzelnen Geräten. Viele dieser Aspekte waren früher Teil des alten ISO 27001 Anhang A im Bereich A.9 und A.11, sind nun aber thematisch gebündelt.

Praktische Checkliste für A.7.4 Überwachung der physischen Sicherheit:

  • [ ] Sind alle sicherheitsrelevanten Bereiche (Serverräume, Archive) durch Zugangskontrollen geschützt?
  • [ ] Werden die Zugänge protokolliert und die Protokolle regelmäßig überprüft?
  • [ ] Gibt es eine Videoüberwachung an kritischen Ein- und Ausgängen?
  • [ ] Ist die Überwachungstechnik gegen Manipulation und Ausfall geschützt?
  • [ ] Existiert ein Prozess, der bei unbefugten Zutrittsversuchen ausgelöst wird?

Thema 4: Technologische Kontrollen (Annex A.8)

Mit 34 Kontrollen ist dies der umfangreichste Bereich. Er deckt die klassischen Domänen der Cybersicherheit ab, von der Netzwerksicherheit bis zur Softwareentwicklung. Hier lauern die größten technischen Herausforderungen – und die größten Risiken bei falscher Umsetzung.

Schlüsselkontrollen und typische Fallstricke:

  • A.8.8 Management von technischen Schwachstellen: Der Prozess zur Identifizierung, Bewertung und Behebung von Schwachstellen.
    • Häufiger Fehler: Es wird zwar ein Schwachstellen-Scanner betrieben, aber es fehlt ein risikobasierter Prozess zur Priorisierung. Auditoren wollen sehen, warum Sie Schwachstelle X vor Schwachstelle Y behoben haben und wie Sie die Fristen dafür festlegen.
  • A.8.20 Penetrationstests: Regelmäßige, simulierte Angriffe, um die Wirksamkeit Ihrer Sicherheitsmaßnahmen zu überprüfen.
    • Häufiger Fehler: Der Penetrationstest wird als einmaliges Ereignis vor dem Audit durchgeführt. Die Norm verlangt jedoch einen wiederholbaren Prozess, der auf den Ergebnissen von Risikobewertungen und Threat Intelligence basiert.
  • A.8.32 Änderungsmanagement (Change Management): Ein formaler Prozess zur Steuerung aller Änderungen an Systemen, Netzwerken und Anwendungen.
    • Häufiger Fehler: Fehlende Dokumentation und unzureichende Tests. Gerade im Bereich der Firewall-Konfiguration ist dies fatal. Aktuelle Daten von Tufin und Dark Reading (2024) zeigen, dass 28 % der Unternehmen wöchentlich über 50 Firewall-Änderungsanträge bearbeiten. Eine Studie von Elisity (2024) ergänzt, dass 70-80 % der Firewall-Regeln in großen Unternehmen veraltet oder redundant sind. Ohne einen strengen Change-Management-Prozess wird das Regelwerk schnell zu einem unkontrollierbaren Sicherheitsrisiko.

Umsetzungsprozess für kritische Annex A Technologische Kontrollen mit aktuellen Branchenstatistiken zur Firewall- und Schwachstellenverwaltung – vertrauenswürdige Anleitung für Praktiker.

Aus der Sicht des Auditors: Häufige Mängel vermeiden

Ein erfolgreiches ISMS Audit hängt nicht nur von der Implementierung der Kontrollen ab, sondern auch vom Nachweis ihrer Wirksamkeit. Berater von IT Governance USA und URM Consulting weisen 2024 auf wiederkehrende Versäumnisse hin, die zu Abweichungen (Non-Conformities) führen:

  1. Unvollständige Erklärung zur Anwendbarkeit (SoA): Das SoA-Dokument ist das zentrale Element. Oft fehlt eine plausible Begründung, warum eine Kontrolle als "nicht anwendbar" eingestuft wurde. Jede Entscheidung muss auf Ihrer Risikobewertung basieren.
  2. Fehlender Nachweis der Umsetzung: Es reicht nicht, eine Richtlinie zu haben. Sie müssen beweisen können, dass diese Richtlinie gelebt wird – durch Protokolle, Berichte, Ticketsystem-Einträge und Schulungsnachweise.
  3. ISO 27002 wird ignoriert: Annex A listet die Kontrollen auf. ISO 27002 beschreibt detailliert, wie diese umgesetzt werden können. Viele Unternehmen übersehen diese wertvolle Anleitung, was zu oberflächlichen Implementierungen führt.

Checkliste zu häufigen Auditmängeln bei ISO 27001 Annex A Kontrollen und bewährte Methoden zu deren Vermeidung – unterstützt fundierte Entscheidungsfindung.

Fazit: Vom Kontroll-Chaos zum gelebten ISMS

Die Umsetzung der 93 Kontrollen des Annex A ist eine komplexe, aber machbare Aufgabe. Der Schlüssel zum Erfolg liegt in einem strukturierten, risikobasierten Vorgehen, das über das reine Abhaken einer Checkliste hinausgeht. Indem Sie die häufigen Fehler vermeiden und sich auf den Nachweis der Wirksamkeit konzentrieren, verwandeln Sie die Anforderungen der Norm in einen echten Wettbewerbsvorteil.

Der manuelle Weg über Tabellenkalkulationen und Textdokumente ist fehleranfällig, zeitaufwendig und schwer zu pflegen. Eine automatisierte ISMS-Plattform wie das Digital Compliance Office von SECJUR führt Sie Schritt für Schritt durch den Prozess, automatisiert die Nachweiserhebung und gibt Ihnen die Sicherheit, jederzeit audit-bereit zu sein.

Sind Sie bereit, Ihre ISO 27001-Implementierung auf eine solide, effiziente Basis zu stellen? Sprechen Sie noch heute mit einem unserer Compliance-Experten und erfahren Sie, wie unsere KI-gestützte Plattform Ihren Weg zur Zertifizierung beschleunigen kann.

FAQ: Häufig gestellte Fragen zur Umsetzung von Annex A

Wie fängt man am besten mit Annex A an?

Beginnen Sie nicht mit den Kontrollen. Der richtige Startpunkt ist immer eine umfassende Risikobewertung. Diese zeigt Ihnen, welche Risiken für Ihr Unternehmen relevant sind. Auf dieser Basis erstellen Sie die Erklärung zur Anwendbarkeit (SoA), in der Sie für jede der 93 Kontrollen entscheiden, ob sie zur Minderung Ihrer identifizierten Risiken notwendig ist.

Kann man die Umsetzung von Annex A Kontrollen vollständig automatisieren?

Nicht vollständig, aber in entscheidenden Bereichen. Eine Compliance-Plattform wie das Digital Compliance Office von SECJUR automatisiert die mühsame Arbeit des Nachweis-Sammelns, der Aufgabenverwaltung und des Monitorings. Sie stellt sicher, dass alle Anforderungen systematisch abgearbeitet werden und die Nachweise für den Auditor auf Knopfdruck bereitstehen. Die strategischen Entscheidungen über Richtlinien und Risikobereitschaft bleiben jedoch in Ihrer Verantwortung.

Was ist der größte Fehler, den Unternehmen bei der Implementierung machen?

Der häufigste Fehler ist, ISO 27001 als einmaliges IT-Projekt zu betrachten. Ein ISMS ist ein kontinuierlicher Management-Prozess, der im gesamten Unternehmen verankert sein muss. Die Zertifizierung ist nicht das Ziel, sondern der Nachweis, dass Sie einen funktionierenden, sich ständig verbessernden Sicherheitsprozess etabliert haben.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 4, 2025
5 Minuten
NIS2: Cloud-Notfallplan mit automatisierte Wiederherstellung

Ein Ausfall in der Cloud kann schnell zur NIS2-Herausforderung werden. Erfahren Sie, wie Sie mit automatisierter Notfallwiederherstellung, klar definierten RTO- und RPO-Zielen und dem Einsatz von Infrastructure as Code Ihre Systeme schnell, sicher und compliant wiederherstellen. Dieser Leitfaden zeigt, wie Sie aus regulatorischer Pflicht echte digitale Resilienz schaffen – effizient, prüfsicher und zukunftsfähig.

Lesen
November 4, 2025
5 Minuten
NIS2 & DSGVO: Meldepflichten richtig koordinieren

Ein Cybervorfall kann nach NIS2 und DSGVO mehrere Meldepflichten gleichzeitig auslösen, mit unterschiedlichen Fristen, Behörden und Risiken. Erfahren Sie, wie Sie Doppelmeldungen vermeiden, Prioritäten richtig setzen und einen klaren, rechtssicheren Meldeplan etablieren. Dieser Leitfaden zeigt praxisnah, wie Sie Chaos im Ernstfall verhindern und Ihre Cyber- und Datenschutz-Compliance strategisch verbinden.

Lesen
November 6, 2025
5 Minuten
ISO 27001: Geltungsbereich Ihres ISMS richtig definieren

Viele Unternehmen starten ihre ISO 27001-Zertifizierung, doch der entscheidende Fehler passiert bereits am Anfang: ein unklar definierter Geltungsbereich. Dieser Leitfaden zeigt, wie Sie den Scope Ihres ISMS präzise festlegen, Ressourcen gezielt einsetzen und typische Audit-Fallen vermeiden. Erfahren Sie, wie Sie Informationswerte, Standorte, Cloud-Dienste und Lieferantenbeziehungen sinnvoll abgrenzen für ein schlankes, wirksames und erfolgreich zertifizierbares ISMS, das echte Sicherheit schafft statt Bürokratie.

Lesen
Related Resources
NIS2: Koordination bei EU-weiten Cyberangriffen
November 3, 2025
5 Minuten
Datenpanne: Was ist zu tun im Datenschutznotfall?
June 6, 2023
8 min
NIS2: So gestalten Sie RPO und RTO für den Notfallplan
November 11, 2025
5 Minuten
Marketing Tips for Niche Industries
Das BSI und die NIS2: Welche Rolle spielt das BSI bei der Implementierung der NIS2 Richtlinie?
November 7, 2023
7 min
ISO 27001 A.5.2: Informationssicherheit im Team umsetzen
November 27, 2025
5 Minuten
ISO 27001: Stakeholder-Analyse verständlich erklärt
November 12, 2025
5 Minuten
TO TOP