ISO 27001: Ausschlüsse im Geltungsbereich richtig begründen

Stellen Sie sich vor, Sie haben monatelang an Ihrem Informationssicherheits-Managementsystem (ISMS) gearbeitet. Richtlinien wurden geschrieben, Prozesse implementiert und Mitarbeiter geschult. Der Audittermin steht vor der Tür. Doch dann die entscheidende Frage des Auditors: „Warum haben Sie Ihre Entwicklungsabteilung aus dem Geltungsbereich ausgeschlossen? Ihre Begründung hier ist nicht nachvollziehbar.“ Ein Moment, der den Erfolg des gesamten Zertifizierungsprojekts infrage stellen kann.

‍

Die Definition des Geltungsbereichs (oder „Scope“) nach ISO 27001 ist weit mehr als eine formale Übung. Sie ist das Fundament Ihres gesamten ISMS. Ein falsch definierter oder schlecht begründeter Geltungsbereich führt nicht nur zu Problemen im Audit, sondern verschwendet auch wertvolle Ressourcen.

‍

Viele Unternehmen tun sich schwer damit, zu entscheiden, was in den Geltungsbereich gehört und – was noch wichtiger ist – was legitim ausgeschlossen werden kann und wie man dies auditfest dokumentiert. Dieser Artikel ist Ihr praktischer Leitfaden, um den Geltungsbereich strategisch zu definieren, Ausschlüsse souverän zu begründen und typische Fallstricke zu vermeiden.

‍

‍

Warum Ihr Geltungsbereich mehr als nur eine Formsache ist

‍

Viele sehen die Definition des Geltungsbereichs als eine reine Dokumentationspflicht. In Wahrheit ist es eine der wichtigsten strategischen Entscheidungen, die Sie beim Aufbau eines ISMS treffen. Ein klug gewählter Geltungsbereich:

‍

• Spart Zeit und Geld: Sie konzentrieren Ihre Ressourcen nur auf die wirklich kritischen Bereiche Ihres Unternehmens. Nicht jeder Prozess und jede Abteilung muss von Anfang an Teil des ISMS sein.
  ‍
• Reduziert Komplexität: Ein engerer, fokussierter Geltungsbereich ist einfacher zu managen, zu überwachen und zu verbessern.
  ‍
• Sichert den Auditerfolg: Eine klare, logische und gut dokumentierte Abgrenzung überzeugt Auditoren und verhindert kritische Abweichungen (Non-Conformities).

‍

Die Norm ISO 27001 fordert in Klausel 4.3, die Grenzen und die Anwendbarkeit des ISMS festzulegen. Hierbei müssen Sie den Kontext der Organisation berücksichtigen – also die internen und externen Themen, die für Ihre Informationssicherheit relevant sind.

‍

Geltungsbereich des ISMS vs. Erklärung zur Anwendbarkeit (SoA)

‍

Ein häufiges Missverständnis liegt in der Verwechslung dieser beiden Konzepte:

‍

• Der Geltungsbereich des ISMS (Scope): Definiert die organisatorischen, physischen und technologischen Grenzen Ihres Managementsystems. Beispiel: „Das ISMS umfasst alle Prozesse der Kundenbetreuung am Standort Berlin, einschließlich der IT-Infrastruktur und der beteiligten Mitarbeiter.“
  ‍
• Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA): Ist ein zentrales Dokument, das alle 114 Controls aus Anhang A der ISO 27001 auflistet. Hier dokumentieren Sie für jedes einzelne Control, ob es für Sie anwendbar ist und warum (oder warum nicht). Die Begründung für den Ausschluss von Controls findet hier statt.

‍

Kurz gesagt: Der Geltungsbereich legt fest, welcher Teil des Unternehmens betrachtet wird. Die SoA legt fest, welche Sicherheitsmaßnahmen (Controls) innerhalb dieses Bereichs angewendet werden.

‍

Die Kunst des begründeten Ausschlusses: Was darf raus – und warum?

‍

Die gute Nachricht ist: Sie müssen nicht jedes einzelne Control aus Anhang A umsetzen. Die ISO 27001 erlaubt explizit Ausschlüsse, solange diese nicht die Informationssicherheit gefährden und – ganz entscheidend – gut begründet sind.

‍

Die Grundlage für jeden Ausschluss ist immer das Ergebnis Ihrer Risikobewertung. Wenn für ein bestimmtes Control kein entsprechendes Risiko innerhalb Ihres Geltungsbereichs existiert, können Sie es ausschließen.

‍

Praktische Beispiele für legitime Ausschlüsse:
‍

• Physische Sicherheit (A.11): Wenn Sie Ihre Server in einem zertifizierten Rechenzentrum eines Cloud-Anbieters (z. B. AWS, Azure) betreiben, sind Sie nicht für dessen physische Sicherheit verantwortlich. Sie können entsprechende Controls ausschließen, müssen aber in der Begründung auf den Dienstleister und dessen Zertifizierungen verweisen.
  ‍
• Software-Entwicklung (A.14): Wenn Ihr Unternehmen keine eigene Software entwickelt, sondern ausschließlich Standardsoftware nutzt, können die Controls zur sicheren Entwicklung ausgeschlossen werden.
  ‍
• Telearbeit (A.6.2.2): Wenn in Ihrem Unternehmen eine strikte „No-Remote-Work“-Policy gilt und technisch durchgesetzt wird, können Sie die spezifischen Controls für Telearbeit ausschließen.

‍

Der entscheidende Punkt ist, dass Ausschlüsse keine willkürlichen Entscheidungen sein dürfen, um sich Arbeit zu sparen. Sie müssen eine direkte Folge Ihrer individuellen Risikolandschaft sein. Alle grundlegenden ISO 27001 Anforderungen müssen dabei stets erfüllt bleiben.

‍

‍

Schritt-für-Schritt zur auditfesten Begründung

‍

Um Ausschlüsse systematisch und nachvollziehbar zu dokumentieren, folgen Sie diesem Prozess:

‍

1. Kontext verstehen: Analysieren Sie die Erwartungen Ihrer Stakeholder (Kunden, Gesetzgeber, Eigentümer) und definieren Sie relevante ISO 27001 Beispiele für interne und externe Fragen. Was sind Ihre Kronjuwelen, also die wichtigsten Informationen, die es zu schützen gilt?
   ‍
2. Geltungsbereich festlegen: Definieren Sie die Grenzen Ihres ISMS. Welche Standorte, Abteilungen, Prozesse und Technologien sind betroffen? Seien Sie so präzise wie möglich.
   ‍
3. Risikobewertung durchführen: Führen Sie eine umfassende ISO 27001 Risikobewertung für alle Assets innerhalb Ihres Geltungsbereichs durch. Identifizieren Sie Bedrohungen und Schwachstellen und bewerten Sie die daraus resultierenden Risiken.
   ‍
4. Controls aus Anhang A prüfen: Gehen Sie die Liste der 114 Controls durch und prüfen Sie für jedes einzelne, ob es zur Behandlung eines von Ihnen identifizierten Risikos beiträgt.
   ‍
5. Ausschlüsse identifizieren und begründen: Wenn für ein Control kein relevantes Risiko existiert, markieren Sie es in Ihrer SoA als „nicht anwendbar“. Formulieren Sie eine präzise Begründung, die sich direkt auf Ihre Risikobewertung oder Ihren Geltungsbereich bezieht.

‍

Die Meisterklasse: So schreiben Sie Begründungen, die jeden Auditor überzeugen

‍

Die Qualität Ihrer Begründung entscheidet über Akzeptanz oder Ablehnung im Audit. Auditoren wollen keine Romane lesen, sondern eine klare, logische und risikobasierte Herleitung sehen.

‍

Hier ist der Unterschied zwischen einer schwachen und einer starken Begründung am Beispiel des Controls A.14.2.1 „Richtlinie für sichere Entwicklung“:

‍

Schlechte Begründung (Wird vom Auditor wahrscheinlich abgelehnt)Gute Begründung (Auditfest)„Wir entwickeln keine Software.“„Nicht anwendbar. Im Geltungsbereich des ISMS findet keine eigene Softwareentwicklung statt. Das Unternehmen nutzt ausschließlich Standard-Cloud-Software (SaaS). Die Auswahl und Konfiguration dieser Dienste wird durch die Richtlinie zur Lieferantenbeziehung (A.15) abgedeckt.“„Dieses Control ist für uns nicht relevant.“„Nicht anwendbar. Die Risikobewertung (Ref. RA-023) hat keine Risiken identifiziert, die die Implementierung einer eigenen Richtlinie für sichere Entwicklung erfordern, da alle Entwicklungsaktivitäten an den zertifizierten Partner [Partnername] ausgelagert sind, dessen ISO 27001-Zertifikat vorliegt.“

‍

Was Auditoren wirklich sehen wollen:

‍

• Spezifität: Vermeiden Sie allgemeine Phrasen. Beziehen Sie sich konkret auf Ihren Geltungsbereich, Ihre Prozesse oder Ihre Risikobewertung.
  ‍
• Risikobasierung: Die Begründung muss zeigen, dass Sie verstanden haben, welches Risiko das Control adressiert und warum dieses Risiko bei Ihnen nicht existiert.
  ‍
• Klarheit: Die Argumentation muss auf den ersten Blick verständlich sein. Ein externer Prüfer kennt Ihr Unternehmen nicht – Ihre Dokumentation muss selbsterklärend sein.
  ‍
• Konsistenz: Ihre Begründungen dürfen sich nicht mit anderen Teilen Ihrer ISMS-Dokumentation widersprechen.

‍

‍

Häufige Fehler und wie Sie sie vermeiden

‍

1. Willkürliche Ausschlüsse: Der häufigste Fehler ist das Ausschließen von Controls aus Bequemlichkeit. Jede Entscheidung muss auf der Risikobewertung basieren.
   ‍
2. Zu vage Begründungen: Phrasen wie „nicht relevant“ oder „trifft nicht zu“ sind eine Einladung für Nachfragen des Auditors. Seien Sie immer konkret.
   ‍
3. Geltungsbereich zu eng gefasst: Das Ausschließen von kritischen Geschäftsbereichen (z.B. der Buchhaltung), nur um den Aufwand zu reduzieren, wird von Auditoren und Kunden als Warnsignal gesehen.
   ‍
4. Dokumentation vergessen: Der Geltungsbereich und die SoA müssen als dokumentierte Information vorliegen und gepflegt werden.

‍

Fazit: Der Geltungsbereich als strategischer Hebel für Ihre Informationssicherheit

‍

Die Definition des Geltungsbereichs und die Begründung von Ausschlüssen sind keine bürokratischen Hürden, sondern ein mächtiges Werkzeug, um Ihre ISO 27001-Zertifizierung effizient und zielgerichtet zu gestalten. Ein strategisch festgelegter Scope fokussiert Ihre Energie auf das, was wirklich zählt: den Schutz Ihrer wichtigsten Informationen.

‍

Indem Sie lernen, wie ein Auditor zu denken, und Ihre Entscheidungen konsequent auf Basis von Risiken treffen, verwandeln Sie eine vermeintliche Pflichtübung in einen echten strategischen Vorteil.

‍

Sind Sie bereit, Ihre Compliance-Prozesse zu vereinfachen? Die KI-gestützte Plattform von SECJUR, das Digital Compliance Office, hilft Ihnen dabei, den Geltungsbereich präzise zu definieren, die Risikobewertung zu automatisieren und alle notwendigen Dokumente auditfest zu erstellen – damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

‍

FAQ - Häufig gestellte Fragen zum ISO 27001 Geltungsbereich

‍

Was ist der Unterschied zwischen dem Geltungsbereich des ISMS und der Erklärung zur Anwendbarkeit (SoA)?Der Geltungsbereich definiert, welche Teile Ihres Unternehmens (z.B. Abteilungen, Standorte) vom ISMS abgedeckt sind. Die SoA ist eine Liste aller Controls aus Anhang A und dokumentiert für jedes einzelne, ob es innerhalb dieses Geltungsbereichs angewendet wird oder nicht, inklusive Begründung.

‍

Kann ich meine Remote-Mitarbeiter aus dem Geltungsbereich ausschließen?Das ist in der Regel nicht ratsam und wird von Auditoren kritisch gesehen. Wenn Mitarbeiter Zugriff auf Unternehmensdaten haben, sind sie Teil des Informationssicherheitsrisikos, egal wo sie arbeiten. Statt sie auszuschließen, sollten die spezifischen Risiken der Telearbeit bewertet und mit den entsprechenden Controls (z.B. A.6.2.2) behandelt werden.

‍

Was passiert, wenn ein Auditor meine Begründung für einen Ausschluss ablehnt?Der Auditor wird eine Nebenabweichung (Minor Non-Conformity) feststellen. Sie erhalten dann eine Frist, um die Begründung nachzubessern oder das entsprechende Control doch noch zu implementieren. Dies verzögert Ihre Zertifizierung, verhindert sie aber in der Regel nicht sofort.

‍

Wie detailliert muss die Begründung sein?Sie sollte so detailliert sein, dass eine externe, sachkundige Person (wie ein Auditor) die Entscheidung ohne weitere Rückfragen nachvollziehen kann. Ein bis zwei präzise Sätze, die auf die Risikobewertung oder den Geschäftskontext verweisen, sind meist ausreichend.

‍