In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
ISO 27001: Ausschlüsse im Geltungsbereich richtig begründen

ISO 27001: Ausschlüsse im Geltungsbereich richtig begründen

Niklas Hanitsch

Volljurist und Compliance-Experte

November 12, 2025

5 Minuten

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

Ein klar definierter ISO 27001-Geltungsbereich ist entscheidend, um Ihr ISMS effizient und auditfest aufzubauen.

Ausschlüsse sind erlaubt, müssen jedoch immer risikobasiert und nachvollziehbar begründet werden.

Vage oder willkürliche Begründungen führen zu Auditabweichungen und gefährden die Zertifizierung.

Eine saubere Dokumentation von Geltungsbereich und SoA spart Zeit, reduziert Aufwand und stärkt Ihre Compliance nachhaltig.

Stellen Sie sich vor, Sie haben monatelang an Ihrem Informationssicherheits-Managementsystem (ISMS) gearbeitet. Richtlinien wurden geschrieben, Prozesse implementiert und Mitarbeiter geschult. Der Audittermin steht vor der Tür. Doch dann die entscheidende Frage des Auditors: „Warum haben Sie Ihre Entwicklungsabteilung aus dem Geltungsbereich ausgeschlossen? Ihre Begründung hier ist nicht nachvollziehbar.“ Ein Moment, der den Erfolg des gesamten Zertifizierungsprojekts infrage stellen kann.

Die Definition des Geltungsbereichs (oder „Scope“) nach ISO 27001 ist weit mehr als eine formale Übung. Sie ist das Fundament Ihres gesamten ISMS. Ein falsch definierter oder schlecht begründeter Geltungsbereich führt nicht nur zu Problemen im Audit, sondern verschwendet auch wertvolle Ressourcen.

Viele Unternehmen tun sich schwer damit, zu entscheiden, was in den Geltungsbereich gehört und – was noch wichtiger ist – was legitim ausgeschlossen werden kann und wie man dies auditfest dokumentiert. Dieser Artikel ist Ihr praktischer Leitfaden, um den Geltungsbereich strategisch zu definieren, Ausschlüsse souverän zu begründen und typische Fallstricke zu vermeiden.

Dieses Diagramm erklärt das Konzept des ISO 27001 Geltungsbereichs und zeigt, wie Geschäftskontext, Stakeholder und kritische Vermögenswerte den Umfang und mögliche Ausschlüsse bestimmen.

Warum Ihr Geltungsbereich mehr als nur eine Formsache ist

Viele sehen die Definition des Geltungsbereichs als eine reine Dokumentationspflicht. In Wahrheit ist es eine der wichtigsten strategischen Entscheidungen, die Sie beim Aufbau eines ISMS treffen. Ein klug gewählter Geltungsbereich:

  • Spart Zeit und Geld: Sie konzentrieren Ihre Ressourcen nur auf die wirklich kritischen Bereiche Ihres Unternehmens. Nicht jeder Prozess und jede Abteilung muss von Anfang an Teil des ISMS sein.
  • Reduziert Komplexität: Ein engerer, fokussierter Geltungsbereich ist einfacher zu managen, zu überwachen und zu verbessern.
  • Sichert den Auditerfolg: Eine klare, logische und gut dokumentierte Abgrenzung überzeugt Auditoren und verhindert kritische Abweichungen (Non-Conformities).

Die Norm ISO 27001 fordert in Klausel 4.3, die Grenzen und die Anwendbarkeit des ISMS festzulegen. Hierbei müssen Sie den Kontext der Organisation berücksichtigen – also die internen und externen Themen, die für Ihre Informationssicherheit relevant sind.

Geltungsbereich des ISMS vs. Erklärung zur Anwendbarkeit (SoA)

Ein häufiges Missverständnis liegt in der Verwechslung dieser beiden Konzepte:

  • Der Geltungsbereich des ISMS (Scope): Definiert die organisatorischen, physischen und technologischen Grenzen Ihres Managementsystems. Beispiel: „Das ISMS umfasst alle Prozesse der Kundenbetreuung am Standort Berlin, einschließlich der IT-Infrastruktur und der beteiligten Mitarbeiter.“
  • Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA): Ist ein zentrales Dokument, das alle 114 Controls aus Anhang A der ISO 27001 auflistet. Hier dokumentieren Sie für jedes einzelne Control, ob es für Sie anwendbar ist und warum (oder warum nicht). Die Begründung für den Ausschluss von Controls findet hier statt.

Kurz gesagt: Der Geltungsbereich legt fest, welcher Teil des Unternehmens betrachtet wird. Die SoA legt fest, welche Sicherheitsmaßnahmen (Controls) innerhalb dieses Bereichs angewendet werden.

Die Kunst des begründeten Ausschlusses: Was darf raus – und warum?

Die gute Nachricht ist: Sie müssen nicht jedes einzelne Control aus Anhang A umsetzen. Die ISO 27001 erlaubt explizit Ausschlüsse, solange diese nicht die Informationssicherheit gefährden und – ganz entscheidend – gut begründet sind.

Die Grundlage für jeden Ausschluss ist immer das Ergebnis Ihrer Risikobewertung. Wenn für ein bestimmtes Control kein entsprechendes Risiko innerhalb Ihres Geltungsbereichs existiert, können Sie es ausschließen.

Praktische Beispiele für legitime Ausschlüsse:

  • Physische Sicherheit (A.11): Wenn Sie Ihre Server in einem zertifizierten Rechenzentrum eines Cloud-Anbieters (z. B. AWS, Azure) betreiben, sind Sie nicht für dessen physische Sicherheit verantwortlich. Sie können entsprechende Controls ausschließen, müssen aber in der Begründung auf den Dienstleister und dessen Zertifizierungen verweisen.
  • Software-Entwicklung (A.14): Wenn Ihr Unternehmen keine eigene Software entwickelt, sondern ausschließlich Standardsoftware nutzt, können die Controls zur sicheren Entwicklung ausgeschlossen werden.
  • Telearbeit (A.6.2.2): Wenn in Ihrem Unternehmen eine strikte „No-Remote-Work“-Policy gilt und technisch durchgesetzt wird, können Sie die spezifischen Controls für Telearbeit ausschließen.

Der entscheidende Punkt ist, dass Ausschlüsse keine willkürlichen Entscheidungen sein dürfen, um sich Arbeit zu sparen. Sie müssen eine direkte Folge Ihrer individuellen Risikolandschaft sein. Alle grundlegenden ISO 27001 Anforderungen müssen dabei stets erfüllt bleiben.

Diese Schritt-für-Schritt-Anleitung zeigt den Prozess zur korrekten Begründung von Ausschlüssen im ISO 27001 Geltungsbereich und hilft, häufige Prüfungsfehler zu vermeiden.

Schritt-für-Schritt zur auditfesten Begründung

Um Ausschlüsse systematisch und nachvollziehbar zu dokumentieren, folgen Sie diesem Prozess:

  1. Kontext verstehen: Analysieren Sie die Erwartungen Ihrer Stakeholder (Kunden, Gesetzgeber, Eigentümer) und definieren Sie relevante ISO 27001 Beispiele für interne und externe Fragen. Was sind Ihre Kronjuwelen, also die wichtigsten Informationen, die es zu schützen gilt?
  2. Geltungsbereich festlegen: Definieren Sie die Grenzen Ihres ISMS. Welche Standorte, Abteilungen, Prozesse und Technologien sind betroffen? Seien Sie so präzise wie möglich.
  3. Risikobewertung durchführen: Führen Sie eine umfassende ISO 27001 Risikobewertung für alle Assets innerhalb Ihres Geltungsbereichs durch. Identifizieren Sie Bedrohungen und Schwachstellen und bewerten Sie die daraus resultierenden Risiken.
  4. Controls aus Anhang A prüfen: Gehen Sie die Liste der 114 Controls durch und prüfen Sie für jedes einzelne, ob es zur Behandlung eines von Ihnen identifizierten Risikos beiträgt.
  5. Ausschlüsse identifizieren und begründen: Wenn für ein Control kein relevantes Risiko existiert, markieren Sie es in Ihrer SoA als „nicht anwendbar“. Formulieren Sie eine präzise Begründung, die sich direkt auf Ihre Risikobewertung oder Ihren Geltungsbereich bezieht.

Die Meisterklasse: So schreiben Sie Begründungen, die jeden Auditor überzeugen

Die Qualität Ihrer Begründung entscheidet über Akzeptanz oder Ablehnung im Audit. Auditoren wollen keine Romane lesen, sondern eine klare, logische und risikobasierte Herleitung sehen.

Hier ist der Unterschied zwischen einer schwachen und einer starken Begründung am Beispiel des Controls A.14.2.1 „Richtlinie für sichere Entwicklung“:

Schlechte Begründung (Wird vom Auditor wahrscheinlich abgelehnt)Gute Begründung (Auditfest)„Wir entwickeln keine Software.“„Nicht anwendbar. Im Geltungsbereich des ISMS findet keine eigene Softwareentwicklung statt. Das Unternehmen nutzt ausschließlich Standard-Cloud-Software (SaaS). Die Auswahl und Konfiguration dieser Dienste wird durch die Richtlinie zur Lieferantenbeziehung (A.15) abgedeckt.“„Dieses Control ist für uns nicht relevant.“„Nicht anwendbar. Die Risikobewertung (Ref. RA-023) hat keine Risiken identifiziert, die die Implementierung einer eigenen Richtlinie für sichere Entwicklung erfordern, da alle Entwicklungsaktivitäten an den zertifizierten Partner [Partnername] ausgelagert sind, dessen ISO 27001-Zertifikat vorliegt.“

Was Auditoren wirklich sehen wollen:

  • Spezifität: Vermeiden Sie allgemeine Phrasen. Beziehen Sie sich konkret auf Ihren Geltungsbereich, Ihre Prozesse oder Ihre Risikobewertung.
  • Risikobasierung: Die Begründung muss zeigen, dass Sie verstanden haben, welches Risiko das Control adressiert und warum dieses Risiko bei Ihnen nicht existiert.
  • Klarheit: Die Argumentation muss auf den ersten Blick verständlich sein. Ein externer Prüfer kennt Ihr Unternehmen nicht – Ihre Dokumentation muss selbsterklärend sein.
  • Konsistenz: Ihre Begründungen dürfen sich nicht mit anderen Teilen Ihrer ISMS-Dokumentation widersprechen.

Diese Gegenüberstellung zeigt anschaulich, wie eine auditfeste Begründung für Ausschlüsse aussieht und welche Formulierungen Prüfern häufig missfallen.

Häufige Fehler und wie Sie sie vermeiden

  1. Willkürliche Ausschlüsse: Der häufigste Fehler ist das Ausschließen von Controls aus Bequemlichkeit. Jede Entscheidung muss auf der Risikobewertung basieren.
  2. Zu vage Begründungen: Phrasen wie „nicht relevant“ oder „trifft nicht zu“ sind eine Einladung für Nachfragen des Auditors. Seien Sie immer konkret.
  3. Geltungsbereich zu eng gefasst: Das Ausschließen von kritischen Geschäftsbereichen (z.B. der Buchhaltung), nur um den Aufwand zu reduzieren, wird von Auditoren und Kunden als Warnsignal gesehen.
  4. Dokumentation vergessen: Der Geltungsbereich und die SoA müssen als dokumentierte Information vorliegen und gepflegt werden.

Fazit: Der Geltungsbereich als strategischer Hebel für Ihre Informationssicherheit

Die Definition des Geltungsbereichs und die Begründung von Ausschlüssen sind keine bürokratischen Hürden, sondern ein mächtiges Werkzeug, um Ihre ISO 27001-Zertifizierung effizient und zielgerichtet zu gestalten. Ein strategisch festgelegter Scope fokussiert Ihre Energie auf das, was wirklich zählt: den Schutz Ihrer wichtigsten Informationen.

Indem Sie lernen, wie ein Auditor zu denken, und Ihre Entscheidungen konsequent auf Basis von Risiken treffen, verwandeln Sie eine vermeintliche Pflichtübung in einen echten strategischen Vorteil.

Sind Sie bereit, Ihre Compliance-Prozesse zu vereinfachen? Die KI-gestützte Plattform von SECJUR, das Digital Compliance Office, hilft Ihnen dabei, den Geltungsbereich präzise zu definieren, die Risikobewertung zu automatisieren und alle notwendigen Dokumente auditfest zu erstellen – damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

FAQ - Häufig gestellte Fragen zum ISO 27001 Geltungsbereich

Was ist der Unterschied zwischen dem Geltungsbereich des ISMS und der Erklärung zur Anwendbarkeit (SoA)?Der Geltungsbereich definiert, welche Teile Ihres Unternehmens (z.B. Abteilungen, Standorte) vom ISMS abgedeckt sind. Die SoA ist eine Liste aller Controls aus Anhang A und dokumentiert für jedes einzelne, ob es innerhalb dieses Geltungsbereichs angewendet wird oder nicht, inklusive Begründung.

Kann ich meine Remote-Mitarbeiter aus dem Geltungsbereich ausschließen?Das ist in der Regel nicht ratsam und wird von Auditoren kritisch gesehen. Wenn Mitarbeiter Zugriff auf Unternehmensdaten haben, sind sie Teil des Informationssicherheitsrisikos, egal wo sie arbeiten. Statt sie auszuschließen, sollten die spezifischen Risiken der Telearbeit bewertet und mit den entsprechenden Controls (z.B. A.6.2.2) behandelt werden.

Was passiert, wenn ein Auditor meine Begründung für einen Ausschluss ablehnt?Der Auditor wird eine Nebenabweichung (Minor Non-Conformity) feststellen. Sie erhalten dann eine Frist, um die Begründung nachzubessern oder das entsprechende Control doch noch zu implementieren. Dies verzögert Ihre Zertifizierung, verhindert sie aber in der Regel nicht sofort.

Wie detailliert muss die Begründung sein?Sie sollte so detailliert sein, dass eine externe, sachkundige Person (wie ein Auditor) die Entscheidung ohne weitere Rückfragen nachvollziehen kann. Ein bis zwei präzise Sätze, die auf die Risikobewertung oder den Geschäftskontext verweisen, sind meist ausreichend.

Mehr erfahren
Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

October 25, 2023
6 min
ISO 27001 Annex A.9 – Access Management leicht gemacht

Die Umsetzung von Access Management nach ISO 27001 Annex A.9 kann eine echte Herausforderung sein. Regulierung und Überwachung von Zugriffen sind unerlässlich, um Daten und Informationen zu schützen. In diesem Artikel erfahren Sie, wie die Partnerschaft zwischen SECJUR und Cakewalk Unternehmen dabei unterstützt, die Anforderungen dieses ISO-Annex effizient zu erfüllen. Entdecken Sie die Bedeutung von Annex A.9, seine Ziele und die verschiedenen Zugangskontrollmethoden. Erfahren Sie, wie Cakewalks intelligente Lösungen und SECJURs Expertise die nahtlose Integration der Zugriffsverwaltung in ein Informationssicherheitsmanagementsystem ermöglichen.

Lesen
September 5, 2025
5 min
NIS2-Meldepflichten: So automatisieren Sie das Vorfallsmanagement

Die neuen NIS2-Meldepflichten stellen viele Unternehmen vor Herausforderungen: strenge Fristen, komplexe Prozesse und hohe Risiken bei Verstößen. Erfahren Sie, wie Automatisierung Ihr Incident Management transformieren kann und Sie rechtskonform bleiben.

Lesen
June 6, 2023
8 min
CEO Fraud – Informationssicherheitsexperten geben 3 Tipps zur Abwehr

‍Der CEO-Fraud ist eine Variante des „Social Engineerings“, bei welchem die Täter auf das oft schwächste Glied in der IT-Sicherheitskette setzen: Den Menschen. Infolge der immer besseren technischen Schutzmaßnahmen, angefangen bei einer einfachen Firewall bis hin zu Verschlüsselungsmethoden, ist es schwieriger geworden, auf „klassischem“ Weg, wie beispielsweise Hacking, an vertrauliche Informationen zu gelangen. Wie schützt man sich als CEO?

Lesen
Related Resources
ISMS Zertifizierung: Welches Audit lohnt sich wirklich?
November 22, 2023
7 min
ISO 27001: Die Rolle der Geschäftsführung
November 13, 2025
4 Minuten
ISO 27001 Dokumentation: Von der Pflicht zur strategischen Stärke
November 10, 2025
5 Minuten
Marketing Tips for Niche Industries
ISO 9001: So schaffen Sie mit internen Audits echten Mehrwert
October 28, 2025
5 Minuten
NIS2: Resilienzstrategien für OT und ICS im Krisenmanagement
November 11, 2025
5 Minuten
Monitoring nach NIS2: So geht automatisierte Überwachung
September 5, 2025
7 min
TO TOP