ISO 27001: Geltungsbereich Ihres ISMS richtig definieren

Wussten Sie, dass Ende 2023 nur 1.563 Unternehmen in Deutschland ein gültiges ISO 27001-Zertifikat besaßen? Im Vergleich zu über 47.000 Zertifikaten für ISO 9001 ist das eine verschwindend geringe Zahl. Für die Unternehmen, die den Weg zur Zertifizierung nach ISO 27001 antreten, ist eine Entscheidung wichtiger als alle anderen: die korrekte Definition des Geltungsbereichs (Scope) ihres Informationssicherheits-Managementsystems (ISMS).

‍

Diese eine Entscheidung legt das Fundament für den gesamten Prozess. Ein falsch definierter Geltungsbereich führt zu verschwendeten Ressourcen, unnötiger Komplexität oder – im schlimmsten Fall – zum Scheitern des Audits. Ein präzise festgelegter Scope hingegen ist der Bauplan für eine effiziente, kosteneffektive und erfolgreiche Zertifizierung.

‍

In diesem Leitfaden führen wir Sie durch die entscheidenden Phasen, von der Analyse Ihres Unternehmenskontexts bis zur Formulierung einer audit-sicheren Geltungsbereichserklärung. Wir zeigen Ihnen, wie Sie typische Fehler vermeiden und Ihr ISMS auf die realen Herausforderungen moderner Unternehmen ausrichten – von Cloud-Infrastrukturen bis zu komplexen Lieferketten.

‍

Klausel 4.1 & 4.2: Das Fundament, das Sie nicht überspringen dürfen (Kontext & Interessierte Parteien)

‍

Bevor Sie auch nur einen Gedanken an die Grenzen Ihres ISMS verschwenden, verlangt die ISO 27001, dass Sie einen Schritt zurücktreten. Sie müssen Ihr Unternehmen verstehen: Was sind die internen und externen Themen, die Ihre Fähigkeit zur Informationssicherheit beeinflussen? Und wer sind die interessierten Parteien (Stakeholder), deren Anforderungen Sie erfüllen müssen?

‍

Dieser Schritt ist keine bürokratische Übung, sondern die strategische Grundlage für alles, was folgt.

‍

• Interne und externe Themen (Kontext der Organisation): Berücksichtigen Sie Ihre Unternehmenskultur, technologische Abhängigkeiten, rechtliche Rahmenbedingungen wie die NIS2-Richtlinie und die Marktsituation. Ein FinTech-Startup hat völlig andere externe Treiber als ein mittelständischer Maschinenbauer.
  ‍
• Anforderungen interessierter Parteien: Identifizieren Sie, was Ihre Stakeholder von Ihnen erwarten. Kunden fordern den Schutz ihrer Daten. Gesetzgeber verlangen die Einhaltung von Vorschriften. Mitarbeiter benötigen klare Richtlinien für sicheres Arbeiten. Investoren wollen Geschäftsrisiken minimiert sehen.

‍

Erst wenn Sie dieses Gesamtbild haben, können Sie eine fundierte Entscheidung darüber treffen, welche Teile Ihres Unternehmens durch das ISMS geschützt werden müssen.

‍

‍

Klausel 4.3: Den ISMS „Geltungsbereich“ definieren – Eine Schritt-für-Schritt-Anleitung

‍

Mit dem Verständnis für Kontext und Stakeholder können Sie nun den Geltungsbereich (Scope) Ihres ISMS präzise abstecken. Gehen Sie dabei systematisch vor.

‍

Schritt 1: Informationswerte & kritische Prozesse identifizieren

‍

Fragen Sie sich: Welche Informationen sind für unser Unternehmen überlebenswichtig? Das können Kundendaten, geistiges Eigentum, Finanzdaten oder strategische Pläne sein. Listen Sie anschließend die Prozesse, Systeme und Anwendungen auf, die diese Informationen verarbeiten, speichern oder übertragen.

‍

Schritt 2: Organisatorische, physische und Netzwerk-Grenzen festlegen

‍

Definieren Sie die Grenzen Ihres ISMS klar und unmissverständlich:

‍

• Organisatorisch: Welche Abteilungen sind betroffen (z. B. IT, Entwicklung, Personal)?
• Physisch: Welche Standorte sind Teil des ISMS (z. B. Hauptsitz in Berlin, Rechenzentrum in Frankfurt)?
• Netzwerk: Welche Netzwerke und Systeme fallen in den Geltungsbereich (z. B. das interne Firmennetzwerk, aber nicht das Gäste-WLAN)?

‍

Schritt 3: Abhängigkeiten und Schnittstellen analysieren (Der häufigste Fehler)

‍

Hier scheitern die meisten Unternehmen. Es reicht nicht, nur die internen Systeme zu betrachten. Sie müssen alle Schnittstellen und Abhängigkeiten zu externen Parteien oder Systemen identifizieren, die für die Informationssicherheit innerhalb Ihres Geltungsbereichs relevant sind. Ein klassisches Beispiel ist ein externer IT-Dienstleister, der Ihre Server wartet. Auch wenn der Dienstleister selbst nicht im Scope ist, muss die Schnittstelle zu ihm gemanagt und gesichert werden. Das Gleiche gilt für Cloud-Anbieter oder Softwarelieferanten.

‍

‍

Schritt 4: Scoping im modernen Unternehmen

‍

Die ISO 27001:2022 trägt der modernen Arbeitswelt Rechnung. Ihr Geltungsbereich muss dies ebenfalls tun.

‍

• Cloud Services (IaaS, PaaS, SaaS): Definieren Sie klar, welche Cloud-Dienste Teil Ihres ISMS sind. Die Verantwortung für die Sicherheit liegt nicht allein beim Anbieter (Stichwort: Shared Responsibility Model). Neue Controls in der Norm adressieren explizit die Nutzung von Cloud-Diensten.
  ‍
• Remote-Arbeitsplätze: Wenn Mitarbeiter dauerhaft von zu Hause arbeiten, müssen deren Endgeräte und die sichere Anbindung an das Firmennetzwerk Teil des Geltungsbereichs sein.
  ‍
• Lieferketten: Insbesondere im Hinblick auf Vorschriften wie NIS2 oder DSGVO wird die Sicherheit der Lieferkette immer wichtiger. Analysieren Sie, welche Lieferanten einen kritischen Einfluss auf Ihre Informationssicherheit haben, und definieren Sie die Schnittstellen.

‍

Schritt 5: Die Kunst des Ausschlusses

‍

Sie können und sollten nicht versuchen, Ihr gesamtes Unternehmen auf einmal zu zertifizieren. Es ist absolut legitim, bestimmte Teile auszuschließen. Der Schlüssel ist eine lückenlose und logische Begründung. Schließen Sie beispielsweise eine Testumgebung aus, müssen Sie plausibel darlegen können, warum diese keine Relevanz für die Informationssicherheit der produktiven Systeme hat und keine schützenswerten Informationen enthält. Unbegründete Ausschlüsse sind eine rote Flagge für jeden Auditor.

‍

Von der Analyse zur Praxis: Die Geltungsbereichserklärung formulieren

‍

Am Ende dieses Prozesses steht ein einziges, entscheidendes Dokument: die Geltungsbereichserklärung. Sie muss präzise, klar und für Außenstehende (insbesondere Auditoren) verständlich sein.

‍

Eine einfache Formel für Ihre Erklärung lautet:[Unternehmen] erbringt [Produkte/Dienstleistungen]. Das ISMS nach ISO 27001 schützt die Informationswerte, die für diese Erbringung notwendig sind, und umfasst die [Prozesse, Abteilungen, Standorte und Technologien].

‍

3 kommentierte Beispiele aus der Praxis

‍

Theorie ist gut, Praxis ist besser. Hier sind drei Beispiele, wie eine Geltungsbereichserklärung für verschiedene Unternehmen aussehen könnte.

‍

‍

Die Rolle der Führung (Klausel 5.1): Commitment sichern

‍

Ein klar definierter Geltungsbereich ist nicht nur ein technisches Dokument, sondern auch ein entscheidendes Werkzeug zur Kommunikation mit der Geschäftsführung. Er macht den Nutzen und die Grenzen des ISMS greifbar. Die Führungsebene muss den Geltungsbereich verstehen, genehmigen und die notwendigen Ressourcen bereitstellen. Ohne dieses sichtbare und spürbare Commitment (Verpflichtung der Leitung) ist jedes ISMS-Projekt von vornherein zum Scheitern verurteilt. Der Scope hilft, die Verantwortlichkeiten klar zuzuweisen und sicherzustellen, dass Informationssicherheit als strategisches Unternehmensziel verstanden wird – eine Aufgabe, die in vielen Firmen die Integration von Managementsystemen wie ISO 9001 und ISO 27001 nahelegt.

‍

‍

Fazit: Ihr Geltungsbereich ist die Mauer Ihrer Informationssicherheits-Festung

‍

Die Definition des Geltungsbereichs ist mehr als nur das Ausfüllen eines Formulars. Es ist die strategische Entscheidung, die den Erfolg, die Kosten und die Wirksamkeit Ihrer gesamten ISO 27001-Zertifizierung bestimmt. Indem Sie den Kontext Ihres Unternehmens sorgfältig analysieren, Ihre Grenzen klug ziehen und die Realitäten der modernen digitalen Welt berücksichtigen, schaffen Sie ein starkes Fundament.

‍

Ein gut definierter Scope schützt Sie vor unnötigem Aufwand, sorgt für Klarheit im Audit und stellt sicher, dass Ihr ISMS genau das tut, was es soll: Ihre wertvollsten Informationen effektiv zu schützen.

‍

Mit der KI-gestützten Plattform von SECJUR, dem Digital Compliance Office, können Sie den gesamten Prozess des ISMS-Aufbaus – von der Definition des Geltungsbereichs bis zur kontinuierlichen Überwachung – drastisch vereinfachen und beschleunigen. Entdecken Sie, wie Sie Compliance-Ziele effizienter und sicherer erreichen können.

‍

Häufige Fragen (FAQ) zum ISO 27001 Geltungsbereich

‍

Kann ich den Geltungsbereich später noch ändern?

‍

Ja, absolut. Ein ISMS ist ein lebendes System. Wenn Ihr Unternehmen wächst, neue Produkte einführt oder sich die rechtlichen Rahmenbedingungen ändern, muss und sollte der Geltungsbereich angepasst werden. Diese Änderungen müssen jedoch einem formalen Prozess folgen und dokumentiert werden.

‍

Was passiert, wenn mein Geltungsbereich zu eng oder zu weit ist?

‍

Zu eng (Under-Scoping): Sie könnten das Audit bestehen, aber wichtige Risiken für Ihr Unternehmen unberücksichtigt lassen. Im schlimmsten Fall verfehlt das ISMS seinen Zweck und bietet keinen echten Schutz. Ein Auditor könnte auch feststellen, dass kritische, abhängige Prozesse ausgeschlossen wurden, und die Zertifizierung verweigern.Zu weit (Over-Scoping): Das Projekt wird unnötig teuer, komplex und langwierig. Sie verschwenden Ressourcen auf Bereiche, die für die Informationssicherheit wenig relevant sind, was die Akzeptanz im Unternehmen gefährden kann.

‍

Wie detailliert muss die Beschreibung sein?

‍

Sie muss so detailliert sein, dass eine externe Person (wie ein Auditor) ohne Vorkenntnisse genau verstehen kann, wo das ISMS beginnt und wo es aufhört. Vermeiden Sie vage Formulierungen und seien Sie so spezifisch wie möglich bei Standorten, Abteilungen, Netzwerken und Technologien. Ein ISO 27001, einfach erklärt, beginnt immer mit einem klaren Scope.

‍