ISMS-Scope: Geltungsbereich nach ISO 27001 richtig definieren
ISMS-Scope: Geltungsbereich nach ISO 27001 richtig definieren
Amin Abbaszadeh
Informationssicherheitsexperte
19 Jun 2026
6 min
Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 und TISAX® effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.
Key Takeaways
Der ISMS-Scope legt fest, welche Standorte, Prozesse und Informationswerte Ihr Managementsystem abdeckt. Er ist die Grundlage jeder ISO-27001-Zertifizierung.
ISO 27001 Klausel 4.3 verlangt, dass der Scope interne und externe Themen, die Anforderungen interessierter Parteien sowie Schnittstellen und Abhängigkeiten berücksichtigt.
Ein zu breiter Scope treibt Aufwand und Kosten, ein zu enger Scope schmälert die Aussagekraft des Zertifikats. Die richtige Dimensionierung ist die zentrale Entscheidung.
Ausschlüsse sind erlaubt, müssen aber begründet und dokumentiert sein. Der Scope ist als dokumentierte Information nachzuweisen.
Der ISMS-Scope, auf Deutsch der Geltungsbereich, legt fest, welche Standorte, Organisationseinheiten, Prozesse und Informationswerte Ihr Informationssicherheits-Managementsystem abdeckt. Er ist die erste inhaltliche Entscheidung beim ISMS-Aufbau und bestimmt, worauf sich Ihre ISO-27001-Zertifizierung am Ende bezieht.
Diese eine Entscheidung wirkt auf alles Weitere: auf die Risikoanalyse, die Auswahl der Controls, den Aufwand der Implementierung und die Aussagekraft des Zertifikats. Wer den Scope sauber definiert, spart sich später Diskussionen mit dem Auditor und teure Nachbesserungen.
Was ist der ISMS-Scope?
Der ISMS-Scope ist die verbindliche Beschreibung der Grenzen Ihres Managementsystems: welche Teile der Organisation innerhalb des Systems liegen und welche außerhalb. Er beantwortet drei Fragen: Welche Standorte sind erfasst? Welche Prozesse und Dienstleistungen? Und welche Informationswerte und Systeme gehören dazu?
Geltungsbereich in einem Satz
Der Geltungsbereich definiert den Verantwortungsraum des ISMS. Alles, was innerhalb liegt, wird systematisch nach ISO 27001 geschützt, dokumentiert und auditiert. Alles außerhalb ist explizit nicht Gegenstand der Zertifizierung.
Wichtig ist die Abgrenzung zur Risikobetrachtung: Der Scope sagt, was geschützt wird, nicht wie. Das Wie folgt erst in der Risikoanalyse und der Behandlung, die Sie im Schritt ISO-27001-Risikomanagement festlegen.
In der Praxis lässt sich der Geltungsbereich nach drei Dimensionen ziehen: nach Standort, nach Organisationseinheit oder nach Produkt beziehungsweise Dienstleistung. Viele Unternehmen kombinieren diese Sichten, etwa "alle Prozesse rund um die SaaS-Plattform am Standort Hamburg". Vom Scope zu unterscheiden ist die Erklärung zur Anwendbarkeit (Statement of Applicability): Der Scope steckt den äußeren Rahmen ab, die Erklärung zur Anwendbarkeit legt anschließend fest, welche Controls aus Anhang A innerhalb dieses Rahmens gelten.
Was verlangt Klausel 4.3 der ISO 27001?
ISO/IEC 27001:2022 verlangt in Klausel 4.3, dass die Organisation die Grenzen und die Anwendbarkeit des ISMS bestimmt, um seinen Geltungsbereich festzulegen. Die Norm nennt dafür drei verbindliche Eingangsgrößen, die direkt auf die Klauseln 4.1 und 4.2 verweisen.
Anforderung (Klausel)
Was sie für den Scope bedeutet
Interne und externe Themen (4.1)
Geschäftsmodell, Standorte, IT-Landschaft, regulatorisches Umfeld. Der Scope muss zum tatsächlichen Kontext der Organisation passen.
Anforderungen interessierter Parteien (4.2)
Erwartungen von Kunden, Aufsichtsbehörden, Partnern. Ein Kunde, der ISO 27001 fordert, beeinflusst, welcher Bereich zertifiziert sein muss.
Schnittstellen und Abhängigkeiten
Was die Organisation selbst tut und was ausgelagert ist. Übergänge zu Dienstleistern und anderen Bereichen müssen sauber beschrieben sein.
Die Norm verlangt außerdem, dass der Geltungsbereich als dokumentierte Information verfügbar ist. In der Praxis ist das ein eigenes Scope-Statement, das der Auditor im Zertifizierungsaudit als Erstes prüft. Fehlt die Begründung für die gezogenen Grenzen, ist das eine der häufigsten Abweichungen in Stufe-1-Audits.
Der Auditor prüft den Scope nicht isoliert, sondern auf Konsistenz mit der Kontextanalyse aus 4.1 und der Stakeholder-Analyse aus 4.2. Ein Geltungsbereich, der wichtige interessierte Parteien oder offensichtliche Abhängigkeiten ignoriert, gilt als nicht stimmig. Das Scope-Statement sollte deshalb explizit benennen, was enthalten ist und was nicht, statt Ausschlüsse nur implizit zu lassen.
Wie definieren Sie den Scope Schritt für Schritt?
Die Scope-Definition läuft in fünf Schritten ab, vom Kontext bis zum dokumentierten Statement. Wer diese Reihenfolge einhält, vermeidet, dass der Geltungsbereich später wegen vergessener Schnittstellen wieder aufgeschnürt werden muss.
1
Kontext erfassen
Interne und externe Themen sowie interessierte Parteien dokumentieren. Diese Analyse aus Klausel 4.1 und 4.2 ist die Grundlage jeder Scope-Entscheidung.
2
Grenzen festlegen
Standorte, Organisationseinheiten und Geschäftsprozesse benennen, die innerhalb des ISMS liegen. Konkret und nachprüfbar formulieren, nicht "das ganze Unternehmen".
3
Informationswerte zuordnen
Systeme, Daten und Anwendungen den Prozessen im Scope zuordnen. Ein vollständiges Asset-Inventar verhindert, dass kritische Werte aus dem Geltungsbereich fallen.
4
Schnittstellen klären
Abhängigkeiten zu Dienstleistern, Cloud-Anbietern und anderen Unternehmensbereichen beschreiben. Jede Schnittstelle ist eine potenzielle Lücke im Schutzraum.
5
Scope-Statement dokumentieren
Den Geltungsbereich als dokumentierte Information festhalten, inklusive Begründung der Ausschlüsse. Dieses Statement ist die Pflichtgrundlage für das Audit.
Die fünf Schritte von der Kontextanalyse bis zum dokumentierten Scope-Statement.
Die Reihenfolge ist kein Selbstzweck. Wer die Grenzen festlegt, bevor der Kontext steht, zieht sie nach Bauchgefühl statt nach Schutzbedarf. Wer die Schnittstellen erst nach dem fertigen Statement betrachtet, muss den Geltungsbereich nachträglich wieder aufschnüren. Praktisch bewährt es sich, den Entwurf des Scope-Statements einmal mit den Prozessverantwortlichen gegenzulesen, bevor er finalisiert wird. So fallen vergessene Anwendungen oder ausgelagerte Teilprozesse auf, solange die Korrektur noch günstig ist.
Beispiel Scope-Statement
"Das Informationssicherheits-Managementsystem gilt für die Entwicklung, den Betrieb und den Support der CRM-Plattform sowie die zugehörigen Kundendaten am Standort Hamburg, einschließlich aller damit befassten Informationswerte, Prozesse und Mitarbeitenden." Ein solcher Satz benennt Dienstleistung, Standort und erfasste Werte eindeutig und macht den Geltungsbereich nachprüfbar.
Welche Fehler treten bei der Scope-Definition am häufigsten auf?
Die meisten Scope-Probleme lassen sich auf vier Fehler zurückführen. Sie kosten entweder Aufwand oder Aussagekraft, manchmal beides. Wer sie kennt, dimensioniert den Geltungsbereich von Anfang an passend.
Die vier häufigsten Scope-Fehler
1. Scope zu breit Wer das gesamte Unternehmen in den ersten Geltungsbereich nimmt, vervielfacht Risikoanalyse, Control-Umsetzung und Auditaufwand. Für die Erstzertifizierung ist ein fokussierter Scope fast immer der bessere Start.
2. Scope zu eng Ein zu kleiner Geltungsbereich schmälert die Aussagekraft des Zertifikats. Wenn der Bereich, den Ihr Kunde absichern will, gar nicht enthalten ist, bringt das Zertifikat im Vertrieb nichts.
3. Schnittstellen vergessen Ausgelagerte IT, Cloud-Dienste oder Konzernfunktionen werden nicht beschrieben. Im Audit führt das zu Rückfragen, weil unklar ist, wo der Schutzraum endet.
4. Kein Bezug zur Risikolage Der Scope wird nach Organigramm gezogen statt nach Schutzbedarf. Kritische Informationswerte landen außerhalb, unwichtige innerhalb.
Die richtige Dimensionierung liegt zwischen zu eng und zu breit, ausgerichtet am Schutzbedarf.
"Die Scope-Frage entscheidet über den gesamten Aufwand einer ISO-27001-Zertifizierung. Wer den Geltungsbereich am Schutzbedarf ausrichtet statt am Organigramm, halbiert oft die Zahl der relevanten Risiken, ohne die Aussagekraft des Zertifikats zu verlieren."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
Wann sind Erweiterungen und Ausschlüsse sinnvoll?
Ausschlüsse aus dem Geltungsbereich sind nach ISO 27001 erlaubt, sofern sie begründet und dokumentiert sind. Ein Ausschluss darf die Fähigkeit der Organisation, Informationssicherheit zu gewährleisten, nicht untergraben. Ein willkürlich ausgeklammerter, aber kritischer Bereich fällt im Audit auf.
Praxisbeispiel
Ein Industrieunternehmen zertifiziert seine IT- und Verwaltungsprozesse nach ISO 27001, schließt aber das Produktionsnetz (OT) aus, weil es unter einem separaten Programm nach IEC 62443 geführt wird. Der Ausschluss ist legitim, weil er begründet und dokumentiert ist und die Schnittstelle zwischen IT und OT sauber beschrieben wird.
Der Geltungsbereich ist kein einmaliges Dokument. Bei jeder größeren Veränderung der Organisation, etwa einer Zukauf, einem neuen Standort oder einer verlagerten IT, gehört der Scope auf den Prüfstand. Die Managementbewertung ist der richtige Ort, um zu prüfen, ob der dokumentierte Geltungsbereich noch zur Realität passt.
Eine Scope-Erweiterung wird relevant, wenn neue Standorte, Geschäftsfelder oder Cloud-Umgebungen hinzukommen. Gerade Cloud-Dienste bringen eigene Abgrenzungsfragen mit, etwa die Verantwortungsteilung mit dem Anbieter. Wie Sie den Geltungsbereich für Cloud-Umgebungen sauber ziehen, behandeln wir gesondert im Beitrag zum ISMS-Scope in der Cloud. Bei SECJUR sehen wir, dass eine fokussierte Erstzertifizierung mit späterer, geplanter Erweiterung deutlich verlässlicher zum Ziel führt als ein von Beginn an maximaler Scope.
Wie unterstützt SECJUR bei der Scope-Definition?
Die Scope-Definition ist Fleißarbeit mit hohem Abstimmungsbedarf: Kontextanalyse, Asset-Zuordnung, Schnittstellen und das dokumentierte Statement müssen zusammenpassen und auditfest sein. Genau hier setzen Vorlagen und geführte Workflows an.
Scope-Template und Plattform-Unterstützung
Das Digital Compliance Office von SECJUR stellt Vorlagen für das Scope-Statement bereit und führt durch Kontextanalyse, Asset-Inventar und Schnittstellenbeschreibung. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 Prozent, weil die Plattform Struktur, Vorlagen und Mappings mitbringt, statt das Scope-Dokument von einer leeren Seite aus zu erstellen.
Vorlagen senken vor allem das Fehlerrisiko: Sie erinnern an die Pflichtbestandteile aus Klausel 4.3, an die Begründung der Ausschlüsse und an die Beschreibung der Schnittstellen. Genau diese Punkte sind es, an denen Scope-Dokumente im Audit sonst scheitern. Eine durchgängige Plattform hält zudem Scope, Asset-Inventar und Risikoanalyse synchron, sodass eine spätere Erweiterung nicht jedes Dokument einzeln betrifft.
Für Unternehmen, die zum ersten Mal eine ISO-27001-Zertifizierung anstreben, ist das der pragmatische Weg: einen fokussierten, am Schutzbedarf ausgerichteten Scope sauber dokumentieren und ihn später kontrolliert erweitern.
Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 und TISAX® effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.
Über SECJUR
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Der ISMS-Scope (Geltungsbereich) legt fest, welche Standorte, Organisationseinheiten, Prozesse und Informationswerte ein Informationssicherheits-Managementsystem abdeckt. Er definiert den Verantwortungsraum des ISMS und ist die Grundlage jeder ISO-27001-Zertifizierung.
Was verlangt Klausel 4.3 der ISO 27001?
Klausel 4.3 verlangt, dass die Organisation die Grenzen und die Anwendbarkeit des ISMS bestimmt. Dabei sind interne und externe Themen (4.1), die Anforderungen interessierter Parteien (4.2) sowie Schnittstellen und Abhängigkeiten zu berücksichtigen. Der Scope muss als dokumentierte Information verfügbar sein.
Darf man Bereiche aus dem ISMS-Scope ausschließen?
Ja. Ausschlüsse sind erlaubt, sofern sie begründet und dokumentiert sind und die Fähigkeit der Organisation zur Informationssicherheit nicht untergraben. Ein Beispiel ist ein Produktionsnetz, das unter einem separaten Programm geführt wird.
Wie groß sollte der ISMS-Scope sein?
Für die Erstzertifizierung ist ein fokussierter, am Schutzbedarf ausgerichteter Scope meist sinnvoller als ein maximaler. Ein zu breiter Scope treibt Aufwand und Kosten, ein zu enger schmälert die Aussagekraft des Zertifikats. Plattformen wie SECJUR helfen, den Geltungsbereich präzise zu dokumentieren und später kontrolliert zu erweitern.
Eine Prozesslandkarte ist nach ISO 9001 ein Dokument, das alle Geschäftsprozesse visualisiert und ihre Wechselwirkungen zeigt. Erfahren Sie, wie Sie eine erstellen.
Erfahren Sie in unserem neuesten Blogartikel, wie die Datenschutz-Folgenabschätzung (DSFA) Unternehmen dabei unterstützt, personenbezogene Daten effektiv zu schützen. Lesen Sie, welche Kriterien eine DSFA erforderlich machen und wie Unternehmen die Risiken für die Rechte und Freiheiten der Betroffenen bewerten können. Zudem erklären wir, warum die DSFA kein einmaliger Prozess ist, sondern regelmäßig durchgeführt werden sollte.
Agile Teams fürchten oft, dass ISO 27001 ihre Geschwindigkeit bremst, doch das Gegenteil ist wahr. Dieser Leitfaden zeigt, wie moderne Versionskontrolle in Confluence oder Git Ihre Dokumentation auditfest macht, ohne die Agilität zu verlieren. Erfahren Sie, wie Sie Änderungen transparent steuern, Freigaben sauber dokumentieren und Ihr ISMS nahtlos in den Entwicklungsfluss integrieren – für mehr Sicherheit, Effizienz und echte Compliance im Alltag.
.svg)
.svg)
.svg)
.svg){kind=small}