In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
ISO 27001 A.5.4: Management-Commitment im KMU umsetzen

ISO 27001 A.5.4: Management-Commitment im KMU umsetzen

Amin Abbaszadeh

Informationssicherheitsexperte

November 26, 2025

5 Minuten

Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.

Key Takeaways

Management Commitment entscheidet darüber, ob ein ISO 27001-ISMS in der Praxis wirklich funktioniert.

Auditoren erwarten klare Nachweise, dass die Geschäftsführung die Informationssicherheit aktiv steuert.

Sichtbare Kommunikation, Budgetbereitstellung und regelmäßige Reviews sind zentrale Beweise für A.5.4.

Gelebte Informationssicherheit stärkt nicht nur die Compliance, sondern auch das Vertrauen und die Wettbewerbsfähigkeit.

Stellen Sie sich diese Szene vor: Der ISO 27001-Auditor sitzt Ihnen im Konferenzraum gegenüber. Die technischen Prüfungen sind abgeschlossen. Er lehnt sich vor, sieht Ihnen direkt in die Augen und stellt die entscheidende Frage: „Und wie stellen Sie als Geschäftsführer persönlich sicher, dass Ihr Informationssicherheits-Managementsystem (ISMS) wirksam ist und kontinuierlich verbessert wird?“

In diesem Moment herrscht oft betretenes Schweigen. Denn hier geht es nicht um Firewalls oder Passwortlängen. Es geht um A.5.4 – Führung und Verpflichtung. Für viele kleine und mittlere Unternehmen (KMU) ist dies die größte Hürde auf dem Weg zur Zertifizierung. Es ist der Punkt, an dem der Auditor spüren will, ob Informationssicherheit nur ein Projekt der IT-Abteilung ist oder eine echte Chefsache.

Dieser Artikel ist Ihr Playbook. Wir übersetzen das „Norm-Deutsch“ in klares „Vorstands-Deutsch“ und geben Ihnen konkrete, nachweisbare Aktionen an die Hand, mit denen Sie diese Frage nicht nur beantworten, sondern den Auditor nachhaltig beeindrucken.

Was bedeutet „Management Commitment“ wirklich? (Und was will der Auditor sehen?)

In der Welt der ISO 27001 bedeutet Management Commitment weit mehr als nur eine Unterschrift unter einer Richtlinie. Es ist die sichtbare und aktive Beteiligung der obersten Führungsebene am Schutz von Unternehmensinformationen. Ein Auditor sucht nicht nach Lippenbekenntnissen, sondern nach handfesten Beweisen, dass die Geschäftsführung das ISMS nicht nur genehmigt, sondern es aktiv steuert, fördert und mit den notwendigen Mitteln ausstattet.

Für KMU bedeutet das konkret:

  • Richtung vorgeben: Die Geschäftsführung definiert klare Ziele für die Informationssicherheit, die auf die Unternehmensstrategie einzahlen.
  • Ressourcen bereitstellen: Sie stellt sicher, dass genügend Zeit, Budget und Personal für die Umsetzung und Pflege des ISMS vorhanden sind.
  • Verantwortung tragen: Sie übernimmt die letzte Verantwortung für den Erfolg (oder Misserfolg) des ISMS.
  • Kultur prägen: Sie lebt eine Sicherheitskultur vor und kommuniziert deren Wichtigkeit an alle Mitarbeiter.

Letztendlich geht es darum zu beweisen, dass Informationssicherheit ein integraler Bestandteil Ihrer Geschäftsführung ist – kein lästiges Übel, sondern ein entscheidender Faktor für Kundenvertrauen und Wettbewerbsfähigkeit.

Ein Schaubild, das die Säulen des Management Commitments in KMU darstellt: Kommunikation, Ressourcen, Richtlinien und Überprüfung, die zusammen ein starkes Informationssicherheits-Managementsystem bilden.

Management Commitment konkret: Wie Führungskräfte in KMU durch Kommunikation, Ressourcenbereitstellung und Richtlinien ein effektives Informationssicherheits-Managementsystem sicherstellen.

Das KMU-Vorstands-Playbook: 5 Aktionen, die als Beweis für A.5.4 dienen

Theorie ist gut, Beweise sind besser. Hier sind fünf konkrete, dokumentierbare Aktionen, mit denen die Geschäftsführung in einem KMU ihre Verpflichtung zur Informationssicherheit unmissverständlich nachweisen kann.

1. Die Richtlinie, die gelebt (nicht nur abgeheftet) wird

Eine vom CEO unterzeichnete Informationssicherheitsrichtlinie ist die Basis. Aber der Auditor wird prüfen, ob diese Richtlinie auch im Unternehmen ankommt.

  • CEO-Aktion: Kommunizieren Sie die Kernbotschaften der Richtlinie persönlich in einem All-Hands-Meeting oder per E-Mail an alle Mitarbeiter. Erklären Sie, warum diese Regeln wichtig für den Erfolg des Unternehmens sind.
  • Audit-Beweis: Protokoll des Meetings, die versendete E-Mail, ein Beitrag im Firmen-Intranet.

Auditor-Alarm: Eine Richtlinie, die niemand kennt, ist wertlos. Auditoren fragen oft stichprobenartig Mitarbeiter, ob sie die obersten Sicherheitsziele des Unternehmens nennen können. Wenn dann nur Achselzucken kommt, ist das ein klares Warnsignal für mangelndes Management Commitment.

2. Das Budget, das Taten beweist

Nichts zeigt Verpflichtung deutlicher als die Bereitschaft, Geld in die Hand zu nehmen. Ein vager Posten „IT“ im Budget reicht nicht aus.

  • CEO-Aktion: Sorgen Sie für eine separate Budgetzeile für Informationssicherheit. Das können Ausgaben für Mitarbeiterschulungen, Penetration-Tests, neue Software oder die Kosten für die ISO 27001 implementation selbst sein.
  • Audit-Beweis: Der genehmigte Haushaltsplan, der diese Posten klar ausweist. Rechnungen für durchgeführte Sicherheitsmaßnahmen.

3. Das Protokoll, das für Sie spricht

Das Management-Review ist ein zentrales Element der ISO 27001. Es ist das formelle Meeting, in dem die Geschäftsführung die Leistung des ISMS bewertet. Das Protokoll dieses Treffens ist einer der wichtigsten Beweise für einen Auditor.

  • CEO-Aktion: Leiten Sie das Management-Review persönlich. Stellen Sie sicher, dass alle vorgeschriebenen Themen (z. B. Status von Maßnahmen, Ergebnisse von Audits, Risikobewertung) behandelt und die Entscheidungen klar protokolliert werden.
  • Audit-Beweis: Detaillierte und von Ihnen unterzeichnete Protokolle der Management-Reviews.

4. Die Ziele, die im ganzen Unternehmen verstanden werden

Informationssicherheitsziele dürfen nicht im luftleeren Raum schweben. Sie müssen mit den übergeordneten Geschäftszielen verknüpft sein.

  • CEO-Aktion: Definieren Sie messbare Sicherheitsziele (z. B. „Reduzierung der Phishing-Vorfälle um 50 % in diesem Jahr“, „Erfolgreiche Zertifizierung bis Q4 zur Erfüllung von Kundenanforderungen“). Kommunizieren Sie diese Ziele aktiv im Unternehmen.
  • Audit-Beweis: Ein Dokument, das die Sicherheitsziele beschreibt und deren Verbindung zu den Unternehmenszielen aufzeigt. Berichte, die den Fortschritt bei der Erreichung dieser Ziele verfolgen.

5. Die Verantwortung, die klar zugewiesen ist

In einem KMU ist es entscheidend, dass die Rollen und Verantwortlichkeiten für Informationssicherheit klar definiert sind – auch wenn eine Person mehrere Hüte aufhat.

  • CEO-Aktion: Erstellen Sie ein Organigramm oder eine Rollenbeschreibung, die klar benennt, wer für das ISMS verantwortlich ist (z. B. der Informationssicherheitsbeauftragte, kurz ISB). Stellen Sie sicher, dass diese Person direkten Zugang zur Geschäftsführung hat.
  • Audit-Beweis: Das Organigramm, Stellenbeschreibungen und die offizielle Ernennungsurkunde des ISB.

Eine Infografik, die den schrittweisen Prozess zur Audit-Bereitschaft für KMU-Führungskräfte zeigt, beginnend mit der Richtlinienerstellung über die Ressourcenzuweisung bis hin zur Durchführung des Management-Reviews und der kontinuierlichen Verbesserung.

Der Weg zur Auditbereitschaft: Konkrete Schritte, die KMU-Führungskräfte dokumentieren sollten, um Management Commitment wirksam nachzuweisen.

Ihre Audit-sichere Beweismappe: Der Kreislauf des Management Commitments

Um im Audit zu bestehen, müssen Sie Ihre Aktionen belegen. Betrachten Sie den Nachweis von Management Commitment als einen kontinuierlichen Kreislauf, nicht als eine einmalige Aufgabe. Jeder Schritt in diesem Kreislauf erzeugt wertvolle Beweismittel für Ihre Mappe.

Ein Kreislauf-Diagramm mit den vier Phasen des Management Commitments: 1. Politik & Ziele festlegen, 2. Ressourcen & Rollen zuweisen, 3. Leistung überwachen & bewerten, 4. Kontinuierlich verbessern. Jeder Schritt führt zum nächsten und zeigt den fortlaufenden Prozess.

Der Kreislauf des Management Commitments: Ein einprägsames Modell, das KMU hilft, auditrelevante Prozesse systematisch zu verstehen und umzusetzen.

Ihre Checkliste für audit-sichere Beweise sollte Folgendes umfassen:

✅ Dokumente:

  • Von der Geschäftsführung unterzeichnete und datierte Informationssicherheitsrichtlinie.
  • Protokolle der Management-Reviews mit Teilnehmerliste, besprochenen Themen, Entscheidungen und zugewiesenen Aufgaben.
  • Dokumentierte Informationssicherheitsziele und Pläne zur Erreichung.
  • Budgetpläne, die Ausgaben für Sicherheit explizit ausweisen.

✅ Kommunikation:

  • Kopien von E-Mails der Geschäftsführung zum Thema Informationssicherheit.
  • Screenshots von Intranet-Nachrichten oder Blog-Posts.
  • Auszüge aus Präsentationen von All-Hands-Meetings.

✅ Nachweise für die Umsetzung:

  • Eine lückenlose ISO 27001 Dokumentation, die aktuell gehalten wird.
  • Berichte über interne Audits, die der Geschäftsführung vorgelegt wurden.
  • Nachweise über durchgeführte Sicherheitsschulungen für Mitarbeiter.

Ihre ersten 3 Schritte noch diese Woche

Sie wollen sofort starten? Perfekt. Hier sind drei kleine Aktionen mit großer Wirkung:

  1. Termin blocken: Setzen Sie jetzt einen Termin für das nächste vierteljährliche Management-Review in den Kalender der Führungsebene.
  2. Richtlinie prüfen: Nehmen Sie Ihre aktuelle ISMS-Richtlinie zur Hand. Ist das Datum aktuell? Ist sie von der aktuellen Geschäftsführung unterschrieben? Wenn nicht, holen Sie das nach.
  3. Botschaft senden: Schreiben Sie eine kurze E-Mail an alle Mitarbeiter, in der Sie die Bedeutung der Informationssicherheit für einen wichtigen Kunden oder das Erreichen der Jahresziele betonen. Speichern Sie diese E-Mail in Ihrer Beweismappe.

Management Commitment ist kein Kontrollkästchen, sondern ein Wettbewerbsvorteil

Die Anforderungen von Anhang A.5.4 mögen auf den ersten Blick wie bürokratischer Aufwand wirken. In Wahrheit sind sie jedoch eine Chance. Ein Unternehmen, dessen Führung Informationssicherheit sichtbar lebt, ist widerstandsfähiger gegen Angriffe, gewinnt leichter das Vertrauen von Großkunden und schafft eine positive Sicherheitskultur.

Wenn der Auditor das nächste Mal fragt, wie Sie Ihr Engagement sicherstellen, haben Sie nicht nur eine Antwort, sondern eine Mappe voller Beweise. Sie erzählen die Geschichte eines Unternehmens, das seine wertvollsten Güter – seine Informationen – ernst nimmt. Und das ist ein Zertifikat, das weit über das Papier hinausreicht.

Häufig gestellte Fragen (FAQ) zu A.5.4

Reicht es, wenn der CEO die Sicherheitspolitik nur unterschreibt?

Nein, das ist die absolute Mindestanforderung, aber bei weitem nicht ausreichend. Ein Auditor interpretiert eine reine Unterschrift ohne weitere Aktionen als „abgezeichnet und vergessen“. Die aktive Kommunikation, die Bereitstellung von Ressourcen und die regelmäßige Überprüfung sind entscheidend.

Wie oft sollte ein Management-Review stattfinden?

Die Norm gibt keinen festen Zyklus vor, aber für KMU hat sich ein Rhythmus von mindestens einmal jährlich bewährt. In dynamischen Umgebungen oder während der Einführungsphase eines ISMS kann auch ein vierteljährliches Review sinnvoll sein, um schnell auf Veränderungen reagieren zu können.

Was ist der größte Fehler, den KMU bei A.5.4 machen?

Der häufigste Fehler ist die „Delegation ohne Kontrolle“. Die Geschäftsführung ernennt einen ISB und betrachtet das Thema damit als erledigt. A.5.4 verlangt jedoch, dass die oberste Leitung die Verantwortung nicht abgeben kann. Sie muss sich aktiv über den Status informieren, Entscheidungen treffen und die Richtung vorgeben.

Brauche ich einen externen Berater, um das nachzuweisen?

Ein Berater kann helfen, die richtigen Strukturen aufzubauen. Den Beweis des Commitments muss die Geschäftsführung jedoch selbst erbringen. Kein Berater kann die persönliche Teilnahme an Meetings, die Kommunikation mit dem Team oder die Freigabe von Budgets ersetzen.

Mehr erfahren
Amin Abbaszadeh

Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 14, 2025
5 Minuten
NIS2: Lieferkettensicherheit durch automatisierte Risikobewertung

Viele Unternehmen unterschätzen, wie stark NIS2 ihre Lieferkette in die Pflicht nimmt. Dieser Leitfaden zeigt, wie Sie Cybersicherheitsrisiken Ihrer Dienstleister endlich strukturiert und skalierbar bewerten, nicht mehr mit Excel, sondern durch intelligente Automatisierung. Erfahren Sie, wie moderne Plattformen Risiken transparent machen, kontinuierlich überwachen und Ihre Compliance nachweisbar stärken. So verwandeln Sie NIS2 von einem bürokratischen Risiko zu einem zentralen Wettbewerbsvorteil.

Lesen
June 7, 2023
12 min
Hinweisgeberschutzgesetz – das HinSchG im Überblick

In unserem neuesten Blogartikel geben wir Ihnen wichtige Einblicke in das Hinweisgeberschutzgesetz. Erfahren Sie mehr über die Bedeutung dieses Gesetzes und seine Hintergründe, was es genau umfasst und welche Vorteile es für Unternehmen bietet. Zudem werfen wir einen Blick auf die Pflichten und Verantwortlichkeiten, die mit der Umsetzung einhergehen. Mit praxisnahen Beispielen aus dem Unternehmensalltag und hilfreichen Tipps zur erfolgreichen Umsetzung des Gesetzes bieten wir Ihnen eine erste wertvolle Orientierung zum Hinweisgeberschutzgesetz.

Lesen
June 2, 2023
10 min
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz.

Lesen
Related Resources
ISO 27001 A.5.2: Informationssicherheit im Team umsetzen
November 27, 2025
5 Minuten
‍SOC 2 – Der Compliance-Guide zum US-Standard!
June 7, 2023
12 min
NIS2 Risikobewertung für KRITIS: 7 Steps zur NIS2-konformen Risikobewertung
September 5, 2025
7 min
Marketing Tips for Niche Industries
ISO 9001 Zertifizierung: Der komplette Leitfaden für Ihr Qualitätsmanagementsystem (QMS)
November 18, 2025
10 min
NIS2: Wie baut das Management eine Sicherheitskultur auf?
November 26, 2025
5 Minuten
NIS2: Automatisiere Softwarelösungen und Best Practices
November 20, 2025
5 Minuten
TO TOP