ISO 27001 & Agilität: Versionskontrolle sicher meistern

Sprint-Ziele oder Audit-Sicherheit? Viele agile Teams glauben, sich entscheiden zu müssen. Auf der einen Seite steht der Druck, schnell zu liefern und flexibel auf Änderungen zu reagieren. Auf der anderen Seite thront die ISO 27001 mit ihren scheinbar starren Anforderungen an eine lückenlose Dokumentation. Klingt vertraut?

‍

Die gute Nachricht ist: Das ist ein falscher Gegensatz. Agilität und Compliance sind keine Feinde, sondern können sich perfekt ergänzen. Der Schlüssel liegt in einer intelligenten Strategie für die Versionskontrolle, die sich nahtlos in Ihre agilen Prozesse einfügt und Auditoren begeistert.

‍

In diesem Guide zeigen wir Ihnen, wie Sie die Lücke zwischen schnellen Entwicklungszyklen und den strengen Anforderungen der ISO 27001 schließen. Wir verwandeln trockene Theorie in praxistaugliche Anleitungen für die Tools, die Sie bereits täglich nutzen.

‍

Das Fundament: Die Spielregeln einfach erklärt

‍

Bevor wir in die Praxis einsteigen, müssen wir zwei zentrale Begriffe verstehen. Oft entstehen hier die größten Missverständnisse, die agile Teams ausbremsen.

‍

Erstens: die „dokumentierte Information“ nach ISO 27001 (Klausel 7.5). Die Norm schreibt vor, dass Ihr Informationssicherheits-Managementsystem (ISMS) bestimmte Informationen dokumentiert haben muss. Wichtig ist hierbei: Die Norm sagt nicht, wie Sie dies tun müssen. Es gibt keine Vorschrift für Word-Dokumente in komplizierten Ordnerstrukturen. Eine Wiki-Seite, eine Markdown-Datei in einem Git-Repository oder ein Eintrag in einem spezialisierten Tool sind allesamt gültige Formen „dokumentierter Information“.

‍

Zweitens: die agile Arbeitsweise. Sie lebt von Iteration, schnellem Feedback und Anpassungsfähigkeit. Dokumentation wird oft als „Waste“ (Verschwendung) missverstanden, wenn sie den Fluss bremst. Das Ziel ist jedoch nicht, keine Dokumentation zu haben, sondern effiziente und nützliche Dokumentation zu erstellen, die mit dem Produkt mitwächst.

‍

Der entscheidende „Aha-Moment“ ist, die Flexibilität der ISO 27001 zu erkennen. Die Norm fordert Kontrolle über Erstellung, Aktualisierung, Versionierung und Freigabe. Sie lässt Ihnen aber die Freiheit, diese Kontrolle mit agilen Methoden und Werkzeugen umzusetzen.

‍

‍

Die Herausforderung liegt also nicht darin, Ihre agilen Prozesse an die ISO 27001 anzupassen, sondern die Anforderungen der Norm mit den Werkzeugen umzusetzen, die Ihr Team liebt und beherrscht. Eine umfassende ISO 27001 Dokumentation ist dabei kein Hindernis, sondern das Rückgrat eines robusten und nachvollziehbaren Sicherheitsprogramms.

‍

Kernstrategien für die agile Versionskontrolle

‍

Für agile Umgebungen haben sich zwei Hauptstrategien für die Dokumentenlenkung und Versionskontrolle bewährt. Beide haben ihre Stärken und Schwächen, und die beste Wahl hängt von der Kultur und den Werkzeugen Ihres Teams ab.

‍

Methode 1: Wiki-basierte Steuerung (z.B. mit Confluence)

‍

Diese Methode ist besonders bei Teams beliebt, die bereits ein zentrales Wiki für ihre Wissensdatenbank nutzen.

‍

• So funktioniert's: Jede Richtlinie, jeder Prozess und jeder Nachweis ist eine eigene Seite im Wiki. Confluence (oder ein ähnliches Tool) speichert automatisch bei jeder Änderung eine neue Version der Seite in der Historie. So ist jederzeit nachvollziehbar, wer was wann geändert hat.
  ‍
• Vorteile:
  • Geringe Einstiegshürde: Die meisten Teammitglieder sind mit der Bedienung vertraut.
  • Kollaboration: Kommentare und gleichzeitiges Bearbeiten sind einfach möglich.
  • Integrierte Historie: Die Versionsgeschichte ist nur einen Klick entfernt.
    ‍
• Nachteile:
  • Freigabeprozesse: Ohne zusätzliche Plugins oder manuelle Prozesse kann der formale Freigabeprozess unübersichtlich werden.
  • Struktur: Ohne klare Konventionen kann das Wiki schnell unordentlich werden.

‍

Methode 2: Git-basierte Steuerung (z.B. mit GitLab/GitHub)

‍

Dieser Ansatz behandelt Dokumentation wie Code („Docs as Code“). Er eignet sich hervorragend für Teams mit starkem Entwicklerfokus, die bereits täglich mit Git arbeiten.

‍

• So funktioniert's: Alle Richtlinien und Prozessbeschreibungen werden als Textdateien (z. B. Markdown) in einem dedizierten Git-Repository gespeichert. Änderungen werden in eigenen Branches entwickelt. Die Überprüfung und Freigabe erfolgen über Merge- oder Pull-Requests, die eine lückenlose Diskussions- und Genehmigungshistorie bieten.
  ‍
• Vorteile:
  • Robuste Versionierung: Git ist der Goldstandard für Versionskontrolle. Jeder Zustand ist exakt reproduzierbar.
  • Audit-sichere Freigaben: Merge-Requests sind der perfekte, unveränderliche Nachweis für den Review- und Freigabeprozess.
  • Automatisierung: Änderungen an der Dokumentation können in CI/CD-Pipelines integriert werden (z. B. zur automatischen Veröffentlichung).
    ‍
• Nachteile:
  • Höhere Lernkurve: Nicht-technische Stakeholder (z. B. aus HR oder Management) benötigen möglicherweise eine Einarbeitung.
  • Weniger visuell: Die reine Textbearbeitung ist für manche weniger intuitiv als ein WYSIWYG-Editor im Wiki.

‍

Dieses Flussdiagramm zeigt die wesentlichen Schritte und Unterschiede der zwei wichtigsten Versionskontrollmethoden für ISO 27001 Dokumentation in agilen Teams: Wiki-basierte und Git-basierte Ansätze.

‍

Die Praxis: Schritt-für-Schritt-Anleitungen für Ihre Tools

‍

Theorie ist gut, Praxis ist besser. Sehen wir uns an, wie Sie diese Strategien konkret umsetzen können.

‍

Confluence für die ISO 27001 Dokumentation einrichten

‍

1. Dedizierten Bereich erstellen: Legen Sie einen eigenen Confluence-Bereich für Ihr ISMS an (z. B. „Informationssicherheit“). Beschränken Sie die Schreibrechte auf einen definierten Personenkreis (z. B. ISMS-Team, Prozessverantwortliche).
   ‍
2. Vorlagen nutzen: Erstellen Sie Seitenvorlagen für Richtlinien und Prozessbeschreibungen. Diese sollten Felder für „Version“, „Eigentümer“, „Freigabedatum“ und „Nächstes Review-Datum“ enthalten.
   ‍
3. Status mit Labels managen: Verwenden Sie Labels, um den Status einer Seite zu kennzeichnen: entwurf, in-pruefung, veroeffentlicht, archiviert. So behalten Sie stets den Überblick.
   ‍
4. Freigabeprozess definieren: Nutzen Sie für die Freigabe die Kommentarfunktion (@-Mention an den Freigebenden) oder eine dedizierte App für Freigabe-Workflows. Der Freigebende bestätigt die Version im Kommentar oder über die App – das ist Ihr Nachweis.
   ‍
5. Seitenhistorie als Beweis: Im Audit zeigen Sie einfach die Seitenhistorie. Dort ist jede einzelne Änderung mit Autor und Zeitstempel festgehalten.

‍

Audit-Falle! Ein häufiger Fehler ist, dass die Freigabehistorie nicht eindeutig nachvollziehbar ist. Verlassen Sie sich nicht nur auf unstrukturierte Kommentare. Ein klarer Satz wie „Version 1.2 hiermit freigegeben von [Name] am [Datum]“ oder die Nutzung eines Workflow-Tools schafft die nötige Klarheit für ein ISO 27001 Audit.

‍

GitLab/GitHub zur Verwaltung von Richtlinien nutzen

‍

1. ISMS-Repository anlegen: Erstellen Sie ein neues, privates Repository, das ausschließlich Ihre ISMS-Dokumentation enthält.
   ‍
2. Branch-Strategie festlegen: Die main- oder master-Branch enthält immer die aktuell gültigen, veröffentlichten Versionen Ihrer Dokumente. Jede geplante Änderung (z. B. die jährliche Überarbeitung der Passwort-Richtlinie) wird in einem eigenen Feature-Branch entwickelt (feature/update-password-policy-2024).
   ‍
3. Merge-Request als Freigabeprozess: Wenn eine Änderung fertig ist, wird ein Merge-Request (MR) erstellt. Im MR weisen Sie die zuständigen Personen (z. B. den CISO, den Datenschutzbeauftragten) als Reviewer zu. Diese können die Änderungen prüfen, kommentieren und müssen sie explizit genehmigen, bevor der Branch in main gemerged werden darf. Dieser MR ist ein perfekter, unveränderlicher Audit-Trail.
   ‍
4. Versionierung mit Tags: Nach jedem Merge in die main-Branch erstellen Sie einen Git-Tag (z. B. v1.3-password-policy), um den offiziell veröffentlichten Stand zu markieren.
   ‍
5. Integration von Managementsystemen: Dieser Ansatz eignet sich auch hervorragend, um die Dokumentation verschiedener Normen zu verwalten. Man kann leicht erkennen, welche Gemeinsamkeiten zwischen ISO 9001 vs ISO 27001 bestehen und Synergien bei der Dokumentenpflege nutzen.

‍

Ihr agiles ISMS: Eine Checkliste für den Erfolg

‍

Egal für welche Methode Sie sich entscheiden, die folgenden Punkte sind entscheidend für eine audit-sichere und agile Dokumentenlenkung:

‍

Diese visuelle Checkliste bietet eine praxisorientierte Zusammenfassung der wichtigsten Maßnahmen zur erfolgreichen Integration von Versionskontrolle und ISO 27001 Dokumentationspflichten in agilen Umgebungen.

‍

Was erwartet ein Auditor bei der Prüfung der Dokumentenlenkung?

‍

Ein Auditor will drei Dinge sehen:

‍

1. Verfügbarkeit: Sind die Dokumente für die betreffenden Mitarbeiter zugänglich?
   ‍
2. Integrität: Gibt es einen klaren Prozess, der sicherstellt, dass nur autorisierte Änderungen vorgenommen werden?
   ‍
3. Nachvollziehbarkeit: Können Sie für jedes Dokument eine lückenlose Historie von Änderungen, Reviews und Freigaben vorweisen?

‍

Sie haben jetzt die Strategien und Werkzeuge an der Hand, um Geschwindigkeit und Compliance in Ihrer Dokumentation zu vereinen. Der entscheidende Schritt ist, diese Prozesse in Ihrem Team zu etablieren und konsequent zu leben. Ein agiles ISMS ist kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess – ganz im Sinne der agilen Philosophie.

‍

FAQ: Häufige Fragen zur Versionskontrolle in agilen ISMS

‍

Welche Dokumente sind für ISO 27001 Pflicht?

‍

Die Norm fordert explizit bestimmte dokumentierte Informationen, darunter den Anwendungsbereich des ISMS, die Informationssicherheitsleitlinie, den Prozess zur Risikobewertung und -behandlung sowie die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA). Darüber hinaus müssen Sie Nachweise für Kompetenz, Überwachung, Audits und Management-Reviews vorhalten.

‍

Kann ich Jira für die Dokumentenlenkung verwenden?

‍

Jira ist hervorragend geeignet, um die Aufgaben rund um die Dokumentation zu steuern, aber nicht als primärer Speicherort für die Dokumente selbst. Sie können ein Jira-Ticket erstellen, um eine Richtlinie zu überarbeiten. Die eigentliche Arbeit und Versionierung findet dann in Confluence oder Git statt, und der Link zum Dokument wird im Ticket hinterlegt. So entsteht eine lückenlose Kette vom Auftrag bis zur Umsetzung.

‍

Wie oft müssen Dokumente überprüft werden?

‍

Die ISO 27001 gibt keine starren Fristen vor, sondern fordert eine Überprüfung „in geplanten Abständen“. Eine bewährte Praxis ist eine jährliche Überprüfung aller zentralen Richtlinien. Bei wesentlichen Änderungen in Ihrer Organisation (z. B. Einführung neuer Technologien) sollte eine sofortige Überprüfung stattfinden.

‍