Neue Version der „ISO/IEC 27001“ für mehr Cybersicherheit

Cyberbedrohungen stellen mittlerweile eines der größten Risiken für Unternehmen dar. Deshalb wurde der international etablierte Standard „ISO/IEC 27001“ für Informationssicherheit überarbeitet und enthält nun neue Maßnahmen für mehr Cybersicherheit und Datenschutz. Im Herbst 2025 endet die Übergangsfrist. Ein aktuelles Whitepaper von TÜV Süd gibt einen Überblick.

„Ein Informationssicherheits-Managementsystem (ISMS) kann Unternehmen jeder Größe helfen, sich gegen Cyberangriffe und andere böswillige Datenmanipulationen effektiv zu schützen. Mit einer ,ISO/IEC 27001‘-Zertifizierung stärken Unternehmen ihren Schutz vor Cyberangriffen und beugen dem Verlust sensibler Informationen vor“, erläutert Alexander Häußler, Global Product Performance Manager IT and Lead Auditor bei TÜV Süd.

Der Standard „ISO/IEC 27001“ ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS) und damit auch für die Cybersicherheit. Nach einer Überarbeitung im Oktober 2022 löst die neue „ISO/IEC 27001:2022“ die bisher geltende „ISO/IEC 27001:2013“ ab. Dadurch erhält die Sicherheitsnorm eine lange erwartete Anpassung bei Maßnahmen zu IT-Sicherheit, Datenschutz sowie konkrete Maßnahmen zur Cloudsicherheit.

Die wichtigsten Änderungen betreffen die im Anhang A definierten Maßnahmen (Controls): Diese wurden von bisher 114 auf 93 reduziert und in vier Abschnitten neu gegliedert: Organisational Controls (37 Maßnahmen), People Controls (8 Maßnahmen), Physical Controls (14 Maßnahmen), Technological Controls (34 Maßnahmen). Neu eingeführt wurden 11 Maßnahmen. Diese betreffen unter anderem Datenmaskierung (um Daten für Hacker unbrauchbar zu machen), die Überwachung von Aktivitäten (um unübliche IT-Aktivitäten zu entdecken), sowie Informationssicherheit für die Nutzung von Cloud-Diensten.

Die Übergangsfrist beträgt 36 Monate ab Veröffentlichung der Norm, daher muss die Umstellung bestehender Zertifikate auf die neue „ISO/IEC 27001:2022“ bis zum Herbst 2025 abgeschlossen sein. Unternehmen, die bereits nach „ISO/IEC 27001:2013“ zertifiziert sind, haben noch rund drei Jahre Zeit, um den Übergang zum neuen Standard durchzuführen. Sie sollten sich dennoch möglichst bald mit den Neuerungen auseinandersetzen, denn diese haben hohe Bedeutung für die Informationssicherheit.