Wie sicher ist sicher genug? Wer sich als mittelständisches Unternehmen mit dem Thema Informationssicherheit beschäftigt, stößt schnell auf einen dichten Dschungel an Regeln, Anforderungen und Begriffen. Doch keine Sorge – dieser Artikel ist Ihr Kompass! Gemeinsam werfen wir einen verständlichen Blick auf die wichtigsten Normen und Standards, die Ihnen helfen, Ihre IT-Landschaft zu schützen – auch ohne eigenes Hackerteam oder IT-Großabteilung.
Normen und Standards – worin liegt der Unterschied?
Normen sind offiziell anerkannte, durch nationale oder internationale Normungsorganisationen wie DIN oder ISO erarbeitete Regelwerke, die in einem formalen Konsensverfahren verabschiedet werden. Eine Normungsorganisation hat sich also in einem Gremium auf ein bestimmtes Regelwerk geeignet. Sie definieren allgemein anerkannte Anforderungen, Begriffe, Verfahren oder Merkmale, die zur Erfüllung bestimmter Zwecke notwendig sind.
Standards hingegen sind häufig branchen- oder unternehmensspezifische Regelwerke und Dokumente, etwa technische Richtlinien, Best Practices oder proprietäre Verfahren. Sie beruhen in der Regel nicht auf einem formellen Normungsverfahren, können aber dennoch eine hohe praktische Relevanz haben.
Neben Normen und Standards (sog. Regelwerke) gibt es noch Rahmenwerke (engl. Frameworks) und Vorgehensmodelle.
Ein Rahmenwerk bietet strukturierte, methodische Vorgaben und kann als ein umfassendes, modulares System verstanden werden, das Orientierung beim Aufbau eines Managementsystems oder einer Sicherheitsarchitektur bietet. Rahmenwerke geben keine verbindlichen Einzelmaßnahmen vor, lassen aber häufig Raum für unternehmensspezifische Ausgestaltung. In manchen Fällen kann ein Rahmenwerk jedoch auch Regelwerkscharakter erhalten – etwa wenn es konkrete Anforderungen enthält und zur Zertifizierungsgrundlage wird. Die Begriffe Rahmenwerk und Regelwerk werden daher in der Praxis nicht immer klar abgegrenzt.
Vorgehensmodelle beschreiben einen strukturierten Ablaufplan mit konkreten Schritten zur Umsetzung eines Ziels. Sie sind in der Regel prozessual orientiert und oft kleinteiliger strukturiert als Rahmenwerke. Während ein Rahmenwerk z. B. Orientierung zum Aufbau eines Informationssicherheits-Managementsystems (ISMS) gibt, beschreibt ein Vorgehensmodell, wie ein solches ISMS konkret eingeführt werden kann – Schritt für Schritt.
Warum überhaupt Normen und Standards?
Normen und Standards in der Informationssicherheit sind keine trockenen Papiertiger – sie sind praxisbewährte Werkzeuge. Sie helfen Unternehmen dabei, Risiken systematisch zu identifizieren, IT-Prozesse zu strukturieren und geeignete Sicherheitsmaßnahmen umzusetzen. Kurz gesagt: Sie bieten Orientierung und Vergleichbarkeit in einem komplexen und dynamischen Umfeld.
Dabei geht es stets um die Vereinheitlichung von Begrifflichkeiten, die Anwendung bewährter Methoden und den Aufbau eines strukturierten Managementsystems, das sich an internationalen oder branchenspezifischen Vorgaben orientiert.
Ob Kundendaten, Produktionssteuerung oder digitale Geschäftsgeheimnisse – wer seine Informationswerte systematisch schützt, handelt nicht nur verantwortungsvoll, sondern auch geschäftlich klug. Und wer seine Maßnahmen zudem nachvollziehbar dokumentiert und nach einer anerkannten Norm (z. B. ISO/IEC 27001) oder einem branchenüblichen Standard zertifizieren lässt, schafft Vertrauen bei Geschäftspartnern, Kunden, Versicherern und Aufsichtsbehörden – und reduziert potenzielle Haftungsrisiken.
Wie erhalte ich eine Zertifizierung?
Der Ablauf einer IT-Sicherheitszertifizierung, am Beispiel einer Zertifizierung nach ISO/IEC 27001, beginnt mit der Einführung eines Informationssicherheits-Managementsystems (ISMS) und einer internen Prüfung dieses Systems. Anschließend wird ein Zertifizierungsantrag bei einer akkreditierten Zertifizierungsstelle (z.B. der TÜV oder die DEKRA) eingereicht. Der Zertifizierungsprozess lässt sich in Voruntersuchung, Vorbereitung, Zertifizierungsprüfung, Bericht und Nachkontrolle unterteilen.
Die erste Phase – die Voruntersuchung (auch „Readiness-Review“ genannt) widmet sich der Prüfung der ISMS-Dokumentation. In der Regel werden die von der Norm geforderten Dokumente zur Begutachtung angefordert. Hierbei schaut der/die Auditor:in, ob alle obligatorischen Dokumente vorliegen und ob sich daran bereits ablesen lässt, ob das Unternehmen für einen Auditbesuch vor Ort im Unternehmen überhaupt bereit ist. Dazu zählen u. a. die Leitlinie zur Informationssicherheit, das Informationswerteverzeichnis, die Risikoanalyse, der Risikobehandlungsplan und eine Auswahl relevanter Sicherheitsrichtlinien.
In der zweiten Phase, der Vorbereitung, wird der Tagesablauf des Audits (systematische, unabhängige Prüfungen) vereinbart. Es wird festgelegt, welche Geschäftsbereiche wann geprüft werden und Termine für Interviews mit Mitarbeitenden gebucht. Gegebenenfalls werden auch Ergebnisse vorangegangener interner Audits oder Managementbewertungen gesichtet, sofern vorhanden.
Die dritte Phase ist der Tag (oder mehrere Tage) des Audits, an dem die Zertifizierungsaudits durchgeführt werden. Der/die Auditor:in kommt dafür in die Geschäftsräume und betroffenen Niederlassungen des Unternehmens. Dabei wird anhand von Nachweisen überprüft, ob die Organisation alle Anforderungen der ISO/IEC 27001-Norm inklusive der gewählten Annex-A-Maßnahmen (sofern übernommen) erfüllt. Dazu werden erforderliche Informationen in Form von Firmenunterlagen, Beobachtungen und Gesprächen gesammelt. Die Angaben werden mit der dokumentierten Informationssicherheits-Organisation abgeglichen, etwaige Nichtkonformitäten oder Verbesserungspotenziale werden protokolliert.
In der vierten Phase wird der Auditbericht den wichtigsten Führungskräften vorgestellt. Er enthält alle relevanten Feststellungen der Prüfung: geprüfte Bereiche, positive Aspekte, identifizierte Nichtkonformitäten sowie Empfehlungen zur Verbesserung.
Die fünfte Phase, die Nachverfolgung, dient der Prüfung, ob die im Auditbericht benannten Nichtkonformitäten behoben und die empfohlenen Maßnahmen umgesetzt wurden. Dabei wird auch geprüft, ob die Verbesserungsmaßnahmen die beabsichtigte Wirkung erzielt haben. Nur wenn alle Abweichungen fristgerecht und wirksam behandelt wurden, kann das Zertifikat ausgestellt werden.
Die Form dieser Nachkontrolle kann unterschiedlich sein – je nach Schwere der Abweichungen. Bei geringfügigen Abweichungen reicht oft eine schriftliche Nachweisdokumentation, bei schwerwiegenden Mängeln ist ein erneutes Vor-Ort-Audit erforderlich.
Wenn alle Anforderungen der Norm erfüllt sind, erfolgt die offizielle Zertifikatserteilung durch die Zertifizierungsstelle. Auch bei erfolgreicher Zertifizierung enthält der Auditbericht häufig Hinweise oder Empfehlungen zur kontinuierlichen Verbesserung.
Wenn kritische Abweichungen (major nonconformities) festgestellt werden, wird die Zertifizierung verweigert, bis die Organisation die festgestellten Mängel behoben hat. Eine erneute Bewertung (Follow-up-Audit) erfolgt dann nach entsprechender Nachbesserung.
Der konkrete Zertifizierungsablauf richtet sich nach der jeweiligen Zertifizierungsstelle. Die Zertifizierungskosten variieren ebenfalls – abhängig von Faktoren wie Unternehmensgröße, Geltungsbereich, Komplexität, Zahl der Standorte sowie ggf. weiteren Dienstleistungen (z. B. Beratung, Schulung).
Die ISMS-Werkstatt
Schritt für Schritt zu mehr Informationssicherheit – mit unserer kostenfreien Workshopreihe ISMS-Werkstatt. In zwei aufeinander aufbauenden Kursen (Basis- und Aufbaukurs) erlernen Sie praxisnah und gemeinsam mit anderen Unternehmen, wie Sie ein maßgeschneidertes Informationssicherheits-Managementsystem (ISMS) für Ihr Unternehmen entwickeln und nachhaltig umsetzen.
Die wichtigsten Regelwerke, Rahmenwerke und Vorgehensmodelle im Überblick
National – in Deutschland
Der BSI IT-Grundschutz ist das Flaggschiff unter den deutschen Rahmenwerken. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), richtet er sich an Organisationen jeder Größe. Er bietet umfangreiche Kataloge mit Maßnahmen, Bedrohungen und Empfehlungen – quasi das „Große Buch der IT-Sicherheit“. Besonders wichtig ist eine „Zertifizierung nach ISO/IEC 27001 auf Basis von IT-Grundschutz“ für Unternehmen, die für Behörden und andere öffentliche Stellen tätig sind bzw. sein wollen oder zur sogenannten ‚kritischen Infrastruktur‘ gehören.
Besonders interessant: Die Norm-Struktur ist modular aufgebaut und kann an die individuellen Bedürfnisse eines Unternehmens angepasst werden. Für kleine Unternehmen kann der Einstieg etwas steil sein. Aber keine Sorge – es gibt auch leichtere Alternativen.
Weitere Infos: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Grundschutz
Wer es etwas kompakter mag, sollte sich den Standard VdS 10000 anschauen. Entwickelt von der VdS Schadenverhütung GmbH, richtet er sich gezielt an kleine und mittlere Unternehmen. Der Fokus liegt auf praktikablen Maßnahmen, die auch mit begrenzten Ressourcen umsetzbar sind.
Besonders interessant: Die VdS 10000 ist aufwärtskompatibel zu dem internationalen Standard ISO 27001, denn sie bildet eine Teilmenge der Anforderungen des großen internationalen Bruders.
Weitere Infos: https://vds.de/cyber/vds-10000
Der Name klingt wie ein Geheimcode, steht aber für „Compliance Informations-Sicherheits-Managementsystem in 12 Schritten“. Dieses Vorgehensmodell wurde vom IT-Sicherheitscluster e.V. entwickelt und richtet sich vor allem an kleine und mittlere Kommunalverwaltungen und kleine Organisationen in den DACH-Staaten. Damit eignet sich dieses Modell aber auch gut für kleinere Unternehmen, die ein ISMS (Informationssicherheits-Managementsystem) aufbauen wollen, da sie konkrete Schritte vorgeben.
Das Besondere: Es gibt klare Projektpläne und Werkzeuge – und das Ganze ist so ausgelegt, dass es später in eine ISO/IEC 27001-Zertifizierung überführt werden kann.
Weitere Infos: https://cisis12.de/
Sie wollen wissen, wo Sie in Sachen Informationssicherheit stehen – ohne gleich einen aufwendigen ISMS-Prozess zu starten? Der ITQ-Basischeck wurde vom Institut für Technologiequalität (ITQ) entwickelt und bietet einen unkomplizierteren Einstieg. Die ITQ-Basisprüfung wird in der Regel von zertifizierten externen Dienstleistern durchgeführt. Diese Experten führen Interviews, Sichtprüfungen und technische Analysen durch, um den aktuellen Sicherheitsstand Ihres Unternehmens zu bewerten. Anschließend erhalten Sie einen detaillierten Ergebnisbericht mit konkreten Maßnahmenempfehlungen zur Verbesserung Ihrer IT-Sicherheit.
Es ist dabei kein offizieller Standard oder eine Norm, sondern ein praxisorientiertes Instrument, welches sich an anerkannten Vorgehen orientiert. Gerade für kleinere Unternehmen ist das ein sinnvoller erster Schritt, um Bewusstsein zu schaffen und Prioritäten zu setzen.
Weitere Infos: https://www.itq-basischeck.de
Der DGI-Standard der Deutschen Gesellschaft für Informationssicherheit richtet sich besonders an mittelständische Unternehmen und kombiniert praxisnahe Anforderungen mit einem klaren Fokus auf Umsetzbarkeit. Besonders betont wird die Integration von IT-Sicherheit in bestehende Geschäftsprozesse.
Weitere Infos: https://dgi-norm.de
Internationale Norm
Wer auch über Ländergrenzen hinweg arbeitet – oder mit Kund:innen, Lieferanten oder Partnern im Ausland – wird früher oder später auf die ISO/IEC 27001 stoßen. Diese international anerkannte Norm beschreibt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und ist in vielen Branchen der gewählte Standard. Die ISO/IEC 27001 dient als Grundlage für viele andere Normen (wie dem BSI-Grundschutz) und viele der kleineren Normen und Standards (wie bspw. Die VdS 10000 und CISIS12) sind aufwärtskompatibel zu ISO/IEC 27001.
Die Norm ist eher für größere Unternehmen ausgelegt, doch auch für den Mittelstand gibt es Wege, sie Schritt für Schritt umzusetzen – mit Unterstützung durch Vorbereitungsstandards wie CISIS12 oder VdS 10000.
Weitere Infos: https://www.iso.org/standard/27001
Fazit: Ein Standard allein macht noch keine Sicherheit
Normen und Standards sind keine Zauberformeln, aber sie helfen, das Unsichtbare sichtbar zu machen. Wer sich als mittelständisches Unternehmen mit ihnen beschäftigt, gewinnt Struktur, Klarheit und Vertrauen. Und der erste Schritt ist gar nicht so schwer: Entscheiden Sie, wo Sie stehen, und wo Sie hinwollen. Der Rest ist ein Weg – aber ein gangbarer. Unsere ISMS-Werkstatt mit ihren Expert:innen steht Ihnen dabei gerne zur Seite.
Im zweiten Teil dieser kleinen Serie werden wir einen Blick auf branchenspezifische Standards werfen – vom Automotiv und der Energiebranche über das Gesundheitswesen bis zum Maschinenbau. Denn wie immer gilt: Sicherheit ist keine Einheitslösung, sondern Maßarbeit.
Die Transferstelle Cybersicherheit im Mittelstand hat zahlreiche Angebote, die Ihnen dabei helfen die richtigen Entscheidungen zu treffen.
Verfasst von Jan Rogall
Senior Projektmanager ISMS-Werkstatt
