ISO 27001:2022 vs 2013: Was hat sich Geändert?

Vollständiger Vergleichsleitfaden für Organisationen beim Übergang zum Neuen Standard

Home Blog Implementierungsleitfaden

📋 Übersicht der Änderungen

ISO/IEC 27001:2022 wurde im Oktober 2022 veröffentlicht und ersetzt die Version von 2013. Organisationen, die nach ISO 27001:2013 zertifiziert sind, haben bis Oktober 2025 Zeit, auf den neuen Standard umzusteigen. Das Verständnis der Änderungen ist entscheidend für die Planung Ihrer Übergangsstrategie.

Zusammenfassung der Hauptänderungen

  • 93 Controls (statt 114): Konsolidiert für mehr Klarheit und weniger Dopplungen
  • 4 Themen (vs 14 Domänen): Organisatorisch, Menschen, Physisch, Technologisch
  • 10 neue Controls: Einschließlich Threat Intelligence, Cloud Security, ICT-Bereitschaft
  • 24 Controls zusammengeführt: Überlappende Anforderungen kombiniert
  • 58 Controls aktualisiert: Klarere Formulierung und Anforderungen

🏗️ Neue Control-Struktur

Von 14 Domänen zu 4 Themen

ISO 27001:2013 organisierte Controls in 14 Domänen. Die Version 2022 vereinfacht dies auf 4 Themen:

2022 Struktur (4 Themen)

  • Organisatorische Controls (37): Richtlinien, Rollen, Asset Management, HR-Sicherheit, Lieferantenmanagement
  • Menschen-Controls (8): Überprüfung, Arbeitsbedingungen, Bewusstsein und Schulung
  • Physische Controls (14): Sichere Bereiche, Gerätesicherheit, Versorgungseinrichtungen, Entsorgung
  • Technologische Controls (34): Authentifizierung, Kryptographie, Netzwerksicherheit, Protokollierung

Attributbasierte Kategorisierung

Die Version 2022 fügt jedem Control Attribute hinzu:

  • Control-Typ: Präventiv, Detektiv oder Korrektiv
  • Informationssicherheits-Eigenschaften: Vertraulichkeit, Integrität, Verfügbarkeit
  • Cybersecurity-Konzepte: Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen
  • Operative Fähigkeiten: Governance, Asset Management, Schutz, etc.
  • Sicherheitsdomänen: Governance & Ökosystem, Schutz, Verteidigung, Resilienz

✨ 10 Neue Controls in 2022

5.7 Threat Intelligence

Organisationen müssen nun Threat Intelligence sammeln und analysieren, die für ihre Informationssicherheit relevant ist. Dies formalisiert, was reife Organisationen bereits informell tun.

Umsetzung: Abonnement von Threat Feeds, Überwachung von Security Advisories, Verfolgung von Schwachstellen im Technologie-Stack.

5.23 Informationssicherheit für Cloud-Dienste

Explizite Anforderungen für die sichere Nutzung, Beschaffung und Verwaltung von Cloud-Diensten. Behandelt cloud-spezifische Risiken.

Umsetzung: Cloud-Provider-Sicherheitsbewertungen, Dokumentation des Shared Responsibility Model, Cloud-Konfigurationsüberprüfungen.

5.30 ICT-Bereitschaft für Business Continuity

Stellt sicher, dass ICT-Systeme bereit sind, Business Continuity-Anforderungen zu unterstützen. Stärkt den Fokus auf Resilienz.

Umsetzung: Testen von Disaster Recovery-Verfahren, Überprüfung der Backup-Wiederherstellung, Sicherstellung von Redundanz.

8.9 Konfigurationsmanagement

Erfordert dokumentiertes Konfigurationsmanagement für sicherheitsrelevante Systeme. Verhindert Konfigurationsdrift.

Umsetzung: Infrastructure as Code, Konfigurations-Baselines, Änderungsverfolgung.

8.10 Informationslöschung

Stellt sicher, dass Informationen sicher gelöscht werden, wenn sie nicht mehr benötigt werden. Unterstützt Datenminimierung.

Umsetzung: Datenaufbewahrungsrichtlinien, sichere Löschverfahren, Verifizierungsprozesse.

8.11 Datenmaskierung

Erfordert Maskierung sensibler Daten, wo angemessen. Unterstützt Datenschutz und Testbedürfnisse.

Umsetzung: Anonymisierung für Testdaten, Schwärzung in Logs, Tokenisierung wo angemessen.

8.12 Verhinderung von Datenlecks

Behandelt die Verhinderung von Datenexfiltration und unbefugter Offenlegung.

Umsetzung: DLP-Tools, Egress-Filterung, USB-Beschränkungen, E-Mail-Controls.

8.16 Überwachungsaktivitäten

Formalisiert Anforderungen zur Überwachung von Benutzer- und Systemaktivitäten.

Umsetzung: SIEM, Log-Aggregation, Benutzerverhalten-Analytics.

8.23 Web-Filterung

Erfordert Web-Filterung, um den Zugang zu bösartigen Inhalten zu verhindern.

Umsetzung: DNS-Filterung, Proxy-Server, URL-Kategorisierung.

8.28 Sichere Programmierung

Explizite Anforderungen für Secure Coding-Prinzipien in der Softwareentwicklung.

Umsetzung: OWASP-Richtlinien, Code-Reviews, SAST/DAST, Security-Training.

🔄 Übergangsleitfaden für Zertifizierte Organisationen

Übergangs-Zeitplan

Frist: Oktober 2025

  • Oktober 2022: ISO 27001:2022 veröffentlicht
  • Oktober 2023: 1-jährige Übergangsfrist endet (neue Audits verwenden Version 2022)
  • Oktober 2025: 3-jährige Übergangsperiode endet (alle Zertifikate müssen 2022-konform sein)

Übergangsschritte

  1. Gap-Analyse: Vergleichen Sie aktuelle Controls mit Anhang A 2022
  2. Aktualisierung der Anwendbarkeitserklärung: Ordnen Sie 2013 Controls den 2022 Äquivalenten zu
  3. Implementierung neuer Controls: Behandeln Sie die 10 neuen Anforderungen
  4. Aktualisierung der Dokumentation: Überarbeiten Sie Richtlinien, um auf den Standard 2022 zu verweisen
  5. Internes Audit: Überprüfen Sie die Einhaltung der neuen Anforderungen
  6. Übergangs-Audit: Zertifizierungsstelle bewertet 2022-Konformität

Häufige Übergangs-Herausforderungen

  • Cloud-Security-Controls können neue Lieferantenbewertungen erfordern
  • Threat Intelligence erfordert laufende Abonnements/Prozesse
  • Konfigurationsmanagement benötigt Automatisierung
  • Verhinderung von Datenlecks kann neue Tools erfordern

💡 Praktische Ratschläge für Deutsche Organisationen

Was die Meisten Organisationen Bereits Haben

Gute Nachrichten: Viele der "neuen" Controls formalisieren bereits bestehende Best Practices:

  • Threat Intelligence → Überwachen bereits CVEs und Security-News
  • Cloud Security → Nutzen bereits AWS/Azure mit gewisser Sicherheit
  • Konfigurationsmanagement → Infrastructure as Code bereits vorhanden
  • Überwachung → SIEM oder Log-Aggregation bereits eingesetzt

Was Arbeit Erfordert

Controls, die typischerweise neue Implementierung erfordern:

  • Formeller Threat Intelligence-Prozess (nicht nur Ad-hoc-Überwachung)
  • Dokumentierte Cloud-Sicherheitsbewertungen (nicht nur Cloud-Dienste nutzen)
  • Verhinderung von Datenlecks (kann DLP-Tools erfordern)
  • Secure Coding-Standards (formalisierte SDLC-Sicherheit)

Kostenauswirkung

Für deutsche KMU, die bereits nach 2013 zertifiziert sind:

  • Interner Aufwand: 40-80 Stunden für Gap-Analyse, Dokumentationsaktualisierungen, Implementierung
  • Übergangs-Audit: €2.000-€5.000 (oft kombiniert mit Überwachungsaudit)
  • Neue Tools: €1.000-€3.000 falls DLP- oder Überwachungslücken bestehen

Benötigen Sie Übergangsunterstützung? Kontaktieren Sie Hack23 für Gap-Assessment und Übergangsplanung, zugeschnitten auf deutsche Organisationen.

📚 Ressourcen