Wer sich nach ISO 27001 zertifizieren oder rezertifizieren lassen möchte, kann dies ab Mai 2024 nur noch nach der neugefassten Norm tun. Unternehmen sollten sich deshalb bereits jetzt Gedanken darüber machen, wie sie die gestiegenen Anforderungen an den Schutz und die Sicherheit von Daten erfüllen können.
Die Neufassung der ISO 27001 rückt die Sicherheit und den Schutz von Daten noch stärker in den Vordergrund.
(Bild: WrightStudio - stock.adobe.com)
Laut Statista waren im Jahr 2022 in Deutschland knapp 16.000 Unternehmen nach ISO 27001 zertifiziert und ließen sich damit das Sicherheitsniveau ihres Informationssicherheits-Managementsystems (ISMS) objektiv bestätigen. Im selben Jahr wurde dieser weltweit anerkannte Standard aber auch neu aufgelegt. Um sich selbst und ihren Kunden die Gewissheit zu verschaffen, dass ihre Daten geschützt und ihre IT-Systeme integer sind, müssen Unternehmen künftig neue Anforderungen erfüllen. Die Neufassung der ISO 27001 rückt die Sicherheit und den Schutz von Daten noch stärker in den Vordergrund, was sich schon am neuen Titel „Information Security, Cybersecurity and Privacy Protection“ zeigt.
Neben einigen Präzisierungen, etwa, dass Unternehmen Änderungen an ihrem ISMS geplant und nachvollziehbar umsetzen müssen, wurden vor allem die Sicherheitsmaßnahmen im Anhang A überarbeitet. Einige davon fielen zwar weg, dafür kamen aber insgesamt elf neue hinzu. Dazu zählen die Klassifizierung von Informationen, die Informationssicherheit bei der Nutzung von Cloud-Diensten, das Löschen von Informationen und das Verhindern von Datenabflüssen. Diesen Neuerungen gerecht zu werden, dürfte vielen Unternehmen erfahrungsgemäß schwerfallen. Oft fehlt ihnen der Überblick, welche Daten sie besitzen und was damit geschieht. Für bestehende Zertifikate gibt es noch eine Übergangsfrist bis zum Oktober 2025. Wer eine Rezertifizierung oder Erstzertifizierung anstrebt, kann diese ab Mai 2024 aber nur noch nach der neuen Norm durchführen – und sollte sich bereits jetzt Gedanken darüber machen, wie er die neuen Anforderungen erfüllen kann.
Sensible Daten identifizieren und mit Richtlinien schützen
Die beste Möglichkeit bieten dazu Data-Security-Lösungen. Sie helfen Unternehmen dabei, ihre Daten zu klassifizieren und so schützenswerte Informationen zu identifizieren. Anschließend können sie ermitteln, wo diese Daten liegen und kontinuierlich überwachen, was mit ihnen geschieht: Wer greift auf sie zu, wohin werden sie kopiert und mit wem geteilt? Auf diese Weise lassen sich schnell Risiken wie etwa der Datenaustausch sensibler Informationen über unsichere Cloud-Services erkennen. Oft hilft es dann schon, in Schulungen das Bewusstsein der Mitarbeiter für einen sicheren Umgang mit Daten zu schärfen. Darüber hinaus können Unternehmen mit einer Data-Security-Lösung Sicherheitsverletzungen durch Richtlinien verhindern. In der Regel genügt es dafür, eine Warnmeldung aufpoppen zu lassen oder eine Freigabe durch einen Vorgesetzten anzufordern. Auch das Blockieren von Aktivitäten ist möglich, sollte aber der letzte Ausweg sein und nur bei ganz klaren Verstößen eingesetzt werden.
Natürlich gibt es immer wieder Mitarbeiter, die bewusst Daten weiterleiten oder mitnehmen, beispielsweise bei einem Jobwechsel. Viel größer ist allerdings ein ganz anderes Risiko, und das wird von den meisten Unternehmen unterschätzt: Datenabflüsse durch Unachtsamkeit, weil Mitarbeiter beispielsweise Daten unverschlüsselt auf einen USB-Stick kopieren, sich beim Mail-Empfänger vertippen oder ein Dokument mit sensiblen Informationen in KI-Tools wie ChatGPT hochladen. Im Homeoffice und beim mobilen Arbeiten ist das Risiko für derartige Nachlässigkeiten sogar noch einmal deutlich höher als im Büro. Zuhause oder im Cafe nutzen Mitarbeiter ihre private IT für Geschäftszwecke und durch die Vermischung von Arbeits- und Privatleben fehlt ihnen vielleicht manchmal die nötige Aufmerksamkeit. Da ist es schnell passiert, dass sie sensible Dokumente in eine außereuropäische Cloud hochladen, über ihren privaten E-Mail-Account verschicken oder ausdrucken und offen herumliegen lassen.
Die Einführung einer Data-Security-Lösung ist einfacher, als viele Unternehmen vielleicht denken. So müssen sie beispielsweise keine ausufernden Projekte für die Klassifizierung ihrer Daten befürchten. Die Fachbereiche wissen ganz genau, welche Daten sie schützen müssen und können Kundenlisten, Konstruktionszeichnungen, Code-Stücke, Präsentationen und vieles mehr als Beispiel liefern. Gute Lösungen sind dann in der Lage, diese Beispiele mit Hilfe von KI und Machine Learning zu analysieren und ähnliche Daten weitgehend automatisch aufzuspüren, und zwar unabhängig davon, ob sie auf firmeneigenen Servern, in Clouds oder auf den PCs der Mitarbeiter liegen. Außerdem müssen Unternehmen auch nicht ihren gesamten Datenbestand klassifizieren. Es genügt, wenn sie sich auf Daten konzentrieren, die ihnen wichtig sind, die Missbrauchspotenzial bergen oder deren besonderer Schutz gesetzlich vorgeschrieben ist.
Geeignete Data-Security-Lösungen bringen zudem einen umfangreichen Satz an vordefinierten Richtlinien für den Umgang mit schützenswerten Daten mit. Dadurch ermöglichen sie Unternehmen einen schnellen Grundschutz, der sich immer weiter verfeinern lässt. Idealerweise ist die Lösung auch in der Lage, Datenklassifizierungen und Regeln, die schon in anderen Sicherheitstools vorhanden sind, zu übernehmen. Wenn diese Voraussetzungen gegeben sind, haben Unternehmen mit etwa 1.000 Mitarbeitern erfahrungsgemäß schon nach zwei Wochen die Data Discovery und die Datenklassifizierung abgeschlossen, können nachvollziehen, was mit den Daten geschieht, und sind in der Lage, zehn bis 15 firmenspezifische Richtlinien durchzusetzen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mitarbeiter müssen sich nicht vor Überwachung fürchten
Die Mitarbeiter müssen keine Überwachung befürchten. Gute Data-Security-Lösungen müssen Daten nicht zentral sammeln, um wirkungsvoll vor Datenlecks zu schützen. Es genügt, wenn sie lokal auf den Endgeräten über die Einhaltung der Richtlinien wachen, um drohende Datenschutzverletzungen zu erkennen und sie zu verhindern – je nach Art der Verletzung beispielsweise durch einen Warnhinweis, die Verschlüsselung von Dokumenten oder das Blockieren des Vorgangs. Natürlich helfen unternehmensweite Auswertungen festzustellen, wo Richtlinien angepasst werden müssen oder Schulungsbedarf besteht. Diese Auswertungen können Unternehmen aber anonymisiert erstellen, denn am Ende spielt es keine Rolle, welcher Mitarbeiter versehentlich vertrauliche Daten an den falschen Empfänger geschickt oder unverschlüsselt auf einen Speicherstick kopiert hat. Es kommt lediglich darauf an, dass Unternehmen solche Aktionen künftig verhindern können.
Unternehmen profitieren mit oder ohne Zertifizierung
Die ISO 27001:2022 ist für Unternehmen eine gute Gelegenheit, das Thema Datensicherheit endlich richtig anzugehen. Mit geeigneten Data-Security-Lösungen erhalten sie mit überschaubarem Aufwand mehr Sichtbarkeit und können vertrauliche Daten zuverlässig schützen. Davon profitieren sie immer – völlig unabhängig von einer angestrebten ISO-Zertifizierung.
Über den Autor: Fabian Glöser ist Team Leader Sales Engineering bei Forcepoint in Deutschland.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/cb/24/cb242bd94c1c922b7acd32be2c91c9d9/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der Künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/e5/ade5de9fdf2919d873cd1384e173feec/0129269175v2.jpeg "Die T Cloud Public soll dem europäischen Bedürfnis nach Cloud-Souveränität gerecht werden und sich auf Augenhöhe mit den Hyperscalern begeben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/fa/6bfa3799ec2833886c5932834bb01668/0128802998v1.jpeg "Die Leistungsfähigkeit moderner Infrastrukturen ist heute selten das Problem. Trotzdem geraten viele IT-Organisationen unter Druck. (Bild: Gettyimages 1222958278 / Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/5b/77/5b77fccd92dcdc0beb9297aab7ebef7a/0129255749v2.jpeg "Das Assessment-Paper der Timetoact Group vergleicht die großen Cloud-Anbieter – europäische Lösungen müssen sich nicht verstecken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/aa/55aa1085fca6b8cbeb7326cead80be35/0129191109v2.jpeg "Pure Storage und Rubrik integrieren die automatische Erkennung von Anomalien in den Cyber Resilience Stack. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/c1/07c10f0ef99b1aaa8ec4e689bab584d6/0129245033v2.jpeg "Der Microsoft Copilot Readiness Service, der auf der Technologie von AvePoint basiert, reagiert auf die zunehmenden Anforderungen an Sicherheit, Compliance und ROI-Optimierung. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/da/e1dae6f55425d75714079fffad8e4ad1/0129247479v2.jpeg "Exclusive Networks nimmt Zero Networks ins DACH-Portfolio auf. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/97/30/9730b6b3d2a83363470d88ceb9fa5a22/0127891958v1.jpeg "Schatten-KI, analog zu Schatten-IT, die insbesondere die eigenmächtige Nutzung von Cloud-Angeboten von Beschäftigten bezeichnet, ist offenbar genauso weing zu verhindern. Doch eine Gefährdung des Unternehmens darf die IT iim Haus in keinem Fall riskieren. Der Schlüssel ist jedenfalls nicht das KI-Verbot. (Bild: © perfectlab - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/81/ab/81abf6b189072f231014373ccca423b7/0127331777v2.jpeg "Die ISO-27001-Zertifizierung ist für ADN-Geschäftsführer Hermann Ramacher „ein strategischer Meilenstein“. (Bild: Dall-E / KI-generiert)")