ISO 27001:2022 — Die 11 neuen Controls erklärt

Am 31. Oktober 2025 ist die Übergangsfrist für ISO 27001:2022 abgelaufen. Zertifikate nach der alten Version ISO 27001:2013 sind damit nicht mehr gültig. Wer noch kein aktualisiertes Zertifikat besitzt, steht vor einer dringenden Aufgabe. Doch auch für Unternehmen, die bereits nach 2022 zertifiziert sind, lohnt ein genauer Blick auf das, was sich wirklich verändert hat — insbesondere auf die elf völlig neuen Controls im Anhang A.

Was hat sich geändert? Der Überblick

Die größte sichtbare Änderung betrifft die Struktur des Anhang A. Aus 114 Controls in 14 Domains wurden 93 Controls in 4 Themes:

• Organisatorisch (37 Controls) — Richtlinien, Rollen, Verantwortlichkeiten
• Personen (8 Controls) — Schulung, Bewusstsein, Arbeitsverträge
• Physisch (14 Controls) — Zutrittsschutz, Gerätesicherheit
• Technologisch (34 Controls) — Authentifizierung, Verschlüsselung, Monitoring

Die Reduktion von 114 auf 93 klingt nach weniger Arbeit — ist es aber nicht. 35 Controls blieben unverändert, 23 wurden umbenannt, 57 zu 24 zusammengeführt. Und dann sind da noch die 11 neuen Controls, die echte neue Anforderungen stellen. Gemäß dem Überblick von Protiviti und der detaillierten Analyse von Hicomply sind diese neuen Controls der eigentliche Schwerpunkt der Transition.

Die 11 neuen Controls im Detail

1. Threat Intelligence

Unternehmen müssen aktiv Informationen über Bedrohungen sammeln, auswerten und in ihre Sicherheitsentscheidungen einfließen lassen. Das bedeutet konkret: Abonnement von Threat-Feeds, Auswertung von BSI-Warnmeldungen und strukturiertes Teilen von Informationen innerhalb der Branche. Kein Luxus mehr, sondern Pflicht.

2. Information Security for Cloud Services

Cloud-Dienste müssen systematisch in das ISMS eingebunden werden. Vor der Nutzung eines Cloud-Services ist eine Sicherheitsbewertung erforderlich, Verantwortlichkeiten müssen klar vertraglich geregelt sein. Für KMU, die stark auf Microsoft 365, AWS oder Azure setzen, ist dieser Control besonders relevant.

3. ICT Readiness for Business Continuity

Die IT-Infrastruktur muss explizit auf ihre Verfügbarkeit im Krisenfall geprüft werden. Recovery-Szenarien sind zu testen, nicht nur zu dokumentieren. Wer bisher einen Business-Continuity-Plan hatte, der nur in der Schublade lag, muss jetzt nachweisen, dass er funktioniert.

4. Physical Security Monitoring

Sicherheitssensible Bereiche — Serverräume, Archivräume, Rezeptionen — müssen überwacht werden. Videoüberwachung, Alarmanlagen oder Zugangsprotokolle können diesen Control erfüllen. Wichtig: Die DSGVO-Anforderungen für Videoüberwachung müssen dabei beachtet werden.

5. Configuration Management

Alle sicherheitsrelevanten Konfigurationen von Systemen, Netzwerken und Anwendungen müssen dokumentiert, versioniert und gegen unbefugte Änderungen geschützt sein. Klingt selbstverständlich, ist aber in der Praxis bei vielen KMU eine echte Lücke.

6. Information Deletion

Wenn Daten nicht mehr benötigt werden oder Aufbewahrungsfristen abgelaufen sind, müssen sie nachweislich und sicher gelöscht werden. Das gilt für lokale Speicher, Cloud-Ablageorte und auch für Backups. Ein Löschkonzept ist ab sofort kein optionales Dokument mehr.

7. Data Masking

Personenbezogene und vertrauliche Daten müssen in Test-, Entwicklungs- und Analyseumgebungen maskiert oder pseudonymisiert werden. Wer Kundendaten in Testsystemen nutzt, ohne sie zu schützen, erfüllt diesen Control nicht.

8. Data Leakage Prevention

Technische und organisatorische Maßnahmen müssen verhindern, dass vertrauliche Daten unkontrolliert das Unternehmen verlassen. DLP-Lösungen (z.B. Microsoft Purview), E-Mail-Filter und klare Richtlinien für den Datentransfer sind hier gefordert.

9. Monitoring Activities

Netzwerke und Systeme müssen aktiv auf ungewöhnliche Aktivitäten überwacht werden. Reine Firewall-Logs reichen nicht mehr. Gefordert ist ein strukturiertes Monitoring mit definierten Schwellwerten und klaren Eskalationspfaden bei Auffälligkeiten.

10. Web Filtering

Unternehmen müssen den Zugriff auf bekannte Schad-URLs, Phishing-Seiten und unerwünschte Web-Inhalte technisch unterbinden. DNS-Filter, Proxy-Lösungen oder die in Microsoft 365 Defender integrierten Safe-Links-Features können diesen Control abdecken.

11. Secure Coding

Wer Software entwickelt oder entwickeln lässt, muss nachweisen, dass Sicherheitsanforderungen in den Entwicklungsprozess integriert sind. Code-Reviews, SAST-Tools, sichere Entwicklungsrichtlinien und Dependency-Management sind die typischen Maßnahmen.

Die wichtigsten Clause-Änderungen

Neben den neuen Controls gibt es zwei bedeutende Änderungen im normativen Teil der Norm selbst:

Clause 4.2 — Interessierte Parteien: Die Anforderungen an die Analyse von Stakeholdern wurden verschärft. Unternehmen müssen nicht nur auflisten, wer relevante Parteien sind, sondern auch deren spezifische Anforderungen an das ISMS systematisch erfassen und regelmäßig überprüfen. Kunden, Lieferanten, Aufsichtsbehörden und Gesellschafter gehören typischerweise dazu.

Clause 6.3 — Planung von Änderungen: Änderungen am ISMS müssen künftig strukturiert geplant und dokumentiert werden — mit Bewertung der Konsequenzen, der erforderlichen Ressourcen und der Verantwortlichkeiten. Spontane Anpassungen ohne Nachvollziehbarkeit sind nicht mehr normenkonform.

Hinzu kommt ein grundlegend anderes Verständnis von Risikomanagement: ISO 27001:2022 fordert einen outcome-basierten Ansatz statt einer Checkbox-Mentalität. Nicht das Vorhandensein einer Maßnahme zählt, sondern ihre nachgewiesene Wirksamkeit. Und das Statement of Applicability (SoA) muss vollständig aktualisiert werden — alle 93 Controls müssen mit Begründung bewertet sein.

Was Unternehmen jetzt konkret tun müssen

Die Transition ist keine leichte Übung, aber mit der richtigen Priorisierung gut handhabbar. Folgende Schritte sind empfehlenswert:

1. Gap-Analyse: Welche der 11 neuen Controls sind bereits durch bestehende Maßnahmen abgedeckt? Welche fehlen vollständig? Eine ehrliche Bestandsaufnahme ist der erste Schritt.
2. SoA aktualisieren: Das Statement of Applicability muss die neue Control-Struktur widerspiegeln. Bestehende Maßnahmen den neuen Controls zuordnen, fehlende identifizieren.
3. Prioritäten setzen: Nicht alle Lücken sind gleich kritisch. Controls wie Data Leakage Prevention oder Threat Intelligence lassen sich oft durch bereits vorhandene Technologien (z.B. Microsoft 365) kosteneffizient abdecken.
4. Dokumentation anpassen: Richtlinien, Prozessbeschreibungen und Risikobewertungen müssen die neue Terminologie und Struktur verwenden.
5. Internes Audit und Management Review: Vor dem Zertifizierungsaudit muss ein internes Audit nach der neuen Norm stattfinden.

Mit gut dokumentierten Prozessen und einer strukturierten Gap-Analyse ist die Transition in 3 bis 6 Monaten realistisch machbar. Unternehmen ohne ISMS-Basis sollten deutlich mehr Zeit einplanen — laut EisnerAmper Transition Guide und Strike Graph sind 9 bis 12 Monate für ein Erstprojekt realistisch.