ISO 27001:2022 listet im Annex A insgesamt 93 Sicherheitskontrollen in vier Themenbereichen. Ein häufiges Missverständnis: Nicht alle Controls müssen implementiert werden. Der Standard fordert ausdrücklich eine risikobasierte Auswahl — und eine begründete Erklärung für jede Nichtanwendung.

Was ist der Annex A — und was nicht?

Der Annex A ist eine Referenzliste möglicher Kontrollen, keine Pflichtliste. Welche Controls tatsächlich umzusetzen sind, ergibt sich aus dem Risikoassessment (Klausel 6.1.2) und dem zugehörigen Risikobehandlungsplan (6.1.3). Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) dokumentiert für jede der 93 Controls, ob sie angewendet wird, warum — und wenn nicht, warum nicht.

Wichtig: Auditoren prüfen nicht nur, ob Controls implementiert sind, sondern ob die Ausschlüsse im SoA begründet sind. "Nicht relevant" ist keine ausreichende Begründung — der Ausschluss muss aus dem Risikoassessment ableitbar sein.

Controls mit hoher Relevanz für KMUs

Basierend auf typischen KMU-Risikoprofilen sind folgende Bereiche in fast allen Fällen anwendbar:

Organisational Controls (5.x)

  • 5.1 Policies for Information Security — Informationssicherheitspolitik und untergeordnete Richtlinien
  • 5.15–5.18 Access Control — Zugriffssteuerung, Identitätsmanagement, Authentisierung
  • 5.24–5.28 Incident Management — Erkennung, Meldung und Behandlung von Sicherheitsvorfällen
  • 5.19–5.22 Supplier Relationships — Sicherheitsanforderungen an Lieferanten und Cloud-Dienste

People Controls (6.x)

  • 6.1 Screening — Überprüfung von Mitarbeitern vor der Einstellung
  • 6.3 Information Security Awareness, Education and Training — Regelmäßige Schulung aller Mitarbeiter
  • 6.8 Information Security Event Reporting — Meldewege für Sicherheitsereignisse

Technological Controls (8.x)

  • 8.2 Privileged Access Rights — Verwaltung privilegierter Konten
  • 8.5 Secure Authentication — Starke Authentisierung, MFA
  • 8.7 Protection Against Malware — Malware-Schutz auf Endgeräten und Servern
  • 8.13 Information Backup — Regelmäßige, getestete Datensicherungen
  • 8.20–8.22 Networks — Netzwerksicherheit, Netzwerktrennung
  • 8.32 Change Management — Kontrollierter Umgang mit Änderungen an IT-Systemen

Controls, die KMUs häufig ausschließen können

Bei cloud-first Unternehmen ohne eigene Rechenzentren sind physische Controls wie 7.2 (Physical Entry Controls) oder 7.8 (Equipment Siting and Protection) oft nicht oder nur eingeschränkt anwendbar. Ebenso können Controls zu industriellen Steuerungssystemen (ICS/SCADA) oder Spezialmedien für KMUs ohne entsprechende Infrastruktur ausgeschlossen werden.

Praxistipp: Beginnen Sie die SoA-Erstellung mit dem Risikoregister — nicht mit dem Annex A. Für jeden identifizierten Risiko-Behandlungspfad (Behandeln/Akzeptieren/Vermeiden/Übertragen) folgen die relevanten Controls natürlich. So entsteht eine kohärente, auditfähige SoA statt einer reinen Checkbox-Liste.

Wie die SoA strukturiert sein sollte

Eine auditfähige SoA enthält für jede der 93 Controls:

  1. Ob die Control angewendet wird (Ja/Nein)
  2. Begründung (aus Risikoassessment oder gesetzlicher Anforderung ableitbar)
  3. Umsetzungsstatus (implementiert / in Umsetzung / geplant)
  4. Verweis auf die relevante Richtlinie oder das Verfahren