kontakt

Anwendungsbereich / Scope

Kurzdefinition

Der Anwendungsbereich (Scope) eines Informationssicherheits-Managementsystems legt fest, für welche Teile einer Organisation, welche Standorte, Prozesse, Informationen und IT-Dienste das ISMS gilt, wo seine Grenzen verlaufen und welche Schnittstellen bestehen. Er bildet die verbindliche Grundlage für Risikoanalyse, Maßnahmenauswahl und Zertifizierung.

Einordnung auf einen Blick

Kategorie Governance
Zweck Abgrenzung von Geltung, Grenzen und Schnittstellen des ISMS; Festlegung, worauf Risiken, Maßnahmen und Audits anzuwenden sind
Typische Artefakte/Nachweise im ISMS Scope-Dokument/Scope-Statement, Lageplan/Standortübersicht, Prozesslandkarte, System-/Asset-Übersicht, Begründungen für Ausnahmen, Schnittstellenbeschreibung, Änderungsprotokoll
Häufige Stakeholder-Rollen Top-Management, ISMS-Leitung, Informationssicherheitsbeauftragte, Prozessverantwortliche, IT-/OT-Verantwortliche, Einkauf/Lieferantenmanagement, Datenschutz, Compliance, Audit
Verwandte Begriffe Kontext der Organisation, Verzeichnis der Maßnahmen (Statement of Applicability, SoA), Risikobewertung, Lieferantenmanagement, Informationssicherheitsrichtlinie

Detaillierte Erklärung

Der Anwendungsbereich bestimmt, worauf das ISMS wirkt. Er beantwortet die Frage: „Für welche organisatorischen Einheiten, Geschäftsprozesse, Informationen und unterstützenden Systeme werden Risiken bewertet und Maßnahmen umgesetzt?“ Damit ist der Scope ein zentrales Lenkungsinstrument: zu eng definiert, entstehen blinde Flecken; zu weit, droht Überfrachtung und mangelnde Wirksamkeit.

Ein sauberer Scope beschreibt organisatorische Grenzen (z. B. Unternehmen, Tochtergesellschaft, Geschäftsbereich), räumliche Grenzen (Standorte, Rechenzentren, Homeoffice-Regelungen), sowie technische Grenzen (Netzsegmente, Anwendungen, Cloud-Dienste, OT-Anlagen). Ebenso werden Schnittstellen zu anderen Bereichen benannt, etwa ausgelagerte Prozesse, Dienstleister oder Konzernfunktionen. Ausnahmen müssen begründet werden (z. B. „Werk X ausgeschlossen, da eigener ISMS-Geltungsbereich“).

Im Rahmen der Normkapitel zum Organisationskontext wird der Scope aus geschäftlichen Zielen, gesetzlichen Anforderungen und Erwartungen interessierter Parteien abgeleitet. Er ist eng mit der Informationssicherheitsrichtlinie, der Risikoanalyse und der Maßnahmenplanung verbunden. Der englische Begriff „control“ (Control) wird in diesem Glossar als „Maßnahme“ bezeichnet.

Der Scope ist nicht nur ein Textbaustein für Zertifikate. Er steuert, welche Assets inventarisiert, welche Risiken bewertet, welche Maßnahmen geplant und welche Wirksamkeitskennzahlen verfolgt werden. Interne Audits, Managementbewertungen und externe Audits prüfen den Scope regelmäßig auf Angemessenheit und Aktualität.

In komplexen Organisationen ist eine modulare Betrachtung sinnvoll: Ein übergeordnetes ISMS kann mehrere Teilbereiche umfassen (Multi-Standort, Multi-Business-Unit). Wichtig ist dann, dass Abhängigkeiten und Schnittstellen (z. B. zentrale IT, geteilte Plattformen) konsistent beschrieben sind, damit keine Verantwortlichkeitslücken entstehen.

Relevanz für ISO 27001

Der Anwendungsbereich verknüpft zentrale ISMS-Prozesse:

  • Risikomanagement: Nur was im Scope liegt, wird systematisch bewertet; Ergebnisse steuern die Auswahl und Priorisierung von Maßnahmen.
  • Verzeichnis der Maßnahmen (SoA): Das SoA bezieht sich auf Risiken und Anforderungen im Scope und dokumentiert, welche Maßnahmen gelten bzw. nicht gelten – mit Begründung.
  • Richtlinien & Prozesse: Sicherheitsrichtlinien und -prozesse müssen mindestens für den Scope gelten; bei Konzernrichtlinien ist die Passfähigkeit zum Scope nachweisbar zu machen.
  • Monitoring & Messung: Leistungskennzahlen (KPIs/KRIs), interne Audits und Managementbewertungen beziehen sich auf den Scope.
  • Änderungsmanagement: Änderungen im Geschäft, in Standorten, Technologien oder Lieferketten können den Scope beeinflussen und müssen kontrolliert und dokumentiert werden.
  • Zertifizierung: Der Text auf dem Zertifikat spiegelt den Scope wider; Unschärfen im Scope führen zu Auditabweichungen oder eingeschränkter Aussagekraft der Zertifizierung.

Umsetzung in der Praxis

Schritt-für-Schritt

  1. Kontext erfassen: Geschäftsmodell, Produkte/Dienste, regulatorische Anforderungen und interessierte Parteien analysieren. Abhängigkeiten zu Konzernfunktionen identifizieren.
  2. Geltung definieren: Organisatorische Einheiten, Standorte (inkl. Remote/Mobile Work), Prozesse und Informationsarten festlegen, die das ISMS abdeckt.
  3. Grenzen & Schnittstellen abbilden: Netzsegmente, Anwendungen, OT-Bereiche, Cloud-Dienste, Rechenzentren; Schnittstellen zu ausgelagerten Prozessen und Lieferanten präzisieren.
  4. Ausnahmen begründen: Was ist ausgeschlossen und warum? Begründungen nachvollziehbar formulieren (z. B. eigener Scope einer Tochter, keine Relevanz für Informationen).
  5. Abhängigkeiten beschreiben: Gemeinsame Dienste (zentrale IT, Identitätsmanagement, Facility, SOC) und deren Verantwortlichkeiten dokumentieren.
  6. Darstellung erstellen: Prägnantes Scope-Statement (1–2 Absätze), ergänzt durch eine visuelle Überblicksgrafik oder Tabelle (Standorte, Einheiten, Systeme).
  7. Abstimmung & Freigabe: Mit Verantwortlichen und Management konsolidieren; freigeben, versionieren, in ISMS-Dokumentenlenkung aufnehmen.
  8. Verzahnung mit SoA & Risiko: Prüfen, ob alle im Scope liegenden Prozesse/Assets in Risiko- und Maßnahmenlandschaft abgebildet sind.
  9. Pflege & Änderungen: Regelmäßige Überprüfung (mindestens jährlich oder anlassbezogen), Änderungen dokumentieren und kommunizieren.

Mindestumfang – Checkliste

  • Kurzbeschreibung der Organisationseinheiten und Standorte im Scope
  • Auflistung wesentlicher Geschäftsprozesse und Informationsarten
  • Beschreibung technischer Grenzen (Netze, Systeme, Cloud/OT)
  • Benennung relevanter Schnittstellen und ausgelagerter Prozesse
  • Begründete Ausnahmen (inkl. Risiken/Kompensationen)
  • Verantwortlichkeiten (Owner) und Dokumentenversionierung
  • Bezug zum Risiko- und Maßnahmenprozess
  • Hinweis auf Zertifizierungsumfang (falls geplant/bestehend)

Beispiel aus der Praxis

Ausgangslage
Ein mittelständischer SaaS-Anbieter betreibt eine Multi-Tenant-Plattform in zwei europäischen Cloud-Regionen. Entwicklung und Betrieb sind in der Zentrale, Kundensupport verteilt an zwei Standorten; Teile des Betriebs sind an einen Managed Service Provider (MSP) ausgelagert. Remote Work ist etabliert.

Entscheidung/Umsetzung
Der Scope umfasst: Unternehmenssitz, Supportstandorte, die SaaS-Plattform (Produktion, Staging), Build-/Deployment-Pipeline, Tenant-Daten und zugehörige Verwaltungsprozesse (Onboarding, Incident, Change). Ausgeschlossen: ein historisches On-Prem-System im Auslaufbetrieb (mit Begründung: keine Kundendaten, separater Rückbauplan). Schnittstellen: MSP (24/7-Betrieb), Cloud-Provider (IaaS/PaaS), Payment-Dienstleister.

Dokumentation/Nachweise

  • Scope-Statement (1 Seite), Standortmatrix, Netz-/Systemübersicht
  • Liste ausgelagerter Prozesse mit Verantwortlichkeiten und SLAs
  • Änderungslog (Cloud-Region-Erweiterung, neuer Support-Standort)
  • Verknüpfung zum SoA: Maßnahmen zu Identitätsmanagement, Logging, Lieferantenmanagement u. a. für alle Scope-Bereiche hinterlegt

Typische Audit-Fragen

  • Wie wurde die Abgrenzung zwischen internen und ausgelagerten Prozessen begründet?
  • Welche Kontrollen/Measures (Maßnahmen) stellen sicher, dass Schnittstellenrisiken adressiert sind?
  • Wie ist Remote Work im Scope berücksichtigt (Endpunkte, Zugriff, Schulung)?
  • Wie wird sichergestellt, dass Änderungen (neue Region/Standort) den Scope aktuell halten?
  • Entspricht der Zertifikatstext präzise dem dokumentierten Scope?

Häufige Fehler & Missverständnisse

  • Nur IT-Systeme statt Geschäftsprozesse beschrieben – reduziert den Fokus auf Technik; besser: Prozesse und Informationsarten als Ausgangspunkt wählen.
  • Externe Anbieter nicht im Scope adressiert – führt zu Lücken; besser: Schnittstellen und Lieferanten inklusive Steuerung klar aufnehmen.
  • Unbegründete Ausnahmen – schwächt Auditfähigkeit; besser: jede Ausnahme mit nachvollziehbarer Begründung und ggf. Kompensationsmaßnahmen dokumentieren.
  • Unklare geografische Grenzen – erschwert Umsetzung und Audit; besser: Standorte, Remote Work, Rechenzentren explizit benennen.
  • Scope-Text zu generisch – öffnet Interpretationsspielräume; besser: spezifische Bezeichnungen/Einheiten nennen, Marketingformulierungen vermeiden.
  • Scope und SoA vermischt – führt zu Doppelungen; besser: Scope definiert Geltung, SoA dokumentiert Maßnahmenauswahl.
  • Keine Pflege bei Änderungen – macht Dokumente obsolet; besser: Änderungsanlässe definieren (M&A, neue Standorte/Technologien) und Versionierung führen.
  • Zertifikats- und ISMS-Scope weichen ab – erzeugt Zweifel; besser: konsistente Formulierungen und finale Freigabe vor Audit sicherstellen.

Abgrenzung zu ähnlichen Begriffen

Abgrenzung: Anwendungsbereich vs. Verzeichnis der Maßnahmen (SoA)

Der Scope beschreibt, worauf das ISMS gilt. Das SoA dokumentiert, welche Maßnahmen für den im Scope definierten Bereich ausgewählt, umgesetzt oder begründet nicht angewendet werden. Scope = Geltungsbereich; SoA = Maßnahmenlandschaft mit Begründungen.

Abgrenzung: Anwendungsbereich vs. Kontext der Organisation

Der Kontext analysiert Umfeld, Anforderungen und Erwartungen; daraus wird der Scope abgeleitet. Der Kontext ist Input, der Scope das daraus resultierende Ergebnisdokument.

Abgrenzung: ISMS-Anwendungsbereich vs. Zertifizierungsumfang

Der Zertifizierungsumfang ist die offizielle, meist komprimierte Formulierung auf dem Zertifikat. Er basiert auf dem ISMS-Scope, kann aber sprachlich kürzer sein. Inhaltlich müssen beide konsistent sein.

Abgrenzung: Scope vs. Asset-/Systeminventar

Das Inventar listet konkrete Assets und Systeme. Der Scope benennt Grenzen und Kategorien; er verweist auf das Inventar, ersetzt es aber nicht.

Abgrenzung: Scope vs. Informationssicherheitsrichtlinie

Die Richtlinie formuliert Grundsätze und Anforderungen für Informationssicherheit. Der Scope legt fest, auf welchen Teil der Organisation diese mindestens anzuwenden sind.

FAQ

Was bedeutet Anwendungsbereich (Scope) im ISMS-Kontext?
Der Scope definiert den Geltungsbereich des ISMS. Er beschreibt organisatorische, räumliche und technische Grenzen sowie relevante Schnittstellen. Damit wird festgelegt, wofür Risiken bewertet und Maßnahmen geplant und überprüft werden.

Wie wird der Scope nachgewiesen oder dokumentiert?
Üblich ist ein kurzes, versioniertes Scope-Statement plus ergänzende Übersichten (Standorte, Prozesse, Systeme). Ausnahmen und Schnittstellen sind begründet darzustellen. Änderungen werden in einem Änderungslog dokumentiert und freigegeben.

Wie hängt der Scope mit Risiko zusammen?
Risikoanalyse und -behandlung beziehen sich ausschließlich auf Elemente im Scope. Ein zu enger Scope kann wesentliche Risiken ausklammern; ein zu weiter Scope bindet Ressourcen. Die Scope-Wahl beeinflusst daher direkt die Effektivität des Risikomanagements.

Wie breit darf der Scope sein?
So breit wie notwendig, so schlank wie möglich. Maßgeblich sind Geschäftsziel, regulatorische Anforderungen und beherrschbare Governance. Modularisierung (Teilbereiche/Standorte) ist möglich, sofern Schnittstellen klar geregelt sind.

Darf der Scope nur IT enthalten?
Nein. Informationssicherheit betrifft Geschäftsprozesse, Informationen, Menschen, Technologien und Standorte. Ein reines IT-Scope verfehlt oft wesentliche Risiken im Betrieb oder bei Dienstleistern.

Wie ändern Organisationen den Scope?
Anlassbezogen (z. B. neue Standorte, Technologien, M&A) oder turnusgemäß im Rahmen der ISMS-Reviews. Änderungen werden bewertet, abgestimmt, freigegeben und im SoA/Risiko-Setup nachgezogen.

Wie passt Cloud/Outsourcing in den Scope?
Cloud- und Outsourcing-Bereiche sind entweder im Scope enthalten (mit Lieferantensteuerung und Schnittstellen) oder explizit begründet ausgeschlossen. In jedem Fall müssen Risiken an Schnittstellen adressiert werden.

Zurück zum Glossar