kontakt

Maßnahmen

Kurzdefinition

Maßnahmen (engl. „Control“) sind zielgerichtete technische oder organisatorische Vorkehrungen, die Risiken für die Informationssicherheit reduzieren oder akzeptabel steuern. Sie werden aus der Risikobehandlung abgeleitet, dokumentiert, implementiert, betrieben und hinsichtlich Wirksamkeit regelmäßigen Bewertungen unterzogen.

Einordnung auf einen Blick

Kategorie Maßnahme / Betrieb
Zweck Reduktion, Vermeidung oder Steuerung identifizierter Informationssicherheitsrisiken
Typische Artefakte/Nachweise im ISMS Statement of Applicability (SoA); Risikobehandlungsplan; Richtlinien/Verfahrensanweisungen; Betriebs- und Konfigurationsnachweise; Schulungs- und Protokolldaten; KPI-/Wirksamkeitsberichte; Änderungs- und Freigabedokumentation
Häufige Stakeholder-Rollen ISMS-Leitung; Risikomanagement; CISO/Informationssicherheitsbeauftragte; IT/OT-Betrieb; Fachbereichsverantwortliche; Datenschutz; Einkauf/Lieferantenmanagement; HR/Schulung
Verwandte Begriffe Risikobehandlung; SoA; Sicherheitsrichtlinie; Prozesskontrolle; technische/organisatorische Maßnahme

Detaillierte Erklärung

Maßnahmen sind der operative Hebel eines ISMS. Während die Risikoanalyse bewertet, welche Bedrohungen und Schwachstellen für relevante Werte (Assets) bestehen, beantwortet die Maßnahme die Frage, was konkret getan wird, um die Risikohöhe zu senken oder zu steuern. Dazu zählen sowohl technische Elemente (z. B. Zugriffsbeschränkungen, Verschlüsselung, Härtung) als auch organisatorische Instrumente (z. B. Rollen- und Verantwortlichkeiten, Schulungen, Verfahren).

Wesentlich ist die Ableitung aus Risiken: Maßnahmen sind nicht Selbstzweck, sondern nachvollziehbare Reaktion auf ein dokumentiertes Risiko oder eine regulatorische/vertragliche Anforderung. In einem reifen ISMS sind Auswahl, Ziel und erwartete Wirkung transparent beschrieben; Abweichungen werden begründet.

Die ISO 27001 bietet mit ihrem Annex A einen strukturierten Katalog typischer Maßnahmenfelder. Dieser Katalog ist ein Referenzrahmen, kein Pflichtprogramm. Organisationen wählen Maßnahmen risikobasiert aus, ergänzen eigene Lösungen und begründen Nichtanwendungen im SoA. Die Wirksamkeit wird über geeignete Messgrößen (KPIs/KRIs) und regelmäßige Bewertungen (z. B. interne Audits, Management-Reviews) belegt.

Maßnahmen existieren selten isoliert. Häufig bilden Bündel mehrerer Maßnahmen die wirksame Antwort: Beispiel Ransomware-Risiko → Kombination aus Patch-Management, Backup-Strategie, MFA, Netzsegmentierung und Awareness. Die Verzahnung mit Prozessen (Change, Incident, Asset Management) stellt sicher, dass Maßnahmen dauerhaft korrekt konfiguriert und betrieben werden.

Schließlich ist eine Maßnahme immer lebenszyklusorientiert zu betrachten: Planung, Umsetzung, Betrieb, Überwachung, Verbesserung. Anforderungen ändern sich (Technologie, Bedrohungslage, Geschäft); Maßnahmen werden daher regelmäßig angepasst.

Relevanz für ISO 27001

Maßnahmen sind Kernbestandteil der ISMS-Planung und -Umsetzung. Die Norm fordert, dass Organisationen Risiken behandeln, geeignete Maßnahmen bestimmen, dokumentieren und ihre Anwendbarkeit im SoA festhalten. Daraus ergeben sich mehrere Berührungspunkte:

  • ISMS-Planung & Risikobehandlung: Auswahl der Maßnahmen als Ergebnis der Risikoanalyse und -bewertung. Priorisierung nach Risikoniveau und Kosten-Nutzen-Abwägung.
  • Statement of Applicability (SoA): Zentrales Verzeichnis der Maßnahmen mit Begründung für Anwendung/Nichtanwendung und Verweis auf implementierte Ausprägungen.
  • Dokumentierte Informationen: Richtlinien, Standards, Verfahren, Betriebsdokumentation und Nachweise, die die Umsetzung und den Betrieb einer Maßnahme belegen.
  • Überwachung & Messung: Festlegung von Kennzahlen zur Wirksamkeitskontrolle; Einbindung in interne Audits und Management-Review.
  • Kontinuierliche Verbesserung: Anpassung der Maßnahmen bei Änderungen von Risiken, Technologien, Vorfällen oder rechtlichen Anforderungen.

Umsetzung in der Praxis

Schritt-für-Schritt-Leitfaden (5–9 Schritte):

  1. Risikolandschaft aktualisieren: Relevante Assets, Bedrohungen, Schwachstellen und bestehende Schutzmechanismen erfassen; Risikoniveaus bestimmen.
  2. Zieldefinition je Risiko: Gewünschtes Restrisiko und Steuerungsstrategie (vermeiden, mindern, übertragen, akzeptieren) festlegen.
  3. Maßnahmenkandidaten identifizieren: Technische und organisatorische Optionen sammeln; Bezug zu Annex-A-Themenfeldern herstellen; Alternativen berücksichtigen.
  4. Bewerten & auswählen: Wirksamkeit, Umsetzbarkeit, Kosten, Abhängigkeiten, Auswirkungen auf Nutzer/Prozesse und Compliance-Anforderungen vergleichen.
  5. SoA und Risikobehandlungsplan pflegen: Entscheidung, Begründung, Verantwortliche (Maßnahmeneigner), Fristen, Abnahmekriterien dokumentieren.
  6. Implementierungsdesign erstellen: Richtlinien/Standards konkretisieren, technische Konfiguration definieren, Rollen/Prozesse festlegen, Schulungen planen.
  7. Betrieb & Übergabe: Maßnahme in den Regelbetrieb überführen; Change- und Konfigurationsmanagement einbinden; Logging/Monitoring aktivieren.
  8. Wirksamkeit messen: KPIs/KRIs definieren (z. B. MFA-Abdeckungsgrad, Patch-Latenz, Phishing-Clickrate, Wiederherstellungszeiten); Berichtswege festlegen.
  9. Überprüfen & verbessern: Ergebnisse aus Monitoring, Vorfällen, Tests und Audits auswerten; Maßnahmen anpassen; Lessons Learned dokumentieren.

Mindestumfang – Checkliste (5–8 Punkte):

  • Maßnahme ist einem Risiko oder einer Anforderung eindeutig zugeordnet.
  • Ziel, Umfang und Grenzen der Maßnahme sind beschrieben.
  • Verantwortliche Rolle (Eigner) ist benannt; Vertretung geregelt.
  • Betriebsdokumentation vorhanden (Prozess, Konfiguration, Schulung).
  • Nachweise für Betrieb und Wirksamkeitsmessung sind definiert.
  • Änderungen laufen über geregeltes Change-Management.
  • Abhängigkeiten zu anderen Maßnahmen/Prozessen sind geklärt.
  • Bewertungstermine (Audit/Review) sind geplant.

Beispiel aus der Praxis

Ausgangslage: Ein mittelständischer Cloud-Dienstleister erkennt im Rahmen der Risikoanalyse ein erhöhtes Risiko durch Ransomware und unberechtigte Zugriffe auf Administrationskonten.

Entscheidung/Umsetzung: Die Organisation definiert ein Maßnahmenbündel: MFA für alle privilegierten Konten, Härtung von Basisimages, striktes Patch-Management, Offline-Backups mit regelmäßigen Restore-Tests, E-Mail-Security-Filter sowie quartalsweise Phishing-Simulationen mit Awareness-Schulungen. Netzsegmentierung wird für Produktions- und Management-Netze eingeführt.

Dokumentation/Nachweise (im ISMS):

  • SoA-Einträge für MFA, Patch-Management, Backup/Restore, Netzsegmentierung, Awareness.
  • Risikobehandlungsplan mit Fristen, Verantwortlichen und Abnahmekriterien.
  • Richtlinien (z. B. Zugriffsrichtlinie), technische Standards (z. B. Passwort- und MFA-Standard), Betriebsverfahren (Backup-Routine, Patch-Zyklus).
  • Monitoring-Reports (Patch-Compliance, MFA-Abdeckung), Protokolle der Restore-Tests, Phishing-Reporting (Klickraten), Change-Freigaben zur Segmentierung.

Typische Audit-Fragen:

  • Welche Risiken führten zur Auswahl dieser Maßnahmen, und wie ist die Wirksamkeit belegt?
  • Wo ist Anwendung/Nichtanwendung dokumentiert, und wie wird Abweichung begründet (SoA)?
  • Wie werden die Maßnahmen betrieben und überwacht (KPI, Verantwortlichkeiten, Eskalation)?
  • Welche Nachweise zeigen, dass Konfigurationen konsistent und freigegeben sind (Change/CMDB)?
  • Wie fließen Vorfälle/Erfahrungen in die Verbesserung der Maßnahmen ein?

Häufige Fehler & Missverständnisse

  • „Annex-A-Checkliste abarbeiten“ statt risikobasiert wählen
    Problem: Ressourcen werden verstreut; Wirksamkeit unklar.
    Besser: Risiken priorisieren, Maßnahmen begründen, Nichtanwendung sauber dokumentieren.
  • Maßnahmen ohne Eigner
    Problem: Betrieb und Nachweise versanden.
    Besser: Verantwortliche Rolle benennen, Ziele/KPIs vereinbaren.
  • Nur technische, keine organisatorischen Maßnahmen
    Problem: Lücken in Prozessen und Verhalten.
    Besser: Technik mit Richtlinien, Schulungen und Prozessen kombinieren.
  • Fehlende Wirksamkeitsmessung
    Problem: Management kann Reife nicht bewerten.
    Besser: Geeignete KPIs/KRIs definieren und regelmäßig berichten.
  • Unklare Abhängigkeiten
    Problem: Änderungen brechen Sicherheitsmechanismen.
    Besser: Abhängigkeiten dokumentieren und Change-Management einbinden.
  • Einmalige Implementierung, kein Lebenszyklus
    Problem: Maßnahmen veralten, Risiken steigen.
    Besser: Regelmäßige Reviews, Tests und kontinuierliche Verbesserung.
  • Überdokumentation ohne Betrieb
    Problem: „Papier-ISMS“, Auditfestigkeit gefährdet.
    Besser: Nachweise aus echtem Betrieb (Logs, Tickets, Reports) priorisieren.

Abgrenzung zu ähnlichen Begriffen

Abgrenzung: Maßnahme vs. Richtlinie

Richtlinien definieren Absichten und Anforderungen („was gilt“). Maßnahmen setzen diese Anforderungen und Risikobehandlungen operativ um („was wird getan“). Richtlinie ohne Maßnahme bleibt wirkungslos; Maßnahme ohne Richtlinie ist schwer zu steuern.

Abgrenzung: Maßnahme vs. Prozess

Ein Prozess ist eine wiederholbare Abfolge von Aktivitäten mit Input/Output. Eine Maßnahme kann Teil eines Prozesses sein (z. B. Vier-Augen-Prinzip im Änderungsprozess) oder als eigener Prozess betrieben werden (z. B. Patch-Management).

Abgrenzung: Maßnahme vs. Sicherheitsmechanismus

Mechanismen sind konkrete technische Realisierungen (z. B. Verschlüsselungsalgorithmus). Maßnahmen sind der übergeordnete organisatorisch-technische Rahmen, der solche Mechanismen auswählt, konfiguriert und betreibt.

Abgrenzung: Maßnahme vs. Risikoakzeptanz

Risikoakzeptanz ist eine Behandlungsentscheidung, bewusst kein weiteres Reduktionsmittel einzusetzen. Eine Maßnahme zielt hingegen auf Risikoreduktion oder -steuerung ab. Beide müssen begründet und dokumentiert sein.

Abgrenzung: Maßnahme vs. Compliance-Anforderung

Compliance-Anforderungen (gesetzlich/vertraglich) sind externe Vorgaben. Maßnahmen sind interne Antworten, um diese Vorgaben und die eigenen Risikoziele zu erfüllen.

FAQ

Was bedeutet „Maßnahme (Control)“ im ISMS-Kontext?
Eine Maßnahme ist eine geplante und betriebene Vorkehrung, die Informationssicherheitsrisiken reduziert oder steuert. Sie kann technisch oder organisatorisch sein und ist Teil der Risikobehandlung, dokumentiert im SoA und mit Nachweisen belegt.

Wie wird eine Maßnahme nachgewiesen oder dokumentiert?
Der Nachweis umfasst mindestens: SoA-Eintrag mit Begründung, Risikobehandlungsplan, Richtlinien/Standards/Verfahren, Betriebs- und Konfigurationsnachweise sowie Messwerte zur Wirksamkeit (KPIs). Änderungen werden über Change-Management gesteuert.

Wie hängt eine Maßnahme mit Risiko zusammen?
Die Auswahl ergibt sich direkt aus Risikoanalyse und -bewertung. Ziel ist, das Risikoniveau auf ein akzeptables Maß zu senken. Der Zusammenhang muss im SoA/Risikobehandlungsplan nachvollziehbar beschrieben sein.

Sind alle Annex-A-Themen Pflicht?
Nein. Annex A dient als Referenzrahmen. Angewandte Maßnahmen werden begründet, nicht angewandte mit nachvollziehbarer Argumentation im SoA dokumentiert. Entscheidend ist der risikobasierte Ansatz.

Welche KPIs eignen sich zur Wirksamkeitsmessung?
Beispiele: Abdeckungsgrad von MFA, durchschnittliche Patch-Latenz, Anzahl kritischer Schwachstellen > 30 Tage, erfolgreiche Restore-Tests je Quartal, Phishing-Clickrate, MTTR bei Sicherheitsvorfällen. Auswahl abhängig von Risiko und Maßnahme.

Wer ist für Maßnahmen verantwortlich?
Ein Maßnahmeneigner auf fachlicher/technischer Ebene trägt Verantwortung für Betrieb und Nachweise; die ISMS-Leitung überwacht konsolidiert die Zielerreichung. Schnittstellen zu IT-Betrieb, HR, Einkauf und Datenschutz sind festzulegen.

Wie oft müssen Maßnahmen überprüft werden?
Regelmäßig, mindestens im Rahmen interner Audits und Management-Reviews sowie anlassbezogen (z. B. nach Vorfällen, Technologiewechseln oder geänderten Anforderungen). Frequenz hängt von Risiko und Kritikalität ab.

Zurück zum Glossar