Nach ISO 27001 für Informationssicherheit zertifiziert
October 9, 2025
Read time: 6 minutes
Autor: Maria Hovila
Lesezeit: 6 Min.
Autorin: Maria Hovila
Kurze Antwort
eMabler ist nach ISO 27001 zertifiziert, dem international anerkannten Standard für Informationssicherheits-Managementsysteme, geprüft und vergeben durch DNV. Die Zertifizierung umfasst zentrale Sicherheitsmaßnahmen wie Zugriffsverwaltung, Kryptografie, Lieferantenmanagement, Praktiken der Softwareentwicklung und die Planung der Geschäftskontinuität und belegt, dass diese Maßnahmen im Tagesgeschäft aktiv umgesetzt und befolgt werden und nicht bloß dokumentiert sind. Für Kundinnen und Kunden, besonders größere Unternehmen, die im Rahmen ihres eigenen Risikomanagements zertifizierte Lieferanten verlangen, bietet die Zertifizierung eine geprüfte Gewähr für die Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Der Artikel schildert den gesamten Weg zur Zertifizierung, einschließlich Lückenanalyse, Risikobewertung, Entwicklung von Richtlinien, internen und externen Audits sowie der praktischen Erkenntnisse, die dabei gewonnen wurden.
Dieser Artikel behandelt jeden dieser Punkte im Detail.
Ich freue mich, bekannt zu geben, dass wir nun nach ISO 27001 zertifiziert sind, ein Beleg für unser Engagement für Konformität und Cybersicherheit.
Was ist ISO 27001?
ISO 27001 ist ein weltweit anerkannter Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet ein strukturiertes Vorgehen zum Schutz sensibler Unternehmensinformationen und stellt deren Vertraulichkeit, Integrität und Verfügbarkeit sicher. Die Zertifizierung nach ISO 27001 zeigt unser stetiges Engagement für den Schutz unserer Datenbestände und schafft Vertrauen bei unseren Kundinnen und Kunden in unsere Sicherheitspraktiken und die Kontinuität unserer Dienste. Beispiele für die behandelten Sicherheitsmaßnahmen betreffen Zugriffsverwaltung, Kryptografie, Lieferantenmanagement, Sicherheitsbewusstsein, Softwareentwicklung sowie Pläne zur Geschäftskontinuität und Notfallwiederherstellung.
Zudem belegt die Zertifizierung gegen den gewählten Standard, dass eMabler die geforderten Sicherheitsmaßnahmen umgesetzt hat und sie offiziell als Teil der täglichen Arbeit befolgt.
Diese Zertifizierungen werden von einer externen Zertifizierungsstelle nach Abschluss eines umfangreichen Auditprozesses durch einen unabhängigen Prüfer vergeben. Im Fall von eMabler führte DNV, eine der weltweit führenden Zertifizierungsstellen, das externe Audit durch.
Warum machen wir das?
Unsere Kundinnen und Kunden, besonders die größeren, verlangen im Rahmen ihrer Risikomanagementstrategie häufig, dass Softwarelieferanten nach ISO 27001 zertifiziert sind. Die Zertifizierung nach ISO 27001 positioniert unser Unternehmen nicht nur günstig am Markt, sondern macht es auch für ein breiteres Unternehmenspublikum attraktiver. Unsere Plattform ist für unsere Kundinnen und Kunden geschäftskritisch, und ISO 27001 hilft uns, Risiken und Chancen zu erkennen und Korrekturmaßnahmen zu planen, um die Verlässlichkeit unseres Dienstes zu verbessern. Zudem steht die Einhaltung von ISO 27001 im Einklang mit der DSGVO und anderen regulatorischen Vorgaben und sorgt für Konformität in allen Bereichen unseres Geschäftsbetriebs.
Was bedeutet das für Sie, unsere eMabler-Kundinnen und -Kunden?
✅ Höhere Verlässlichkeit: Unsere Zertifizierung nach ISO 27001 sichert ein Informationssicherheits-Managementsystem (ISMS), das Ihre Daten vor unbefugtem Zugriff, Veränderung oder Verlust schützt. Es erkennt und mindert Risiken fortlaufend und sorgt so für höchste Sicherheit.
✅ Vertrauen und Transparenz: Ihre Daten sind sicher, und Sie können sich auf unsere Einhaltung höchster Standards verlassen. Die Zusammenarbeit mit einem zertifizierten Anbieter wie eMabler gibt Ihnen die Gewissheit, dass Ihre Daten in sicheren Händen sind. Unsere Zertifizierung nach ISO 27001 belegt unser Engagement für Datensicherheit; sie ist international anerkannt und stärkt das Vertrauen Ihrer Kundinnen, Kunden und Stakeholder zusätzlich.
✅ Strategischer Wettbewerbsvorteil: Datensicherheit ist entscheidend. Mit der Wahl von eMabler zeigen Sie Ihr Engagement für hohe Standards beim Datenschutz, verschaffen sich einen Wettbewerbsvorteil und ziehen mehr Geschäftsmöglichkeiten an.
Wie wirkt sich das auf die eMabler-Mitarbeitenden aus?
Der Erfolg des ISO-27001-Projekts beruht auf dem gemeinsamen Einsatz unseres gesamten Teams. Im Zuge der Einführung des ISMS haben wir Schulungen zu Sicherheitsprotokollen, bewährten Verfahren und den persönlichen Verantwortlichkeiten im Bereich der Informationssicherheit durchgeführt.
✅ Höheres Sicherheitsbewusstsein: Mitarbeitende erhalten regelmäßige Schulungen und Aktualisierungen zu bewährten Verfahren der Informationssicherheit, die ihnen die Bedeutung des Schutzes sensibler Daten verdeutlichen. Das führt zu einer sichereren Arbeitsumgebung und verringert das Risiko von Datenschutzverletzungen.
✅ Klarere Rollen und Verantwortlichkeiten: Die Einführung von ISO 27001 bringt oft klare Leitlinien und Abläufe für Mitarbeitende mit sich, verringert Unklarheiten und stellt Verantwortlichkeit sicher. Das kann die Effizienz und Produktivität steigern.
✅ Möglichkeit zur beruflichen Entwicklung: Der Fokus auf kontinuierliche Verbesserung und die Gelegenheit zu lernen können zu persönlichem und beruflichem Wachstum führen. Mitarbeitende erhalten womöglich die Chance, neue Fähigkeiten und Zertifizierungen zu erwerben, was ihre Karriereaussichten verbessern kann.
Hier folgt eine Zusammenfassung des Wegs zur Zertifizierung nach ISO 27001 und einige der gewonnenen Erkenntnisse:
Der Weg zur Zertifizierung
Der Weg zur Zertifizierung nach ISO 27001 war zugleich herausfordernd und lohnend. Hier einige der wichtigsten Schritte, die wir unternommen haben:
Lückenanalyse: Wir begannen mit einer gründlichen Bewertung unserer bestehenden Sicherheitspraktiken anhand der Anforderungen von ISO 27001. Das half uns, Bereiche mit Verbesserungsbedarf zu erkennen.
Governance: Der CISO (Chief Information Security Officer) wurde ernannt, das InfoSec-Team aufgebaut, und allen bei eMabler wurde vermittelt, warum eMabler das Informationssicherheits-Managementsystem einführt und wie es sich auf Mitarbeitende, Kundschaft und das Unternehmen als Ganzes auswirkt.
Risikobewertung: Eine umfassende Risikobewertung wurde durchgeführt, um mögliche Bedrohungen und Schwachstellen zu erkennen, einschließlich Penetrationstests. So konnten wir unsere Sicherheitsmaßnahmen wirksam priorisieren.
Entwicklung von Richtlinien: Wir haben ein auf unsere organisatorischen Bedürfnisse zugeschnittenes Bündel an Informationssicherheitsrichtlinien und -verfahren entwickelt und umgesetzt. Diese Richtlinien bilden das Fundament unseres ISMS.
Schulung und Bewusstsein: Unsere Mitarbeitenden einzubinden war entscheidend. Wir führten Schulungen durch, um das Bewusstsein für bewährte Verfahren der Informationssicherheit und die Bedeutung der Konformität zu schärfen.
Umsetzung von Maßnahmen: Auf Grundlage unserer Risikobewertung setzten wir verschiedene technische und organisatorische Maßnahmen um, um die erkannten Risiken zu mindern. Dazu gehörten die Stärkung unserer Netzwerksicherheit, der Zugriffskontrollen und der Verfahren zur Reaktion auf Vorfälle.
Interne Audits: Vor dem externen Audit führten wir interne Audits durch, um sicherzustellen, dass unser ISMS wie vorgesehen funktioniert, und um etwaigen weiteren Verbesserungsbedarf zu erkennen.
Externe Audits: Wir beauftragten eine akkreditierte Zertifizierungsstelle mit dem externen Audit. Ihre gründliche Bewertung bestätigte, dass unser ISMS die Anforderungen von ISO 27001 erfüllt.
Zertifizierung: Es dauerte etwa einen Monat nach dem externen Audit, bis wir das offizielle Zertifikat erhielten.
Gewonnene Erkenntnisse
Engagement der Stakeholder
Bevor Sie eine Zertifizierung anstreben, besprechen Sie die Ziele Ihres Unternehmens mit der obersten Leitung, den Verantwortlichen aus den Fachbereichen, dem technischen Personal und den Mitarbeitenden. Ihr Engagement ist entscheidend für den Aufwand, die Zeit und das Geld, die eine Zertifizierung erfordert. Sobald Sie deren Unterstützung haben, können Sie zuversichtlich vorangehen. Bei eMabler waren beide Gründer Teil des InfoSec-Teams.
Management und Führung
Die Einführung des ISMS hat uns durch einen großen Wandel in der Organisation geführt, und das erfordert die Verbindung der Stärken von Management und Führung.
Wir brauchen sowohl die fachlichen Fähigkeiten, um Projekte zu steuern, einen Plan zu erstellen, Verantwortliche zu benennen und Ergebnisse zu überwachen, als auch die menschlichen Fähigkeiten, um eine Vision zu vermitteln, zum Handeln zu bewegen und sich in Bedenken hineinzuversetzen.
Den Geltungsbereich festlegen
Beginnen Sie schon bei der Einbindung der Stakeholder damit, den Geltungsbereich Ihrer Zertifizierung festzulegen. ISO 27001 erlaubt es, die ganze Organisation oder Teile davon zu zertifizieren. Ein breiterer Geltungsbereich bedeutet mehr Arbeit, beginnen Sie daher dort, wo das Sicherheitsmanagement den größten Verbesserungsbedarf hat, etwa bei Prozessen, die ein Produkt, einen Dienst oder eine Geschäftseinheit stützen. Sie können den Geltungsbereich bei Bedarf später erweitern.
Rechnen Sie mit Herausforderungen:
Höherer Arbeitsaufwand: Anfangs kann es eine Lernkurve geben, während sich Mitarbeitende an neue Verfahren und Sicherheitsmaßnahmen gewöhnen und zur Umsetzung des ISMS beitragen.
Strengere Vorgaben: Mitarbeitende müssen womöglich strengere Vorgaben einhalten, etwa bei Passwortrichtlinien und Zugriffskontrollen, was als Belastung empfunden werden kann.
Mögliche stärkere Kontrolle: Mitarbeitende fühlen sich womöglich stärker beobachtet, besonders während Audits und Bewertungen. Wenn Mitarbeitende nicht informiert sind oder etwa nicht wissen, warum Schwachstellenscans nötig sind, warum firmeneigene Geräte ein Geräteverwaltungssystem haben müssen oder warum ihre Laptops überwacht werden, könnten sie meinen, die IT-Abteilung könne ihre privaten Nachrichten oder Fotos einsehen, was natürlich nicht der Fall ist.
Beginnen Sie sofort mit der Dokumentation!
Ein erheblicher Teil des Standards ISO 27001 dreht sich um Dokumentation. Sie müssen Ihre Anforderungen, Prozesse und Richtlinien an das Sicherheitsmanagement festhalten und über ausreichende Dokumentation und Nachweise verfügen, die belegen, dass Sie diese Anforderungen einhalten. Daher ist es entscheidend, von Beginn Ihres Zertifizierungswegs an jede Besprechung, Entscheidung, Lückenanalyse und jedes erkannte Risiko zu dokumentieren. Diese Dokumentation belegt, dass Sie beständig auf die Zertifizierung hingearbeitet haben, und erleichtert es zudem, Ihre Verbesserungen nachzuvollziehen. Der Prüfer wird das mit Sicherheit zur Kenntnis nehmen.
Wählen Sie die passenden Maßnahmen für Ihren Bedarf:
Der Standard ISO 27001 hat zwei Teile: die Kapitel und die Maßnahmen aus Anhang A. Sie können beide umsetzen oder nur einige Maßnahmen aus Anhang A oder eine andere Auswahl an Maßnahmen. Diese Flexibilität erlaubt es Ihnen, die für Ihren Betrieb relevanten Maßnahmen zu wählen. Dennoch müssen Sie Ihre Entscheidungen und Ausschlüsse begründen. Es ist entscheidend, den Geltungsbereich Ihrer Zertifizierung und den organisatorischen Kontext klar zu definieren.
Es gibt immer Raum für Verbesserung:
Bedenken Sie bei der Planung Ihres Zertifizierungswegs, dass Perfektion nicht gefordert ist. Konzentrieren Sie sich stattdessen auf kontinuierliche und umfassende Verbesserung unter Berücksichtigung der relevanten Risiken und Bedrohungen. Sicherheitsmaßnahmen sollten definiert und in Gebrauch sein, aber nicht perfekt. Steuern Sie Ihre Sicherheitsprozesse aktiv, einschließlich laufender Verbesserung und Behebung von Mängeln. Lücken und Risiken zu erkennen und anzugehen hilft Ihnen, die Zertifizierung zu erreichen.
Es ist in Ordnung, nicht alles zu wissen:
Wenn Sie merken, dass die Zeit knapp wird oder Ihrer Organisation Kompetenzen fehlen und keine Zeit bleibt, sich selbst einzuarbeiten, zögern Sie nicht, um Hilfe zu bitten! Wir hatten eine hervorragende Zusammenarbeit mit der Public Cloud Group. Ihre Fachkenntnis machte diesen Weg nicht nur reibungslos, sondern auch lohnend.
Ausblick und Dank
Die Zertifizierung nach ISO 27001 ist nicht das Ende unseres Wegs, sondern erst der Anfang. Wir sind der kontinuierlichen Verbesserung verpflichtet und werden unser ISMS regelmäßig überprüfen und aktualisieren, um uns an die sich wandelnde Bedrohungslage anzupassen. Unser Ziel ist es, eine Kultur des Sicherheitsbewusstseins und der Widerstandsfähigkeit in der gesamten Organisation zu fördern.
Abschließend möchte ich mich bei allen bedanken, die an diesem Projekt beteiligt waren. Ihr harter Einsatz und Ihr Engagement haben diesen Erfolg möglich gemacht. Gemeinsam schützen wir nicht nur unsere Informationen, sondern bauen Vertrauen bei unseren Kundinnen, Kunden und Stakeholdern auf.
Danke, dass Sie Teil dieses Wegs mit uns sind!