From Blog

December 1, 2025

Cybersecurity-Normen Von ISO 27001 bis IEC 62443_1

Cybersecurity-Normen: Von ISO 27001 bis IEC 62443

Gerade für kleinere Unternehmen ist das ein sinnvoller erster Schritt, um Bewusstsein zu schaffen und Prioritäten zu setzen. Normen sind offiziell anerkannte, durch nationale oder internationale Normungsorganisationen wie DIN oder ISO erarbeitete Regelwerke, die in einem formalen Konsensverfahren verabschiedet werden. Eine Normungsorganisation hat sich also in einem Gremium auf ein bestimmtes Regelwerk geeignet. Sie definieren allgemein anerkannte Anforderungen, Begriffe, Verfahren oder Merkmale, die zur Erfüllung bestimmter Zwecke notwendig sind.

Ob Kundendaten, Produktionssteuerung oder digitale Geschäftsgeheimnisse – wer seine Informationswerte systematisch schützt, handelt nicht nur verantwortungsvoll, sondern auch geschäftlich klug. Das ITSM umfasst im Wesentlichen die Gestaltung, die Implementierung und das Management wesentlicher Steuerungsprozesse in der IT. Das gesammelte ITIL-Wissen ist in einer Bibliothek von rund 40 Publikationen verfügbar.

Die wichtigsten Regelwerke, Rahmenwerke und Vorgehensmodelle im Überblick

Die ISO/IEC legt im Annex A (entspricht ISO/IEC 27002) darüber hinaus die Anforderungen für die Umsetzung der organisatorischen und technischen Sicherheitsmaßnahmen fest. Die festgelegten Anforderungen unterteilen sich in 14 Abschnitte (Sections), 35 Maßnahmenziele (Control Objectives) und 114 Maßnahmen (Controls). Zu den Standards mit IT-Sicherheitsaspekten zählen insbesondere ITIL, ISO/IEC 20000, COBIT und ISAE. Die BSI-Standards zur Internet-Sicherheit (ISi-Reihe) des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) bestehen aus mehreren Modulen und dienen dem Schutz vor aktuellen Gefährdungen aus dem Internet. Die BSI IT-Grundschutz-Standards enthalten Empfehlungen des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur IKT- und Informationssicherheit.

Normen und Standards im Bereich Cybersecurity dienen nicht nur der technischen Qualitätssicherung, sondern sind auch tragende Pfeiler einer wirksamen Unternehmensführung. Sie helfen dabei, regulatorische Anforderungen zu erfüllen, Risiken zu minimieren und das Vertrauen in digitale Produkte und Dienstleistungen zu stärken. Die internationale Zusammenarbeit bei der Normsetzung sowie die Harmonisierung auf EU-Ebene sorgen dafür, dass Unternehmen im globalisierten Markt bestehen können, ohne dabei die Sicherheit aus den Augen zu verlieren.

Secuvise unterstützt Sie dabei, die für Ihr Unternehmen relevanten Normen zu identifizieren, praxisgerecht zu interpretieren und in bestehende Abläufe zu integrieren. Ob IEC 62443, EN oder andere Vorgaben – unser Ziel ist es, Sicherheit und Compliance so umzusetzen, dass sie sowohl den regulatorischen Anforderungen als auch den realen betrieblichen Bedingungen gerecht werden. Normen und Standards spielen eine zentrale Rolle, wenn es darum geht, Cybersicherheit nachvollziehbar und überprüfbar zu gestalten. Gleichzeitig ist die Vielfalt an Vorgaben – von branchenspezifischen Normen bis zu allgemeinen Sicherheitsstandards – für viele Unternehmen schwer zu überblicken. Die Veröffentlichung einer Norm im OJEU signalisiert, dass sie von den EU-Institutionen anerkannt ist. Produkte, die diesen Normen entsprechen, gelten folglich als konform mit relevanten EU-Vorschriften.

  • Das Regelwerk des neuen IT-Grundschutzes wird gegenüber dem IT-Grundschutz-Kompendium geschärft, so dass es nur noch lösungsunabhängige Anforderungen an Zielobjekte beschreibt.
  • Der ITQ-Basischeck wurde vom Institut für Technologiequalität (ITQ) entwickelt und bietet einen unkomplizierteren Einstieg.
  • Gerade für kleinere Unternehmen ist das ein sinnvoller erster Schritt, um Bewusstsein zu schaffen und Prioritäten zu setzen.
  • Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), richtet er sich an Organisationen jeder Größe.
  • Zu den relevanten Standards für Telekom-Betreiber zählen insbesondere ISO/ IEC-, BS-, ITU-T-, NIST-, FIPS-, NICC-, KATAKRI- und ISF-Standards sowie CobiT, ITIL und IT-Grundschutz-Kataloge des BSI und PCI DSS.
  • Mit diesen Checklisten ermöglicht das BSI kleinen Institutionen schnell grundlegende Sicherheitsanforderungen umzusetzen, ohne ein ISMS aufbauen und betreiben zu müssen.

Der Name klingt wie ein Geheimcode, steht aber für „Compliance Informations-Sicherheits-Managementsystem in 12 Schritten“. Entwickelt und richtet sich vor allem an kleine und mittlere Kommunalverwaltungen und kleine Organisationen in den DACH-Staaten. Damit eignet sich dieses Modell aber auch gut für kleinere Unternehmen, die ein ISMS (Informationssicherheits-Managementsystem) aufbauen wollen, da sie konkrete Schritte vorgeben. Entwickelt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), richtet er sich an Organisationen jeder Größe. Er bietet umfangreiche Kataloge mit Maßnahmen, Bedrohungen und Empfehlungen – quasi das „Große Buch der IT-Sicherheit“.

Nachfolgend werden der Unterschied zwischen Normen und Standards, ihre Bedeutung für die Unternehmensführung, die wichtigsten Normungsorganisationen sowie die Rolle der Normharmonisierung in der Europäischen Union dargestellt. Zu den Standards mitIT-Sicherheitsaspekten zählen insbesondere ITIL, ISO/ IEC 20000, COBIT und ISAE. Zu den relevanten Standards für Telekom-Betreiber zählen insbesondere ISO/ IEC-, BS-, ITU-T-, NIST-, FIPS-, NICC-, KATAKRI- und ISF-Standards sowie CobiT, ITIL und IT-Grundschutz-Kataloge des BSI und PCI DSS. Die BSI-Standards zur Internet-Sicherheit (ISi-Reihe) des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) bestehen aus mehreren Modulen und dienen dem Schutz vor aktuellen Gefährdungen aus dem Internet. Die BSI IT-Grundschutz-Standards enthalten Empfehlungen des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur IKT- und Informationssicherheit.

Sie beschreibt wesentliche Qualitätskriterien, die bei der Entwicklung und im Betrieb oder aber auch bei der Beschaffung von sicheren Webapplikationen zu berücksichtigen sind.

Umfang und Verfügbarkeit

Der neue IT-Grundschutz wird vollständig prozessorientiert aufgebaut und basiert auf einem digitalen Regelwerk in Form einer JSON Datei. Jede Anforderung an die Cybersicherheit wird als Regel in einem standardisierten Format erfasst, so dass diese Regeln auch durch Computerprogramme interpretiert und ausgewertet werden können. Das digitale Regelwerk löst das IT-Grundschutz Kompendium ab, welches Anforderungen an Cybersicherheit in Textform (u.a. als PDF und als gedruckte Version) für menschliche Adressaten beschreibt. Um die Anwendbarkeit weiter zu erleichtern, werden die Absicherungsstufen Basis, Standard und erhöhter Schutzbedarf durch flexible Leistungszahlen in Verbindung mit dynamischen Schwellwerten ersetzt.

Der Begriff „Standard“ bezeichnet technische Spezifikationen, die von anerkannten Organisationen entwickelt werden und deren Anwendung in der Regel freiwillig ist. Standards beschreiben häufig spezifische Methoden, Verfahren oder Eigenschaften für Produkte und goodman casino bonus Dienstleistungen. Mittels Zertifizierung durch eine staatlich akkreditierte Zertifizierungsorganisation bietet sie einen rechtsgültigen Nachweis für die Güte der umgesetzten Sicherheitsmaßnahmen – das sogenannte ISO/IEC Zertifikat.

Neben Normen und Standards (sog. Regelwerke) gibt es noch Rahmenwerke (engl. Frameworks) und Vorgehensmodelle. Ein Rahmenwerk bietet strukturierte, methodische Vorgaben und kann als ein umfassendes, modulares System verstanden werden, das Orientierung beim Aufbau eines Managementsystems oder einer Sicherheitsarchitektur bietet. Rahmenwerke geben keine verbindlichen Einzelmaßnahmen vor, lassen aber häufig Raum für unternehmensspezifische Ausgestaltung.

Es wird festgelegt, welche Geschäftsbereiche wann geprüft werden und Termine für Interviews mit Mitarbeitenden gebucht. Gegebenenfalls werden auch Ergebnisse vorangegangener interner Audits oder Managementbewertungen gesichtet, sofern vorhanden. Normen sind ein essenzieller Bestandteil des Governance-, Risiko- und Compliance-Managements (GRC). Sie helfen Unternehmen dabei, gesetzliche Vorgaben einzuhalten, mögliche Risiken zu identifizieren und zu steuern sowie insgesamt transparente und effiziente Unternehmensstrukturen zu schaffen.

Norm: ISO/IEC 27001 – Der internationale Goldstandard

Hierbei werden mittels Risikoanalyse die spezifischen Informationssicherheitsrisiken einer Organisation erhoben und bewertet. Ausgehend von den Analyseergebnissen wird das ISMS mit zielgerichteten Maßnahmen umgesetzt und direkt an den individuellen Anforderungen der Organisation ausgerichtet. Das Regelwerk des neuen IT-Grundschutzes wird gegenüber dem IT-Grundschutz-Kompendium geschärft, so dass es nur noch lösungsunabhängige Anforderungen an Zielobjekte beschreibt.

Mindeststandards sind Regelungsdokumente, die für ausgewählte Anwendungsbereiche ein Mindestniveau an Informationssicherheit definieren. Das Ziel der Mindeststandards ist die Gewährleistung eines einheitlichen Mindestsicherheitsniveaus in der Bundesverwaltung. Aufgrund der stetig ansteigenden Bedrohungslage ist Informationssicherheit wichtiger denn je. Das BSI trägt dem Rechnung und entwickelt den IT-Grundschutz kontinuierlich fort. Der aktuelle IT-Grundschutz wird parallel zur Fortentwicklung des IT-Grundschutzes gepflegt und bleibt in der mehrjährigen Übergangszeit anwendbar. Das BSI greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die IKT- und Informationssicherheit in Behörden oder Unternehmen sind und für die sich national oder international sinnvolle und zweckmäßige Herangehensweisen etabliert haben.

In manchen Fällen kann ein Rahmenwerk jedoch auch Regelwerkscharakter erhalten – etwa wenn es konkrete Anforderungen enthält und zur Zertifizierungsgrundlage wird. Die Begriffe Rahmenwerk und Regelwerk werden daher in der Praxis nicht immer klar abgegrenzt.Vorgehensmodelle beschreiben einen strukturierten Ablaufplan mit konkreten Schritten zur Umsetzung eines Ziels. Sie sind in der Regel prozessual orientiert und oft kleinteiliger strukturiert als Rahmenwerke. Orientierung zum Aufbau eines Informationssicherheits-Managementsystems (ISMS) gibt, beschreibt ein Vorgehensmodell, wie ein solches ISMS konkret eingeführt werden kann – Schritt für Schritt. Der IT-Grundschutz hilft seit 2017 dabei, das Niveau der Informationssicherheit in einer Institution anzuheben und aufrechtzuerhalten. Mit einem ISO Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution belegen, dass die erfüllten Anforderungen zur Informationssicherheit anerkannten internationalen Standards entsprechen.

Die Norm ist eher für größere Unternehmen ausgelegt, doch auch für den Mittelstand gibt es Wege, sie Schritt für Schritt umzusetzen – mit Unterstützung durch Vorbereitungsstandards wie CISIS12 oder VdS 10000. Schritt für Schritt zu mehr Informationssicherheit – mit unserer kostenfreien Workshopreihe ISMS-Werkstatt. Wenn kritische Abweichungen (major nonconformities) festgestellt werden, wird die Zertifizierung verweigert, bis die Organisation die festgestellten Mängel behoben hat. Eine erneute Bewertung (Follow-up-Audit) erfolgt dann nach entsprechender Nachbesserung. Die fünfte Phase, die Nachverfolgung, dient der Prüfung, ob die im Auditbericht benannten Nichtkonformitäten behoben und die empfohlenen Maßnahmen umgesetzt wurden.

Die BSI-Standards zur Internet-Sicherheit stehen in den folgenden Versionen zur Verfügung und sind auf der BSI-Homepage frei zum Download verfügbar. Die IT-Grundschutz-Standards stehen in den folgenden Versionen zur Verfügung und sind auf der BSI-Webseite frei zum Download verfügbar. Wenn alle Anforderungen der Norm erfüllt sind, erfolgt die offizielle Zertifikatserteilung durch die Zertifizierungsstelle. Auch bei erfolgreicher Zertifizierung enthält der Auditbericht häufig Hinweise oder Empfehlungen zur kontinuierlichen Verbesserung. Dabei geht es stets um die Vereinheitlichung von Begrifflichkeiten, die Anwendung bewährter Methoden und den Aufbau eines strukturierten Managementsystems, das sich an internationalen oder branchenspezifischen Vorgaben orientiert.

Sie wollen wissen, wo Sie in Sachen Informationssicherheit stehen – ohne gleich einen aufwendigen ISMS-Prozess zu starten? Der ITQ-Basischeck wurde vom Institut für Technologiequalität (ITQ) entwickelt und bietet einen unkomplizierteren Einstieg. Die ITQ-Basisprüfung wird in der Regel von zertifizierten externen Dienstleistern durchgeführt. Diese Experten führen Interviews, Sichtprüfungen und technische Analysen durch, um den aktuellen Sicherheitsstand Ihres Unternehmens zu bewerten.

Leave A Comment

©2025 Insight Architecture
正确的坐姿可以让胸部正常伸展产后丰胸,加速胸部的血液及淋巴循环,让胸肌完成“日常作业”,让乳房更健美丰胸达人。能让胸部长大的最佳坐姿:上身自然挺直产后丰胸产品,腰部距椅背一手掌的距离。保持端正坐姿,不仅会让你看起来更精神,而且胸部也会变得更加挺拔哦丰胸方法