ISO 27001:2022 Annex A – Alle 93 Controls

Was ist Annex A und warum ist sind dessen Maßnahmen wichtig? 

Die ISO 27001:2022 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Der Annex A der Norm enthält 93 Sicherheitsmaßnahmen (“Controls”), die helfen sollen, Risiken rund um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu behandeln. 

Gegenüber der alten Version von 2013 wurde die Anzahl von 114 auf 93 Controls reduziert. Viele Maßnahmen wurden zusammengefasst oder aktualisiert, 11 davon sind ganz neu hinzugekommen (z. B. Erkenntnisse über Bedrohungen, Cloud-Dienste, physische Sicherheitsüberwachung). 

Wichtig: Sie müssen nicht alle 93 Maßnahmen umsetzen. Entscheidend ist, dass Sie anhand Ihrer individuellen Risiken die passenden Controls auswählen – das nennt sich “Statement of Applicability” (SoA). 

Die vier Kategorien der ISO 27001:2022 Controls 

Die 93 Maßnahmen sind in vier Gruppen gegliedert: 

  1. Organisatorische Maßnahmen (37 Controls) 
  1. Personenbezogene Maßnahmen (8 Controls) 
  1. Physische Maßnahmen (14 Controls) 
  1. Technologische Maßnahmen (34 Controls) 

Im Folgenden geben wir Ihnen einen inhaltlich korrekten, aber vereinfachten Überblick über die Control-Gruppen und deren Inhalte – ideal, wenn Sie verstehen möchten, worauf es in der Praxis ankommt. 

1. Organisatorische Controls

Diese Controls betreffen Richtlinien, Verantwortlichkeiten, Prozesse, Lieferantenmanagement und die Behandlung von Vorfällen. 

  • Informationssicherheitspolitik – Definieren und kommunizieren Sie eine klare Sicherheitsstrategie. 
  • Rollen & Verantwortlichkeiten – Legen Sie Zuständigkeiten eindeutig fest. 
  • Projektmanagement – Berücksichtigen Sie Informationssicherheit systematisch in allen Projekten. 
  • Inventar und Klassifizierung – Wissen Sie, welche Informationen und Systeme Sie besitzen und wie kritisch sie sind. 
  • Zugriffsregeln – Regeln Sie, wer worauf Zugriff hat – sowohl technisch als auch organisatorisch. 
  • Cloud & Lieferanten – Schaffen Sie klare Sicherheitsanforderungen für externe Anbieter und Cloud-Dienste. 
  • Vorfälle und Notfälle – Planen Sie, wie Sie auf Sicherheitsvorfälle reagieren und daraus lernen. 
  • Compliance & Datenschutz – Beachten Sie rechtliche Anforderungen, schützen Sie personenbezogene Daten. 
  • Audit & Verbesserung – Überprüfen Sie regelmäßig, ob die Maßnahmen wirken. 

Neu in dieser Gruppe (2022): Erkenntnisse über Bedrohungen, Cloud-Sicherheit, Umgang mit IKT-Lieferketten. 

2. Personenbezogene Controls

Hier geht es um die Rolle des Menschen in der Informationssicherheit: 

  • Sicherheitsüberprüfung & Verpflichtung – Überprüfen Sie Personal vor der Einstellung und definieren Sie klare Regeln. 
  • Sensibilisierung & Schulung – Machen Sie Ihre Mitarbeitenden regelmäßig mit Sicherheitsrisiken vertraut. 
  • Verantwortung bei Austritt oder Rollenwechsel – Stellen Sie sicher, dass Zugänge rechtzeitig entzogen werden. 
  • Vertraulichkeit & Disziplinarmaßnahmen – Regeln Sie formale Konsequenzen bei Verstößen und sichern Sie sensible Informationen vertraglich ab. 

3. Physische Controls

Diese Controls sichern Gebäude, Räume und physische Infrastruktur: 

  • Zutrittskontrollen – Nur autorisierte Personen dürfen sensible Bereiche betreten. 
  • Schutz vor Umweltgefahren – Berücksichtigen Sie z. B. Feuer, Wasser, Stromausfälle. 
  • Sichere Entsorgung & Gerätewartung – Stellen Sie sicher, dass keine sensiblen Daten auf entsorgten Geräten verbleiben. 
  • Überwachung & Sichtschutz – Kameras, Sensoren oder Bildschirmfilter können je nach Bedarf Teil des Konzepts sein. 

Neu: Maßnahmen zur durchgehenden physischen Sicherheitsüberwachung. 

4. Technologische Controls 

Der größte Block bezieht sich auf technische Schutzmaßnahmen: 

  • Zugangskontrolle & Authentifizierung – Steuern Sie präzise, wer Zugriff auf welche Systeme hat. 
  • Malware- und Schwachstellenschutz – Ergreifen Sie Maßnahmen gegen bekannte Bedrohungen. 
  • Datensicherung & Wiederherstellung – Sorgen Sie für funktionierende Backups. 
  • Netzwerksicherheit & Segmentierung – Trennen Sie kritische Systeme sinnvoll voneinander. 
  • Logging & Monitoring – Überwachen Sie sicherheitsrelevante Aktivitäten und Anomalien. 
  • Kryptografie & sichere Entwicklung – Schützen Sie Daten mit Verschlüsselung und entwickeln Sie Software nach Security-by-Design. 

Neu: Maßnahmen zu Konfigurationsmanagement, Datenmaskierung, Webfilterung und Sicherheit im Entwicklungsprozess. 

Nicht alle Controls sind für jedes Unternehmen gleich relevant 

Je nach Unternehmensgröße, Branche und Risikobild sind bestimmte Maßnahmen sinnvoll, andere weniger. ISO 27001 schreibt vor, dass Sie Ihre Risiken analysieren und dann in der SoA die passenden Controls auswählen und begründen. Wir helfen Ihnen dabei, diese Auswahl nachvollziehbar und auditfest zu treffen. 

Jetzt kostenlose Checkliste herunterladen – Erfahren Sie, welche Maßnahmen für Sie relevant sind. 

Lassen Sie sich unterstützen 

Wir begleiten Organisationen aller Größen beim Aufbau eines ISMS nach ISO 27001 – vom Gap-Assessment bis zur Vorbereitung auf die Zertifizierung. 

Sie wollen wissen, welche Maßnahmen bei Ihnen wirklich notwendig sind? 

Interesse an einem unverbindlichen Beratungsgespräch

Kontaktieren Sie uns
Besuchen Sie unser Webinar

ISO 27001:2022 Annex A – Alle 93 Controls im Überblick (Thematisch gegliedert) 

Die folgende Übersicht fasst die 93 Controls der ISO 27001:2022 nach Themenblöcken zusammen. Zu jedem Block liefern wir praxisnahe Hinweise, um Ihnen die Umsetzung in Ihrem Unternehmen zu erleichtern. Diese thematische Strukturierung hilft Ihnen dabei, rasch zu verstehen, worauf es bei der Umsetzung ankommt – etwa für eine GAP-Analyse oder als Grundlage für das Statement of Applicability (SoA). 

3. Governance 

Diese Controls definieren, wie Informationssicherheit organisatorisch gesteuert wird – durch Richtlinien, klare Verantwortlichkeiten und den Einbezug der Geschäftsleitung. 

Norm/AnforderungKommentar
A.5.1  
Informationssicherheitsrichtlinien inkl. Review 		Es braucht eine zentrale IS-Richtlinie, die vom Management freigegeben, im Unternehmen kommuniziert und regelmäßig (z.B. jährlich) überprüft wird. Typische Nachweise sind ein dokumentiertes IS-Policy-Dokument und ein formaler Review-Prozess. 
A.5.2  
Rollen und Verantwortlichkeiten 		 Informationssicherheit darf nicht nebenbei passieren, sondern braucht klar definierte Rollen (z.B. ISMS-Owner, CISO, Asset Owner) mit dokumentierten Aufgaben. Wichtig ist, dass die Verantwortlichen ihre Rolle kennen, diese akzeptiert ist und keine Interessenskonflikte bestehen. 
A.5.3  
Aufgabentrennung (im ISMS) 		Kritische Tätigkeiten (z.B. Änderung freigeben und durchführen) sollten nicht von einer Person allein ausgeführt werden, um Missbrauch und Fehler zu vermeiden. In kleinen Unternehmen reicht oft ein dokumentiertes Vier-Augen-Prinzip. 
A.5.4  
Verantwortung der Leitung 		Die Geschäftsleitung muss Informationssicherheit sichtbar unterstützen (z.B. durch Ziele, Budget, Entscheidungen). Ohne diese Unterstützung von oberster Stelle bleibt das ISMS meist ein Papiertiger. 
A.5.5  
Kontakt zu Behörden 		Es sollten definierte Kontaktstellen zu relevanten Behörden (z.B. Datenschutzbehörde, CERT, Aufsichtsbehörden) existieren. Im Ereignisfall sparen vorbereitete Kontakte und Meldewege wertvolle Zeit. 
A.5.6  
Kontakt zu speziellen Interessensgruppen 		Mitgliedschaften in Branchenverbänden oder Security-Communities helfen, frühzeitig von neuen Bedrohungen und Best Practices zu erfahren. Dokumentieren Sie, wo Sie sich informieren (Mailinglisten, Foren, Verbände). 

4. Personalsicherheit

Hier geht es um Personalprozesse – von der Einstellung bis zum Austritt – sowie um Schulungen und Disziplinarmaßnahmen. 

Norm/AnforderungKommentar
A.6.1  
Sicherheitsüberprüfungen 		Vor allem bei kritischen Positionen, die viel Vertrauen erfordern, sollten Referenzen, Qualifikationen und ggf. Strafregisterauszüge geprüft werden – im Rahmen der gesetzlichen Vorgaben. Wichtig ist ein klarer, dokumentierter Prozess statt Ad-hoc-Entscheidungen. 
A.6.2  
Beschäftigungs- und Vertragsbedingungen		Arbeits- und Dienstverträge sollten Pflichten zur Informationssicherheit (z.B. Umgang mit Firmenlaptop, Geheimhaltung) klar regeln. Idealerweise wird auch auf einschlägige Policies verwiesen, die ein fester Bestandteil des Vertragswerks sind. 
A.6.3  
Informationssicherheitsbewusstsein, -ausbildung und -schulung		Mitarbeitende brauchen regelmäßige, zielgruppengerechte Schulungen zu Themen wie Phishing, Passwörter, Umgang mit Daten. Messbar wird das z.B. durch Teilnahmequoten, kurze Tests oder simulierte Phishing-Kampagnen. 
A.6.4  
Maßregelungsprozess		Es sollte klar sein, welche Konsequenzen wiederholte oder grobe Verstöße gegen Sicherheitsregeln haben. Ein einfacher, dokumentierter Eskalations- und Disziplinarprozess schützt auch vor Willkür. 
A.6.5  
Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung		Bei Austritt oder Rollenwechsel sind Zugriffsrechte, Zutrittskarten und Firmen-Equipment sauber zu entziehen bzw. zu übergeben. Ein standardisierter Offboarding-Check reduziert vergessene Konten oder Geräte. 
A.6.6  
Vertraulichkeits- oder Geheimhaltungsvereinbarungen		NDAs und Geheimhaltungsklauseln sollten den tatsächlichen Umgang mit vertraulichen Informationen abbilden und bei Rollenwechsel oder Austritt weitergelten, wo nötig. Wichtig: Dokumentierte Unterzeichnung und Ablage der Vereinbarungen. 
A.6.7  
Telearbeit (Rechtliche Rahmenbedingungen)		Für Remote Work braucht es klare Vorgaben zu Arbeitsplatz, Technik und Datenschutz (z.B. wer darf mitlesen, welche Netze dürfen genutzt werden). Besonders wichtig ist der Schutz personenbezogener Daten im Homeoffice. 

5. Projektmanagement

Informationssicherheit muss integraler Bestandteil jedes Projekts sein – auch in der Abwicklung von Projekten. 

Norm/AnforderungKommentar
A.5.8 
Informationssicherheit in Projekten 		In jedem Projekt sollten Sicherheitsanforderungen früh identifiziert und im Projektplan berücksichtigt werden. Nutzen Sie z.B. eine standardisierte Security-Checkliste beim Projekt-Start. 
A.8.26 
Anforderungen an die Anwendungssicherheit 		Sicherheitsanforderungen an Anwendungen (z.B. Authentifizierung, Logging, Privacy) sollten explizit definiert und in User Stories / Spezifikationen aufgenommen werden. So vermeiden Sie teure Nacharbeiten kurz vor dem Go-Live. 
A.8.29 
Sicherheitsprüfung (in Entwicklung und Abnahme) 		Vor der Produktivnahme sollten Sicherheitsfunktionen getestet werden (z.B. Code Reviews, Pen-Tests, Security-Tests). Wichtig sind dokumentierte Testergebnisse und klare Kriterien, wann ein Release “sicher genug” ist. 

Stand: März 2026 – Inhalt basiert auf ISO 27001:2022 (strukturierter Überblick, keine vollständige Wiedergabe der Normtexte). Diese Seite befindet sich im Aufbau und wird noch um die restlichen Controls erweitert.

Hinweis: Die vollständigen Norminhalte dürfen aus lizenzrechtlichen Gründen nicht öffentlich veröffentlicht werden. Der offizielle Normtext ist über Austrian Standards erhältlich.