Internes Kontrollsystem IKS

Warum ISO 27001 allein nicht mehr reicht – und wie ein IKS neue Chancen eröffnet

/in

Sie haben ISO 27001. Sie haben das Zertifikat, das Audit, die Dokumentation. Und trotzdem verlieren Sie die Ausschreibung – an einen Anbieter, der genau dasselbe Zertifikat vorweisen kann.

Was hat der andere, was Sie nicht haben? Meistens: Wirksamkeitsnachweise. Konkrete, extern prüfbare Belege dafür, dass die Kontrollen nicht nur existieren, sondern tatsächlich funktionieren. Genau das leistet ein internes Kontrollsystem (IKS).

Was ist ein internes Kontrollsystem (IKS) im Kontext der Informationssicherheit?

Ein internes Kontrollsystem (IKS) ist ein dokumentiertes System aus Kontrollzielen, Kontrollaktivitäten und Wirksamkeitsprüfungen. Es geht über ISO 27001 hinaus: Während ISO 27001 ein Rahmenwerk für das Management von Informationssicherheit definiert, belegt ein IKS operativ und nachprüfbar, dass diese Maßnahmen tatsächlich funktionieren – kontinuierlich, nicht nur zum Zertifizierungszeitpunkt.

Die Kombination aus ISO 27001 und IKS wird zunehmend zur Voraussetzung in Enterprise-Ausschreibungen und bei regulierten Geschäftspartnern.

Reicht ISO 27001 allein noch aus?

Für viele Unternehmen war ISO 27001 lange genug. Das ändert sich gerade – und schneller, als viele erwarten.

Enterprise-Kunden, besonders in Finanzdienstleistungen, Gesundheitswesen und öffentlicher Verwaltung, fragen heute nicht mehr nur nach dem Zertifikat. Sie wollen wissen: Wie zuverlässig funktionieren Ihre Zugriffskontrollen in der Praxis? Wer hat wann auf welche Systeme zugegriffen – und wie wird das überwacht? Können Sie das belegen, nicht nur behaupten?

ISO 27001 gibt darauf keine vollständige Antwort. Zwar verlangt Clause 9.1 der Norm die Überwachung und Messung der Wirksamkeit von Kontrollen – dieser Nachweis bleibt in der Praxis jedoch oft intern und ist für externe Stakeholder nicht unmittelbar prüfbar. Ein IKS schließt genau diese Lücke.

Der PwC Global Digital Trust Insights Report 2024 bestätigt den Trend: Unternehmen mit ausgereifteren Cybersecurity-Maßnahmen berichten seltener von kostspieligen Datenpannen über 1 Million USD – und Vertrauen in Geschäftsbeziehungen basiert zunehmend auf nachweisbaren Kontrollen, nicht auf Zertifikaten allein.

Die drei zentralen Schwachstellen von ISO 27001

1. Fehlende externe Prüfbarkeit

ISO 27001 bescheinigt Struktur. Ein IKS bescheinigt Wirkung. Definierte Kontrollziele, dokumentierte Testverfahren und regelmäßige, extern nachvollziehbare Wirksamkeitsprüfungen machen den Unterschied – besonders wenn Auditoren oder Kunden Einblick verlangen. Das COSO Internal Control – Integrated Framework bietet hierfür einen international anerkannten Ansatz mit fünf Komponenten: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information & Kommunikation sowie Überwachung.

2. Zu wenig Tiefe für anspruchsvolle Stakeholder

Wer kritische Prozesse auslagert oder Cloud-Dienste nutzt, braucht mehr als eine Zertifikatskopie vom Dienstleister. IKS-Berichte nach SOC 2 oder ISAE 3402 liefern granulare, standardisierte Informationen: Welche Kontrollen wurden wie getestet? Was wurde festgestellt? Wie wurde nachgebessert?

3. Keine branchenspezifische Tiefe

ISO 27001 ist generisch – das ist Absicht, aber auch eine Grenze. Regulierte Branchen brauchen spezifische Nachweise: DSGVO-Konformität, Verfügbarkeitsgarantien, Anforderungen aus dem NIST Cybersecurity Framework oder dem BSI-Grundschutz. Ein IKS lässt sich auf diese Anforderungen zuschneiden, ISO 27001 allein nicht.

Was macht ein IKS konkret anders?

Stellen Sie sich zwei Anbieter in einer Ausschreibung vor. Beide haben ISO 27001. Anbieter A legt das Zertifikat vor. Anbieter B legt zusätzlich einen SOC 2 Type II-Bericht vor: 12 Monate Prüfzeitraum, 47 getestete Kontrollen, keine wesentlichen Ausnahmen. Welchem Anbieter vertraut der Einkäufer mehr?

Ein IKS dokumentiert nicht nur, welche Maßnahmen ergriffen wurden, sondern auch deren Wirksamkeit und Kontinuität. Es schafft eine prüfbare Verbindung zwischen Risikobewertung, Kontrolldesign und tatsächlicher Kontrolldurchführung.

Laut IBM Cost of Data Breach Report 2024 verkürzen Unternehmen mit internen Erkennungsmechanismen – einem Kernmerkmal eines funktionierenden IKS – die Breach-Laufzeit um 61 Tage und sparen dabei knapp 1 Million USD pro Vorfall. Unternehmen, die KI und Automatisierung umfassend in ihre Sicherheitsoperationen integrieren, sparen im Schnitt 2,2 Millionen USD pro Datenpanne gegenüber Unternehmen ohne entsprechenden Einsatz.

Welche IKS-Standards sind heute marktrelevant?

SOC 2 Type II – Standard für Cloud- und SaaS-Anbieter

SOC 2 Type II prüft die Wirksamkeit von Kontrollen über einen definierten Zeitraum (typisch 6–12 Monate) und ist für Unternehmen mit US-Kunden oder im Cloud-Umfeld praktisch unverzichtbar. Der Trust Services Criteria Framework definiert fünf Prüfbereiche: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

BSI C5 – Deutscher Cloud-Sicherheitsstandard

Der BSI Cloud Computing Compliance Criteria Catalogue (C5:2020) adressiert mit 121 Kriterien in 17 Themengebieten spezifisch die Anforderungen an Cloud-Dienste. Für Bundesbehörden ist die Einhaltung verpflichtend; für private Auftraggeber in regulierten Branchen ist ein C5-Testat zunehmend Ausschreibungsvoraussetzung.

ISAE 3402 – Fokus auf ausgelagerte Prozesse

ISAE 3402 schafft Vertrauen bei Kunden, die kritische Prozesse ausgelagert haben. Der Standard des IAASB definiert Anforderungen an Assurance-Berichte über Kontrollen bei Serviceorganisationen und wird durch Wirtschaftsprüfer testiert (in Deutschland nach PS 951).

Wie verhält sich ein IKS zu einer bestehenden ISO 27001-Zertifizierung?

Ein IKS ersetzt keine bestehende ISO 27001-Zertifizierung – es baut darauf auf. Das ISMS liefert das Fundament: Governance-Strukturen, Policies, Risikobeurteilung. Das IKS ergänzt diese Basis um operative Prüftiefe, lückenlose Nachvollziehbarkeit und kontinuierliche Überwachung.

Die ISO 27002:2022 bietet aktualisierte Kontrollmaßnahmen, die sich direkt mit IKS-Kontrollzielen verknüpfen lassen. Der IKS-Regelprozess – Risikoanalyse, Kontrolldesign, Implementierung, Wirksamkeitsprüfung, Optimierung – ist kompatibel mit dem PDCA-Zyklus der ISO 27001.

Praktische Umsetzung in drei Schritten:

  1. Bestehende ISO-27001-Kontrollen auf Prüffähigkeit analysieren (Kontrolldesign-Review)
  2. Kontrollziele und Testverfahren für externe Nachvollziehbarkeit dokumentieren
  3. Regelmäßige, unabhängige Wirksamkeitsprüfungen etablieren und berichten

Fazit

ISO 27001 bleibt wertvoll – als Fundament. Aber wer heute in anspruchsvollen Märkten bestehen will, braucht mehr als ein Fundament. Ein internes Kontrollsystem macht den Unterschied zwischen „wir sind zertifiziert“ und „wir können nachweisen, dass unsere Kontrollen funktionieren.“

Das ist kein Nice-to-have. Es ist der Nachweis, den Ihre Kunden und Partner bereits fordern – auch wenn sie ihn noch nicht immer beim Namen nennen.

Nachfolgend ein Ausschnitt aus dem Webinar „Von der ISO Zertifizierung zur prüfbaren IKS-Struktur“. Die vollständige Aufzeichnung des Webinars ist auf Anfrage über das Kontaktformular erhältlich.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

 

FAQ – ISO 27001 und Internes Kontrollsystem (IKS)

ISO 27001 ist ein Managementsystem-Standard, der Anforderungen an Aufbau und Betrieb eines ISMS definiert. Ein IKS ist ein operatives Kontrollsystem, das nachweist, dass die im ISMS definierten Maßnahmen tatsächlich wirksam ausgeführt werden – kontinuierlich und extern prüfbar.

Wenn Kunden, Auditoren oder Regulierungsbehörden Wirksamkeitsnachweise für einzelne Kontrollen verlangen – nicht nur das Zertifikat. Das ist insbesondere in Cloud-Umgebungen, bei der Auslagerung kritischer Prozesse und in regulierten Branchen der Fall.

Nein. Ein IKS wird auf das bestehende ISMS aufgesetzt, nicht anstelle davon. Eine separate Testierung (z. B. SOC 2, ISAE 3402) erfolgt zusätzlich zur ISO-Zertifizierung.

 

Das könnte Dich auch interessieren
NIS 2 RichtlinieNIS-2 Richtlinie: Was sich jetzt für KRITIS-Betreiber, Mittelstand und IT-Dienstleister ändert
IT-Sicherheitsnachweise_IT-servicesIT-Sicherheitsnachweise für IT-Services: Warum Nachweisfähigkeit heute entscheidend ist (1)
vernetztes Europa - DORA -Digital Operational Resilience ActiStock/NicoElNinoZweck der DORA Verordnung: Digitale Resilienz in Finanzunternehmen nachhaltig stärken
IKS Aufbau für IT ServicesIKS Aufbau für IT‑Services: Von der Theorie zur Prüfungsreife (2)
KritisWas ist KRITIS? Definition und Anforderungen für Unternehmen in Deutschland
ISO 27001 ZertifizierungISO 27001 Zertifizierung durch Wirtschaftsprüfer – gleichwertig zur DAkkS-Zertifizierung