ISO 27001: Warum Zertifikate keine Cybersicherheit garantieren
Es gibt kaum ein Zertifikat, das in der IT so häufig mit echter Cybersicherheit verwechselt wird wie die ISO 27001. Kaum hängt das Zertifikat an der Wand, verändert sich die Außendarstellung vieler Unternehmen schlagartig. Aus einem gewöhnlichen IT-Dienstleister wird plötzlich ein „Cybersecurity-Spezialist“. Auf der Website prangen stolz Zertifikate und Qualitätssiegel, auf LinkedIn ist von „höchsten Sicherheitsstandards“ die Rede und im Vertrieb entsteht schnell der Eindruck, als habe das Unternehmen alle Hacker der Welt besiegt. Dabei hat sich technisch oft erstaunlich wenig verändert.
Mehr Papier, gleiche Schwachstellen
Das Active Directory ist noch dasselbe. Die Firewall ebenfalls. Die Administratoren haben sich über Nacht nicht in Elite-Hacker verwandelt. Die Backups wurden noch immer nie testweise zurückgespielt, alte Service-Accounts existieren weiterhin und der Praktikant besitzt vermutlich immer noch lokale Administratorrechte, weil sich bisher niemand darum gekümmert hat. Neu hinzugekommen sind vor allem eines: Dokumente. Sehr viele Dokumente.
Warum ein ISMS keine Ransomware stoppt
Und genau hier beginnt die größte Verwechslung der Cybersecurity-Branche. ISO 27001 ist eine Managementnorm. Sie beschreibt, wie Informationssicherheit organisiert, dokumentiert, bewertet und kontinuierlich verbessert werden soll. Sie ist kein technischer Sicherheitsstandard und schon gar kein Gütesiegel dafür, dass ein Unternehmen Angriffe erfolgreich erkennt oder abwehrt. Das macht die Norm nicht schlecht – im Gegenteil. Ein funktionierendes Informationssicherheits-Managementsystem ist sinnvoll und in vielen Unternehmen unverzichtbar. Nur beantwortet es eine andere Frage, als viele glauben. Es beantwortet die Frage, wie ein Unternehmen Informationssicherheit organisiert. Es beantwortet nicht die Frage, wie gut es sich gegen professionelle Cyberangriffe verteidigen kann.
Wenn Marketing plötzlich Cybersicherheit spielt
Genau diese Unterscheidung wird im Marketing jedoch erstaunlich gerne verwischt. Plötzlich wird aus einem bestandenen Audit ein Sicherheitsversprechen. Aus sauber dokumentierten Prozessen wird technische Exzellenz. Und aus einer Managementnorm wird in der öffentlichen Wahrnehmung fast so etwas wie ein TÜV für Cybersicherheit. Das Problem daran ist, dass Hacker weder Auditberichte lesen noch Risikomatrizen bewerten. Sie interessieren sich nicht dafür, ob Verantwortlichkeiten definiert wurden oder ob das Management einmal im Jahr ein Security-Review durchgeführt hat. Sie interessieren sich ausschließlich für Schwachstellen. Für ungepatchte VPN-Gateways. Für vergessene Administrator-Konten. Für falsch konfigurierte Cloud-Dienste. Für API-Schlüssel, die seit Jahren unverändert im Quellcode liegen. Für Backups, die sich zwar wunderbar dokumentieren lassen, sich im Ernstfall aber nicht mehr zurückspielen lassen.
Wenn Ferrari wegen der aussergewöhnlichen Dokumentation plötzlich Weltmeister wird
Man stelle sich vor, die Formel 1 würde künftig nicht mehr nach Geschwindigkeit bewertet, sondern nach Dokumentation. Ferrari gewinnt nicht, weil das Auto schneller ist, sondern weil der Reifenwechsel besonders gut dokumentiert wurde. Der Motor darf zwar explodieren, aber immerhin existiert dafür eine Verfahrensanweisung inklusive Freigabeprozess und Änderungsprotokoll. Absurd? Genau diese Logik begegnet einem in Teilen der Cybersecurity. Bewertet wird, ob Prozesse existieren, ob Risiken dokumentiert wurden, ob Nachweise vollständig sind und ob regelmäßige Audits stattfinden. Kaum bewertet wird hingegen, ob ein Security-Team einen Angriff unter realem Zeitdruck tatsächlich beherrscht.
Um 2 Uhr nachts interessiert sich niemand für das Audit
Dabei entscheidet sich Cybersicherheit nicht im Konferenzraum, sondern nachts um zwei Uhr. Dann, wenn plötzlich die Monitore schwarz werden, sich Server verschlüsseln, Benutzer nicht mehr anmelden können und das Telefon nicht mehr stillsteht. In diesem Moment hilft keine noch so sauber formulierte Richtlinie. Kein Hacker hat jemals einen Angriff abgebrochen, weil die Passwort-Policy besonders elegant formuliert war. Kein Ransomware-Betreiber hat sich von einer vollständigen Asset-Liste beeindrucken lassen. Und keine Schadsoftware verschwindet freiwillig, weil das letzte Management-Review erfolgreich protokolliert wurde.
Auditoren kommen mit Checkliste, Hacker mit Ransomware
Die eigentliche Ironie besteht darin, dass viele Unternehmen heute mehr Zeit in die Vorbereitung des nächsten Audits investieren als in die Vorbereitung des nächsten Cyberangriffs. Für das Audit gibt es Projektpläne, Workshops, Lenkungsausschüsse, Statusberichte, Dokumentenfreigaben und Management-Reviews. Für den Ernstfall gibt es häufig nur den Satz: „Wir haben doch Backups.“ Ob diese Backups funktionieren, weiß allerdings niemand so genau. Getestet wurden sie schließlich schon lange nicht mehr. Das stand dieses Jahr nicht auf der Audit-Checkliste.
Manche verkaufen Zertifikate wie Superkräfte
Besonders bemerkenswert wird diese Entwicklung, wenn ausgerechnet IT-Sicherheitsunternehmen ihre ISO-Zertifizierung als Beleg für technische Überlegenheit vermarkten. Natürlich spricht nichts dagegen, ein gutes Informationssicherheits-Managementsystem zu betreiben. Im Gegenteil. Wer Informationssicherheit professionell anbietet, sollte auch intern strukturiert arbeiten. Problematisch wird es erst dann, wenn daraus der Eindruck entsteht, die Zertifizierung sage etwas über die tatsächliche Fähigkeit aus, moderne Angriffe abzuwehren. Das ist ungefähr so, als würde ein Spitzenchirurg seine medizinischen Fähigkeiten damit begründen, dass das Krankenhaus eine hervorragend organisierte Personalabteilung besitzt. Organisation ist wichtig, aber Organisation operiert keine Patienten.
Fragen, die weh tun
Vielleicht sollten Unternehmen deshalb künftig eine andere Frage stellen. Nicht: „Sind Sie ISO-27001-zertifiziert?“ Sondern:
- Wann haben Sie zuletzt einen echten Ransomware-Angriff simuliert?
- Wann haben Sie Ihre Backups erfolgreich zurückgespielt?
- Wie lange brauchen Sie, um einen kompromittierten Domänenadministrator zu erkennen?
- Wie schnell isolieren Sie einen infizierten Server?
- Wie oft trainieren Sie Incident Response unter realistischen Bedingungen?
Das sind Fragen, die darüber entscheiden, ob ein Unternehmen einen Angriff übersteht oder in der nächsten Pressemitteilung von einem „bedauerlichen Sicherheitsvorfall“ spricht.
Cybersicherheit beginnt dort, wo das Audit endet
ISO 27001 bleibt ein wertvolles Instrument. Sie schafft Struktur, Verantwortlichkeiten und einen systematischen Umgang mit Informationssicherheit. Doch sie ist kein Beweis für technische Exzellenz und schon gar keine Eintrittskarte in die Champions League der Cyberabwehr. Wer aus einer Managementnorm ein Sicherheitsversprechen macht, verkauft seinen Kunden eine Illusion. Denn zwischen einem erfolgreich bestandenen Audit und einem erfolgreich abgewehrten Cyberangriff liegen Welten.
Die unbequeme Wahrheit lautet deshalb: Ein ISO-27001-Zertifikat beweist, dass ein Unternehmen Informationssicherheit organisieren kann. Ob es Cybersicherheit tatsächlich beherrscht, entscheidet sich erst dann, wenn der Auditor längst wieder nach Hause gefahren ist und stattdessen ein echter Angreifer an die Tür klopft.
Abonniere jetzt unsere Cyber-News!
Erhalte wertvolle Insights, Tipps und Ratschläge zur Cybersicherheit, ganz gleich ob du Anfänger oder Fortgeschrittener bist.
