CompliantDesk

ISO 27001 nach Branche

IT-Dienstleister & Systemhäuser

ISO 27001Branchenleitfaden

Für IT-Dienstleister und Systemhäuser ist ISO 27001 längst vom Wettbewerbsvorteil zur Marktvoraussetzung geworden. Wer fremde Systeme betreut, muss die eigene Informationssicherheit nachweisbar im Griff haben.

Warum ISO 27001 für IT-Dienstleister zählt

Systemhäuser, Managed Service Provider und IT-Dienstleister verarbeiten und administrieren die Daten und Infrastrukturen ihrer Kunden. Damit sind sie ein bevorzugtes Angriffsziel und zugleich Teil der Lieferkette ihrer Auftraggeber. Immer mehr Kunden verlangen ein ISO-27001-Zertifikat als Voraussetzung für die Zusammenarbeit, und über NIS2 geben regulierte Auftraggeber ihre Sicherheitsanforderungen vertraglich weiter.

Typische Schwachstellen der Branche

Weitreichende Administrationsrechte in vielen Kundennetzen (Privileged Access)
Fernwartungs- und RMM-Tools als zentraler Angriffsvektor
Unzureichende Mandantentrennung zwischen Kundenumgebungen
Fehlende lückenlose Protokollierung administrativer Zugriffe
Schwache Notfall- und Wiederanlaufplanung trotz hoher Kundenabhängigkeit

Besonders relevante Annex-A-Controls

Diese Maßnahmen aus Anhang A der ISO/IEC 27001:2022 verdienen in dieser Branche besondere Aufmerksamkeit.

A.5.15Zugangssteuerung

Administrative Zugriffe auf Kundensysteme müssen rollenbasiert vergeben und regelmäßig überprüft werden.

A.8.2Privilegierte Zugangsrechte

Hochprivilegierte Konten der Techniker sind das Hauptrisiko und brauchen besondere Kontrollen.

A.8.16Überwachungsaktivitäten

Administrative Zugriffe und Anomalien in Kundenumgebungen müssen erkannt und protokolliert werden.

A.5.30IKT-Bereitschaft für Business Continuity

Kunden erwarten definierte Wiederanlaufzeiten, wenn ein Dienst ausfällt.

A.5.21Steuerung der Informationssicherheit in der IKT-Lieferkette

Eingesetzte Subdienstleister und Tools müssen selbst abgesichert sein.

Alle 93 Annex-A-Controls im Katalog

NIS2-Überschneidung

IT-Dienstleister sind doppelt betroffen: Die Verwaltung von IKT-Diensten ist ein eigener NIS2-Sektor (Anhang I), und zugleich werden Systemhäuser über die Lieferketten ihrer NIS2-pflichtigen Kunden vertraglich in die Pflicht genommen. Ein ISO-27001-konformes ISMS deckt den Großteil der NIS2-Risikomanagementmaßnahmen direkt mit ab.

NIS2-Betroffenheit dieser Branche prüfen

So läuft die Umsetzung mit CompliantDesk

  • Geltungsbereich und Mandantenstruktur im ISMS-Scope sauber abgrenzen
  • Administrative Zugriffe und privilegierte Konten als Kontrollen in SoA und Kontroll-Register führen
  • Kundenverträge und Subdienstleister im Lieferanten-Modul mit Sicherheitsbewertung erfassen
  • Awareness-Kampagnen für Technikerteams ausrollen und Nachweise dokumentieren
  • Wiederanlaufpläne und Tests im BCM-Modul hinterlegen

Häufig gestellte Fragen

Brauchen Systemhäuser zwingend ISO 27001?

Eine gesetzliche Pflicht besteht nicht, aber faktisch verlangen immer mehr Kunden ein Zertifikat als Vergabevoraussetzung. Über NIS2 geben regulierte Auftraggeber ihre Anforderungen zusätzlich vertraglich weiter.

Wie lange dauert die Zertifizierung für einen MSP?

Mit strukturiertem Vorgehen sind 6 bis 12 Monate realistisch. Der Aufwand hängt vom Reifegrad der bestehenden Prozesse und vom gewählten Geltungsbereich ab.

ISO 27001 für IT-Dienstleister strukturiert angehen

CompliantDesk führt Sie vom Gap-Assessment über die Maßnahmen bis zur Statement of Applicability - mit einem gemeinsamen Kernmodell für ISO 27001, NIS2 und DSGVO.

Demo buchen ISO-27001-Katalog