93 Annex-A-Controls in ISO 27001:2022 — der kompakte Überblick

Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Was Annex A überhaupt ist

ISO 27001 verlangt im Hauptteil (Klauseln 4-10) den Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). Der Hauptteil ist generisch und nicht-präskriptiv — er sagt nicht, welche Maßnahmen Sie umsetzen müssen.

Annex A ist der präskriptive Teil: Eine Liste von 93 spezifischen Maßnahmen (Controls), aus denen jede Organisation auswählt. Die Auswahl wird im Statement of Applicability (SoA) dokumentiert — pro Control: Anwendbar? Begründung? Umgesetzt? Wirksamkeitsnachweis?

Die vier Themen-Gruppen

ISO 27001:2022 ordnet die 93 Controls in vier Gruppen:

A.5 Organisatorische Maßnahmen (37 Controls)

Die größte Gruppe. Enthält klassische Management-Themen:

• Informationssicherheits-Politik (A.5.1)
• Rollen und Verantwortlichkeiten (A.5.2)
• Trennung von Pflichten (A.5.3)
• Management-Verantwortung (A.5.4)
• Kontakt zu Behörden (A.5.5)
• Threat-Intelligence (A.5.7) — neu in 2022
• Informationssicherheit in Lieferantenbeziehungen (A.5.19)
• Informations-Klassifizierung (A.5.12-13)
• Informationsübertragung (A.5.14)
• Zugriffssteuerung (A.5.15-18)
• Informationssicherheit für Cloud-Dienste (A.5.23) — neu in 2022
• ICT-Readiness für Geschäftskontinuität (A.5.29-30)
• Compliance-Anforderungen (A.5.31-37)

A.6 Personelle Maßnahmen (8 Controls)

Kleinste Gruppe. Fokus auf Menschen:

• Screening (A.6.1)
• Beschäftigungsverträge mit Sicherheits-Klauseln (A.6.2)
• Sensibilisierung und Schulung (A.6.3)
• Disziplinarverfahren (A.6.4)
• Pflichten nach Beendigung (A.6.5)
• Vertraulichkeitsvereinbarungen (A.6.6)
• Remote-Working (A.6.7)
• Meldung von Informationssicherheits-Ereignissen (A.6.8)

A.7 Physische Maßnahmen (14 Controls)

Klassische Gebäude- und Hardware-Sicherheit:

• Physische Sicherheitsperimeter (A.7.1)
• Physischer Zutritt (A.7.2)
• Sicherung von Büros, Räumen, Einrichtungen (A.7.3)
• Schutz vor Umweltbedrohungen (A.7.5)
• Arbeit in sicheren Bereichen (A.7.6)
• Clear Desk / Clear Screen (A.7.7)
• Geräte-Standort und Schutz (A.7.8)
• Sicherheit von Off-Site-Geräten (A.7.9)
• Speicher-Medien (A.7.10)
• Versorgungs-Einrichtungen (A.7.11)
• Verkabelungs-Sicherheit (A.7.12)
• Wartung von Geräten (A.7.13)
• Sichere Entsorgung / Wiederverwendung (A.7.14)

A.8 Technologische Maßnahmen (34 Controls)

Zweitgrößte Gruppe, die technische Umsetzung:

• Endgeräte (A.8.1)
• Privilegierte Zugriffe (A.8.2)
• Restriktionen für Software-Installation (A.8.19)
• Netzwerksicherheit (A.8.20-22)
• Schutz vor Malware (A.8.7)
• Vulnerability Management (A.8.8)
• Konfigurations-Management (A.8.9) — neu in 2022
• Informations-Löschung (A.8.10) — neu in 2022
• Datenmaskierung (A.8.11) — neu in 2022
• Data-Leakage-Prevention (A.8.12) — neu in 2022
• Web-Filterung (A.8.23) — neu in 2022
• Sichere Entwicklung (A.8.25-34)
• Monitoring-Aktivitäten (A.8.16) — neu in 2022
• Logging (A.8.15)

Was komplett neu ist (11 Controls)

Die ISO/IEC 27002:2022 als Code of Practice listet die 11 neuen Controls:

1. A.5.7 Threat-Intelligence — strukturierte Sammlung und Bewertung von Bedrohungsinformationen
2. A.5.23 Informationssicherheit für Cloud-Dienste
3. A.5.30 ICT-Readiness für Geschäftskontinuität
4. A.7.4 Physisches Sicherheits-Monitoring
5. A.8.1 Endgeräte für Benutzer (Bring-Your-Own-Device-Aspekte)
6. A.8.9 Konfigurations-Management
7. A.8.10 Informations-Löschung
8. A.8.11 Datenmaskierung
9. A.8.12 Data-Leakage-Prevention
10. A.8.16 Monitoring-Aktivitäten
11. A.8.23 Web-Filterung
12. A.8.28 Sichere Codierung

(Die genaue Zählung schwankt je nach Lesart — manche Quellen sprechen von 11, andere von 12 neuen Controls.)

Wichtige Konsolidierungen

Die Reduktion von 114 auf 93 Controls kommt nicht aus Streichung, sondern aus Zusammenfassung:

• Frühere Controls zur Asset-Verwaltung (mehrere) → konsolidiert in A.5.9-A.5.11
• Frühere Controls zur Zugriffssteuerung → konsolidiert in A.5.15-A.5.18 und A.8.2-A.8.5
• Frühere Controls zur Anwendungssicherheit → in A.8.25-A.8.34 systematisiert

Inhaltlich verschwindet wenig — die Struktur wird kohärenter.

Attribute statt nur Nummerierung

Ein zweiter Strukturwandel in 2022: Jedes Control hat fünf Attribute:

• Control-Typ: präventiv, detektiv, korrigierend
• Informationssicherheits-Eigenschaft: Vertraulichkeit, Integrität, Verfügbarkeit
• Cybersecurity-Konzept: identify, protect, detect, respond, recover (NIST-Anlehnung)
• Operative Fähigkeit: Governance, Asset-Management, Information-Protection, Human-Resource-Security, Physical-Security, System-and-Network-Security, Application-Security, Secure-Configuration, Identity-and-Access-Management, Threat-and-Vulnerability-Management, Continuity, Supplier-Relationships-Security, Legal-and-Compliance, Information-Security-Event-Management, Information-Security-Assurance
• Sicherheits-Domain: Governance, Protection, Defense, Resilience

Die Attribute sind kein Pflicht-Reporting, sondern ermöglichen Filter und Reports auf Controls-Ebene — sehr nützlich für Risiko-Analysen und Audit-Vorbereitung.

Pflicht: Statement of Applicability (SoA)

ISO 27001 verlangt nach Klausel 6.1.3 lit. d, dass die Organisation ein Statement of Applicability erstellt. Inhalt pro Control:

• ist das Control anwendbar? (ja/nein)
• Begründung für Einschluss oder Ausschluss
• ist es umgesetzt? (ja/teilweise/nein)
• wie ist die Wirksamkeit belegt?

Das SoA ist das zentrale Dokument für ein ISO-27001-Audit. Es zeigt, dass die Organisation alle 93 Controls bewusst geprüft hat — auch wenn sie viele ausschließt. Beispiel: Ein reines SaaS-Unternehmen ohne eigene Server begründet den Ausschluss von "Wartung von Geräten" (A.7.13) ohne Probleme.

Praxis-Reihenfolge für KMU

Statt alphabetisch durch Annex A zu marschieren, empfiehlt sich folgende Reihenfolge:

1. Governance & Pflicht-Controls (A.5.1-A.5.5, A.6.3): Politik, Rollen, Awareness
2. Schnell-Hebel-Controls: A.5.15 Access-Control, A.8.7 Malware-Schutz, A.6.2 Beschäftigungsverträge
3. Cloud & Lieferanten (A.5.19-A.5.23): besonders wenn viel ausgelagert wird
4. Technologisches Fundament: A.8.20-A.8.22 Netzwerksicherheit, A.8.15-A.8.16 Logging und Monitoring
5. Vulnerability & Patch (A.8.8, A.8.9, A.8.32)
6. Geschäftskontinuität (A.5.29-A.5.30, A.8.13-A.8.14)
7. Physische Sicherheit (A.7) — meist schon umgesetzt, nur dokumentieren
8. Compliance (A.5.31-A.5.37): meist juristisch geprägt, gut delegierbar
9. Neue 2022-Controls in Phase 2 nachziehen

Diese Reihenfolge orientiert sich an Risiko-Reduktion und Aufwand-Nutzen — nicht an der Annex-Reihenfolge, die alphabetisch geordnet ist.

Verhältnis zum BSI-IT-Grundschutz

ISO 27001 auf Basis von IT-Grundschutz ist ein deutscher Sonderweg: Die ISO-Zertifizierung wird auf Basis der detaillierten BSI-Bausteine ausgestellt. Das ist besonders für öffentliche Auftraggeber und KRITIS-Betreiber relevant.

Wer "nur" ISO 27001 anstrebt (ohne IT-Grundschutz-Basis), nutzt die generischen Annex-A-Controls als Maßstab.

FAQ

Muss ich alle 93 Controls umsetzen?

Nein. Sie müssen alle 93 Controls bewerten und dokumentieren — aber nur die anwendbaren tatsächlich umsetzen. Ausschlüsse sind erlaubt, müssen aber im SoA mit nachvollziehbarer Begründung versehen sein. Typische Ausschlüsse: physische Wartung bei reinen Cloud-Unternehmen, Lieferketten-Controls bei Solo-Selbstständigen.

Was passiert mit alten ISO-27001:2013-Zertifikaten?

Die Übergangsfrist endete Ende Oktober 2025. Zertifikate nach der 2013er-Fassung verlieren ihre Gültigkeit. Wer noch ein altes Zertifikat hält, sollte umgehend eine Re-Zertifizierung nach der 2022er-Fassung planen.

Gibt es eine Pflicht zur Reihenfolge der Umsetzung?

Nein — ISO 27001 fordert nur ein wirksames ISMS, keine bestimmte Implementierungs-Sequenz. Es macht aber Sinn, mit Governance und Awareness anzufangen und technische Maßnahmen erst nach einer fundierten Risiko-Analyse umzusetzen. Reine Technik-Erst-Strategien führen oft zu nicht-wirksamen ISMS.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

ISO 27001 ist der zertifizierbare Standard mit Pflicht-Anforderungen an ein ISMS. ISO 27002 ist der Code of Practice mit detaillierten Umsetzungs-Empfehlungen zu den Annex-A-Controls. ISO 27002 ist nicht zertifizierbar, aber als Implementierungshilfe sehr nützlich.

Wie oft müssen die Controls überprüft werden?

ISO 27001 verlangt eine kontinuierliche Wirksamkeitsprüfung und mindestens jährliche Management-Reviews. Die meisten Organisationen führen zusätzlich interne Audits in einem rollierenden Plan durch — typischerweise so, dass jedes Control mindestens alle 1-3 Jahre einmal geprüft wird.