Scope nach ISO/IEC 27001 richtig definieren

Warum der Scope für ein ISMS so wichtig ist

Der Scope gehört zu den wichtigsten Grundlagen eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001. Gleichzeitig zählt die Scope-Definition zu den Bereichen, in denen Unternehmen besonders häufig Fehler machen.

Ein unklar definierter Scope führt oft zu:

  • unnötig hohen Projektaufwänden
  • widersprüchlichen Sicherheitsanforderungen
  • Problemen im Audit
  • unklaren Verantwortlichkeiten
  • Sicherheitslücken
  • falschen Erwartungen bei Kunden oder Partnern

Die ISO 27001 verlangt deshalb eine nachvollziehbare und klar dokumentierte Abgrenzung des Geltungsbereichs.

Dieser Artikel erklärt:

  • was der Scope nach ISO 27001 bedeutet
  • warum die Scope-Definition so wichtig ist
  • welche Bereiche berücksichtigt werden müssen
  • welche typischen Fehler Unternehmen vermeiden sollten
  • und wie ein sinnvoller Scope in der Praxis aufgebaut wird

 

Was bedeutet „Scope“ in der ISO 27001?

Der Scope beschreibt den Geltungsbereich des Informationssicherheits-Managementsystems.

Er definiert:

  • welche Unternehmensbereiche betroffen sind
  • welche Standorte eingeschlossen werden
  • welche Systeme und Anwendungen betrachtet werden
  • welche Prozesse geschützt werden sollen
  • welche Informationen relevant sind
  • welche Dienstleister oder Cloud-Anbieter berücksichtigt werden

Der Scope bildet damit die organisatorische und technische Grenze des ISMS.

Die ISO 27001 verlangt, dass Unternehmen den Scope nachvollziehbar dokumentieren.

 

Warum ein sauber definierter Scope entscheidend ist

Die Scope-Definition beeinflusst nahezu alle weiteren Schritte der ISO-27001-Umsetzung.

Dazu gehören unter anderem:

  • Risikoanalyse
  • Auswahl der Sicherheitsmaßnahmen
  • Auditierung
  • Lieferantenbewertung
  • BCM und Notfallplanung
  • Compliance-Anforderungen
  • Zertifizierung

Ein falsch gewählter Scope kann dazu führen, dass:

  • kritische Prozesse nicht berücksichtigt werden
  • Sicherheitslücken entstehen
  • Audits scheitern
  • der Aufwand unnötig groß wird
  • Kundenanforderungen nicht erfüllt werden

 

Welche Bereiche gehören typischerweise in den Scope?

Die ISO 27001 macht keine festen Vorgaben, welche Bereiche zwingend enthalten sein müssen.

Der Scope muss jedoch logisch, nachvollziehbar und risikobasiert gewählt werden.

Typischerweise umfasst der Scope:

Standorte

Beispiele:

  • Hauptstandort
  • Niederlassungen
  • Rechenzentren
  • Produktionsstandorte
  • Homeoffice-Strukturen

 

Geschäftsprozesse

Beispiele:

  • Kundenmanagement
  • Entwicklung
  • Produktion
  • Buchhaltung
  • Support
  • Cloud-Services

 

Informationswerte

Dazu gehören beispielsweise:

  • Kundendaten
  • Entwicklungsdaten
  • Finanzinformationen
  • personenbezogene Daten
  • Verträge
  • Produktionsdaten

 

IT-Systeme und Anwendungen

Beispiele:

  • Microsoft 365
  • ERP-Systeme
  • CRM-Systeme
  • Cloud-Infrastrukturen
  • Netzwerke
  • Endgeräte
  • Produktionssysteme

Externe Dienstleister

Besonders wichtig bei:

  • Cloud-Providern
  • Managed Service Providern
  • externem Hosting
  • SaaS-Anbietern
  • IT-Dienstleistern

Lieferanten und externe Services dürfen im Scope nicht ignoriert werden.

 

Interne und externe Anforderungen berücksichtigen

Die ISO 27001:2022 fordert die Betrachtung interner und externer Einflussfaktoren.

Dazu gehören unter anderem:

Externe Anforderungen

  • gesetzliche Vorgaben
  • DSGVO
  • NIS-2
  • KRITIS
  • Kundenanforderungen
  • TISAX
  • vertragliche Verpflichtungen
  • Branchenstandards

 

Interne Anforderungen

  • Unternehmensstrategie
  • organisatorische Strukturen
  • Sicherheitsziele
  • kritische Geschäftsprozesse
  • vorhandene IT-Landschaft
  • personelle Ressourcen

Der Scope muss zu diesen Rahmenbedingungen passen.

 

Typische Scope-Strategien in der Praxis

Unternehmen wählen je nach Zielsetzung unterschiedliche Scope-Modelle.

 

Vollständiger Unternehmensscope

Das gesamte Unternehmen wird in das ISMS aufgenommen.

Vorteile:

  • ganzheitlicher Sicherheitsansatz
  • keine komplizierten Abgrenzungen
  • hohe Transparenz

Nachteile:

  • höherer Aufwand
  • komplexere Umsetzung
  • längere Projektlaufzeit

 

Teilscope / begrenzter Scope

Nur bestimmte Bereiche werden zertifiziert.

Beispiele:

  • einzelne Standorte
  • bestimmte Geschäftsbereiche
  • Cloud-Services
  • Entwicklungsabteilungen
  •  Managed Services

Vorteile:

  • schneller umsetzbar
  • geringerer Aufwand
  • fokussierter Ansatz

Nachteile:

  • Schnittstellen müssen sauber definiert werden
  • erhöhte Audit-Komplexität
  • Gefahr unklarer Verantwortlichkeiten

 

Häufige Fehler bei der Scope-Definition

Zu enger Scope

Manche Unternehmen versuchen, den Scope möglichst klein zu halten.

Problem:

Kritische Abhängigkeiten werden häufig vergessen.

Beispiele:

  • ausgelagerte Cloud-Systeme
  • zentrale Netzwerke
  • externe Dienstleister
  • gemeinsam genutzte Systeme

Das führt oft zu Problemen im Audit.

 

Unrealistisch großer Scope

Ein zu großer Scope kann Projekte unnötig komplex machen.

Besonders problematisch:

  • fehlende Ressourcen
  • unklare Zuständigkeiten
  • mangelnde Reife der Prozesse

 

Fehlende Schnittstellenbetrachtung

Viele Unternehmen unterschätzen:

  • Datenflüsse
  • gemeinsame Systeme
  • externe Zugriffe
  • Lieferkettenabhängigkeiten

Gerade bei Cloud- und Hybrid-Umgebungen ist dies kritisch.

 

Scope nur technisch betrachten

Die ISO 27001 betrachtet nicht nur IT-Systeme.

Auch organisatorische und personelle Aspekte gehören dazu.

Beispiele:

  • Verantwortlichkeiten
  • Prozesse
  • Berechtigungen
  • Awareness
  • Lieferantensteuerung

 

Scope und Risikoanalyse hängen direkt zusammen

Der Scope bestimmt:

  • welche Risiken bewertet werden
  • welche Assets betrachtet werden
  • welche Sicherheitsmaßnahmen notwendig sind
  • welche Controls umgesetzt werden müssen

Ein unvollständiger Scope führt daher häufig zu einer fehlerhaften Risikoanalyse.

 

Scope und Zertifizierung

Der Scope wird später Bestandteil der Zertifizierung.

Er erscheint typischerweise:

  • im Zertifikat
  • in Auditberichten
  • in der offiziellen Scope-Beschreibung

Kunden und Partner können dadurch nachvollziehen:

  • welche Bereiche tatsächlich zertifiziert sind
  • welche Leistungen durch das ISMS abgedeckt werden

Eine missverständliche Scope-Formulierung kann zu falschen Erwartungen führen.

 

Welche Dokumente typischerweise zum Scope gehören

Im Rahmen der ISO 27001 entstehen häufig folgende Dokumente:

  • Scope-Definition
  • Kontextanalyse
  • Organigramme
  • Systemübersichten
  • Prozesslandschaften
  • Asset-Listen
  • Netzwerktopologien
  • Lieferantenübersichten

Diese Dokumente helfen dabei, den Scope nachvollziehbar zu beschreiben.

 

Scope-Gap-Analyse

Vor der eigentlichen Umsetzung wird häufig eine Scope-Gap-Analyse durchgeführt.

Dabei wird geprüft:

  • welche Anforderungen bereits erfüllt werden
  • welche Prozesse fehlen
  • welche Sicherheitsmaßnahmen vorhanden sind
  • welche Dokumentation fehlt
  • welche Risiken aktuell bestehen

Die Gap-Analyse dient als Grundlage für die Projektplanung.

 

Besondere Herausforderungen bei Cloud und Hybrid-IT

Moderne IT-Landschaften machen die Scope-Definition komplexer.

Besonders relevant sind heute:

  • Microsoft 365
  • Azure
  • AWS
  • hybride Infrastrukturen
  • externe Rechenzentren
  • SaaS-Lösungen
  • Remote Work
  • Homeoffice

Unternehmen müssen dabei klären:

  • welche Verantwortlichkeiten intern liegen
  • welche Sicherheitsmaßnahmen externe Anbieter übernehmen
  • wie Schnittstellen abgesichert werden
  • welche Risiken verbleiben

Gerade hier entstehen häufig Auditfeststellungen.

 

Praktische Empfehlungen für Unternehmen

Ein sinnvoller Scope sollte:

  • klar formuliert sein
  • nachvollziehbar dokumentiert werden
  • reale Geschäftsprozesse abbilden
  • technische und organisatorische Aspekte berücksichtigen
  • externe Abhängigkeiten einbeziehen
  • langfristig betreibbar sein

Wichtig ist außerdem:

Der Scope sollte nicht primär nach „minimalem Aufwand“, sondern nach tatsächlichen Geschäftsrisiken definiert werden.

 

Resümee

Die Scope-Definition ist eine zentrale Grundlage eines ISMS nach ISO/IEC 27001. Sie schafft Klarheit über Verantwortlichkeiten, Risiken, Prozesse, Systeme und externe Abhängigkeiten. Gleichzeitig bildet sie die Basis für Risikoanalyse, Audit und Zertifizierung. Ein sauber definierter Scope ist damit eine wichtige strategische Entscheidung für ein wirksames und nachhaltiges Informationssicherheitsmanagement.

 

Unser Angebot für Sie:

  • Gap-Analyse und Bewertung Ihres ISMS nach ISO 27001
  • Aufbau oder Anpassung von Risiko- und Sicherheitskonzepten
  • Unterstützung bei Incidents, Lieferanten und Datenschutz (DSGVO)
  • Vorbereitung auf ISO 27001 Audits und Nachweise
  • Schulungen für Management und technische Teams

 

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu ISO 27001, IT-Sicherheit und Datenschutz.

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

Quellen und Links:

Sichere TISAX-Implementierung mit tec4net
https://www.tec4net.com/web/tisax-informationssicherheit-in-der-automobilindustrie/

Offizielle TISAX-Seite der ENX Association
https://enx.com/en-US/tisax/

ISO/IEC 27001:2022 – Grundlagen und Normenübersicht
https://www.iso.org/standard/27001

Fragen und Antworten zu TISAX
https://www.tec4net.com/web/category/wissen-tisax/

Risikomanagement und Business Continuity nach ISO 22301
https://www.iso.org/standard/50038.html

Datenschutz-Grundverordnung (DSGVO) – offizielle Informationen
https://eur-lex.europa.eu/eli/reg/2016/679/oj

Umsetzung und Beratung ISO 27001, TISAX, KRITIS und NIS-2
https://compliance-expert.org/

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.

 

www.tec4net.comwww.it-news-blog.comwww.it-sachverstand.infowww.datenschutz-muenchen.comwww.it-sicherheit-muenchen.com