ISO 27001 & DSGVO für Managed Service Provider: Verwaltung von Mandantendaten und Kundenvertrauen

Von „Vertrau mir“ zu „Beweis es“: Realitätscheck der Risiken bei Mehrfamilienhäusern

In mandantenfähigen MSP-Umgebungen werden die personenbezogenen Daten vieler Kunden in wenigen gemeinsam genutzten Tools gespeichert. Ein einziger Fehler kann daher viele Mandanten gleichzeitig betreffen. Sie wechseln ständig zwischen den Mandanten, nutzen gemeinsam genutzte Konsolen und speichern sensible Informationen häufig in Tickets, Backups und Protokollen. Diese Informationen sind allgemeiner Natur und stellen keine Rechtsberatung dar. Sie helfen Ihnen jedoch, Ihre Risiken zu erkennen und zu verstehen, wie ISO 27001 und DSGVO gemeinsam dazu beitragen können, diese zu minimieren.

Wahre Sicherheit erlangt man durch ruhige Vorbereitung, nicht durch Versprechen in Krisenzeiten.

Wenn Sie als Gründer, Betriebsleiter oder Initiator eines Compliance-Projekts Ihr erstes ISO-27001-Projekt vorantreiben, müssen Sie sich nun dieser Realität stellen. Erfahrene CISOs, Datenschutzbeauftragte und -experten sehen sich in diesem Kontext von ihrem Vorstand und ihren Kunden beurteilt.

Die unbequeme Wahrheit: Ihr Stack ist de facto eine mandantenfähige Datenplattform.

Ihre Systemarchitektur verhält sich bereits wie eine mandantenfähige Datenplattform, unabhängig davon, ob Sie sie so bezeichnen oder nicht. Tools für Fernüberwachung und -verwaltung, PSA-Plattformen, Cloud-Konsolen, Backup-Systeme und Sicherheitstools bedienen viele Kunden gleichzeitig, sodass sich Designfehler standardmäßig ausweiten. Techniker wechseln den ganzen Tag zwischen den Mandanten, Tickets enthalten Benutzernamen und E-Mail-Adressen, und zentrale Protokollierungs- oder Backup-Systeme enthalten oft Daten von jeder Organisation, die Sie betreuen.

Genau dieses Szenario haben DSGVO und ISO 27001 im Blick, wenn sie von „Sicherheit der Datenverarbeitung“ und „geeigneten technischen und organisatorischen Maßnahmen“ sprechen. Die Zuordnung der Kontrollen aus ISO 27001 Anhang A zu den Anforderungen der DSGVO, beispielsweise durch veröffentlichte ISO 27001-DSGVO-Zuordnungen, zeigt, dass viele Organisationen die Kontrollmechanismen des Standards nutzen, um diese Verpflichtungen zur „Sicherheit der Datenverarbeitung“ strukturiert umzusetzen. Eine falsch definierte globale Administratorrolle, eine fehlerhaft konfigurierte API-Integration oder eine vergessene Legacy-Gruppe können daher aus einem einzigen Versehen einen mandantenübergreifenden Vorfall machen, der Dutzende von Kunden gleichzeitig betrifft. Für Ihren CISO und Ihr internes Revisionsteam ist die Anerkennung dieser Realität gemeinsamer Plattformen der erste Schritt zum Aufbau eines glaubwürdigen ISMS.

Warum „unsere Kunden sind die Controller“ nicht ausreicht

Die Aussage „Der Kunde ist der Verantwortliche“ entbindet Sie nicht von Ihren Pflichten bei der Verarbeitung seiner Daten. Der Kunde entscheidet in der Regel über den Zweck der Verarbeitung personenbezogener Daten und ist daher rechtlich der Verantwortliche. Sobald Sie jedoch Systeme betreiben oder personenbezogene Daten in seinem Auftrag verarbeiten, werden Sie zum Auftragsverarbeiter mit direkten Pflichten gemäß der DSGVO. Die Verordnung legt die Pflichten von Auftragsverarbeitern in den Artikeln 28 bis 32 ausdrücklich fest. Somit sind Auftragsverarbeiter direkt für die Art und Weise verantwortlich, wie sie personenbezogene Daten verarbeiten, und nicht nur die Verantwortlichen, die sie beauftragen. Dies geht aus dem offiziellen Text der DSGVO hervor.

Zu diesen Pflichten gehören die Implementierung von Sicherheitsmaßnahmen, die Verwaltung von Unterauftragnehmern, die Wahrung der Rechte betroffener Personen und die rechtzeitige Meldung von Datenschutzverletzungen. Diese Themen durchziehen die gesamten Bestimmungen der DSGVO für Auftragsverarbeiter, von detaillierten Vertragsanforderungen bis hin zu den Regeln zur „Sicherheit der Verarbeitung“ und zur Meldung von Datenschutzverletzungen in den Artikeln 28–33, und sind daher nicht optional.

Diese Verantwortlichkeiten bestehen auch dann, wenn Verträge unklar sind oder ein Kunde nie eine Sicherheitsfrage stellt. Die Abschnitte 4–10 der ISO 27001:2022 helfen Ihnen, diese Verantwortlichkeiten sichtbar zu machen, indem Sie Kunden, Aufsichtsbehörden und Ihre eigenen Mitarbeiter als „betroffene Parteien“ behandeln, deren Bedürfnisse erfassen und diese Bedürfnisse in Ihre Risikobewertung und die Auswahl von Kontrollmaßnahmen einbeziehen. Diese Abschnitte erfordern, dass Sie den organisatorischen Kontext verstehen, betroffene Parteien identifizieren und Risiko- und Kontrollziele definieren. Dies ist der ideale Ansatzpunkt, um die DSGVO-bedingten Erwartungen von Kunden, Aufsichtsbehörden und Mitarbeitern, wie sie in der Norm ISO 27001:2022 abgebildet sind, offenzulegen. Wenn Sie CISO oder Sicherheitsbeauftragter sind, können Sie hier den Stakeholdern zeigen, dass ISO 27001 nicht nur ein Gütesiegel, sondern ein zentrales Steuerungssystem für mandantenfähige Dienste darstellt.

Kunden und Aufsichtsbehörden erwarten heute Beweise, keine Zusicherungen mehr.

Moderne Käufer und Aufsichtsbehörden haben aufgrund zahlreicher Durchsetzungsfälle erkannt, dass die Aussage „Wir nehmen Sicherheit ernst“ kein verlässliches Signal ist. Sie erwarten von Ihnen eine konsequente und klare Erläuterung, wie Multi-Tenant-Risiken in der Praxis – und nicht nur in Richtlinien – gemanagt werden. Insbesondere größere Kunden und deren Datenschutzbeauftragte möchten wissen, wie Sie ihre Mandanten logisch von anderen trennen, wie Sie privilegierte Zugriffe verwalten, wie Sie Zugriffe protokollieren und überprüfen und wie Sie im Falle einer Datenschutzverletzung mit ihnen zusammenarbeiten. Jüngste Entscheidungen von Aufsichtsbehörden, wie beispielsweise die veröffentlichten Durchsetzungsmitteilungen der CNIL, kritisieren häufig vage Zusicherungen und eine mangelhafte Aufsicht über Dienstleister im Falle von Vorfällen.

Wenn Sie diese Fragen nicht für jeden Kunden einheitlich beantworten können, handeln Sie auf gut Glück statt auf Gewissheit. Ein strukturiertes Informationssicherheitsmanagementsystem (ISMS) wandelt gute Absichten in dokumentierte Richtlinien, regelmäßige Überprüfungen und wiederholbare Nachweise um, die mit Kunden, Auditoren und der internen Führungsebene geteilt werden können. Diese Nachweise überzeugen auch einen skeptischen Vorstand davon, dass Sie das Ausmaß des Risikos in Multi-Tenant-Umgebungen wirklich verstehen und dass die Kontrollgruppen gemäß Anhang A mehr als nur Checklisten sind.

In der ISMS.online-Umfrage „State of Information Security 2025“ gaben rund 41 % der Unternehmen an, dass das Management von Drittparteirisiken und die Überwachung der Lieferantenkonformität eine ihrer größten Herausforderungen darstellen.

Das Geschäftsrisiko geht über Geldstrafen hinaus.

Bußgelder der Aufsichtsbehörden sind zwar ein offensichtliches Problem, doch für viele Managed Service Provider (MSPs) sind die unmittelbaren wirtschaftlichen Folgen oft schwerwiegender. Diese können Sie bereits lange vor dem ersten Kontakt mit einer Aufsichtsbehörde spüren. Sie könnten eine Ausschreibung verlieren, weil Sie Ihren ISO-27001-Geltungsbereich oder Ihre DSGVO-Konformität nicht klar darlegen können. Sie könnten von Rahmenwerken ausgeschlossen werden, die formale Zertifizierungen und Auftragsverarbeitergarantien fordern. Möglicherweise müssen Sie unter enormem Zeitdruck Ihre Tools überarbeiten, nachdem ein Großkunde Änderungen gefordert hat, oder Sie müssen mit Reputationsschäden umgehen, wenn Ihr Unternehmen in einem behördlichen Bericht erwähnt wird.

Laut der ISMS.online-Umfrage 2025 waren unter den Organisationen, die Vorfälle erlitten, Mitarbeiter- und Kundendaten die am häufigsten als kompromittiert gemeldeten Datensätze.

Die Betrachtung von Risiken in Multi-Tenant-Umgebungen aus dieser kommerziellen Perspektive hilft Gründern, Vertriebsleitern und Account Managern zu verstehen, warum ein integriertes Sicherheits- und Datenschutzsystem ein Wachstumstreiber und keine zusätzliche Belastung ist. Es liefert IT-Experten und CISOs zudem eine klarere Argumentation bei der Investitionsakquise. Diese Investition zahlt sich aus, sobald Sie genau nachweisen können, wo personenbezogene Daten gespeichert sind, wie Sie diese für jede Ihrer Dienstleistungen verwenden und wie Ihr Managementsystem diese Prozesse unterstützt.

Kontakt

Personenbezogene Daten finden und Rollen festlegen: Datenflüsse abbilden und DSGVO-Verantwortlichkeiten erfüllen

Ein effektiver Ansatz für ISO 27001 und DSGVO bei Multi-Tenant-Diensten lässt sich erst dann entwickeln, wenn Sie wissen, wo personenbezogene Daten gespeichert sind, wie sie verarbeitet werden und welche Rolle Sie in jedem Datenfluss spielen. Klare Darstellungen und eindeutige Rollenverteilungen machen aus einem vagen Risikogefühl etwas, das Sie eingrenzen, kontrollieren und Kunden, Aufsichtsbehörden und Auditoren erläutern können. Für Compliance-Einsteiger wird die wahre Komplexität ihrer Dienste oft erst jetzt sichtbar; für CISOs, Datenschutzbeauftragte und Anwender bildet sie die Grundlage für glaubwürdige Antworten auf schwierige Fragen wie „Wer macht was?“ und „Wer ist verantwortlich?“.

Die Klarheit darüber, wohin Daten heute fließen, ist wertvoller als eine perfekte Karte von morgen.

Der praktischste Ausgangspunkt sind einfache Skizzen, die den Datenfluss personenbezogener Daten für jeden Ihrer Managed Services veranschaulichen. Skizzieren Sie für jeden Servicebereich – beispielsweise Microsoft 365, Endpoint-Management, Managed Backup, Security Operations oder Identity – eine Seite, die beschreibt, welche Daten wo verarbeitet werden. Wichtig ist, offenzulegen, welche gemeinsam genutzten Tools personenbezogene Daten zwischen mehreren Mandanten speichern oder übertragen, da diese Komponenten im Fehlerfall oft das größte Risiko bergen.

Diese Skizzen müssen keine aufwendigen Diagramme sein; sie genügen, um die wichtigsten Fakten festzuhalten. Dokumentieren Sie für jeden Dienst, welche Kategorien personenbezogener Daten Sie sehen, wo diese Daten gespeichert oder verarbeitet werden und welche Akteure darauf zugreifen. Sobald diese Informationen vorliegen, kann Ihr CISO oder Sicherheitsbeauftragter schnell erkennen, welche gemeinsam genutzten Komponenten das größte Risiko bergen, und Ihr Datenschutzbeauftragter oder Rechtsbeauftragter kann die Datenflüsse mit den Anforderungen der DSGVO hinsichtlich Rechtmäßigkeit, Datenminimierung und Sicherheit der Verarbeitung vergleichen.

Entscheiden Sie, ob Sie ein Prozessor, ein Controller oder beides sind.

Nachdem die Datenflüsse sichtbar sind, geht es im nächsten Schritt darum, die Rollen klar zu definieren. Die DSGVO legt den Fokus darauf, wer über die Zwecke und die notwendigen Mittel der Datenverarbeitung entscheidet. Diese Entscheidung bestimmt Ihre Pflichten. Wenn der Kunde den Zweck der Datenverarbeitung festlegt und Sie lediglich Systeme gemäß seinen Anweisungen betreiben, sind Sie in der Regel Auftragsverarbeiter. Verwenden Sie Daten für eigene Analysen, Bedrohungsanalysen oder die Weiterentwicklung von Diensten, können Sie für diese sekundäre Verwendung auch Verantwortlicher sein und müssen dies klar dokumentieren. Die Leitlinien des Europäischen Datenschutzausschusses zu den Rollen von Verantwortlichen und Auftragsverarbeitern betonen, dass die tatsächliche Entscheidungsfindung über Zwecke und notwendige Mittel Ihre Rolle bestimmt und nicht allein die Berufsbezeichnung, wie in den Leitlinien zu den Rollen von Verantwortlichen und Auftragsverarbeitern dargelegt.

Bei manchen Diensten können Sie und der Kunde gemeinsam eine datengesteuerte Funktion definieren, wodurch Sie für diesen Teil der Datenverarbeitung gemeinsam verantwortlich sind. Diese Unterscheidungen wirken sich auf Ihre vertraglichen Zusagen, Ihre Verarbeitungsdokumentation und die Pflichten aus, die Sie in Ihrem Informationssicherheitsmanagementsystem (ISMS) abbilden müssen. Sie sollten bewusst festgelegt und dokumentiert werden und nicht dem Zufall überlassen oder in unklaren Formulierungen versteckt werden, die erst im Falle eines Vorfalls oder einer behördlichen Anfrage sichtbar werden.

Erstellen Sie eine einfache Verantwortlichkeitsmatrix pro Dienst

Eine übersichtliche Verantwortlichkeitsmatrix pro Servicebereich beugt späteren, langwierigen Diskussionen darüber vor, wer welche Aufgaben hätte übernehmen sollen. Eine einfache RACI-Tabelle genügt oft, in der wichtige Aktivitäten wie Bereitstellung, Zugriffsberechtigungen, Protokollierung, Backup-Konfiguration, Incident-Triage und Meldung von Datenschutzverletzungen aufgeführt sind. Für jede Aktivität sollte festgehalten werden, welche Verantwortung beim Kunden als Verantwortlichem, welche bei Ihnen als Auftragsverarbeiter oder Verantwortlichem und welche bei den zugrunde liegenden Cloud- oder Software-as-a-Service-Anbietern liegt.

Diese Matrix dient als Leitfaden für Ihre Datenverarbeitungsvereinbarungen, Leistungsbeschreibungen und internen Verfahren. Sie bietet Vertriebs-, Account- und IT- bzw. Sicherheitsexperten zudem Orientierungshilfen beim Ausfüllen von Fragebögen und bei Vertragsverhandlungen, damit diese nicht versehentlich mehr versprechen, als sie halten können, oder Verpflichtungen übernehmen, die Ihre Systeme nicht erfüllen. Wenn Sie diese Matrix dem Datenschutzbeauftragten eines Kunden zeigen, wird es deutlich einfacher, die geteilten Verantwortlichkeiten strukturiert und professionell zu besprechen.

Richten Sie die Datenzuordnung an Ihrem Anlagen- und Prozessinventar gemäß ISO 27001 aus.

Behandeln Sie „DSGVO-Arbeit“ und „Sicherheitsarbeit“ als zwei Sichtweisen desselben Systems, nicht als separate Projekte mit separaten Tabellen. Systeme, die personenbezogene Daten verarbeiten, sind Informationswerte in Ihrem ISMS, und die von Ihnen skizzierten Abläufe sind eigenständige Prozesse. Nutzen Sie diese Überschneidung. ISO 27001:2022 verlangt die Führung von Inventaren der Werte und Prozesse. Deren Abgleich mit den DSGVO-Aufzeichnungen vermeidet Doppelungen und Lücken. Die Norm fordert, dass Sie die relevanten Informationswerte und Prozesse identifizieren und durch dokumentierte operative Planung und Kontrolle unter Kontrolle halten. Daher ist die Behandlung von Systemen, die personenbezogene Daten verarbeiten, als ISMS-Werte in einer ISO 27001:2022-konformen Umgebung sowohl natürlich als auch zu erwarten.

Verknüpfen Sie Datenflussdiagramme und Verantwortlichkeitsmatrizen mit Anlagenverzeichnissen für Plattformen, die personenbezogene Daten verarbeiten oder speichern, mit Lieferantendatensätzen für Cloud-Anbieter und Unterauftragnehmer sowie mit Prozessbeschreibungen wie Incident- und Änderungsmanagement. Durch die Zusammenführung dieser Ansichten löst eine Änderung an einer Stelle – beispielsweise das Hinzufügen eines neuen Unterauftragnehmers – automatisch eine Überprüfung der Sicherheits- und Datenschutzmaßnahmen aus. Dies ist wesentlich sicherer als die stille Erstellung neuer Datenflüsse, die in Ihren Verarbeitungsprotokollen oder Ihrem Risikoregister unbemerkt bleiben, und entspricht dem in Anhang SL empfohlenen Ansatz des integrierten Managementsystems.

Legen Sie eine Dokumentationsgrundlage fest, die Sie auch tatsächlich pflegen können.

Viele Managed Service Provider (MSPs) erstellen Verarbeitungsprotokolle oder detaillierte Rollenbeschreibungen erst, wenn ein wichtiger potenzieller Kunde dies verlangt. In einer Multi-Tenant-Umgebung birgt dies jedoch Risiken. Setzen Sie stattdessen auf eine einfache, aber konsistente Basis, die Sie stets aktuell halten können. Dies könnte beispielsweise eine Datenflussskizze und eine Verantwortlichkeitsmatrix pro Dienst, eine dynamische Liste der mit diesen Diensten verknüpften Verarbeitungstätigkeiten sowie ein einfaches Verzeichnis der Datenverarbeitungsvereinbarungen und Standardvertragsklauseln pro Mandant und Dienst umfassen.

So können Sie Ihre Dokumentation im Laufe der Zeit vertiefen und verfeinern, anstatt für jede Geschäftsmöglichkeit oder behördliche Anfrage von vorn zu beginnen. Ihr Datenschutzbeauftragter oder Rechtsberater kann hier außerdem klar erkennen, ob Verpflichtungen wie die Rechte betroffener Personen und grenzüberschreitende Datenübermittlungen ordnungsgemäß abgedeckt sind, anstatt sich auf verstreute Notizen zu verlassen. Für die Praxis sorgt diese Grundlage dafür, dass die Dokumentation realistisch bleibt und die Realität widerspiegelt, anstatt eine separate, idealisierte Sichtweise des Unternehmens zu vermitteln.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Ein ISO 27001:2022 ISMS, viele Mandanten: Geltungsbereich und Struktur

Sie benötigen in der Regel kein separates ISMS für jeden Kunden. Ein einziges, auf Mandantenfähigkeit ausgerichtetes ISMS auf Anbieterebene ist robuster, einfacher zu auditieren und deutlich skalierbarer. Entscheidend ist, Umfang, Kontext und Risiko so zu definieren, dass Mandantenfähigkeit auf natürliche Weise integriert wird, anstatt ihr entgegenzuwirken. Für Ihren CISO und die leitenden Sicherheitsverantwortlichen bildet dies die Grundlage für das Reporting an die Geschäftsleitung; für Compliance-Initiativen bietet es eine Struktur, die nicht in Dutzende von Mikrosystemen zerfällt, wenn weitere Mandanten und Dienste hinzugefügt werden.

Den Geltungsbereich auf Anbieterebene definieren, nicht pro Kunde.

Für die meisten Managed Service Provider (MSPs) ist es praktischer, wenn die Geltungsbereichsbeschreibung nach ISO 27001 Ihr Unternehmen und Ihre Dienstleistungen abdeckt, anstatt einzelne Kunden zu nennen. Eine typische Formulierung könnte sich auf die „Bereitstellung von Managed IT-, Cloud- und Sicherheitsdiensten für Kunden über gemeinsam genutzte und dedizierte Plattformen, einschließlich Design, Implementierung, Support und Monitoring“, konzentrieren. So liegt der Fokus auf Ihren Leistungen und nicht auf einer Liste aktueller Kunden, die sich ändern kann. Die Norm fordert einen klar definierten Geltungsbereich, lässt Ihnen aber Spielraum bei der Beschreibung, solange diese der Realität entspricht und das Informationssicherheitsmanagementsystem (ISMS) anhand dieser Beschreibung auditierbar ist.

In diesem Rahmen erscheinen Mieter und Aufsichtsbehörden als „beteiligte Parteien“, deren Bedürfnisse – wie beispielsweise die Einhaltung der DSGVO, Verfügbarkeit und Datentrennung – Ihre Risikobewertung und Kontrollmaßnahmen bestimmen. Dieser anbieterbezogene Ansatz spiegelt die Realität wider: Ihre Techniker, Tools und Prozesse werden üblicherweise von vielen Kunden genutzt. Zudem wird der administrative Aufwand beim Hinzufügen oder Entfernen von Mietern vermieden, da sich das ISMS auf die von Ihnen betriebenen Dienste und Plattformen konzentriert und nicht auf jeden einzelnen Vertrag.

Risikostufen zur Abbildung unterschiedlicher Mieterprofile verwenden

Eine einheitliche Risikobewertungsmethodik kann dennoch sehr unterschiedliche Auswirkungen auf die einzelnen Mieter abbilden. Ein praktikables Vorgehen besteht darin, Kunden anhand von Branche, Volumen und Sensibilität der personenbezogenen Daten, regulatorischen Rahmenbedingungen und vertraglichen Strafen in drei bis fünf Kategorien einzuteilen. Dadurch werden Mieter mit höherem Risiko automatisch genauer geprüft, ohne dass separate ISMS-Dokumente erforderlich sind, während Kunden mit geringerem Risiko weiterhin angemessenen Schutz erhalten.

Beispielsweise können Mieter aus dem Gesundheitswesen und dem öffentlichen Sektor einer höheren Prioritätsstufe zugeordnet sein als kleine Unternehmen mit wenigen personenbezogenen Daten. Kennzeichnen Sie Assets, Risiken und Kontrollen entsprechend dieser Prioritätsstufen, sodass ein Vorfall bei einem Mieter mit hoher Priorität automatisch mit größerer Dringlichkeit behandelt wird als ein Problem bei einem Mieter mit niedriger Priorität. Dies erleichtert es Ihrem CISO, dem Risikoausschuss und den zuständigen Fachkräften, die Arbeit dort zu priorisieren, wo sie am wichtigsten ist, und liefert den Prüfern eine klare Erklärung dafür, warum bestimmte Kontrollen in einigen Bereichen der Umgebung strenger sind.

Einführung einer gemeinsamen Steuerungsschicht für gemeinsam genutzte Komponenten

Viele Kontrollmaßnahmen – physische Sicherheit in Rechenzentren, grundlegende Personalprüfungen, Cloud-Kernkonfiguration und Identitätsrichtlinien – gelten für jeden Mandanten. Anstatt diese wiederholt an verschiedenen Stellen zu dokumentieren, definieren Sie sie als übergreifende Kontrollmaßnahmen für Ihren gesamten Geltungsbereich. Dokumentieren Sie diese einmalig, klar und in verständlicher Sprache. Ordnen Sie sie den relevanten Kontrollfamilien gemäß ISO 27001 Anhang A und den DSGVO-Grundsätzen zu. Verweisen Sie bei mandanten- oder dienstspezifischen Risiken auf diese Kontrollmaßnahmen als übernommene Risikominderungsmaßnahmen, anstatt ganze Textblöcke zu kopieren.

Dieser Ansatz sorgt für eine übersichtliche Anwendbarkeitserklärung und zeigt Prüfern, dass grundlegende Schutzmaßnahmen konsequent angewendet werden. Er bietet Ihren IT- und Sicherheitsexperten zudem eine zentrale Anlaufstelle für die Konfiguration gemeinsam genutzter Plattformen. Viele Managed Service Provider (MSPs) nutzen eine dedizierte ISMS-Plattform wie ISMS.online, um diese Struktur im Zuge ihres Wachstums konsistent zu halten und aufzuzeigen, wie sich allgemeine Kontrollen in mandantenspezifische Vereinbarungen und Risikobehandlungen integrieren.

Kontrollieren Sie die Ausweitung des Projektumfangs mit einem einfachen Steuerungsmechanismus.

Mit der Hinzufügung neuer Plattformen, Regionen oder Dienste besteht die Gefahr, dass Ihr ISMS an Realität verliert. Um eine schleichende Ausweitung des Umfangs zu verhindern, sollten Änderungen an einen bestehenden Governance-Prozess angebunden werden, sodass sich der Umfang gezielt und nicht zufällig weiterentwickelt. Behandeln Sie einen neuen Dienst oder eine größere Plattformänderung als formellen Änderungsmanagement-Vorgang. Fügen Sie Ihren Vorschlägen einen kurzen Abschnitt zu den Auswirkungen auf das ISMS hinzu und lassen Sie sich die Genehmigung der für das ISMS verantwortlichen Person – in der Regel der Sicherheits- oder Compliance-Leiter – geben.

Dies dokumentiert, wann und warum sich der Umfang erweitert hat und stellt sicher, dass Risiken, Kontrollen und Dokumentationen entsprechend aktualisiert werden. Es gibt Ihrem CISO und dem Vorstand zudem die Gewissheit, dass die Compliance durch eine rasche Serviceerweiterung nicht beeinträchtigt wird. Mit der Zeit wird diese Verbindung zwischen Änderungsmanagement und den Abschnitten 6 und 8 der ISO 27001:2022 zu einem starken Beleg dafür, dass Sie das Risiko von Mandantenfähigkeit als integralen Bestandteil Ihrer Entscheidungsprozesse und nicht als nachträgliche Überlegung behandeln.

Vergleich reaktiver vs. integrierter Modelle

Die nachstehende Tabelle stellt die Ad-hoc-Konformität, die von Mieter zu Mieter erfolgt, einem integrierten ISMS eines Anbieters gegenüber, damit Sie den Unterschied der Führungsebene erläutern können.

Rund zwei Drittel der Organisationen, die an der ISMS.online-Umfrage „State of Information Security 2025“ teilnahmen, gaben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften zunehmend erschweren.

Abmessungen	Reaktiver, mieterbezogener Ansatz	Integrierter ISMS-Ansatz für Anbieter
ISMS-Struktur	Separate Ordner, schwer, die Konsistenz zu wahren.	Ein System, das alle Dienstleistungen und Mieter abdeckt
Risikobewertung	Ad-hoc, pro Großkunde	Gängige Methode bei gestaffelten Mietern
Kontrollimplementierung	Ausnahmen pro Kunde dominieren	Standardmuster mit dokumentierten Ausnahmen
Nachweise für Prüfungen	Beweissuche in letzter Minute	Zentrale Datensätze sind mit Live-Prozessen verknüpft.
Verbesserungen und Lehren	Wird selten von mehreren Mietern geteilt	Wird dienstübergreifend und über alle Risikostufen hinweg genutzt

Diese Herangehensweise macht aus der bloßen Pflichterfüllung eines ISMS eine klare strategische Entscheidung für den Betrieb und das Wachstum Ihres Multi-Tenant-Unternehmens. Sobald diese Entscheidung gefallen ist, stellt sich die Frage, wie sich die Anforderungen von Anhang A und der DSGVO in konkrete Kontrollmechanismen umsetzen lassen, die Ihre Entwickler in Ihre bestehende IT-Umgebung integrieren können.

Aufbau eines mietersicheren Kontrollsystems: Anhang A plus DSGVO in der Praxis

Sobald Sie Ihren Geltungsbereich und Ihre Rollen kennen, benötigen Sie Kontrollmechanismen, die personenbezogene Daten mandantenübergreifend tatsächlich schützen und in verständlicher Sprache erklärt werden können. ISO 27001 Anhang A bietet Ihnen einen Katalog von Sicherheitskontrollen; die DSGVO legt Datenschutzgrundsätze und Pflichten für Auftragsverarbeiter fest; Ihre konkreten Tools und Prozesse ergeben sich aus dem Zusammenspiel dieser Elemente. Unabhängige Analysen zur Zuordnung von Kontrollmechanismen, wie beispielsweise ISO 27001-DSGVO-Mapping-Analysen, veranschaulichen, wie viele Organisationen Anhang A als Grundlage für die praktische Umsetzung der DSGVO-Grundsätze zur „Sicherheit der Verarbeitung“ und zur Rechenschaftspflicht nutzen. Für CISOs und Anwender ist dies der Punkt, an dem die tägliche Konfigurationsarbeit mit Anhang A übereinstimmt; für Datenschutzbeauftragte und Rechtsexperten werden hier abstrakte Pflichten zu nachweisbaren Schutzmaßnahmen, die der Prüfung durch Aufsichtsbehörden und Kundenbefragungen standhalten.

Trennen Sie die Steuerelemente der gemeinsam genutzten Plattform von den Mandanten-Overlays.

Beginnen Sie damit, die Kontrollmechanismen, die Ihre gesamte gemeinsam genutzte Plattform schützen, von denjenigen zu trennen, die auf einzelne Mandanten zugeschnitten sind. Die Kontrollmechanismen für die gemeinsame Plattform umfassen Bereiche wie Identitäts- und Zugriffsmanagement, zentrale Protokollierung, Konfigurationsvorgaben, Lieferantenüberwachung und sichere Administration. Mandantenspezifische Erweiterungen beinhalten Sicherheitseinstellungen, Datenschutzmaßnahmen, Multi-Faktor-Authentifizierung und Überwachung, die auf die Bedürfnisse und das Risikoprofil jedes Kunden abgestimmt sind.

Die meisten Organisationen, die an der ISMS.online-Umfrage „State of Information Security 2025“ teilnahmen, berichteten, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

Durch die Strukturierung der Kontrollen gemäß Anhang A können Sie für jeden Dienst erläutern, welche Maßnahmen die Plattform als Ganzes schützen und welche für einen bestimmten Mandanten angepasst sind. Außerdem wird deutlich, wo ein einzelner Fehler bei einer gemeinsamen Kontrolle Auswirkungen auf mehrere Mandanten haben könnte. Dies hilft Ihnen, den Entwicklungsaufwand, die Überwachung und die Qualitätssicherung zu priorisieren. Kunden und Auditoren reagieren in der Regel positiv, wenn sie eine klare Unterscheidung zwischen gemeinsamen und kundenspezifischen Kontrollen erkennen und nachvollziehen können, wie beide die Anforderungen der DSGVO an die „Sicherheit der Datenverarbeitung“ erfüllen.

Kontrollmechanismen den DSGVO-Pflichten in einfacher Sprache zuordnen

Für viele Stakeholder sind Verweise wie „A.5.15 – Zugriffskontrolle“ oder „A.8 – Technische Kontrollen“ wenig aussagekräftig. Sie möchten wissen, ob Sie die Vertraulichkeit, Integrität, Verfügbarkeit und Rechenschaftspflicht ihrer personenbezogenen Daten nachweisen können. Erstellen Sie eine einfache Übersicht, die für jeden wichtigen Kontrollbereich – wie Zugriff, Protokollierung, Verschlüsselung, Lieferantenmanagement und Vorfallsmanagement – beschreibt, welche DSGVO-Grundsätze und Verantwortlichkeiten gemäß dieser Übersicht erfüllt werden und wie.

Beispielsweise sollte Ihr Zugriffskontrollmodell Vertraulichkeit und Datenminimierung gewährleisten. Ihr Protokollierungs- und Überwachungsansatz sollte die Nachvollziehbarkeit und die Erkennung von Datenschutzverletzungen unterstützen. Ihr Backup- und Wiederherstellungsplan sollte Verfügbarkeit und Speicherbegrenzung gewährleisten. Diese Zuordnung bildet die Grundlage für Ihre Antworten auf Fragebögen und Auditoreninterviews und hilft Datenschutzbeauftragten zu erkennen, dass Anhang A nicht nur eine Sicherheitscheckliste ist, sondern ein Mittel zur praktischen Umsetzung regulatorischer Vorgaben.

Integrieren Sie Cloud- und Datenschutzerweiterungen, wo sie für mehr Klarheit sorgen.

Wenn Sie umfangreiche Cloud- oder Software-as-a-Service-Plattformen betreiben, können cloudspezifische Sicherheitsrichtlinien und Datenschutzerweiterungen wie ISO 27017 oder ISO 27701 hilfreiche Details liefern, sofern diese für Ihre Dienste relevant sind. Diese Rahmenwerke bieten Beispiele für die Trennung von Mandanten in virtuellen Umgebungen, klären die gemeinsame Verantwortung von Anbieter und Kunde und schlagen zusätzliche Kontrollmechanismen für personenbezogene Daten, Betroffenenrechte und Datenschutz-Governance vor. Sie ergänzen ISO 27001 sinnvoll und stehen nicht in Konkurrenz zu ihr. Ob eine formale Übernahme oder Zertifizierung sinnvoll ist, können Sie im Einzelfall entscheiden.

Sie müssen nicht alle verfügbaren Standards zertifizieren lassen, aber die Orientierung an anerkannten Mustern dieser Erweiterungen hilft Ihnen, glaubwürdige Kontrollmechanismen zu entwickeln und das Vertrauen erfahrener Kunden und Auditoren zu stärken. Zudem erhalten Ihre Mitarbeiter konkrete Vorlagen für die Implementierung oder Überprüfung von Architekturen, sodass sie die grundlegenden Sicherheits- und Datenschutzstrukturen nicht von Grund auf neu entwickeln müssen. Für Rechts- und Datenschutzteams zeigt dies, dass Sie allgemein anerkannte Verfahren als Maßstab verwenden und keine eigenen Regeln erfinden.

Nutzen Sie externe Referenzwerte, um technische Standards zu konkretisieren.

Anhang A ist bewusst allgemein gehalten, um seine Anwendbarkeit in vielen Kontexten zu gewährleisten. Um die Anforderungen in konkrete Konfigurationen umzusetzen, orientieren Sie sich an anerkannten technischen Standards für wichtige Plattformen wie Microsoft 365, Azure, AWS, gängige Betriebssysteme und kritische SaaS-Dienste. Diese Standards bieten spezifische Einstellungen für Protokollierung, Verschlüsselung, Zugriffskontrolle und Systemhärtung, die Sie übernehmen oder an Ihre Umgebung anpassen und anschließend mit Ihrem ISMS verknüpfen können.

Die Verwendung solcher Referenzwerte zeigt Kunden und Auditoren, dass Ihre Standards auf allgemein anerkannten Praktiken beruhen und nicht isoliert entwickelt wurden. Verknüpfen Sie diese mit Anhang A und der DSGVO, damit die Zusammenhänge zwischen Rechtsgrundsätzen, Managementsystemkontrollen und technischen Konfigurationen ersichtlich werden. Dies erleichtert zudem die einheitliche Konfiguration über verschiedene Mandanten hinweg, da sich Techniker auf einen gemeinsamen technischen Standard stützen können, anstatt auf persönliche Präferenzen oder übereilte Entscheidungen unter Zeitdruck.

Dokumentieren Sie, wie und warum Sie kompensierende Kontrollen einsetzen.

In Multi-Tenant-Umgebungen treten unweigerlich Situationen auf, in denen Standardkontrollen nicht anwendbar sind, beispielsweise weil ein Altsystem bestimmte Funktionen nicht bietet oder eine Anbieterplattform Einschränkungen vorgibt. In solchen Fällen benötigen Sie klare, kompensierende Kontrollen und eine Dokumentation der Gründe dafür. Dokumentieren Sie, warum die Standardkontrolle nicht durchführbar ist, definieren Sie die stattdessen verwendeten kompensierenden Maßnahmen und erläutern Sie, warum diese das Risiko auf ein akzeptables Niveau reduzieren.

Planen Sie regelmäßige Überprüfungen ein, um festzustellen, ob eine bessere Option verfügbar geworden ist. Diese Transparenz gewährleistet die Glaubwürdigkeit Ihrer Anwendbarkeitserklärung, vermeidet unangenehme Überraschungen bei Audits oder Kundenbefragungen und hilft Anwendern zu verstehen, wann eine Umgehungslösung gerechtfertigt ist und wann es sich lediglich um eine unzulässige Abkürzung handelt. Für Ihr internes Revisionsteam erleichtern gut dokumentierte kompensierende Kontrollen die Prüfung, ob das Risiko tatsächlich beherrscht oder nur nominell akzeptiert wird.

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo

Sicherheitsnetze für den Alltag: Minimierung, Zugang und Protokollierung – damit Ingenieure gut leben können

Kontrollmechanismen funktionieren nur, wenn Ihre Techniker und Supportteams damit arbeiten können. Datenminimierung, Zugriffsrechte nach dem Prinzip der minimalen Berechtigungen und eine robuste Protokollierung müssen als einfache Muster formuliert werden, die sich nahtlos in den täglichen Betrieb von Multi-Tenant-Systemen einfügen, anstatt als abstrakte Ideale, die alles verlangsamen. Für IT- und Sicherheitsexperten werden ISO 27001 und DSGVO hier zu praktischen Leitplanken statt zu zusätzlichem Papierkram; für CISOs ist es der Punkt, an dem „Richtlinien“ auf den realen Betrieb treffen und an dem die meisten Vorfälle entweder verhindert oder deutlich einfacher zu untersuchen sind.

Techniker verwenden Kundendaten häufig für Tickets, interne Chats, Screenshots und Wissensdatenbanken, da dies der schnellste Weg zur Problemlösung ist. Mit der Zeit kann so ein unübersichtlicher Datenbestand an personenbezogenen Daten in den eigenen Systemen entstehen, was das Risiko für den Datenverarbeiter erhöht und die Bearbeitung von Anfragen betroffener Personen erschwert. Nachhaltiger ist es, personenbezogene Daten möglichst nah an den Kundensystemen zu speichern und die eigenen Tools nach Möglichkeit als Hilfsmittel statt als zentrale Datenspeicher zu nutzen.

In der Praxis bedeutet dies, Verknüpfungen zu Datensätzen in Kundensystemen herzustellen, anstatt vollständige Daten zu kopieren, nach Möglichkeit pseudonyme Kennungen zu verwenden, sensible Informationen in Screenshots zu schwärzen oder unkenntlich zu machen und klare Regeln für die Speicherung in internen Wissensdatenbanken festzulegen. Diese Vorgehensweisen minimieren die potenziellen Folgen eines Angriffs auf ein internes Konto und entsprechen den Grundsätzen der DSGVO zur Datenminimierung und Speicherbegrenzung. Aufsichtsbehörden warnen regelmäßig davor, dass die unnötige Speicherung personenbezogener Daten in internen Tools und Backups das Risiko erhöht. Leitlinien zur Datenminimierung von Behörden wie der US-amerikanischen Federal Trade Commission und europäischen Datenschutzbehörden bestätigen dies.

Sie liefern Ihrem Datenschutzbeauftragten oder Rechtsbeauftragten auch eine viel klarere Antwort, wenn er gefragt wird, wo sich personenbezogene Daten innerhalb Ihrer Organisation tatsächlich befinden.

Implementieren Sie mandantenorientierte RBAC und ABAC in gemeinsam genutzten Plattformen

Viele weit verbreitete MSP-Tools unterstützen rollenbasierte Zugriffskontrolle (RBAC) und in einigen Fällen auch attributbasierte Zugriffskontrolle (ABAC). Durch die Kombination dieser Mechanismen lassen sich zwei zentrale Prinzipien umsetzen: Entwickler sollten nur die Mandanten einsehen können, für die sie aktiv verantwortlich sind, und innerhalb dieser Mandanten sollten sie nur die für ihre Funktion notwendigen Berechtigungen besitzen – idealerweise nur bei Bedarf. Leitlinien zum Identitäts- und Zugriffsmanagement von Organisationen wie der Cloud Security Alliance unterstreichen, wie RBAC- und ABAC-Modelle dazu beitragen, diese Prinzipien in Cloud- und SaaS-Plattformen in praktische Richtlinien umzusetzen. Dieses Muster macht das Prinzip der minimalen Berechtigungen von einer bloßen Floskel zu einer verständlichen und anwendbaren Regel.

Ein praktischer Ansatz besteht darin, wenige, klar definierte Rollen festzulegen – wie beispielsweise First-Level-Support, Senior Engineer, Plattform-Engineer und Service Manager – und diese dann in Richtlinien mit Mandanten- oder Mandantenebenenattributen zu verknüpfen. Ziel ist es, unbeabsichtigten mandantenübergreifenden Zugriff ohne gezielte und protokollierte Maßnahmen zu erschweren und gleichzeitig erfahrenen Technikern die effiziente Unterstützung mehrerer Kunden bei Bedarf zu ermöglichen. Genau diese Art von Kontrolle erfüllt die Anforderungen der Zugriffskontrolle nach ISO 27001 und die Erwartung der DSGVO an eine angemessene Sicherheit der Datenverarbeitung. Analysen zur Zuordnung von ISO- und DSGVO-Rechten, wie beispielsweise Leitlinien zur Kontrollzuordnung, nennen regelmäßig klar definierte Zugriffsmodelle als Grundlage für beide Frameworks.

Zugriffsworkflows standardisieren und Nachweise automatisch erfassen

Manuelle Zugriffsanfragen und Genehmigungen per E-Mail sind in einer Multi-Tenant-Umgebung nicht skalierbar. Integrieren Sie stattdessen Workflows für Beitritt, Versetzung, Austritt und Rechteerweiterung in Ihre Ticket- oder Identitätsplattform, sodass Anfragen Mandant, Rolle und Dauer angeben müssen. Genehmigungen sollten erfasst und mit einem Zeitstempel versehen werden. Erweiterte Zugriffsrechte sollten nach Möglichkeit automatisch ablaufen, und alle Änderungen sollten so protokolliert werden, dass sie nach Benutzer, Mandant oder Zeitraum durchsuchbar sind.

Dies bietet Ihnen einen zuverlässigen Prüfpfad für ISO 27001 und unterstützt die Einhaltung der DSGVO. Es liefert zudem klare Antworten, wenn Kunden, Auditoren oder Aufsichtsbehörden nachfragen, wer wann Zugriff auf welchen Mandanten hatte. Für vielbeschäftigte Anwender reduziert es die kognitive Belastung, indem es den richtigen Prozess zum einfachsten macht, anstatt sich darauf zu verlassen, dass sich Mitarbeiter während arbeitsintensiver Support-Schichten Ad-hoc-Regeln merken. Im Laufe der Zeit werden diese Workflows zu aussagekräftigen Nachweisen für Managementbewertungen und Kontrollprüfungen gemäß Anhang A.

Die Protokollierung sollte so gestaltet sein, dass sich Untersuchungen auf einen einzelnen Mandanten konzentrieren können.

In einer Multi-Tenant-Umgebung kommt es bei sinnvoller Protokollierung weniger auf das Datenvolumen als vielmehr auf die präzise Abgrenzung von Untersuchungen an. Um dies zu gewährleisten, sollten Ereignisse mit Mandantenkennungen oder -attributen versehen werden. Zudem muss ausreichend Kontext – Benutzer, Aktion, System und Ergebnis – gespeichert werden, um Vorfälle rekonstruieren zu können. Die Protokolle müssen manipulationssicher sein, und der Zugriff darauf muss sorgfältig kontrolliert werden, damit Ermittler nur die benötigten Informationen einsehen können. So werden Protokolle zu einem Ermittlungsinstrument und nicht zu einer lästigen Pflicht zur Einhaltung von Vorschriften.

Sie sollten in der Lage sein, mandantenspezifische Fragen wie „Hat jemand außerhalb unserer Organisation auf dieses Postfach zugegriffen?“ oder „Welcher Techniker hat diesen Server wiederhergestellt?“ mithilfe einer gezielten Abfrage zu beantworten, anstatt globale Protokolle manuell zu durchsuchen. Für Ihre SOC-Teams und -Mitarbeiter beschleunigt dies die Untersuchungen und reduziert Fehler. Datenschutz- und Rechtsabteilungen gewinnen dadurch mehr Sicherheit, dass personenbezogene Daten bei der Bearbeitung von Vorfällen nicht unnötig offengelegt werden. Dies hilft Ihnen bei der Beurteilung, ob ein Vorfall als Verletzung des Schutzes personenbezogener Daten einzustufen ist.

Legen Sie Aufbewahrungsregeln fest, die forensischen Wert und Datenschutz in Einklang bringen.

Protokolle und Backups sind häufige Speicherorte für personenbezogene Daten, die sich unbemerkt ansammeln, manchmal weit länger als nötig. Sie benötigen Aufbewahrungsrichtlinien, die rechtlichen und vertraglichen Anforderungen entsprechen, realistische Untersuchungsfristen ermöglichen und den Grundsatz der Speicherbegrenzung gemäß DSGVO berücksichtigen. Dokumentieren Sie, wie lange Sie die einzelnen Protokollkategorien – beispielsweise Authentifizierungsereignisse, administrative Aktionen und Inhaltszugriffe – aufbewahren, warum diese Aufbewahrungsfrist erforderlich ist und wie die Löschung in der Praxis umgesetzt wird.

Seien Sie darauf vorbereitet, diese Entscheidungen gegenüber Prüfern und Kunden verständlich zu erläutern. Für Datenschutzbeauftragte und Rechtsberater trägt diese Klarheit dazu bei, zu verdeutlichen, dass Ihre forensischen Bedürfnisse tatsächlich mit den Rechten der Betroffenen abgewogen werden und nicht als pauschale Ausrede dienen, um alles auf unbestimmte Zeit zu speichern. Diese Erläuterungen werden deutlich einfacher, wenn die zugrunde liegenden Mietmuster und Kontrollmechanismen bewusst konzipiert und getestet wurden und wenn Sie aufzeigen können, wie die Abschnitte 9 und 10 der ISO 27001:2022 Messung und Verbesserung fördern.

Mietertrennung in der Praxis umsetzen: Technische und organisatorische Maßnahmen

Hochrangige Prinzipien wie Trennung und minimale Berechtigungen sind hilfreich, doch die Sicherheit von Multi-Tenant-Systemen hängt letztendlich von konkreten technischen und organisatorischen Maßnahmen ab, die Sie Kunden, Auditoren und Aufsichtsbehörden nachweisen können. Dies erfordert standardisierte Vorgehensweisen, disziplinierte Änderungen und regelmäßige Überprüfungen – keine einmaligen Entwürfe, die sich im Laufe der Zeit unbemerkt verändern. CISOs und Architekten können diese Vorgehensweisen nutzen, um die Komplexität zu beherrschen; Anwender profitieren davon, genau zu wissen, wie verschiedene Kundentypen behandelt werden, ohne für jedes neue Projekt raten zu müssen, was „normal“ ist.

Wählen Sie eine kleine Menge unterstützter Mandantenmuster aus.

Die Entwicklung maßgeschneiderter Architekturen für jeden Kunden führt zu Inkonsistenzen und versteckten Risiken. Stattdessen sollten wenige Standard-Mandantenmodelle definiert werden, z. B. dedizierte Umgebungen für besonders risikobehaftete Mandanten, gepoolte Umgebungen mit starker logischer Isolation und mandantenspezifischen Schlüsseln sowie regionale Varianten, wenn Datenresidenz oder -lokalisierung erforderlich ist. Neukunden wählen dann das für ihre Bedürfnisse und ihr Budget passende Modell, anstatt bei null anzufangen.

Dokumentieren Sie für jedes Muster die Funktionsweise von Netzwerksegmentierung, Identitätsmanagement, Verschlüsselung, Schlüsselverwaltung, Protokollierung und administrativem Zugriff. Ausnahmen werden so zu bewussten Entscheidungen, die in Risikoregistern und Verträgen festgehalten werden, anstatt ad-hoc-Regelungen zu bleiben. Dadurch lässt sich gegenüber Prüfern und Aufsichtsbehörden deutlich leichter nachweisen, dass Sie bei der Mandantenfähigkeit strukturierte, risikobasierte Überlegungen anstellen und nicht auf informelle Praktiken zurückgreifen.

Muster durchsetzen mit Infrastruktur-als-Code und Konfigurationsmanagement

Sobald die Mandantenmuster definiert sind, sollten sie nach Möglichkeit in Code und Vorlagen abgebildet werden. Netzwerk- und Firewallregeln sind in deklarativen Vorlagen zu definieren, grundlegende Identitätsrollen und -richtlinien sind in die Versionskontrolle einzubinden, Standardkonfigurationen für Protokollierung und Überwachung sind automatisch anzuwenden und Compliance-Prüfungen sind in CI/CD- oder Deployment-Pipelines zu integrieren. Dadurch wird eine direkte Verbindung zwischen den Kontrollzielen von Anhang A und konkreten Konfigurationen hergestellt.

Dieser Ansatz reduziert Konfigurationsabweichungen zwischen Mandanten, ermöglicht die Nachvollziehbarkeit von Änderungen und gewährleistet eine klare Rückverfolgbarkeit von den dokumentierten Standards zur Live-Umgebung. Für Anwender bedeutet dies weniger Zeitaufwand für die manuelle Neuimplementierung von Mustern und mehr Vertrauen in das konsistente Verhalten der Umgebungen. Für Auditoren bietet er eine stärkere Verbindung zwischen dem Managementsystem und der tatsächlichen Systemkonfiguration – genau das, was sie bei der praktischen Prüfung der Kontrollen gemäß Anhang A erwarten.

Entwerfen Sie Notfallwege, die die Trennung weiterhin respektieren.

In Notfällen werden Kontrollmechanismen häufig umgangen, oft in bester Absicht. Um zu verhindern, dass Notfallmaßnahmen neue Risiken schaffen, sollte der Zugriff auf Notfallfunktionen bereits vor dem Eintritt einer Krise klar definiert werden, damit keine unsicheren Abkürzungen spontan entwickelt werden. Dies umfasst die Frage, wer diese Funktionen unter welchen Bedingungen nutzen darf, wie der Zugriff technisch gewährt wird, welche Maßnahmen protokolliert und überprüft werden müssen und wie Aktionen in Tickets oder Vorfallberichten erfasst werden.

Ingenieure verfügen somit über eine sichere, dokumentierte Möglichkeit, schnell zu handeln, ohne auf gemeinsam genutzte Administratorkonten oder undokumentierte Änderungen zurückgreifen zu müssen. Anschließend liegen klare Nachweise für Vorfallberichte, Managementbewertungen und gegebenenfalls erforderliche DSGVO-Verletzungsprüfungen vor. Da die Klassifizierung von Vorfällen und die Meldeschwellenwerte von spezifischen Fakten und Rechtsordnungen abhängen, sollten Sie sich stets professionell rechtlich beraten lassen, bevor Sie entscheiden, wie und wann Sie Aufsichtsbehörden oder betroffene Personen benachrichtigen.

Datenresidenz und branchenspezifische Anforderungen gezielt behandeln

Manche Mieter benötigen Daten, die in bestimmten Rechtsordnungen verbleiben, oder es gelten aufgrund branchenspezifischer Vorschriften, beispielsweise im Gesundheitswesen, Finanzsektor oder im öffentlichen Sektor, zusätzliche Kontrollen. Anstatt diese Anforderungen in E-Mails und einzelnen Konfigurationsnotizen zu verstreuen, sollten sie explizit in Verträgen und Datenflussdiagrammen festgehalten, spezifischen Mietermustern und Servicekonfigurationen zugeordnet und als Verpflichtungen in Ihr ISMS und Risikoregister aufgenommen werden.

Dies gewährleistet, dass die Kontrollen hinsichtlich Datenresidenz und Branchen für technische Teams, Account Manager und Auditoren transparent sind. Zudem verringert es das Risiko versehentlicher Nichteinhaltung bei Migrationen, Plattform-Upgrades oder Großstörungen, insbesondere wenn Mitarbeiter unter Zeitdruck arbeiten und möglicherweise nicht alle Sonderfälle im Blick behalten. Leitlinien zur Datenresidenz und branchenspezifischen Cloud-Compliance unterstreichen regelmäßig die Notwendigkeit eines solchen strukturierten Ansatzes für grenzüberschreitende und branchenspezifische Anforderungen, insbesondere in Multi-Tenant-Umgebungen, wo eine einzelne Designentscheidung viele Kunden gleichzeitig betreffen kann.

Testisolierung sowie Verfügbarkeit

Die meisten Managed Service Provider (MSPs) testen regelmäßig Backups, Failover und Kapazität; deutlich weniger prüfen routinemäßig, ob die Isolationsmechanismen wie vorgesehen funktionieren. Ergänzen Sie Ihre Sicherheits- und Gewährleistungspläne um Isolationstests, z. B. durch den Versuch, mit Standardrollen auf die Daten eines anderen Mandanten zuzugreifen, um die Blockierung zu bestätigen, die Überprüfung, ob Wiederherstellungen nicht auf den falschen Mandanten erfolgen können, und die Kontrolle, ob Protokolle und Dashboards für kundenorientierte Rollen nur einen einzigen Mandanten anzeigen.

Dokumentieren Sie die Ergebnisse und lassen Sie sie in Ihre Risikobehandlungs- und Verbesserungspläne einfließen. Für CISOs und interne Revisionsteams wandelt sich so aus „Wir glauben, dass die Mieter getrennt sind“ die Aussage „Wir testen und verifizieren die Mietertrennung routinemäßig“, was eine deutlich überzeugendere Botschaft an Kunden und Aufsichtsbehörden darstellt. Diese Testergebnisse werden dann Teil der Nachweise, die Sie vorlegen können, wenn gefragt wird: „Wie beweisen Sie, dass dies in einer realen Multi-Tenant-Umgebung funktioniert?“

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Der Nachweis – Mieter für Mieter: Beweise, Vorfälle und wirtschaftliche Auswirkungen

Kunden, Prüfer und Aufsichtsbehörden bewerten Sie letztendlich anhand Ihrer nachweisbaren Leistungen, nicht anhand Ihrer Beteuerungen, wie wichtig Ihnen Sicherheit ist. Ein mandantenfähiges ISMS sollte es Ihnen ermöglichen, jedem einzelnen Mandanten unkompliziert zu erklären, welche Maßnahmen Sie für ihn ergreifen, wie Sie mit Vorfällen umgehen und welche Nachweise Sie dafür erbringen können. Für CISOs bilden diese Informationen die Grundlage für Berichte an Vorstand und Ausschüsse; für Datenschutzbeauftragte und Rechtsbeauftragte die Grundlage ihrer Rechenschaftspflicht; für Anwender den Beweis, dass ihre tägliche Arbeit tatsächlich von Bedeutung ist und nicht nur „Papierkram für Prüfer“.

Erstellen Sie standardisierte Prüfpakete auf Basis gemeinsamer Nachweise.

Die Erstellung eines komplett neuen „Sicherheitspakets“ für jeden potenziellen Kunden ist zeitaufwendig und birgt das Risiko von Inkonsistenzen. Stattdessen empfiehlt es sich, einen kleinen Satz standardisierter Berichte und Dokumentenpakete zu erstellen, die Sie wiederverwenden und nur geringfügig an die Bedürfnisse jedes einzelnen Mandanten anpassen müssen. Ein typisches Paket könnte eine Beschreibung Ihres ISMS-Geltungsbereichs, wichtige Richtlinien und Zertifizierungen, Zusammenfassungen relevanter Kontrollen und Mieterstrukturen, anonymisierte Beispiele für Vorfalls-, Zugriffsprüfungs- und Backup-Testergebnisse sowie eine klare Erläuterung der Rollen und Verantwortlichkeiten enthalten.

Ergänzen Sie dies um ein schlankes, mieterspezifisches Dokument, das Risikostufe, Leistungsmix, Standorte und alle vereinbarten Sonderverpflichtungen enthält. Dies ist deutlich besser skalierbar als individuell für jeden Kunden erstellte Dokumente und gibt Ihren Vertriebs-, Kundenbetreuungs- und Rechtsabteilungen die Gewissheit, dass die bereitgestellten Informationen korrekt, konsistent und rechtssicher sind. Zudem beschleunigt es die Beschaffungsprozesse, da Sie Ihre Unterlagen nicht jedes Mal von Grund auf neu erstellen müssen, wenn ein Nachweis über die Einhaltung von ISO 27001 und DSGVO angefordert wird.

Vorfalls-Playbooks sollten von vornherein mandantenfähig sein.

Ein Datenschutzverstoß, der nur einen Mieter betrifft, ist schon stressig genug; ein potenzieller Vorfall, der mehrere Mieter betrifft, kann chaotisch werden, wenn Sie nicht darauf vorbereitet sind. Gestalten Sie Ihren Incident-Management-Prozess so, dass er die Auswirkungen auf mehrere Mieter explizit berücksichtigt, anstatt davon auszugehen, dass jeder Vorfall klar abgegrenzt ist. Visualisierung: Ein Ablaufdiagramm, das Erkennung, Mieteridentifizierung, Folgenabschätzung, Benachrichtigung des Verantwortlichen und gewonnene Erkenntnisse zeigt.

Das bedeutet, Maßnahmen zur schnellen Identifizierung betroffener Mieter, zur Unterscheidung zwischen Sicherheitsvorfällen und Datenschutzverletzungen gemäß DSGVO, zur Festlegung von Art und Zeitpunkt der Benachrichtigung der Verantwortlichen sowie zur Beschreibung der bereitzustellenden Informationen zu definieren. Verknüpfen Sie diese Maßnahmen mit Notfall- und Kommunikationsplänen für die Kundenkommunikation und die Wiederherstellung von Diensten. Die praktische Übung dieser Szenarien, anstatt sie als Dokumente ungenutzt zu lassen, stärkt das Selbstvertrauen Ihrer Teams und liefert aussagekräftige Nachweise für interne und externe Audits nach ISO 27001 sowie für die Einhaltung der DSGVO.

Interne Revision auf das übergreifende Mieterrisiko ausrichten

Interne Audits sollten sich zunächst auf Kontrollen konzentrieren, deren Ausfall viele Mandanten gleichzeitig betreffen würde, wie z. B. gemeinsam genutzte Identitätssysteme, zentrale Protokollierung, Backup-Infrastruktur und große Cloud-Umgebungen. Im Rahmen dieses Plans sollten Sie Stichproben von Mandanten aus jeder Risikostufe auswählen, um die Funktionsweise der Kontrollen in realen Kundenkontexten und nicht nur in der Theorie zu demonstrieren. Diese risikobasierte Herangehensweise erfüllt die Anforderungen der ISO 27001 und gibt Kunden die Gewissheit, dass Sie nicht nur „einfache“ Bereiche prüfen.

Es hilft Ihrem CISO und Ihrer internen Revision außerdem, Erkenntnisse und Nachweise bei der Beantwortung individueller Kundenanfragen wiederzuverwenden, anstatt für jeden Mandanten denselben Aufwand zu betreiben. Wiederkehrende Erkenntnisse über verschiedene Mandanten hinweg zeigen mit der Zeit, wo Designänderungen in gemeinsam genutzten Plattformen erforderlich sind, anstatt nur kurzfristige, punktuelle Lösungen. Genau diesen Wandel von isolierten Korrekturen hin zu strukturellen Verbesserungen wollen die Abschnitte 9 und 10 der ISO 27001:2022 fördern.

Legen Sie klare Regeln für kundeninitiierte Tests und Audits fest.

Große Kunden möchten zunehmend eigene Tests auf Plattformen durchführen, die Sie auch für andere Mandanten nutzen. Um dies sicher zu handhaben, definieren Sie eine Standardrichtlinie für Kunden-Penetrationstests und -Audits auf gemeinsam genutzten Plattformen. Legen Sie Zeitplan, Umfang, Datenschutzmaßnahmen und Benachrichtigungspflichten fest und stellen Sie sicher, dass Tests für einen Mandanten andere Mandanten nicht beeinträchtigen oder deren Informationen offenlegen. Die Dokumentation dieser Richtlinie in Ihrem ISMS zeugt von vorausschauendem Handeln und nicht von Ad-hoc-Reaktionen.

Eine solche Richtlinie schützt nicht nur Ihre Geschäftsprozesse, sondern signalisiert auch Professionalität, wenn potenzielle Kunden danach fragen. Für Ihre Datenschutz- und Rechtsbeauftragten bietet sie zudem einen Rahmen, um sicherzustellen, dass alle Kundentests mit der DSGVO und vertraglichen Verpflichtungen übereinstimmen, insbesondere wenn externe Tester andernfalls umfassenden Zugriff auf gemeinsam genutzte Systeme hätten. Für Anwender reduziert sie die Unsicherheit, wenn Kunden eigene Testprogramme vorschlagen.

Behandeln Sie Compliance als wirtschaftlichen Hebel, nicht nur als Schutzschild.

Strenge Praktiken gemäß ISO 27001 und DSGVO können Sicherheitsfragebögen verkürzen, Beschaffungsprüfungen vereinfachen und den Zugang zu stärker regulierten Branchen erleichtern. Fallstudien von Managed Service Providern (MSPs) und Kommentare von Vertriebspartnern zeigen häufig, dass sichtbare Zertifizierungen und gut vorbereitete Assurance-Pakete mit einer schnelleren Bearbeitung von Fragebögen und einem verbesserten Zugang zu regulierten Kunden einhergehen. Dies wird auch in Diskussionen in Fachkreisen, beispielsweise in Vertriebsleitfäden für MSPs mit Fokus auf Sicherheitszertifizierungen, hervorgehoben. Erfassen Sie Kennzahlen wie die Bearbeitungszeit typischer Due-Diligence-Anfragen vor und nach Verbesserungen Ihres Informationssicherheitsmanagementsystems (ISMS), Erfolgsquoten, bei denen Ihre Zertifizierung oder Ihr strukturierter Datenschutzansatz als Erfolgsfaktor genannt wurde, sowie Feedback von den Sicherheits- und Datenschutzteams Ihrer Kunden. Diese Messungen stellen einen direkten Zusammenhang zwischen Governance-Maßnahmen und Geschäftsergebnissen her.

In der ISMS.online-Umfrage „State of Information Security 2025“ gaben fast alle Befragten an, dass das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 für sie oberste Priorität habe.

Die Rückmeldung dieser Erkenntnisse an die Führungsebene trägt dazu bei, Investitionen in Governance und Tools als Teil der Wachstumsstrategie und nicht nur als Schutz vor Bußgeldern zu positionieren. Sie schafft zudem eine gemeinsame Basis für Compliance-Beauftragte, CISOs, Datenschutzbeauftragte und Anwender: Gute Governance stärkt das Vertrauen, und Vertrauen steigert den Umsatz. Diese gemeinsame Basis gewinnt deutlich an Überzeugungskraft, wenn aufgezeigt werden kann, wie eine ISMS-Plattform dies mandanten-, service- und länderübergreifend unterstützt.

Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online unterstützt Sie bei der Umsetzung der Anforderungen von ISO 27001 und DSGVO in ein interaktives, mandantenfähiges ISMS, das Ihre Kunden einsehen und dem sie vertrauen können. Anstatt Richtlinien in Ordnern zu verwalten und Nachweise in Tabellenkalkulationen zu verteilen, können Sie Geltungsbereich, Risiken, Annex-A-Kontrollen, DSGVO-Aufzeichnungen und Prüfprotokolle zentral koordinieren und Ihre bestehenden Ticket-, Protokollierungs- und Cloud-Tools weiterhin optimal nutzen. Unabhängige Marktübersichten von ISMS-Tools, wie beispielsweise Analystenleitfäden zu ISMS-Plattformen, bestätigen übereinstimmend, dass spezialisierte Systeme dieser Art die Verwaltung von Dokumentation, Workflow und Nachweiserfassung im großen Maßstab vereinfachen.

Warum eine ISMS-Plattform für Managed Service Provider (MSPs) ein echter Wettbewerbsvorteil ist

Eine dedizierte ISMS-Plattform bietet Ihnen einen zentralen Arbeitsbereich, in dem Compliance-Beauftragte, CISOs, Datenschutzbeauftragte, Rechtsexperten und andere Fachkräfte nach demselben Geschäftsmodell arbeiten können. Sie können den Umfang und die Risikostufen für mehrere Mandanten einmalig abbilden, Kontrollsätze und Nachweisvorlagen service- und mandantenübergreifend wiederverwenden und Risiken, Vorfälle, Datenverarbeitungsvereinbarungen und Verbesserungen verknüpfen, sodass nichts übersehen wird. Diese gemeinsame Struktur erleichtert es, Ihren Status mandantenspezifisch nachzuweisen, ohne jedes Mal Dokumente neu erstellen zu müssen.

Wenn ein potenzieller Kunde oder eine Aufsichtsbehörde fragt, wie Sie personenbezogene Daten mandantenübergreifend schützen, können Sie ihnen dasselbe System zeigen, das Ihre Teams täglich nutzen, anstatt mühsam Screenshots und Ad-hoc-Tabellen zusammenzustellen. Für Ihre Entwickler wird so klar, welche Kontrollen wo Anwendung finden; für die Führungsebene wird deutlich, welche Investitionen Risiken minimieren und die Erfolgsquote verbessern. Diese Kombination aus operativer Transparenz und sichtbaren Nachweisen ist mit Dokumenten und Tabellen allein schwer zu erreichen, insbesondere bei wachsender Mandantenbasis und verschärften regulatorischen Anforderungen.

Ein kurzes Gespräch, das Pläne in die Realität umsetzt

Die schnellste Möglichkeit, ISMS.online in Aktion zu erleben, ist oft der beste Weg, um zu entscheiden, ob dieser Ansatz zu Ihrem Managed Service Provider (MSP) passt. Ein kurzes, zielgerichtetes Gespräch und eine individuelle Vorführung zeigen Ihnen, wie Ihre bestehenden Services in ein einheitliches ISMS integriert werden, wie sich die Anforderungen von Anhang A und der DSGVO in praktischen Arbeitsabläufen widerspiegeln und wie mandantenspezifische Nachweisdokumente aus gemeinsam genutzten Daten erstellt werden können. Sie bringen Ihre Fragen und aktuellen Herausforderungen mit; die Schulung übersetzt diese in konkrete, umsetzbare Lösungsansätze.

Entscheiden Sie sich für ISMS.online, wenn Sie Ihre ISO 27001- und DSGVO-Konformität in ein dynamisches, mandantenfähiges System umwandeln möchten, anstatt nur eine Sammlung statischer Dokumente zu erstellen. Wenn Sie Wert auf transparente Nachweise, eine auditerfreundliche Struktur und eine gemeinsame Umgebung legen, in der Gründer, CISOs, Datenschutzbeauftragte und Anwender die gleichen Informationen vor Augen haben, ist ein erstes Gespräch der nächste sinnvolle Schritt. So wandeln Sie Ihr Vertrauen in die Gewissheit, dass wir jedem Ihrer Mandanten die notwendigen Nachweise erbringen.

Kontakt

Häufig gestellte Fragen (FAQ)

Wie sollte ein Managed Service Provider (MSP) sein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001:2022 definieren, wenn er viele DSGVO-regulierte Kunden betreut?

Legen Sie den Umfang Ihres ISO 27001:2022 ISMS einmalig fest. Anbieterebene Konzentrieren Sie sich auf die von Ihnen betriebenen Dienste und Plattformen und drücken Sie dann die Unterschiede zwischen den Mietern durch Risikostufen und Erwartungen von „interessierten Parteien“ aus, anstatt für jeden Kunden ein separates ISMS zu erstellen.

Wie definiert man einen klaren Anwendungsbereich der ISO 27001 auf Anbieterebene?

Beschreiben was Sie bereitstellennicht die Liste der Kunden, denen Sie es zur Verfügung stellen. Eine praktische Leistungsbeschreibung für einen Managed Service Provider könnte lauten:

Die Bereitstellung von Managed IT-, Cloud- und Sicherheitsdiensten über gemeinsam genutzte und dedizierte Plattformen, die von betrieben werden Die

Berücksichtigen Sie alle Systeme und Umgebungen, die personenbezogene Daten von Mandanten einsehen, verarbeiten oder beeinflussen können: RMM- und PSA-Systeme, Backup- und DR-Plattformen, SOC-Tools, Cloud-Administrationskonsolen, Remote-Access-Gateways, Plattformen für gemeinsame Identitätsverwaltung sowie die Standorte Ihrer Administratoren. Diese Plattformen, Netzwerke und Teams bilden den Kern Ihres Informationssicherheitsmanagementsystems (ISMS); deren Ausschluss führt in der Regel zu Unstimmigkeiten hinsichtlich des Geltungsbereichs bei Audits.

Behandeln Sie Kunden, Aufsichtsbehörden und kritische Lieferanten als interessierte Parteien Gemäß ISO 27001:2022, Abschnitt 4.2, sollten Sie deren Erwartungen – DSGVO, Branchenvorschriften, SLAs, Datenverarbeitungsvereinbarungen, Strafen bei Verstößen, Aufenthaltsbeschränkungen – erfassen und in Ihre Risikobewertung, Ziele und integrierten Managementprüfungen im Stil von Anhang L einfließen lassen. Der Umfang bleibt dann stabil, während sich Ihr Verständnis von Pflichten und Risiken weiterentwickelt.

Die Verwendung dieses Modells in einer strukturierten Umgebung wie ISMS.online vereinfacht die Abstimmung von Umfang, Grenzen und Stakeholder-Erwartungen beim Hinzufügen von Regionen, Diensten oder neuen Mandantenmodellen. Sie können einen klaren Zusammenhang zwischen Umfang, Interessengruppen, Risiken und Kontrollen nachverfolgen, was sowohl Wirtschaftsprüfer als auch anspruchsvolle Unternehmenskunden beruhigt.

Wie lassen sich Mieterunterschiede abbilden, ohne die ISMS-Umfänge zu vervielfachen?

Statt „ein ISMS pro Mandant“ sollten Kunden in Gruppen eingeteilt werden. geringe Anzahl von Risikostufen basierend auf der Sensibilität der Daten und dem regulatorischen Druck. Viele Managed Service Provider (MSPs) halten drei Stufen für praktikabel:

Tier A – Stark reguliert / hohe Auswirkungen: (öffentlicher Sektor, Gesundheit, Finanzen, kritische Infrastruktur).
Stufe B – Mittlere Empfindlichkeit: (größere Geschäftskunden mit strengen Sicherheitsvorkehrungen oder Strafen).
Tier C – Standard-KMU / geringere Empfindlichkeit: (professionelle Dienstleistungen, typisches Arbeitsaufkommen eines KMU).

Ordnen Sie Vermögenswerte, Dienstleistungen, Risiken und Maßnahmen diesen Stufen zu, anstatt einzelne Kundennamen zu verwenden. Wenn Sie eine Kontrolle der Stufe A verbessern, profitieren alle wichtigen Mieter sofort, und Sie vermeiden die Pflege dutzender ähnlicher Risikoregister. Falls ein bestimmter Kunde oder Sektor mehr benötigt, erfassen Sie dies als … Ausnahme der Stufe „plus“ statt eines eigenständigen ISMS.

Nutzen Sie ISO 27001:2022 Abschnitt 4.3 zum Geltungsbereich zusammen mit den Kontrollen aus Anhang A zu Anlagenmanagement, Zugriffskontrolle und Lieferantenbeziehungen, um die Struktur transparent zu gestalten. In einer ISMS-Plattform können Sie Risikostufen, Anforderungen von Interessengruppen und Kontrollzuordnungen denselben Datensätzen zuordnen. Dadurch ist das Modell auditierbar, reproduzierbar und nicht vom Gedächtnis eines einzelnen Technikers abhängig. ISMS.online bietet Ihnen diese zentrale Plattform zur Speicherung von Geltungsbereichsbeschreibungen, Stufenlogik und Nachweisen. So können Sie Ihre Managed Services skalieren, ohne die Governance bei jedem neuen Mandanten neu aufbauen zu müssen.

Welche Rollen und Verantwortlichkeiten im Zusammenhang mit der DSGVO hat ein Managed Service Provider (MSP) üblicherweise für viele Mandanten?

Bei den meisten Diensten sind Sie ein Prozessor für Mandantendaten, aber einige Aktivitäten machen Sie zu einem unabhängiger Regler or Gemeinsam VerantwortlicherSie haben zudem stets DSGVO-Pflichten für Ihre eigene Datenverarbeitung. Die klare Abgrenzung dieser Grenzen ist unerlässlich für eindeutige Verträge, glaubwürdige ISMS-Dokumentationen und reibungslose Gespräche mit den Aufsichtsbehörden.

Woran erkennt man, ob man Controller, Prozessor oder gemeinsamer Controller ist?

Gehen Sie jeden Service- und Verarbeitungsschritt durch und stellen Sie zwei einfache Fragen:

Wer entscheidet, warum diese personenbezogenen Daten verarbeitet werden und welches geschäftliche Ergebnis angestrebt wird?
Wer legt die wesentlichen Mittel fest – Kernsysteme, Logik, Aufbewahrungsregeln und Offenlegungspflichten?

Wenn der Kunde den Zweck („Schutz unserer E-Mails“, „Hosting unserer Branchenanwendung“) und die dafür notwendigen Mittel festlegt und Sie lediglich Systeme in seinem Auftrag betreiben, dann sind sie die Controller und du bist ein Prozessor (DSGVO Artikel 4(7)-(8) und 28). Ihr ISMS sollte daher Kontrollen auf Prozessorebene in den Vordergrund stellen: Zugriffskontrolle, Protokollierung, Vertraulichkeit, Überwachung von Unterprozessoren und Umgang mit Sicherheitsvorfällen.

Wenn Sie personenbezogene Daten für Ihre eigenen Analysen, Bedrohungsanalysen, Serviceverbesserungen oder Abrechnungsoptimierungen wiederverwenden, werden Sie zu einem Controller Für diese Wiederverwendung bestehen eigenständige Pflichten, wie die Ermittlung einer Rechtsgrundlage, die Einhaltung von Transparenzvorschriften und die Wahrung der Rechte der betroffenen Personen (Artikel 5–6, 13–15). „Wir anonymisieren die Daten“ funktioniert nur, wenn Ihre technischen und organisatorischen Maßnahmen die Anonymisierung oder eine robuste Pseudonymisierung tatsächlich gewährleisten.

Bei einigen gemeinsamen Angeboten – gemeinsam genutzten Überwachungsportalen, gemeinsam entwickelten KI-Funktionen, Mehrparteienplattformen – können Sie und der Kunde zu Partnern werden. Gemeinsam Verantwortliche (Artikel 26), in dem Sie gemeinsam die Zwecke und wesentlichen Mittel festlegen. Diese Fälle erfordern explizite Vereinbarungen und eine klare externe Kommunikation, da die Aufsichtsbehörden nicht nur die Bezeichnung in Ihrem Vertrag, sondern auch die Zuweisung von Verantwortlichkeiten und Haftungen prüfen.

Wie lassen sich Rollenentscheidungen so umsetzen, dass das Team sie auch tatsächlich umsetzen kann?

Katalog der Verarbeitungstätigkeiten pro Dienst und Mandant: Welche Kategorien personenbezogener Daten verarbeiten Sie, zu welchen Zwecken, auf wessen Anweisung und in welchen Systemen? Geben Sie für jede Tätigkeit an, ob Sie:

Nur Prozessor.
Unabhängiger Regler.
Gemeinsame Verantwortlichkeit mit dem Kunden oder einem Dritten.

Stellen Sie sicher, dass die Klassifizierung einheitlich erscheint in:

Aufzeichnungen über Verarbeitungstätigkeiten: (Artikel 30).
Datenverarbeitungsvereinbarungen: und Kerndienstleistungsverträge.
Servicebeschreibungen, Runbooks und ISMS-Asset-Datensätze:

Build a Verantwortungsmatrix Für jeden Dienst wird angezeigt, wer für Zugriffsberechtigungen, Protokollierung, Datensicherung, Vorfallbearbeitung, Benachrichtigung bei Datenschutzverletzungen und Anfragen betroffener Personen zuständig ist. Dadurch werden Annahmen vermieden, die später zu Streitigkeiten führen könnten, und es wird wesentlich einfacher, Vertrieb, Support und Entwickler darüber zu informieren, wer welche Aufgaben hat.

Die Pflege dieses Modells innerhalb Ihres ISMS – und dessen Verknüpfung mit Assets, Lieferanten und Risiken – führt dazu, dass neue Funktionen, Unterauftragnehmer oder geografische Änderungen eine Überprüfung auslösen, anstatt unbemerkt einzutreten. Fragt der Datenschutzbeauftragte eines potenziellen Kunden: „Wer ist wofür genau verantwortlich?“, können Sie eine mandantenorientierte Matrix präsentieren, die auf Ihrem ISMS basiert, anstatt im Gespräch improvisieren zu müssen. ISMS.online unterstützt Sie dabei, diese Zuordnungen, Verträge und Risikoentscheidungen zentral zu verwalten, sodass Sie auch bei der Weiterentwicklung Ihrer Services souverän antworten können.

Welche Kontrollmaßnahmen des ISO 27001 Annex A sind am wichtigsten für die Trennung und den Schutz personenbezogener Daten von Mietern?

Für einen Managed Service Provider sind die in Anhang A aufgeführten Kontrollen, die am wichtigsten sind, diejenigen, die Folgendes regeln: Identitäts-, Zugriffs-, Konfigurations-, Protokollierungs- und Lieferantenmanagement auf Ihren gemeinsam genutzten Plattformen, da eine einzige Fehlkonfiguration dort viele Mandanten gleichzeitig betreffen kann.

Wie lässt sich Anhang A in eine praktische Steuerungsarchitektur für mehrere Mandanten umwandeln?

Teilen Sie Ihre Kontrollumgebung in zwei Ebenen auf:

A gemeinsame Plattform als Rückgrat Dies umfasst zentrales IAM, Workflows für privilegierten Zugriff, sichere Administrationspfade, gehärtete Basiskonfigurationen, zentrale Protokollierung, Backup-Infrastruktur und die Überwachung der wichtigsten Lieferanten.
Mieterüberlagerungen: – Mandantenspezifische MFA, Netzwerksegmentierung, DLP-Regeln, kundenspezifische Protokollierungsschwellenwerte und dokumentierte lokale Richtlinienvarianten.

Ordnen Sie für jede Backbone-Kontrolle die relevanten Verweise gemäß Anhang A sowie die DSGVO-Grundsätze wie Integrität und Vertraulichkeit und die Verpflichtung zur Gewährleistung einer angemessenen Sicherheit der Verarbeitung (Artikel 5 Absatz 1 Buchstabe f und Artikel 32) zu. Formulieren Sie beispielsweise für eine gemeinsam genutzte Remote-Management-Plattform explizit mandantenübergreifende Risiken wie „Eine Rechteausweitung im RMM könnte die Endpunkte mehrerer Mandanten gefährden“ und verknüpfen Sie diese mit Ihren Kontrollen gemäß Anhang A, Konfigurationsstandards, Genehmigungsprozessen und Überwachungsmechanismen.

Wo die Standardkontrollen gemäß Anhang A nicht reibungslos angewendet werden können – z. B. in Altsystemen, bei Akquisitionen oder bei regionsspezifischen Tools – definieren Kompensationskontrollen (Zusätzliche Überwachung, strengere Genehmigungsverfahren, lückenlosere Protokollierung, zusätzliche Trennungsprüfungen) und dokumentieren Sie, warum das Restrisiko akzeptabel ist. Führen Sie regelmäßige Überprüfungen durch, damit diese Ausnahmen nicht versehentlich dauerhaft werden.

Leitlinien aus ISO 27017 (Cloud-Sicherheit) und ISO 27701 (Datenschutzerweiterung zu ISO 27001) helfen Ihnen bei der Auslegung von Anhang A in gehosteten und mandantenfähigen Umgebungen. Wenn Sie Zuordnungen, Ausnahmen und Begründungen in einem zentralen ISMS anstatt in verstreuten Dokumenten erfassen, können Sie Auditoren und Mandanten eine einheitliche Darstellung bieten: So arbeiten unser Informationssicherheits-Managementsystem, unsere Kontrollen gemäß Anhang A und unsere Mandantenstrukturen zusammen, um personenbezogene Daten zu schützen. ISMS.online bietet Ihnen diese zentrale Datenquelle, mit der Sie Entscheidungen belegen können, anstatt sich auf verstreute Tabellen und unstrukturiertes Wissen zu verlassen.

Wie kann ein Managed Service Provider (MSP) Datenminimierung, Zugriffskontrolle und Protokollierung über viele Mandanten hinweg in gemeinsam genutzten Tools anwenden?

Sie machen Datenminimierung, Zugriffsrechte nach dem Prinzip der minimalen Berechtigungen und sinnvolle Protokollierung nachhaltig, indem Sie sie umwandeln in Standardarbeitsmuster als integraler Bestandteil Ihrer gemeinsamen Tools und Verfahren, anstatt als optionale Zusatzfunktionen, die für jeden Mandanten separat angepasst werden.

Reduzieren Sie zunächst die Menge an personenbezogenen Daten, die Sie in Ihre internen Systeme einpflegen. Dies betrifft insbesondere Ticketing-, Kollaborations- und Dokumentationstools.

Sofern die Servicequalität dies zulässt, sollten Kunden-IDs, Asset-Tags oder pseudonyme Bezeichnungen den vollständigen Namen vorgezogen werden.
Schwärzen oder maskieren Sie Screenshots, die Gesundheits-, Finanz- oder Personalinformationen offenlegen, bevor Sie sie hochladen.
Anstatt ganze Datensätze in Ihre Notizen zu kopieren, verlinken Sie auf die Kundensysteme, um detaillierte Kontextinformationen zu erhalten.

Richten Sie diese Praktiken an den Vorgaben der DSGVO aus. Datenminimierung und Speicherbegrenzung Die in Artikel 5 genannten Grundsätze. In Verbindung mit einem klar definierten Geltungsbereich des ISMS sorgt dies dafür, dass sich Ihr eigenes Informationssicherheitsmanagementsystem auf die Daten konzentriert, die Sie tatsächlich zur Erbringung von Dienstleistungen benötigen, was wiederum die Gestaltung und Verteidigung der in Anhang A vorgesehenen Kontrollen für Zugriff und Protokollierung erleichtert.

Wie kann man Zugriff und Protokollierung effektiv gestalten, ohne die Entwickler zu überlasten?

Implementierung rollenbasierte Zugriffskontrolle und, wo möglich, attributbasierte Richtlinien Daher müssen sowohl die Anforderungen an Mieter als auch an Techniker erfüllt sein, bevor risikoreiche Aktionen zulässig sind. Ein Spezialist, der Mieter im öffentlichen Sektor betreut, kann ein ganz anderes Zugriffsprofil und einen anderen Genehmigungsprozess haben als jemand, der KMU-Kunden mit geringerem Risiko betreut.

Standardisieren Sie die Prozesse für Eintritt, Versetzung, Austritt und Rechteerweiterung, sodass Genehmigungen, Begründungen und Ablaufdaten automatisch erfasst werden. Dadurch erhalten Sie einen soliden Nachweis für die Anforderungen von Anhang A bezüglich Benutzerzugriffsverwaltung, privilegiertem Zugriff und Protokollierung, ohne auf E-Mail-Verläufe angewiesen zu sein.

Für die Protokollierung sollte mindestens Folgendes sichergestellt werden:

Authentifizierungsereignisse, administrative Aktionen, Konfigurationsänderungen und Wiederherstellungsvorgänge werden erfasst.
Jeder Logeintrag ist mit dem entsprechenden Mandanten, System und Benutzer gekennzeichnet.
Die Aufbewahrungseinstellungen werden mit einer Begründung dokumentiert, die den Ermittlungsbedarf, vertragliche Erwartungen, Speicherkosten und den Grundsatz der Speicherbegrenzung der DSGVO in Einklang bringt.

Erfassen Sie diese Muster als Richtlinien, Betriebshandbücher und Vorlagen in Ihrem ISMS und wenden Sie sie einheitlich in RMM-, PSA-, Backup-, SOC- und Cloud-Tools an. So können Sie Aufsichtsbehörden, Auditoren und Kunden zeigen, dass Datenminimierung, Zugriffskontrolle und Protokollierung fester Bestandteil der Arbeitsweise Ihrer Teams sind und nicht nur formale Vorgaben darstellen. ISMS.online unterstützt dies, indem es Ihnen ermöglicht, Muster, Tools, Annex-A-Kontrollen und Nachweise zu verknüpfen, um die Wirksamkeit dieser Schutzmaßnahmen für alle Mandanten zu belegen.

Wie sieht „Tenant-Trennung“ im täglichen Betrieb von Managed Service Providern (MSPs) konkret aus?

Mietertrennung ist die Kombination aus Architektur, kodifizierte Konfiguration und disziplinierte Abläufe Dadurch wird verhindert, dass die Umgebung, Daten oder der administrative Kontext eines Kunden in den eines anderen Kunden gelangen – selbst bei Zwischenfällen, dringenden Änderungen und Arbeiten außerhalb der Geschäftszeiten.

Definiere eine kleine Menge von unterstützte Mietmuster Damit jeder versteht, wie Trennung funktionieren soll. Gängige Muster sind:

Gewidmet: Ein Mandant pro Umgebung mit isolierten Netzwerken, Administratorpfaden und Verschlüsselung.
Zusammengefasst mit strikter logischer Isolation: Mehrere Mieter nutzen zwar gemeinsame Plattformen, verfügen aber über eine starke Trennung von Identität, Netzwerk und Schlüsseln.
Region‐fixed: Daten und Verwaltung sind auf bestimmte Rechtsordnungen beschränkt, um die Anforderungen der DSGVO und anderer Datenschutzbestimmungen zu erfüllen.

Dokumentieren Sie für jedes Muster, wie sich Netzwerksegmentierung, Administratorzugriff, Authentifizierung, Verschlüsselung, Schlüsselverwaltung und Protokollierung voraussichtlich verhalten werden. Kodieren Sie so viel wie möglich davon in Infrastruktur als Code und Konfigurationsmanagement, um eine einheitliche Einführung der Baselines zu gewährleisten, und die Verwendung automatisierter Prüfungen zur Erkennung von Abweichungen.

Für den operativen Bereich müssen klare Verfahren für Notfallzugang, größere Änderungen und den Umgang mit Zwischenfällen definiert werden. Die Ingenieure müssen wissen, wie sie schnell handeln können. ohne Umgehung von Trennungskontrollen. Integrieren Sie spezifische Tests in Ihr internes Audit- und Business-Continuity-Programm, die die Isolation gezielt üben: Versuche, auf den falschen Mandanten zuzugreifen, Wiederherstellungsübungen in der falschen Umgebung oder gezielte Überprüfungen gemeinsam genutzter Protokolle auf mandantenübergreifende Leckagen.

Erfassen Sie Mietmuster, Ausnahmen, Tests und Ergebnisse in Ihrem ISMS, um diese sowohl Kunden als auch Auditoren präsentieren zu können. Design plus BeweiseDas verwendete Muster, die eingesetzten Kontrollmechanismen und der Nachweis ihrer korrekten Funktion. Plattformen wie ISMS.online erleichtern die Integration von Architekturbeschreibungen, Annex-A-Zuordnungen und Testprotokollen in ein einziges Informationssicherheitsmanagementsystem. So sind Sie nicht mehr auf Diagramme in einem Tool und an anderer Stelle verstreute Nachweise angewiesen.

Wie kann ein Managed Service Provider (MSP) jedem Mandanten die Einhaltung von ISO 27001 und DSGVO nachweisen, ohne für jeden Kunden ein separates Audit durchzuführen?

Kreation standardisierte Beweismittelpakete Erweitern Sie Ihr zentrales ISMS um eine schlanke, mandantenspezifische Ebene, sodass Sie die Frage „Was tun Sie für unsere Daten?“ konsistent beantworten können, ohne für jeden Kunden, der danach fragt, ein neues Audit einplanen zu müssen.

Wie gelingt der Übergang von Ad-hoc-Antworten zu wiederholbarer Mietersicherheit?

Stellen Sie ein wiederverwendbares Kernbeweismaterial aus Ihrem Informationssicherheitsmanagementsystem, zum Beispiel:

Ein klares ISMS Umfangsanweisung Darin wird erläutert, welche Dienste, Systeme und Standorte abgedeckt sind.
Wichtige Richtlinien wie Informationssicherheit, Zugriffskontrolle, Vorfallmanagement, Lieferantenmanagement und Geschäftskontinuität.
Eine prägnante Beschreibung Ihrer Mietmuster, Ihrer Annex-L-artigen Integration mit verwandten Rahmenwerken (z. B. Qualitäts- oder Servicemanagement) und wie gemeinsame Kontrollen personenbezogene Daten schützen.
Beispiele für bearbeitete Vorfälle, Zugriffsüberprüfungen, Backup- und Wiederherstellungstests sowie interne Prüfungsergebnisse im Zusammenhang mit mandantenübergreifenden Kontrollen.
Ein fokussierter Rollen- und Verantwortlichkeitsmatrix Zusammenfassung der Aufgaben des Controllers/Prozessors, der Verantwortlichkeiten im Bereich der Sicherheitsmaßnahmen und der Erwartungen an die Meldung von Vorfällen.

Fügen Sie anschließend für jeden Mandanten oder jede Risikostufe eine kurze Ergänzung hinzu, die die genutzten Dienste, relevante Datenspeicherorte, die Risikostufe, zusätzliche regulatorische oder vertragliche Anforderungen sowie eine gefilterte Ansicht der für sie geltenden Vorfälle, Zugriffskontrollen und Kontinuitätstests umfasst. Sie demonstrieren damit die Anwendung Ihres gemeinsamen ISMS und der Kontrollen gemäß Anhang A. speziell ihrer Umgebung, ohne die Daten anderer Kunden preiszugeben.

Richten Sie Ihren internen Prüfungsplan an diesem Modell aus, indem Sie sich auf Folgendes konzentrieren: Mandantenübergreifende Kontrollen Anstatt für jeden Kunden ein individuelles, umfassendes Audit anzubieten, sollten Sie Stichproben von Mietern jeder Ebene durchführen. Definieren Sie ein Standardverfahren für kundeninitiierte Bewertungen auf gemeinsam genutzten Plattformen, um externe Prüfungen zu unterstützen, ohne andere Mieter zu beeinträchtigen oder Ihr ISMS zu fragmentieren.

Wenn Geltungsbereichsbeschreibungen, Richtlinien, Mieterstrukturen, Protokolle und Berichte in einem System wie ISMS.online zentral verwaltet werden, können Sie bei Änderungen von Diensten, Standorten und Vorschriften schnell mandantenfähige Nachweise erstellen. So können Sie Kunden, Interessenten und Auditoren versichern, dass Compliance ein dynamisches, mandantenfähiges Informationssicherheitsmanagementsystem ist und nicht nur ein Bündel Dokumente, das Sie bei wichtigen Vertragsabschlüssen oder Due-Diligence-Prüfungen mühsam zusammenstellen müssen.

Wir sind führend auf unserem Gebiet

Regionalleiter – Winter 2026 (Großbritannien)

Regionalleiter – Winter 2026, Mittelstand EU

Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“
— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“
— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“
— Ben H.

ISO 27001 & DSGVO für MSPS – Umgang mit personenbezogenen Kundendaten mandantenübergreifend