Zum Inhalt
ISMS.online

Die wichtigsten Fragen zu ISO 27001, die Sicherheitsteams in Unternehmen an MSPS stellen

Sicherheitsteams in Unternehmen sind heute bei kritischen Kontrollen auf Managed Service Provider (MSPs) angewiesen. ISO 27001 sorgt jedoch dafür, dass Sie auch bei ausgelagerten Dienstleistungen für Risiken verantwortlich bleiben. Zu wissen, wie der Geltungsbereich des Informationssicherheitsmanagementsystems (ISMS), die Kontrollen gemäß Anhang A und die laufenden Nachweise eines MSPs auf Ihr Unternehmen anwendbar sind, stärkt das Vertrauen von Vorständen, Wirtschaftsprüfern und Aufsichtsbehörden und hilft gleichzeitig, unerkannte Sicherheitslücken zu vermeiden, die Zertifikate allein nicht aufdecken können.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum sind Fragen zu ISO 27001 für Managed Service Provider (MSPs) heute wichtiger denn je?

Fragen zu ISO 27001 an Managed Service Provider (MSPs) sind heute wichtiger denn je, da deren Kontrollmechanismen die Risiken und die regulatorische Verantwortung Ihres Unternehmens direkt beeinflussen. Unternehmensweite Sicherheitsteams wie CISOs, Sicherheitsmanager, Verantwortliche für Lieferantenrisiken und Leiter des Drittanbieterrisikomanagements sind für kritische Abläufe mittlerweile auf Managed Service Provider angewiesen. Eine unzureichende ISO-27001-Konformität eines Anbieters wird daher schnell zu Ihrem Problem. Durch gezielte Fragen zu ISO 27001 erhalten Sie Einblick in die tatsächliche Funktionsweise der Kontrollmechanismen im Tagesgeschäft und können Vorständen, Prüfungsausschüssen und Aufsichtsbehörden nachweisen, dass Outsourcing Ihre Sicherheitslage stärkt und nicht schwächt.

Als Sie ISO 27001 intern einführten, konzentrierten Sie sich wahrscheinlich auf Ihre eigenen Rechenzentren, Anwendungen und Teams. Heute befindet sich ein erheblicher Teil Ihrer IT-Infrastruktur möglicherweise in der Umgebung eines Managed Service Providers (MSP) oder auf von diesem verwalteten Cloud-Plattformen. Dazu gehören beispielsweise ein Managed Security Operations Center (SOC), das Ihre gesamten Protokolle analysiert, oder eine Managed Identity Platform (MIP), die Single Sign-On für alle Mitarbeiter ermöglicht. Der Standard verpflichtet Sie weiterhin zur Verantwortung für Informationssicherheitsrisiken, selbst wenn andere Organisationen wichtige Kontrollen in Ihrem Auftrag durchführen. ISO 27001 macht dies deutlich, indem er von Ihnen verlangt, Ihren organisatorischen Kontext zu definieren, Informationssicherheitsrisiken zu bewerten und ausgelagerte Prozesse zu kontrollieren, anstatt die Verantwortung vollständig an Lieferanten abzugeben, wie es in den grundlegenden Übersichten der ISO-27000-Familie, etwa der Einführung zur ISO-27000-Reihe, hervorgehoben wird. Daher ist die Frage „Sind Sie ISO-27001-zertifiziert?“ heute eher ein unzureichender Ausgangspunkt als eine ausreichende Antwort.

Im Bericht „State of Information Security 2025“ wird festgestellt, dass Kunden zunehmend erwarten, dass Lieferanten sich an formalen Rahmenwerken wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials und SOC 2 orientieren, anstatt sich auf allgemeine bewährte Verfahren zu verlassen.

Vertrauen entsteht, wenn man sieht, wie die Kontrollen jeden Tag funktionieren, nicht nur zum Zeitpunkt der Zertifizierung.

Sie müssen verstehen, ob das Informationssicherheitsmanagementsystem (ISMS) eines Managed Service Providers (MSP) die von Ihnen geplanten Dienste tatsächlich abdeckt, wie die geteilte Verantwortung interpretiert wird und wie die laufenden Kontrollmaßnahmen nachgewiesen werden. Diese Aspekte sollten in Ihren Fragen an jeden Anbieter und in Ihrer internen Begründung für die Eignung eines bestimmten MSP berücksichtigt werden. Dieser Artikel bietet allgemeine Informationen zur Unterstützung dieser Gespräche; er stellt keine Rechts- oder Regulierungsberatung dar. Treffen Sie Ihre endgültigen Entscheidungen stets in Absprache mit Ihren internen Gremien und qualifizierten Beratern.

Wie Outsourcing Ihre ISO 27001-Risikolandschaft verändert hat

Ihre Risikolandschaft veränderte sich in dem Moment, als Sie Teile Ihrer Technologieinfrastruktur einem externen Anbieter überließen. Sie haben nicht die Verantwortung abgegeben, sondern lediglich Aktivitäten ausgelagert. Daher erwartet ISO 27001 weiterhin, dass Sie die Kontrolle über das Sicherheitsmanagement behalten.

Die Mehrheit der Organisationen gab an, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

ISO 27001 erwartet von Ihnen Folgendes:

  • Verstehen Sie interne und externe Faktoren, die Ihr ISMS beeinflussen.
  • Beteiligte Parteien, einschließlich MSPs, und deren Anforderungen definieren.
  • Kontrolle ausgelagerter Prozesse, die die Informationssicherheit beeinträchtigen.

Wenn Kerndienstleistungen wie Identitätsmanagement, Infrastruktur, Monitoring oder Incident Response bei Managed Service Providern (MSPs) liegen, werden diese ausgelagerten Prozesse zu einem zentralen Bestandteil Ihres Risikomanagementplans. Können Sie nicht beschreiben, wie die Kontrollen eines MSPs Ihre eigenen Annex-A-Kontrollen unterstützen, entsteht eine wesentliche Sicherheitslücke, die wahrscheinlich Ihren Vorstand, Ihre Wirtschaftsprüfer, wichtige Kunden und Aufsichtsbehörden beunruhigen wird. Leitlinien nationaler Cybersicherheitsbehörden zur Lieferkette, darunter auch Ressourcen der Cybersecurity and Infrastructure Security Agency (CISA), heben ebenfalls unkontrollierte Drittanbieterkontrollen als signifikantes Governance-Risiko hervor. Ein praktischer nächster Schritt ist sicherzustellen, dass jeder strategische MSP explizit in Ihrem Risikoregister aufgeführt wird, inklusive Verlinkungen zu den Kontrollen, auf deren Betrieb Sie angewiesen sind.

Aus Sicht des Vorstands geht es heute weniger um die Frage der Zertifizierung, sondern vielmehr darum, ob Ihr erweitertes Ökosystem wie ein kohärentes und gut geführtes ISMS agiert. Daher muss Ihre MSP-Prüfung wie eine Erweiterung Ihrer internen ISO-27001-Arbeit wirken und darf nicht als separate Beschaffungscheckliste oder einmaliger Sicherheitsfragebogen verstanden werden. Wenn Sie nachweisen können, dass die vom MSP betriebenen Kontrollen in Ihr Risikoregister, Ihre Anwendbarkeitserklärung (SoA) und Ihre Managementbewertungen integriert sind, lassen sich Outsourcing-Entscheidungen im Falle einer Überprüfung deutlich besser verteidigen.

Warum sind Sie zertifiziert? Die Frage „Warum sind Sie zertifiziert?“ reicht nicht aus.

Ein Zertifikat bescheinigt, dass eine Zertifizierungsstelle zu festgelegten Zeitpunkten die Konformität Ihres ISMS innerhalb eines definierten Geltungsbereichs festgestellt hat. Es gibt jedoch keine Auskunft darüber, welche Ihrer Dienste unter diesen Geltungsbereich fallen, wie die Kontrollen gemäß Anhang A implementiert sind oder ob diese Kontrollen weiterhin wirksam sind.

Es sagt auch nichts darüber aus, wie die Verantwortlichkeiten zwischen Anbieter und Kunde aufgeteilt sind, wo viele Vorfälle und Beanstandungen bei Audits auftreten. Wenn man sich nur auf die Frage „Sind Sie zertifiziert?“ beschränkt, erfährt man so gut wie nichts darüber, ob die Kontrollmaßnahmen des Managed Service Providers (MSP) zum eigenen Risikoprofil passen. Kompetente Sicherheitsteams in Unternehmen betrachten das Zertifikat heute als Eintrittskarte, nicht als alleinige Lösung.

Die eigentliche Arbeit beginnt mit Fragen wie:

  • Wie deckt sich der Geltungsbereich Ihres ISMS mit den Diensten und Regionen, die wir tatsächlich nutzen werden?
  • Zeigen Sie uns, wie Ihre Kontrollen für diesen Service Anhang A der ISO 27001:2022 entsprechen.
  • Welche laufenden Belege können Sie vorlegen, die zeigen, dass diese Kontrollmechanismen weiterhin funktionieren?

Eine gemeinsame ISMS-Plattform wie ISMS.online hilft Ihnen, diese Fragen und Antworten zentral zu erfassen und so verstreute E-Mail-Verläufe und PDFs in strukturierte, wiederverwendbare Dokumente umzuwandeln, die Sie problemlos mit Ihrem Vorstand, Prüfungsausschuss, Lieferantenrisiko-Forum und den Aufsichtsbehörden teilen können. Unabhängig vom gewählten Tool erleichtert die zentrale Erfassung der Antworten die Aufrechterhaltung einer konsistenten Dokumentation der Drittanbieterprüfung erheblich.

Kontakt


Was genau verlangt ISO 27001:2022 von Managed-Services-Anbietern?

ISO 27001:2022 verpflichtet Managed Service Provider (MSPs) zum Betrieb eines risikobasierten Informationssicherheitsmanagementsystems (ISMS), das die Ihre Informationen betreffenden Dienste, Standorte und Prozesse klar abdeckt und die in Anhang A festgelegten Kontrollentscheidungen begründet. Für Sie als Kunde bedeutet dies Fragen zu Geltungsbereich, Risikobewertung, Kontrollauswahl und deren Bezug zu den spezifischen Diensten, die der MSP für Sie erbringt.

Viele Anbieter sprechen immer noch von ISO 27001, als wäre es lediglich eine Sammlung von Kontrollmaßnahmen. Tatsächlich definiert die Norm ein vollständiges Managementsystem, das den organisatorischen Kontext verstehen, Risiken bewerten, Maßnahmen planen, Kontrollen durchführen, die Leistung überwachen und sich kontinuierlich verbessern muss. Die Revision von 2022 hat dieses Bild geschärft, Anhang A modernisiert und Themen wie Bedrohungsanalyse, Verhinderung von Datenlecks und Cloud-spezifische Risiken hervorgehoben, die heute häufig in Due-Diligence-Prüfungen von Unternehmen eine Rolle spielen. Offizielle Beschreibungen von ISO/IEC 27001:2022, einschließlich der Normenübersicht auf der ISO-Website, betonen diese strukturellen Aktualisierungen und den zusätzlichen Fokus auf moderne Bedrohungs- und Cloud-Szenarien.

Visuell: eine einfache Karte, die die ISO 27001-Klauseln mit den MSP-Diensten verknüpft, die Ihre Daten betreffen.

Die ISO 27001:2022-Elemente, die MSPs am meisten betreffen

Bei der Zusammenarbeit mit Managed Service Providern (MSPs) sind einige Aspekte der ISO 27001:2022 besonders relevant und sollten sich in deren Antworten auf Ihre Fragen widerspiegeln.

  • Klauseln 4–6 (Kontext, Führung, Planung): Der Managed Service Provider (MSP) sollte den Geltungsbereich eines Informationssicherheitsmanagementsystems (ISMS) definieren, das die zur Bereitstellung der Managed Services genutzten Dienste, Rechenzentren und unterstützenden Systeme klar umfasst. Er sollte außerdem nachweisen, dass die Verantwortung für die Informationssicherheit bei der Führungsebene und nicht nur beim operativen Personal liegt.
  • Klauseln 6–8 (Risikobewertung und -behandlung): Ein zertifizierter Managed Service Provider (MSP) sollte erläutern, wie Risiken für Kundendaten, Serviceverfügbarkeit und regulatorische Verpflichtungen identifiziert, bewertet und behandelt werden. Seine Risikoregister und Behandlungspläne sollten die Auswahl der Kontrollmaßnahmen für Ihre Art von Dienstleistung klar steuern.
  • Kontrollen gemäß Anhang A (93 Kontrollen in vier Themenbereichen): – In der Ausgabe 2022 enthält Anhang A 93 Kontrollen, die in folgende Gruppen unterteilt sind: organisatorische, personelle, physische und technologische Themen, wie sie in öffentlichen Zusammenfassungen der ISO/IEC 27001:2022 von Normungsorganisationen und in Übersichten wie der BSI-Seite zur Informationssicherheit nach ISO 27001 und dem ISO/IEC-27001-Artikel beschrieben werden. Für Managed Service Provider (MSPs) sind Zugriffskontrolle, Protokollierung und Überwachung, Betriebssicherheit, Lieferantenbeziehungen und Geschäftskontinuität von großer Bedeutung, und sie möchten wissen, welche dieser Aspekte bei den von ihnen bezogenen Diensten implementiert sind.
  • Erklärung zur Anwendbarkeit (SoA): Die SoA (Statement of Agreement) dokumentiert, welche Kontrollen gemäß Anhang A gelten, wie sie implementiert werden und warum bestimmte Kontrollen ausgeschlossen sind. Sie dient Ihnen als zentrale Informationsquelle, um das Kontrollumfeld des Managed Service Providers (MSP) zu verstehen und ungewöhnliche Ausnahmen für Ihre Dienstleistung zu erkennen.

Kompetentere Anbieter können jeden dieser Bereiche konkret erläutern und dabei reale Prozesse und Beispiele heranziehen. Schwächere Anbieter beschränken sich oft auf Phrasen wie „entsprechend bewährten Verfahren“, ohne diese Aussagen mit spezifischen Klauseln, Kontrollen oder Dienstleistungen zu verknüpfen. Fragen Sie sich beim Zuhören, ob Sie die Erklärungen Ihrem eigenen Managementteam in klarer, verständlicher Sprache wiedergeben könnten.

Was dies für Ihre Due-Diligence-Fragen bedeutet

Wenn Sie den Standard in Fragen an Managed Service Provider (MSPs) übersetzen, bitten Sie diese im Wesentlichen, ihr Informationssicherheitsmanagementsystem (ISMS) unter Berücksichtigung Ihrer Dienstleistungen zu erläutern. In der Praxis bedeutet dies, über allgemeine „Ja/Nein“-Antworten hinauszugehen und sie aufzufordern, die Funktionsweise ihres Managementsystems zu beschreiben.

Hilfreiche Fragen sind beispielsweise:

  • Geltungsbereich: „Beschreiben Sie den Geltungsbereich des ISMS und bestätigen Sie, wie er die spezifischen Dienste, Umgebungen und Regionen abdeckt, die Sie für uns nutzen werden.“
  • Risiko: „Wie beeinflussen kundenspezifische Risiken Ihr Risikoregister und Ihre Behandlungspläne?“
  • Kontrollen: „Welche Kontrollen gemäß Anhang A sind für unseren Dienst implementiert, und in welchen Bereichen besteht noch Entwicklungsbedarf?“
  • Operation: „Wie überwacht man die Wirksamkeit von Kontrollmaßnahmen und reagiert, wenn etwas nicht wie vorgesehen funktioniert?“

Der Übergangszeitraum von 2013 bis 2022 bietet eine weitere hilfreiche Perspektive. Ist ein Managed Service Provider (MSP) noch nach der älteren Version zertifiziert, fragen Sie nach seinem Übergangsplan, den Meilensteinen und den erwarteten Änderungen hinsichtlich des Kontrollumfangs. Branchenleitfäden für den Übergang zu ISO/IEC 27001:2022, darunter auch Blogs von Anbietern wie OneTrust, empfehlen häufig, dokumentierte Übergangspläne und Erläuterungen zu den Auswirkungen der überarbeiteten Kontrollen auf die Services anzufordern, anstatt davon auszugehen, dass die neuen Anforderungen bereits erfüllt sind.

Leistungsstarke Managed Service Provider (MSPs) zeichnen sich typischerweise durch einen klaren, zeitlich begrenzten Plan mit definierten Verantwortlichkeiten und Kommunikationsstellen aus. Schwache MSPs reagieren hingegen oft vage oder geben an, „daran zu arbeiten“, ohne konkrete Schritte zu nennen.

Ein praktischer nächster Schritt ist die Erfassung der Antworten in einer Standardvorlage und deren Verknüpfung mit Ihrem Risikoregister und den Einträgen in der Lieferanten-Sicherheitsrichtlinie. So können Sie im Rahmen von Management-Reviews und Lieferanten-Risiko-Foren darauf zurückgreifen, anstatt sie als einmalige Dokumente nach der Beschaffung zu behandeln.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Wie erfolgt der Übergang von generischen Steuerelementen zu dienstspezifischen Zuordnungen gemäß Anhang A?

Sie gelangen von allgemeinen zu dienstleistungsspezifischen Zusicherungen, indem Sie auf einer klaren Zuordnung bestehen, die für jede relevante Kontrollmaßnahme gemäß Anhang A aufzeigt, wer verantwortlich ist, wie sie umgesetzt wird und welche Nachweise sie für die jeweilige Dienstleistung, die Sie erwerben, belegen. Diese Zuordnung wandelt ISO 27001 von einer abstrakten Sicherheit in eine konkrete, nachvollziehbare Darstellung des Risikomanagements in einer MSP-Umgebung um.

Die meisten Anbieter können allgemein von „starker Zugriffskontrolle“ oder „sicherem Betrieb“ sprechen. Nur wenige können Ihnen jedoch für einen bestimmten Managed Service konkret aufzeigen, wie diese Aussagen mit den in Anhang A genannten Kontrollen, dokumentierten Verfahren und der tatsächlichen Überwachung zusammenhängen. Genau hier sollten Sie Ihre Fragen ansetzen, wenn Sie Unterlagen benötigen, die Sie gegenüber Auditoren, dem Einkauf und internen Stakeholdern wiederverwenden können.

Wie eine gute dienstspezifische Steuerungszuordnung aussieht

Ein aussagekräftiges Mapping-Dokument für einen einzelnen Managed Service enthält üblicherweise eine klare Beschreibung des Services, die für diesen Service relevanten Kontrollen gemäß Anhang A sowie die Zuordnung und den Nachweis jeder einzelnen Kontrolle. Der Schwerpunkt liegt auf Präzision statt auf Slogans.

Ein aussagekräftiges Kartierungsdokument enthält üblicherweise:

  • Eine klare Leistungsbeschreibung und wie diese in den Geltungsbereich des ISMS des MSP passt.
  • Eine Liste der relevanten Kontrollen gemäß Anhang A, gefiltert nach denjenigen, die für diesen Dienst tatsächlich relevant sind.
  • Für jede Kontrollgruppe:
  • Ob es ist im Besitz des Anbieters, im Besitz des Kunden oder von Locals geführtes.
  • Eine kurze Beschreibung, wie die Steuerung umgesetzt wird.
  • Hinweise auf Beweismittel wie Richtlinien, Verfahren, Protokolle, Tickets und Berichte.

Ein vereinfachtes Beispiel könnte so aussehen:

Steuerungsthema Starke Antwort von MSP Antwort auf die rote Flagge
Zugriffskontrolle „Wir nutzen für diesen Dienst ein rollenbasiertes Zugriffsmanagement mit Genehmigungen, regelmäßigen Überprüfungen und zentraler Protokollierung. Sie verwalten Ihre Benutzerrollen; wir verwalten den Plattformzugriff.“ „Der Zugang ist je nach Bedarf beschränkt; Einzelheiten sind intern.“
Protokollierung und Überwachung „Alle Administratoraktionen in Ihrer Umgebung werden protokolliert, für einen festgelegten Zeitraum aufbewahrt und von unserem Betriebsteam anhand klarer Eskalationsregeln überprüft.“ „Wir führen Protokolle, aber wir schauen sie uns nur an, wenn etwas schiefgeht.“
Geschäftskontinuität „Dieser Dienst ist durch Wiederherstellungsverfahren abgedeckt, die in vereinbarten Abständen getestet werden und über definierte Wiederherstellungszeit- und Wiederherstellungspunktziele verfügen.“ „Unser Rechenzentrumsanbieter garantiert die Verfügbarkeit; wir verlassen uns auf ihn.“
Vorfallerkennung und -reaktion „Wir betreiben ein SOC, das Ihren Service überwacht, mit Playbooks, auf Schweregraden basierenden SLAs und gemeinsamen Vorfallanalysen für Ereignisse, die Ihre Daten betreffen.“ „Wir werden Sie informieren, falls uns etwas Ungewöhnliches auffällt.“

Sicherheitsteams, die viele Managed Service Provider (MSPs) überprüfen, beobachten oft ähnliche Muster: Leistungsstärkere Anbieter liefern Antworten wie in der linken Spalte – mit klarer Verantwortlichkeit, spezifischen Mechanismen und zeitlich begrenzten Tests. Schwächere Anbieter hingegen finden sich in der rechten Spalte wieder: vage Zusicherungen, übermäßige Abhängigkeit von Subunternehmen und kaum Anzeichen dafür, dass Wiederherstellung oder Reaktion getestet werden. Sobald man einige Beispiele kennt, lässt sich den internen Stakeholdern viel leichter erklären, was einen guten Service ausmacht.

Wie man dienstspezifische Zuordnungen anfordert und verwendet

In Angebotsanfragen oder Due-Diligence-Prüfungen können Sie dies in explizite Anfragen umsetzen, wie zum Beispiel:

  • „Für diesen Managed Service stellen Sie bitte eine Kontrollmatrix bereit, die Ihre Kontrollen dem Anhang A der ISO 27001:2022 zuordnet und für jede Kontrolle Verantwortlichkeiten und Nachweise enthält.“
  • „Wenn eine Steuerung gemeinsam genutzt wird, beschreiben Sie bitte, was Sie tun und was Sie von uns erwarten, einschließlich etwaiger Konfigurations- oder Prozessanforderungen unsererseits.“
  • „Erläutern Sie, wie Sie diese Zuordnung auf dem neuesten Stand halten, wenn Sie den Dienst ändern oder wenn ISO 27001 aktualisiert wird.“

Sobald die Zuordnung erstellt ist, behandeln Sie sie als dynamisches Dokument und nicht als statische Anlage. Ihre Sicherheitsarchitekten können sie mit Ihrem Kontrollrahmen abgleichen und Lücken identifizieren. Ihre GRC- und Lieferantenrisikoteams können sie in Risikoregistern, SoA-Einträgen und Lieferantenrisikoberichten referenzieren. Ihre Betriebs- und Serviceverantwortlichenteams sehen genau, was sie konfigurieren oder überwachen müssen, um ihren Teil der gemeinsamen Kontrollen zu gewährleisten.

Mit der Zeit lässt sich die Struktur dieser Zuordnungen für alle Managed Service Provider (MSPs) standardisieren. Dann erweist sich die Nutzung einer gemeinsamen ISMS-Plattform wie ISMS.online als vorteilhaft, da sie das zentrale Speichern, Vergleichen und Pflegen dieser Matrizen ermöglicht, anstatt sie in unzusammenhängenden Tabellenkalkulationen oder E-Mail-Archiven zu verwalten. Selbst wenn Sie mit einfachen Dokumenten beginnen, ist die Vereinbarung eines gemeinsamen Formats ein sinnvoller erster Schritt.



Wie liest man am besten ein ISO 27001-Zertifikat und eine Leistungsbeschreibung (SoA) eines Managed Service Providers (MSP) mit kritischem Blick?

Sie sollten das ISO-27001-Zertifikat und die zugehörige Anwendbarkeitserklärung eines Managed Service Providers (MSP) als Ausgangspunkt für weiterführende Fragen zu Geltungsbereich, Kontrollen und Reifegrad betrachten. Eine kritische Auseinandersetzung damit, was innerhalb und außerhalb des Geltungsbereichs des Zertifikats liegt und wie dies mit den für Sie relevanten Diensten, Standorten und Unterauftragnehmern übereinstimmt, ist ratsam. Gehen Sie nicht einfach davon aus, dass das Zertifikat alle Ihre Anforderungen abdeckt.

Fast alle Befragten nannten das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 als eine ihrer obersten Prioritäten für das kommende Jahr.

Ein Zertifikat, das auf den ersten Blick beeindruckend wirkt, kann wichtige Lücken verbergen. Zertifizierungs- und Prüfstellen weisen Organisationen regelmäßig darauf hin, dass ein Zertifikat lediglich eine Bestätigung für einen definierten Geltungsbereich und Zeitraum darstellt, keine uneingeschränkte Sicherheitsgarantie. So betonen beispielsweise die Übersichten zur ISO-27001-Zertifizierung von Anbietern wie dem TÜV die Wichtigkeit, Geltungsbereich und Grenzen zu verstehen. Wer beim Lesen dieser Dokumente die Perspektive eines Auditors oder einer Aufsichtsbehörde einnimmt, kann solche Probleme deutlich leichter frühzeitig erkennen.

Lesen von Umfang und SoA wie ein Auditor

Bei der Prüfung eines Zertifikats und der dazugehörigen Dokumente sollten Sie sich auf einige wenige Schlüsselbereiche konzentrieren, die Aufschluss darüber geben, ob die Unterlagen der Realität der von Ihnen erworbenen Dienstleistungen entsprechen.

Achten Sie besonders auf:

  • Geltungsbereich: – Wird darin explizit die Art der Dienste genannt, die Sie nutzen möchten (z. B. „Managed Security Operations Center“ oder „Managed Cloud Hosting“), und von welchen Standorten aus diese bereitgestellt werden?
  • Standorte, juristische Personen und Unterauftragnehmer: – Sind die Rechenzentren, Supportzentren, Konzerngesellschaften und namentlich genannten Unterauftragnehmer, die Ihre Daten verarbeiten werden, aufgeführt, oder fehlen wichtige Einrichtungen oder werden nur indirekt erwähnt?
  • SoA-Deckung und -Ausschlüsse: – Welche Kontrollen gemäß Anhang A sind als anwendbar gekennzeichnet, welche sind ausgeschlossen und warum? Sind einige Ausschlüsse für einen Anbieter dieser Art überraschend, wie z. B. der Ausschluss von Datensicherungs-, Protokollierungs-, Geschäftskontinuitäts- oder Lieferantenkontrollen?
  • Prüfzyklus und Ergebnisse: – Wann fand die letzte Zertifizierung oder das letzte Überwachungsaudit statt, und gibt es bekannte Abweichungen, die behoben werden und die sich auf die von Ihnen in Anspruch genommenen Dienstleistungen auswirken könnten?

Erfahrene Teams in Unternehmen können Dienstleistungen aufdecken, die von Standorten erbracht werden, die nicht im Geltungsbereich aufgeführt sind, Unterauftragnehmer oder Rechenzentren, die nicht vom ISMS abgedeckt sind, oder Kontrollen in Anhang A, die als „nicht zutreffend“ gekennzeichnet sind, obwohl sie diese für wesentlich halten. Risikobewertungen von Drittanbietern und Beratungserkenntnisse, einschließlich Cyberrisikoberichten von Unternehmen wie Deloitte, beschreiben Geltungsbereichslücken und überraschende Ausschlüsse als häufige Befunde bei der Überprüfung von Lieferantenzertifizierungen. Teams, die bereits mehrere externe Audits durchlaufen haben, stellen oft ein Muster fest: Kompetente Anbieter können Geltungsbereich und Leistungsbeschreibung souverän erläutern, Ausschlüsse verständlich erklären und Verbesserungspotenziale anerkennen. Schwache Anbieter haben Schwierigkeiten, die Dokumente mit realen Dienstleistungen zu verknüpfen und reagieren mitunter feindselig auf Fragen zu Ausschlüssen. Als praktische Nachbereitung können Sie Ihre wichtigsten Beobachtungen zusammenfassen und zusammen mit dem Zertifikat in Ihrer Lieferantenrisikoakte ablegen.

Fragen, die die Grenzen des Zertifikats aufzeigen

Mit dieser kritischen Perspektive können Sie Fragen stellen, die statische Dokumente in einen differenzierteren Dialog verwandeln, anstatt sich allein auf das Zertifikat zu verlassen. Ziel ist es, zu verstehen, inwieweit der dokumentierte Geltungsbereich und die Kontrollen Ihre Anwendungsfälle tatsächlich unterstützen.

Fragen wie diese sind nützlich:

  • „Welche unserer geplanten Dienstleistungen fallen vollständig unter den Geltungsbereich des ISMS, und welche sind nur teilweise oder noch gar nicht abgedeckt?“
  • „Erläutern Sie uns bitte die wichtigsten Kontrollmechanismen gemäß Anhang A, die diesem Service zugrunde liegen, und erklären Sie uns etwaige Ausnahmen, die uns betreffen könnten.“
  • „Wie entscheiden Sie, wann Sie einen neuen Service, eine neue Funktion, einen neuen Unterauftragnehmer oder einen neuen Standort in den Geltungsbereich aufnehmen, und wie informieren Sie die Kunden, wenn dies geschieht?“
  • „Welche Verbesserungspotenziale, die sich auf uns auswirken könnten, wurden bei Ihren jüngsten internen und externen Audits aufgezeigt?“

Diese Fragen verdeutlichen dem Anbieter, dass Sie ISO 27001 als ein dynamisches System und nicht als Marketinglabel verstehen. Sie bereiten zudem den Boden für spätere Gespräche über die gemeinsame Verantwortung für Risikomanagement, Vorfallmanagement, Kontinuität und Meldepflichten gegenüber Aufsichtsbehörden. Hierbei gewinnt die klare Abgrenzung des Geltungsbereichs für Ihre eigenen Maßnahmenpläne und Risikobehandlungspläne noch mehr an Bedeutung. Die Dokumentation der Antworten in Ihren internen Governance-Tools erleichtert es Ihnen, den Vorständen und Aufsichtsbehörden Ihre Schlussfolgerungen nachzuvollziehen.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Wie zieht man die Grenze bei der gemeinsamen Verantwortung für Risiken, Vorfälle und Kontinuität?

Sie ziehen die Grenze der geteilten Verantwortung, indem Sie die übergeordneten Rollen und Verantwortlichkeiten gemäß ISO 27001 in konkrete, schriftliche Vereinbarungen umwandeln. Diese legen für jeden wichtigen Risikobereich fest, was der Managed Service Provider (MSP) übernimmt, was Sie tun müssen und wie die Koordination zwischen beiden Parteien erfolgt. Ohne diese Klarheit kann Sie selbst ein zertifizierter Anbieter im Falle von Vorfällen oder Störungen unangenehm im Stich lassen.

ISO 27001 verlangt, dass Rollen, Verantwortlichkeiten und Befugnisse im Bereich Informationssicherheit definiert und kommuniziert werden. Abschnitt 5.3 der ISO/IEC 27001 fordert ausdrücklich die Definition und Kommunikation von Rollen, Verantwortlichkeiten und Befugnissen im Bereich Informationssicherheit, wie auch in den Kommentaren zu den Kernstandards, beispielsweise in der Einleitung zur ISO-27000-Reihe, hervorgehoben wird. In einer Managed-Service-Provider-Beziehung erstreckt sich diese Erwartung auf Verträge, Leistungsbeschreibungen und Betriebshandbücher, die im Falle von Fehlern einer Prüfung durch Audits und Aufsichtsbehörden standhalten müssen.

Klare Abgrenzungen verhindern Streitigkeiten über Verantwortlichkeit, gerade dann, wenn der Druck am größten ist.

Klärung der Verantwortlichkeiten im Risikomanagement

Die Klärung der Verantwortlichkeiten im Risikomanagement beginnt damit, zu verstehen, wie Ihre Risiken in der Planung des Managed Service Providers (MSP) und dessen Risiken in Ihrer Planung erscheinen. Viele spätere Probleme entstehen, weil keine der beiden Seiten dies schriftlich festgehalten hat.

Hilfreiche Schritte und Fragen sind unter anderem:

  • Fragen Sie den Managed Service Provider (MSP), wie Risiken im Zusammenhang mit Ihren Dienstleistungen und Daten in dessen Risikoregister und Behandlungspläne einfließen.
  • Klären Sie, ob von Ihnen die Durchführung spezifischer Risikobewertungen erwartet wird oder ob Sie Risikoinformationen für die eigene Planung bereitstellen sollen, einschließlich Datenschutz-Folgenabschätzungen, sofern der Datenschutz relevant ist.
  • Stellen Sie sicher, dass Ihr eigenes Risikoregister die Nutzung des MSP und die Kontrollen, auf deren Funktion Sie angewiesen sind, dokumentiert.

Gute Modelle der geteilten Verantwortung beinhalten oft eine RACI-Matrix (verantwortlich, rechenschaftspflichtig, konsultiert, informiert) für wichtige Aktivitäten wie:

  • Zugriffsbereitstellung und regelmäßige Überprüfungen.
  • Konfigurations- und Änderungsmanagement für gemeinsam genutzte Plattformen.
  • Patch- und Schwachstellenmanagement für Infrastruktur und Anwendungen.
  • Überwachung, Alarmbearbeitung und Eskalation.

Ressourcen für bewährte Verfahren im Bereich Betrieb und Sicherheit, einschließlich der RACI-Leitlinien in den Whitepapers des SANS Institute, empfehlen häufig diese Art von Matrix, um Lücken und Überschneidungen in der Verantwortlichkeit zu vermeiden. In der Praxis könnte eine Patch-Management-RACI-Matrix beispielsweise festlegen, dass der Managed Service Provider (MSP) zuständig ist. für ihren Verlust verantwortlich. zum Patchen des zugrundeliegenden Betriebssystems und der Plattform; Sie sind verantwortlich für die Genehmigung von Wartungsfenstern und das Patchen Ihrer eigenen Anwendungen; Ihr Sicherheitsteam ist konsultiert bei risikoreichen Änderungen; und Ihre Serviceverantwortlichen sind informiert der kommenden Patchzyklen. Sobald Sie sich auf diese Aufteilung geeinigt haben, können Sie sie in Ihrem Risikoregister und Ihrer Systematik abbilden, sodass die Prüfer ein einheitliches Bild erhalten.

Ihre Fragen sollten darauf abzielen, diese Modelle aufzudecken und zu prüfen, ob sie auf beiden Seiten verstanden werden. Sollten Ihre Teams und die Teams des Managed Service Providers (MSP) unterschiedliche Antworten zur Frage der Verantwortlichkeit für eine Aufgabe geben, besteht Handlungsbedarf, bevor Sie Ihrem Vorstand mitteilen können, dass die Risiken unter Kontrolle sind.

Aufteilung der Reaktion auf Vorfälle und der Kontinuität in der Praxis

Risikomanagement wird erst dann wirklich relevant, wenn etwas schiefgeht. Daher ist für die Reaktion auf Vorfälle und die Aufrechterhaltung des Betriebs die gleiche Klarheit erforderlich. Hierbei sind präzise Übergaben, Zeitpläne und Annahmen wichtiger als vage Versprechungen.

Zwei kritische Bereiche sind:

  • Reaktion auf Vorfälle: – wer überwacht Ereignisse, wer priorisiert Warnmeldungen, unter welchen Bedingungen der MSP Sie kontaktiert, über welche Kanäle und wer ist verantwortlich für forensische Untersuchungen, Beweissicherung, Benachrichtigung von Kunden und Aufsichtsbehörden sowie Nachbesprechungen von Vorfällen?
  • Geschäftskontinuität und Notfallwiederherstellung: – welche Wiederherstellungszeit- und Wiederherstellungspunktziele der MSP für den Dienst zusagt, wie diese mit Ihrer Geschäftsauswirkungsanalyse übereinstimmen und welche Annahmen der MSP über Ihre eigenen Kontinuitätsmaßnahmen trifft, wie z. B. alternative Zugriffswege oder manuelle Workarounds.

Ihre Fragen könnten etwa so lauten:

  • „Beschreiben Sie den gesamten Prozess zur Bearbeitung eines Vorfalls, der unseren Managed Service betrifft, von der Erkennung bis zum Abschluss, und zeigen Sie uns, wo unsere Verantwortlichkeiten beginnen.“
  • „Welche Ausfall- und Datenverlustszenarien sind bei diesem Dienst durch Ihre Kontinuitäts- und Wiederherstellungspläne abgedeckt, und welche Szenarien sollen wir selbst bewältigen?“
  • „Wie oft testen Sie gemeinsame Störungs- und Kontinuitätsprozesse mit Kunden wie uns, und wie können wir daran teilnehmen?“

Die Antworten fließen in Ihre Notfall- und Geschäftskontinuitätsplanung ein und geben Stakeholdern wie Ihrem Prüfungsausschuss, Datenschutzbeauftragten und der Aufsichtsbehörde Sicherheit, falls diese Ihre Vorkehrungen überprüfen. Sie bilden außerdem die Grundlage für die später benötigten Nachweise: Testberichte, Nachbesprechungen von Vorfällen und die von beiden Parteien im Laufe der Zeit umgesetzten Verbesserungen. Die Dokumentation der vereinbarten Aufgabenverteilung in Ihren Notfallhandbüchern und Kontinuitätsplänen ist ein praktischer Weg, diese Gespräche in eine nachvollziehbare Realität umzusetzen.



Wie kann ein Managed Service Provider (MSP) die fortlaufende Einhaltung der ISO 27001-Norm nachweisen und nicht nur eine einmalige Zertifizierung?

Ein Managed Service Provider (MSP) kann die fortlaufende Einhaltung der ISO 27001 nachweisen, indem er strukturierte Nachweise vorlegt, die belegen, dass sein Informationssicherheitsmanagementsystem (ISMS) und seine Kontrollen das ganze Jahr über funktionieren und sich verbessern – nicht nur zum Zeitpunkt der Zertifizierung. Diese Nachweise umfassen interne und externe Audits, technische Tests, Maßnahmen zum Schwachstellenmanagement, Lieferantenbewertungen, Schulungsergebnisse und Kennzahlen, die die Identifizierung und Behebung von Problemen dokumentieren.

Ein Zertifikat allein stellt eine Momentaufnahme dar: Leitlinien zur Qualitätssicherung beschreiben Zertifizierungen als Stellungnahmen, die auf den zum Prüfungsdatum verfügbaren Nachweisen basieren, und nicht als Garantien für zukünftige Leistungen. Dieser Unterschied wird in prüfungsrelevanten Ressourcen wie Audit Analytics hervorgehoben. Kontinuierliche Nachweise zeigen ein Verhaltensmuster auf, das Ihrem Vorstand, Ihren Prüfern, Datenschutzbehörden und Risikogremien die Gewissheit gibt, dass die Sicherheitslage des Managed Service Providers aktiv gesteuert und nicht vernachlässigt wird. Ihre Fragen sollten sich daher darauf konzentrieren, wie die Sicherheit kontinuierlich geplant, getestet und verbessert wird, und nicht nur darauf, was in einem Zertifikat steht.

Rund zwei Drittel der Organisationen gaben in der ISMS.online-Umfrage 2025 an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Aufrechterhaltung der Compliance erschweren.

Beweisarten, die ein lebendiges ISMS belegen

Wenn Sie über das Zertifikat hinaus einen Nachweis verlangen, fordern Sie den Anbieter im Grunde auf, zu belegen, dass sein PDCA-Zyklus (Planen-Durchführen-Überprüfen-Anpassen) in der Praxis für Ihre Leistungen funktioniert. Sie benötigen nicht jedes Detail, aber genügend Informationen, um zu erkennen, dass die Überprüfungen, Ergebnisse und Verbesserungen tatsächlich durchgeführt wurden.

Nützliche Beweise sind:

  • Interne Prüfberichte oder Zusammenfassungen: – Dies zeigt, dass der MSP sein eigenes ISMS regelmäßig bewertet, Abweichungen feststellt und Korrekturmaßnahmen einleitet, anstatt auf externe Audits zu warten, um Probleme aufzudecken.
  • Ergebnisse der Überwachung und Rezertifizierung: – Die Ergebnisse externer Audits auf höchster Ebene zeigen, dass eine unabhängige Stelle auch die Konformität zwischen wichtigen Zertifizierungsereignissen prüft und ob Verbesserungsmaßnahmen termingerecht abgeschlossen werden.
  • Penetrationstests und Schwachstellenanalysen: – Angemessen bereinigte Berichte können aufzeigen, was getestet wurde, welche Probleme festgestellt wurden, wie diese klassifiziert wurden und wie schnell sie für Systeme, die für Ihre Dienstleistungen relevant sind, behoben wurden.
  • Kennzahlen für das Schwachstellenmanagement: – Trends bei der Patch-Bereitstellung, durchschnittliche Zeit zur Behebung schwerwiegender Probleme und die Anzahl offener Sicherheitslücken auf Plattformen, die Ihre Informationen verarbeiten.
  • Lieferanten- und Unterauftragnehmerbewertungen: – Nachweise dafür, dass der Managed Service Provider (MSP) Drittparteienrisiken so managt, dass er Ihre Erwartungen gemäß ISO 27001 und NIS 2 erfüllt, anstatt blindlings auf vorgelagerte Lieferanten zu vertrauen.
  • Schulungs- und Sensibilisierungsaufzeichnungen: – Daten zu den Abschlussquoten von Sicherheitsschulungen, Phishing-Übungen und rollenspezifischen Sensibilisierungsmaßnahmen für Mitarbeiter, die an der Erbringung Ihrer Managed Services beteiligt sind.

Zertifizierungsstellen und Prüfstellen, die ISO-27001-Programme beschreiben (wie beispielsweise der TÜV in seiner Übersicht), verweisen häufig auf solche Dokumente als typische Bestandteile eines effektiven ISMS-Sicherungssystems. Oftmals finden sich Zusammenfassungen, Trendanalysen und Beispieldokumente anstelle vollständiger, vertraulicher Berichte, was in der Regel angemessen ist. Entscheidend ist, dass regelmäßige Prüfungen, klare Ergebnisse und die Umsetzung von Maßnahmen, die sich direkt auf Ihre Dienstleistungen beziehen, nachvollziehbar sind. Ein praktischer Schritt ist die Definition der erwarteten Nachweisarten für jeden strategischen Managed Service Provider (MSP) und die Dokumentation der im Rahmen der jährlichen Überprüfungen erhaltenen Dokumente.

Kennzahlen und Fragen, die „laufend“ real machen

Um „kontinuierlich“ zu mehr als nur einer leeren Worthülse zu machen, können Sie spezifische Kennzahlen anfordern und deren Wertentwicklung im Zeitverlauf verfolgen, die Ihr Risikobild direkt beeinflussen. Dies erleichtert auch die Information interner Stakeholder, ohne sie mit Rohdaten zu überfordern.

Nützliche Kennzahlen sind:

  • Anzahl und Schweregrad der offenen bzw. geschlossenen Feststellungen aus internen Audits und technischen Tests in den Systemen, die Ihre Dienste unterstützen.
  • Durchschnittliche Zeit zur Behebung kritischer Sicherheitslücken in diesen Systemen im Vergleich zu den vereinbarten Zielen.
  • Häufigkeit und Umfang der Kontinuitäts- oder Wiederherstellungstests, die Ihre Dienste betreffen, und ob die Ziele erreicht wurden.
  • Abschlussquoten von Schulungen für Mitarbeiter mit privilegiertem Zugriff auf Ihre Umgebungen oder Kundendaten.
  • Anzahl, Auswirkungen und Hauptursachen der Vorfälle, die Ihre Managed Services im letzten Jahr betroffen haben.

Ihre Fragen könnten beispielsweise Folgendes beinhalten:

  • „Wie oft führen Sie interne ISMS-Audits durch, und wann fand das letzte Audit statt, das die für unsere Dienstleistungen genutzten Systeme umfasste?“
  • „Welche Service-Level-Ziele setzen Sie sich für die Behebung von Sicherheitslücken mit hohem Schweregrad, und wie gut haben Sie diese in den letzten zwölf Monaten erreicht?“
  • „Wie teilen Sie Erkenntnisse aus Vorfällen oder Tests, die unser Risikobild beeinflussen könnten, einschließlich etwaiger behördlicher oder kundenbezogener Benachrichtigungen?“

Leistungsstärkere Managed Service Provider (MSPs) können klare Kennzahlen, Trends im Zeitverlauf und Beispiele dafür aufzeigen, wie diese Kennzahlen zu Verbesserungen geführt haben – ein Muster, das sich auch in Studien zu Drittanbieterrisiken und Cybersicherheitsreife von Beratungsunternehmen wie KPMG widerspiegelt. Schwächere MSPs reagieren oft mit statischen Aussagen wie „Wir patchen umgehend“, ohne diese zu belegen. Sobald Sie das Verhaltensmuster im Zeitverlauf verstehen, können Sie die Art und Weise, wie Sie diese Antworten anfordern, dokumentieren und anbieterübergreifend vergleichen, standardisieren, anstatt jedes Projekt als einmalige Angelegenheit zu betrachten.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Wie lassen sich die Fragen der ISO 27001 in einen Leitfaden für die Kontrollzuordnung im Bereich Managed Services umwandeln?

Sie wandeln die Fragen der ISO 27001 in einen Leitfaden zur Kontrollzuordnung um, indem Sie die Struktur Ihrer Fragen, die Antworten der Managed Service Provider (MSPs) und deren Zuordnung zu Kontrollen, Verantwortlichkeiten und Nachweisen standardisieren. Dieser Leitfaden dient als wiederverwendbare Grundlage für die Due-Diligence-Prüfung, den Vergleich, das Onboarding und die laufende Governance der MSPs in den Bereichen Sicherheit, Risikomanagement, Lieferantenmanagement und Beschaffung.

Rund 41 % der Organisationen gaben in der ISMS.online-Umfrage 2025 an, dass das Management von Drittparteirisiken und die Überwachung der Lieferantenkonformität zu ihren größten Sicherheitsherausforderungen gehören.

Anstatt Ihren Ansatz bei jedem neuen Anbieter komplett neu zu erfinden, erstellen Sie eine einheitliche Vorlage, die jeder Managed Service Provider (MSP) ausfüllen und Ihre Teams schnell interpretieren können. So erhalten Sie mit der Zeit einen umfassenden Überblick über die Reife Ihrer MSPs im gesamten Portfolio. Diesen Überblick können Sie Vorständen und Aufsichtsbehörden präsentieren, ohne jeden einzelnen Vertrag prüfen zu müssen, da Format und Bewertung bereits bekannt sind.

Entwurf einer wiederverwendbaren Kartierungsvorlage

Eine gute Playbook-Vorlage besteht typischerweise aus drei Ebenen, die zusammenwirken: strukturierte Fragen, Kontrollzuordnungen und Kommentare oder Bewertungskriterien. Die Konsistenz dieser Ebenen über verschiedene Anbieter hinweg ist wichtiger als die perfekte Umsetzung jedes Details vom ersten Tag an.

Eine praktische Vorlage umfasst üblicherweise Folgendes:

  1. Fragen – Hinweise, die auf wichtige Themen der ISO 27001 abgestimmt sind, wie z. B. Anwendungsbereich, Risikobewertung, Kontrollen gemäß Anhang A, geteilte Verantwortung, Nachweise und gegebenenfalls Datenschutz- oder regulatorische Verpflichtungen. Zum Beispiel:
  • „Beschreiben Sie, inwieweit Ihr ISMS-Geltungsbereich diesen Dienst abdeckt.“
  • „Bitte fügen Sie einen Anhang A mit einer Übersicht der Zuständigkeiten für diesen Dienst bei.“
  1. Steuerungszuordnung – eine Tabelle, die für jede relevante Kontrollmaßnahme gemäß Anhang A Folgendes enthält:
  • Gibt an, ob es sich um ein Gerät im Besitz des Anbieters, im Besitz des Kunden oder um ein gemeinsam genutztes Gerät handelt.
  • Link zu einer Kurzbeschreibung der Implementierung.
  • Verweist auf Beweismittelarten und -orte, einschließlich etwaiger Verknüpfungen zu Ihren eigenen Prozessen.
  1. Punktevergabe und Kommentar – eine Möglichkeit, die Klarheit und Aussagekraft der Antworten zu bewerten und Kommentare, Lücken oder Folgemaßnahmen festzuhalten, die der MSP bearbeiten soll.

Wenn Sie diese Vorlage für alle Managed Service Provider (MSPs) verwenden, erhalten Sie einen vergleichbaren Überblick über deren Reifegrad und Eignung. Beschaffung, Sicherheit, Governance, Risikomanagement (GRC), Rechtsabteilung, Datenschutz und Lieferantenrisikomanagement können alle auf dasselbe Dokument zugreifen, ohne separate Fragebögen oder Tabellen erstellen zu müssen, die mit der Zeit nicht mehr synchron sind. Eine jährliche Aktualisierung des Leitfadens oder bei Änderungen von Dienstleistungen oder Vorschriften sorgt dafür, dass die Informationen aktuell bleiben und nicht zu einer veralteten Datensammlung verkommen. Als neutralen nächsten Schritt können Sie die Vorlage zunächst mit ein oder zwei Anbietern mit hohem Risiko testen, bevor Sie sie flächendeckend einführen.

Umwandlung der Antworten in eine vergleichende Bewertungstabelle

Sobald Ihre Vorlage eingerichtet ist, wird die Bewertung systematischer und weniger von persönlichen Eindrücken geprägt. Sie können die für Ihr Unternehmen wichtigsten Themen gewichten und anschließend jeden Anbieter anhand dieser Kriterien einheitlich bewerten.

Zu den typischen Vorgehensweisen gehören:

  • Bestimmte Bereiche stärker gewichten, wie zum Beispiel:
  • Klarheit und Vollständigkeit der Beschreibung des Anwendungsbereichs.
  • Tiefe und Spezifität der Kartierungen gemäß Anhang A.
  • Qualität und Aktualität der laufenden Beweisführung.
  • Präzision der Definitionen von geteilter Verantwortung.
  • Übereinstimmung mit Ihrer eigenen Risikobereitschaft und Ihrem regulatorischen Profil.
  • Indem man im Voraus definiert, wie eine „überzeugende“ Antwort aussieht, wird die Bewertung der Antworten weniger subjektiv und lässt sich den Beteiligten leichter erklären.

Auf die Frage „Wie gehen Sie mit Vorfällen um, die unsere Daten betreffen?“ könnte eine überzeugende Antwort beispielsweise klar definierte Erkennungs- und Priorisierungsprozesse mit eindeutiger Verantwortlichkeit, vereinbarte Benachrichtigungsfristen und -kanäle in Abhängigkeit von Schweregrad und regulatorischen Schwellenwerten, gemeinsame Untersuchungs- und Ursachenanalyseschritte sowie die Verknüpfung mit Wiederherstellungszielen, die mit Ihrer Geschäftsauswirkungsanalyse übereinstimmen, umfassen. Eine unzureichende Antwort hingegen lautet lediglich: „Wir untersuchen den Vorfall und informieren Sie gegebenenfalls“, ohne Angaben zu Zeitpunkt, Rollen oder Beweisen.

Durch die konsequente Anwendung dieses Leitfadens erstellen Sie eine Bibliothek von MSP-Profilen, die auf ISO 27001 und nicht auf Marketing basiert. Die Abstimmung mit Ihren internen ISO-27001-Prozessen steigert die Effektivität zusätzlich: Der Leitfaden kann Management-Reviews, Aktualisierungen des Risikoregisters, Änderungen der Leistungsbeschreibung und Berichte an den Vorstand unterstützen. Die Speicherung der Vorlagen, Zuordnungen und Bewertungen auf einer kollaborativen ISMS-Plattform wie ISMS.online ermöglicht es Ihnen, die Arbeit für Audits, Verlängerungen und neue Projekte wiederzuverwenden, anstatt jedes Mal von vorne beginnen zu müssen, wenn ein Stakeholder fragt: „Woher wissen wir, dass unsere MSPs tatsächlich ISO 27001-konform sind?“



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online bietet Ihnen eine zentrale Plattform, um ISO-27001-Fragen, Kontrollzuordnungen und Nachweise gemeinsam mit Ihren Managed Service Providern (MSPs) zu strukturieren. So wird die Prüfung durch Dritte schneller, transparenter und leichter nachvollziehbar. Anstatt Zertifikate, Tabellen und E-Mail-Verläufe zu verwalten, sehen Sie auf einen Blick, wie interne und externe Kontrollen zusammenwirken, um Ihr Unternehmen zu schützen und die Bedürfnisse Ihrer Stakeholder zu erfüllen.

Warum eine gemeinsame ISMS-Plattform sowohl Ihnen als auch Ihren MSPs hilft.

Eine gemeinsame ISMS-Plattform hilft Ihnen und Ihren Managed Service Providern (MSPs), konsistente Antworten zu gewährleisten, Nachweise zentral zu verwalten und die Qualitätssicherung auch bei sich ändernden Diensten, Kontrollen und Vorschriften wiederholbar zu gestalten. Wenn Unternehmenssicherheitsteams und MSPs versuchen, ausschließlich mit statischen Dokumenten zusammenzuarbeiten, treten immer wieder drei Probleme auf.

Häufige Probleme sind:

  • Mit der Weiterentwicklung der Dienste geraten die Antworten außer Takt.
  • Die Evidenz ist in verschiedenen Instrumenten enthalten und lässt sich nur schwer auf Kontrollgruppen zurückführen.
  • Jede Prüfung oder Angebotsanfrage zwingt beide Seiten dazu, dieselben Erklärungen immer wieder neu zu formulieren.

Eine gemeinsame ISMS-Plattform verändert diese Dynamik. Mit ISMS.online können Sie Ihren standardisierten ISO 27001 MSP-Fragenkatalog einmalig erfassen und anbieterübergreifend wiederverwenden. Sie können dienstspezifische Zuordnungen gemäß Anhang A und Matrizen zur gemeinsamen Verantwortung in derselben Struktur speichern, die Sie für Ihre internen Kontrollen verwenden. Sie können MSP-Nachweise wie Auditzusammenfassungen, Testberichte und Kennzahlen direkt mit den zugehörigen Kontrollen und Risiken verknüpfen.

Diese Struktur kommt auch Ihren Managed Service Providern (MSPs) zugute. Sie können mehreren Kunden mit einem einzigen, maßgeblichen Datensatz an Zuordnungen und Nachweisen antworten, anstatt für jeden Fragebogen neue Inhalte zu erstellen. Dies reduziert langfristig den Aufwand auf beiden Seiten und verbessert die Qualität der Beratungsgespräche, anstatt sie in reine Papierkram zu verwandeln. Selbst wenn Sie später den Anbieter wechseln, erleichtert ein einheitliches Modell den Übergang gegenüber Aufsichtsräten und Regulierungsbehörden erheblich.

Praktische nächste Schritte zur Erkundung von ISMS.online

Wenn Sie die hier beschriebenen Herausforderungen erkennen, müssen Sie Ihre Drittanbieter-Governance nicht von Grund auf neu gestalten. Ein gezielter Testlauf genügt oft, um den Nutzen aufzuzeigen, ohne eine umfassende Transformation vorzunehmen, und Sie können ihn parallel zu Ihren bestehenden Prozessen durchführen.

Sie könnten:

  • Wählen Sie ein oder zwei strategische Managed Service Provider (MSPs) aus, die wirkungsvolle Dienstleistungen unterstützen.
  • Nutzen Sie Ihren bestehenden Fragenkatalog zur ISO 27001 als Ausgangspunkt.
  • Konfigurieren Sie eine einfache Mapping-Vorlage und ein Modell für geteilte Verantwortung in ISMS.online.
  • Laden Sie Ihre MSP-Kollegen zur Zusammenarbeit bei der Vervollständigung und Optimierung der Inhalte ein.
  • Nutzen Sie die Ergebnisse, um Ihren Vorstand oder Prüfungsausschuss darüber zu informieren, wie die Kontrollen von Drittanbietern nun in Ihr ISMS integriert sind.

Die Nutzung einer gemeinsamen Umgebung kann Ihnen helfen, klarere Zuordnungen für kritische Dienste zu erstellen, Überraschungen bei Audits von Managed Service Providern (MSPs) zu vermeiden und gegenüber Aufsichtsbehörden und Großkunden eine überzeugendere Darstellung zu entwickeln. Vereinbaren Sie eine Demo, um zu sehen, wie dies in Ihrer eigenen Umgebung aussehen könnte und um zu entscheiden, ob eine gemeinsame ISMS-Plattform die richtige Lösung für Ihr Management ist.

Wenn Sie die Umstellung auf ISO 27001:2022 planen oder bereits durchführen, kann Ihnen dieselbe Umgebung dabei helfen, die Zuordnungen in Anhang A an die überarbeiteten Kontrollsätze für interne und MSP-betriebene Dienste anzupassen. Die Übergangsleitfäden für ISO/IEC 27001:2022 weisen darauf hin, dass Organisationen die Zuordnungen in Anhang A, die Anwendungsbereichsbeschreibungen und die dokumentierten Informationen aktualisieren müssen. Die Nutzung einer gemeinsamen Umgebung, die sowohl interne als auch MSP-betriebene Dienste unterstützt, kann die Koordination dieser Aktualisierungen erleichtern, wie in den Übersichten der ISO-27000-Reihe, beispielsweise der Einführung zu ISO 27000, hervorgehoben wird. Jede Entscheidung zur Einführung neuer Tools oder zum Wechsel des Anbieters sollte weiterhin Ihre üblichen Governance-Prozesse durchlaufen und gegebenenfalls von qualifizierten Rechts- oder Regulierungsberatern geprüft werden.

Letztendlich geht es bei Ihren ISO-27001-Fragen an Managed Service Provider (MSPs) um mehr als nur um Checklisten für die Sorgfaltsprüfung. Es geht darum, zu zeigen, dass Ihr erweitertes digitales Ökosystem wie ein kohärentes, risikobasiertes Managementsystem funktioniert, dem Vorstände, Aufsichtsbehörden und Kunden vertrauen können. Vereinbaren Sie eine Demo mit ISMS.online – so können Sie unkompliziert herausfinden, wie diese Kohärenz in der Praxis für Ihr Unternehmen und Ihre wichtigsten Dienstleister funktionieren kann und ob eine gemeinsame ISMS-Plattform Ihnen dabei helfen kann, aus guten Fragen nachhaltige Zertifizierungen durch Dritte zu entwickeln.

Kontakt


Häufig gestellte Fragen (FAQ)

Wie können wir die Sorgfaltspflichten von Managed Service Providern (MSPs) mit ISO 27001:2022 in Einklang bringen, ohne die Beteiligten mit unzähligen Klauselnummern zu überfordern?

Sie bringen die MSP-Due-Diligence mit ISO 27001:2022 in Einklang, indem Sie Fragen zu Geschäftsergebnissen formulieren – Risiko, Verfügbarkeit, Datenverarbeitung und Verantwortlichkeit – und nur diese Antworten auf Klauseln und Kontrollen in Anhang A innerhalb Ihres eigenen ISMS zurückführen.

Wie können wir die Inhalte der ISO 27001 in Themen umwandeln, die von Unternehmen und Managed Service Providern (MSPs) tatsächlich verstanden werden?

Nehmen Sie die Gespräche als Ausgangspunkt, die Sie bereits mit Stakeholdern und Managed Service Providern führen, und strukturieren Sie diese anhand einiger wiederholbarer Themen:

  • Service und Leistungsumfang passen zusammen: – „Welche Ihrer Dienste, Standorte, Plattformen und Unterauftragnehmer greifen tatsächlich auf unsere Daten zu und fallen diese unter den Geltungsbereich Ihres ISMS?“
  • Risiko und Resilienz: – „Wo werden unsere Verfügbarkeits-, Vertraulichkeits- und regulatorischen Risiken in Ihrem Risikoregister aufgeführt und wie werden sie behandelt?“
  • Kontrolle über Eigentum und Tests: – „Welche Kontrollen gemäß Anhang A:2022 sind für diesen Dienst eingerichtet, wem gehören sie und wie werden sie im Laufe des Jahres überprüft?“
  • Operative Sicherstellung im Zeitverlauf: – „Was haben interne Audits, Penetrationstests, Überwachungsmaßnahmen und Vorfallanalysen in den letzten 12 bis 18 Monaten über diesen Dienst ergeben?“
  • Geteilte Verantwortung: – „Welche Aktivitäten in den Bereichen Zugriff, Konfiguration, Überwachung, Störungsbehebung, Geschäftskontinuität und Lieferantenmanagement fallen in Ihren Verantwortungsbereich, welche in unseren und welche werden tatsächlich gemeinsam genutzt?“
  • Änderung und Roadmap: – „Wie fließen neue Services, Plattformmigrationen und regulatorische Änderungen in Ihren Geltungsbereich, Ihre Risikobewertungen und Kontrollmechanismen ein?“

Diese Themen bilden eine solide Grundlage für die Due-Diligence-Fragebögen, Angebotsanfragen und Vertragsverlängerungen Ihres Managed Service Providers (MSP). Intern können Sie jedes Thema und jede Frage präzise den ISO 27001:2022-Klauseln, den Kontrollen gemäß Anhang A und den Lieferantenmanagementprozessen Ihres ISMS oder Ihres an Anhang L ausgerichteten integrierten Managementsystems zuordnen. Extern sieht Ihr MSP ausschließlich klare, serviceorientierte Fragen anstelle von Klauselzitaten.

Bei Nutzung einer Plattform wie ISMS.online lassen sich Fragenkatalog, Antworten und Zuordnungen problemlos zusammen mit Ihrer Anwendbarkeitserklärung und Ihren Lieferantendaten speichern. So können Sie Prüfern schnell aufzeigen, dass die Drittanbieterkontrolle in Ihr ISMS integriert ist und nicht erst improvisiert aufgrund von Beschaffungsfristen erfolgt.

Wie können wir MSP-Fragen formulieren, die sich auf ISO 27001-Klauseln zurückführen lassen, ohne diese zu zitieren?

Arbeiten Sie von realen Situationen aus und gehen Sie von ISO 27001 aus, nicht umgekehrt:

  • Kontext, Führung und Planung (Abschnitte 4–6):

Erkundigen Sie sich, wie der Managed Service Provider (MSP) den Leistungsumfang definiert, die Kundenbedürfnisse versteht und die Risikobehandlung plant, die Sie betreffen könnte:
„Zeigen Sie uns, wie Risiken im Zusammenhang mit unseren Daten, der Verfügbarkeit und den regulatorischen Verpflichtungen in Ihrem Risikoregister identifiziert, bewertet und priorisiert werden.“

  • Unterstützung und Betrieb (Klauseln 7–8):

Fokus auf die Menschen, dokumentierte Verfahren und die tatsächliche Funktionsweise des Managed Service:
„Welche dokumentierten Verfahren und Kompetenzen sind für die Erbringung dieser Dienstleistung erforderlich, und wie halten Sie beides auf dem neuesten Stand?“

  • Leistungsbewertung und -verbesserung (Abschnitte 9–10):

Erfahren Sie, wie sie ihre Effektivität überwachen, sich selbst prüfen und Veränderungen vorantreiben:
„Welche Prüfungen, KPIs und Korrekturmaßnahmen standen im letzten Jahr in direktem Zusammenhang mit den Systemen, auf die wir uns verlassen?“

Sie müssen nicht fragen: „Wie erfüllen Sie Abschnitt 8.1?“, damit Ihre eigene Implementierung der ISO 27001:2022 nachvollziehbar ist. Was Sie jedoch benötigen, ist ein einheitlicher Fragenkatalog, der aufzeigt, wie sich das Managementsystem des Managed Service Providers (MSP) in Bezug auf Ihre Dienstleistungen verhält, sowie eine systematische Methode, diese Antworten den Abschnitten und den Kontrollen gemäß Anhang A Ihres eigenen Informationssicherheitsmanagementsystems (ISMS) zuzuordnen. Die zentrale Erfassung dieser Zuordnung in einer gemeinsamen Umgebung wie ISMS.online ermöglicht es Ihrem Team, die Fragen kontinuierlich zu verfeinern und gleichzeitig eine lückenlose Dokumentation für Aufsichtsbehörden, Kunden und Zertifizierungsstellen zu gewährleisten.

Wie können wir schnell feststellen, ob das ISO 27001-Zertifikat eines Managed Service Providers (MSP) tatsächlich die von uns geplanten Dienstleistungen abdeckt?

Sie können feststellen, ob das ISO 27001-Zertifikat eines Managed Service Providers (MSP) Ihre Dienstleistungen tatsächlich abdeckt, indem Sie den Geltungsbereich, die Anwendbarkeitserklärung und die aktuellen Prüfberichte so lesen, als wären es Ihre eigenen, und anschließend etwaige Lücken mit konkreten Fragen auf Serviceebene überprüfen.

Welche Bestandteile des Zertifikatspakets sind für MSP-Dienstleistungen am wichtigsten?

Behandeln Sie die Dokumentation als Risikonachweis, nicht als Verkaufsunterlage:

  • Beschreibung des Anwendungsbereichs: – Prüfen Sie, ob die spezifischen Servicearten, die Ihnen wichtig sind (z. B. Managed SOC, Managed Database, Managed Identity, Managed Hosting), sowie die wichtigsten beteiligten Technologien und Plattformen genannt werden.
  • Standorte und Lieferkette: – Stellen Sie sicher, dass Rechenzentren, Supportstandorte und wichtige Subprozessoren für Ihre Workloads explizit im Geltungsbereich liegen oder eindeutig unter eine übergeordnete Einheit fallen.
  • Anwendbarkeit der Steuerung: – Prüfen Sie, ob die Kontrollbestimmungen gemäß Anhang A:2022 in der SoA anwendbar sind; hinterfragen Sie Ausnahmen in Bezug auf Protokollierung, Überwachung, Datensicherung, Kontinuität, Lieferantenaufsicht und sichere Entwicklung, wenn Ihre eigene Risikobewertung diese Bereiche als nicht verhandelbar einstuft.
  • Aktualität und Schwerpunkt der Prüfung: – Notieren Sie sich, wann die letzte Überwachung oder Rezertifizierungsprüfung stattfand und ob die jüngsten Erkenntnisse mit den Umgebungen und Diensten in Zusammenhang stehen, die Sie voraussichtlich nutzen werden.

Dann gehen Sie direkt zu gezielten Fragen über, zum Beispiel:

  • „Welche der von uns evaluierten Dienstleistungen fallen vollständig unter Ihren aktuellen ISO 27001-Geltungsbereich, welche sind nur teilweise abgedeckt und welche fallen derzeit nicht unter Ihren Geltungsbereich?“
  • „Welche Kontroll- und Sicherungsmechanismen gelten stattdessen für Systeme, die unsere Daten unterstützen und nicht in Ihren zertifizierten Geltungsbereich fallen?“

Wenn Sie diese Antworten in Ihren Lieferantenrisikoaufzeichnungen festhalten, ist Ihre Entscheidung nachvollziehbar, falls Ihre eigenen Wirtschaftsprüfer, Ihr Vorstand oder Ihre Kunden später fragen, warum Sie einem bestimmten Anbieter vertraut haben.

Wenn Sie Lieferantennachweise und -notizen in einem System wie ISMS.online organisieren, können Sie Leistungsbeschreibungen, wichtige Auszüge aus den Leistungsbeschreibungen, Ihre Fragen und die Antworten des Managed Service Providers (MSP) zusammen mit den zugehörigen Kontrollen und Risiken gemäß Anhang A speichern. So können Sie dieselbe Bewertung bei Verlängerungen, Neuausschreibungen oder internen Überwachungen wiederverwenden, anstatt jedes Mal mit einer leeren Tabelle zu beginnen.

Welche praktischen Warnsignale gibt es in MSP-Leistungsumfangs- und SoA-Dokumenten?

Man muss kein ISO-Spezialist sein, um Muster zu erkennen, die eine genauere Betrachtung verdienen:

  • Der Umfang ist offensichtlich enger gefasst als die Realität der Umsetzung: wie beispielsweise ein Zertifikat, das nur den „Hauptsitzbetrieb“ abdeckt, während die tatsächliche Leistungserbringung über mehrere Regionen und Cloud-Plattformen erfolgt.
  • Übermäßig werbliche Formulierungen: anstelle konkreter Informationen über Anlagen, Systeme und Verantwortlichkeiten.
  • Veraltete Prüfberichte: oder ein unklarer Überwachungsplan, was auf eine Abweichung von der üblichen Praxis hindeuten kann.
  • Gruppen von „nicht zutreffenden“ Steuerelementen: in Bereichen, die Ihr eigenes Risikoregister als wesentlich einstuft, insbesondere Überwachung, Datensicherung, Kontinuität, Lieferantenüberwachung oder sichere Entwicklung.

Wenn etwas unklar erscheint, bitten Sie den Managed Service Provider (MSP), Ihnen einen konkreten Service, der Ihnen wichtig ist, detailliert zu erläutern: Wo Ihre Daten gespeichert werden, welche Teams darauf zugreifen können und welche Aspekte des ISMS-Umfangs und der Kontrollen diese Komponenten genau abdecken. Kompetente Anbieter liefern Ihnen eine konsistente und nachvollziehbare Darstellung. Diese Darstellung können Sie dann als strukturierten Nachweis in Ihr eigenes ISMS integrieren, sodass Sie bei Rückfragen von Kunden oder Auditoren auf eine klare Dokumentation und nicht auf Ihre Erinnerung zurückgreifen können.

Wie können wir eine gemeinsame Verantwortung mit einem ISO-zertifizierten Managed Service Provider (MSP) vereinbaren, damit im Ernstfall niemand überrascht wird?

Sie sollten mit einem ISO-zertifizierten MSP eine gemeinsame Verantwortung vereinbaren, indem Sie die in Anhang A:2022 aufgeführten Kontrollen, die beide Organisationen betreffen, heranziehen, festlegen, wer für welche Organisation welche Aufgaben übernimmt, und diese Aufteilung dann konsequent in Verträgen, Betriebshandbüchern und Ihrem ISMS widerspiegeln.

Welche Bereiche gemeinsamer Verantwortung verdienen die größte Aufmerksamkeit?

Beginnen Sie dort, wo Unklarheiten im Tagesgeschäft oder bei Zwischenfällen kostspielig werden:

  • Risikomanagement und Planung:

Stellen Sie den Zusammenhang zwischen Ihren Geschäftsrisiken und den technischen Risiken des Managed Service Providers (MSP) explizit dar.
– Fragen Sie, wie Szenarien aus Ihrem Risikoregister – wie der Verlust einer Region, die Kompromittierung des privilegierten Zugriffs oder ein Verstoß gegen regulatorische Bestimmungen – in deren Risikobewertungs- und Behandlungsplänen erscheinen.
– Erstellen Sie eine prägnante RACI-Matrix, die Zugriffsüberprüfungen, Konfigurationsbaselines, Schwachstellenmanagement, Überwachung, Datensicherung und -wiederherstellung sowie regelmäßige Lieferantenüberprüfungen abdeckt.
– Speichern Sie diese RACI-Matrix in Ihren Risikobehandlungsunterlagen, SoA und Lieferantennotizen, damit Prüfer und Manager das gleiche Bild sehen.

  • Erkennung, Reaktion und Kommunikation:

– Klären Sie, welche Warnmeldungen und Telemetriedaten der Managed Service Provider (MSP) überwachen soll, welche Ihr eigenes Team überwachen muss und wie der Informationsfluss bei Störungen zwischen den beiden Teams abläuft.
– Festlegung von Schwellenwerten und Fristen für die Meldung von Vorfällen sowie Festlegung, welche Organisation die Kommunikation mit Aufsichtsbehörden, Kunden und betroffenen Personen gemäß Gesetzen wie der DSGVO oder Branchenvorschriften übernimmt.
– Dokumentieren Sie diese Abläufe in gemeinsamen Handbüchern und üben Sie sie anhand realistischer Planspielszenarien.

  • Kontinuität und Wiederherstellung:

– Stellen Sie sicher, dass die Wiederherstellungszeit- und Wiederherstellungspunktziele des MSP mit Ihrer Geschäftsauswirkungsanalyse und den vertraglichen Zusagen übereinstimmen.
– Bitten Sie sie, klar zwischen Störungen zu unterscheiden, für die sie verantwortlich sind (z. B. Plattformausfall), und solchen, für die Sie verantwortlich sind (z. B. Kompromittierung des lokalen Netzwerks oder eines Endpunkts).

Bitten Sie den Managed Service Provider (MSP), Ihnen ein vollständiges, servicespezifisches Vorfallszenario vorzulegen: Welche Kennzahlen lösen Maßnahmen aus, wer übernimmt die Erstreaktion, wann wird Ihr Team einbezogen und wie werden die gewonnenen Erkenntnisse auf beiden Seiten dokumentiert? Sobald dieses Modell für einen strategischen Service funktioniert, können Sie es auf andere MSPs übertragen und zentral auf einer Plattform wie ISMS.online erfassen. Verknüpfen Sie dabei jede Verantwortlichkeitsmatrix mit den entsprechenden Kontrollen, Risiken und Verträgen gemäß Anhang A.

Wie können wir das Modell der geteilten Verantwortung mit ISO 27001 und einem nach Anhang L integrierten System in Einklang bringen?

Nutzen Sie ISO 27001:2022 und alle zugehörigen Normen als strukturelles Rückgrat und nicht als nachträgliche Überlegung:

  • Identifizieren Sie die in Anhang A aufgeführten Kontrollen, die offensichtlich sowohl für Anbieter als auch für Kunden gelten – beispielsweise solche zu Protokollierung und Überwachung, sicherer Konfiguration, Datensicherung, Lieferantenmanagement, Netzwerksicherheit und Vorfallmanagement – ​​und entscheiden Sie, ob jede dieser Kontrollen primär in Ihrer Verantwortung liegt, in der Verantwortung des Kunden oder in der gemeinsamen Verantwortung.
  • Berücksichtigen Sie diese Entscheidungen in Ihrem Planungsaktivitäten gemäß Klausel 6 und Betriebsbeschreibungen gemäß Klausel 8Daher finden sich Outsourcing-Optionen und Schnittstellen in Risikobehandlungsplänen, dokumentierten Verfahren und Aufzeichnungen zu ausgelagerten Prozessen wieder.
  • Stellen Sie sicher, dass die gleiche Zuordnung bei der Durchführung berücksichtigt wird. Leistungsbewertung gemäß Klausel 9 und Verbesserung gemäß Klausel 10Gemeinsame Vorfälle führen daher zu Korrekturmaßnahmen in den Managementsystemen beider Organisationen und nicht nur in den Warteschlangen für operative Tickets.

Wenn Sie ein gemäß Anhang L ausgerichtetes integriertes Managementsystem betreiben, das ISO 27001 mit Normen wie ISO 22301 für Kontinuität oder ISO 27701 für Datenschutz kombiniert, verwenden Sie dort dieselbe Logik der geteilten Verantwortung. Prüfer sollten die Verantwortlichkeiten für Sicherheit, Kontinuität und Datenschutz lückenlos nachvollziehen können, ohne widersprüchliche Annahmen in verschiedenen Teilen Ihres integrierten Managementsystems zu finden.

Welche Nachweise sollten wir von Managed Service Providern (MSPs) verlangen, um die kontinuierliche Anwendung der ISO 27001-Standards zu belegen, und nicht nur ein gerahmtes Zertifikat?

Sie sollten MSPs nach Nachweisen fragen, die zeigen, wie ihre ISMS- und Annex-A-Kontrollen im Laufe der Zeit für die von Ihnen genutzten Dienste funktionieren – aktuelle, strukturierte Artefakte, die Planung, Betrieb, Messung und Verbesserung über mindestens das vergangene Jahr hinweg belegen.

Welche Arten von MSP-Nachweisen bewähren sich am besten bei internen und externen Prüfungen?

Priorisieren Sie eine kleine Anzahl von Artefakten, die sich klar den Kontrollen und realen Änderungen zuordnen lassen:

  • Interne ISMS-Auditberichte oder Momentaufnahmen: – welche Kontrollen stichprobenartig überprüft wurden, welche Abweichungen oder Schwächen festgestellt wurden und wie Korrekturmaßnahmen bis zum Abschluss verfolgt wurden.
  • Zusammenfassungen der externen Überwachung oder Rezertifizierung: – Ergebnisse der Zertifizierungsstelle, einschließlich aller Feststellungen oder Beobachtungen, die Ihre Dienstleistungen, Plattformen oder Lieferorte betreffen.
  • Ergebnisse des Sicherheitstests: – Gezielte Penetrationstests und Schwachstellenscans für die Systeme, die Ihre Arbeitslasten unterstützen, mit einem klaren Sanierungsplan und Statusbericht für wichtige Ergebnisse.
  • Kennzahlen für das Schwachstellenmanagement: – Trends bei den Bearbeitungszeiten, Anzahl offener Probleme nach Schweregrad und alle formell akzeptierten Ausnahmen.
  • Überwachung von Lieferanten und Unterauftragnehmern: – Dokumente oder Dashboards, die zeigen, wie sie ihre eigenen strategischen Lieferanten und Cloud-Plattformen bewerten und überwachen.
  • Indikatoren für Schulung und Sensibilisierung: – Nachweis, dass die Personen, die die verwalteten Dienste entwerfen, betreiben und unterstützen, entsprechende Schulungen zu Sicherheit und Datenschutz absolviert haben.

Kombinieren Sie diese mit direkten Fragen wie:

  • „Wie häufig werden Systeme, die die von uns genutzten Dienste unterstützen, im Rahmen interner Audits, technischer Tests und Managementbewertungen geprüft, und welche Änderungen haben Sie daraufhin vorgenommen?“
  • „Welches Ziel setzen Sie sich für die Schließung kritischer und hochriskanter Sicherheitslücken, und wie haben Sie diese Ziele in den letzten 12 Monaten erreicht?“

Sie benötigen selten Rohdaten von Ereignisprotokollen oder jedes Detail der Tools Ihres Anbieters, aber Sie brauchen ausreichend aktuelle und strukturierte Nachweise, um zu belegen, dass das ISMS des Managed Service Providers aktiv und effektiv ist. Wenn Sie im Vorfeld festlegen, was Ihr Unternehmen als „vollständiges Nachweispaket“ definiert, und diese Erwartung in Ihre Lieferantenmanagementprozesse aufnehmen, reduzieren Sie spätere Reibungsverluste und vereinfachen Ihre eigenen ISO-27001- und integrierten Systemaudits.

Wie können wir MSP-Nachweise effektiv in unserem ISMS oder Annex L IMS archivieren und wiederverwenden?

Behandeln Sie MSP-Beweise mit der gleichen Struktur und Disziplin, die Sie intern erwarten:

  • Verknüpfen Sie jedes Artefakt mit spezifischen Steuerelementen und Diensten: – Ordnen Sie die Dokumente den entsprechenden Kontrollen, Risiken, Lieferantenaufzeichnungen und Leistungsdefinitionen gemäß Anhang A:2022 zu, damit Sie genau erläutern können, wofür jedes einzelne Beweisstück steht.
  • Tag-Zuständigkeit und Überprüfungsfrequenz: – dokumentieren, wer für die Überprüfung der Nachweise verantwortlich ist, wie oft diese aktualisiert werden müssen und welche Bedingungen oder akzeptierten Restrisiken bestehen.
  • Wo angebracht, kann es in anderen Frameworks wiederverwendet werden: – Beispielsweise sollte ein Penetrationstest, der Systeme abdeckt, die unter ISO 27001, SOC 2 und NIS 2 fallen, nur einmal so referenziert werden, dass er allen drei Standards genügt, anstatt in separaten Silos dupliziert zu werden.

Eine gemeinsame ISMS-Plattform wie ISMS.online ermöglicht diese Verknüpfung und Wiederverwendung: MSP-Nachweise können direkt mit Kontrollen, Risiken, Audits und Lieferantendatensätzen verknüpft werden. Wenn Führungskräfte oder Auditoren fragen: „Woher wissen Sie, dass dieser MSP weiterhin sicher und gemäß Ihren Richtlinien arbeitet?“, können Sie ihnen die verknüpften Elemente auf dem Bildschirm zeigen, anstatt Laufwerke und E-Mail-Verläufe zu durchsuchen.

Wie können wir den Reifegrad nach ISO 27001 bei verschiedenen Managed Service Providern vergleichen, ohne jedes Mal Berater hinzuzuziehen?

Sie können den Reifegrad nach ISO 27001 bei verschiedenen Managed Service Providern vergleichen, indem Sie jedem Anbieter denselben strukturierten Fragenkatalog stellen und die Antworten in ein einfaches Bewertungsmodell umwandeln, das Ihre Risikoprioritäten widerspiegelt, anstatt zu versuchen, jede Antwort einzeln zu gewichten.

Wie sieht eine praxisorientierte MSP-Scorecard auf Basis von ISO 27001 aus?

Eine nützliche Bewertungsmatrix ist kompakt genug, um auch von Nicht-Fachleuten verstanden zu werden, aber gleichzeitig aussagekräftig genug, um Entscheidungen zu beeinflussen:

  • Anwendungsbereich und Zertifikatspassung (1–5): – wie klar der zertifizierte Leistungsumfang des Managed Service Providers die von Ihnen geplanten Dienste, Standorte und Plattformen abdeckt.
  • Dienstspezifische Steuerungszuordnung (1–5): – wie gut sie die Kontrollen gemäß Anhang A:2022 und andere relevante Kontrollen Ihren Diensten und Datenflüssen mit benannten Verantwortlichen zuordnen.
  • Klarheit der gemeinsamen Verantwortung (1–5): – wie eindeutig ihre Verträge, SLAs und RACI-Matrizen darüber sind, „wer was“ für Risikobehandlung, Überwachung, Vorfälle und Kontinuität tut.
  • Beweistiefe und Aktualität (1–5): – wie umfassend und aktuell ihre Prüfergebnisse, Tests, Kennzahlen und Lieferantenbewertungen für die von Ihnen genutzten Umgebungen sind.
  • Offenheit und Reaktionsfähigkeit (1–5): – wie bereitwillig sie zusätzliche Details liefern, Lücken anerkennen und sich zu realistischen Verbesserungsplänen verpflichten.

Sie können diese Dimensionen an Ihre Branche und Ihre Verpflichtungen anpassen. Beispielsweise könnte eine Organisation, die auf operative Resilienz geprüft wird, Kontinuität und Nachweise höher gewichten; ein schnell wachsender SaaS-Anbieter könnte Transparenz, umfassende Sicherheitstests und Plattformkompetenz stärker betonen.

Die gemeinsame Nutzung dieser Bewertungsmatrix mit Einkauf, Rechtsabteilung, Sicherheitsabteilung und den zuständigen Geschäftsbereichen schafft eine gemeinsame Sprache, um zu erklären, warum ein bestimmter Managed Service Provider (MSP) ein besseres Gesamtrisikoprofil aufweist, selbst wenn die kommerziellen Bedingungen ähnlich erscheinen. Die Dokumentation der zugrundeliegenden Antworten, Bewertungen und Begründungen in Ihrem Informationssicherheitsmanagementsystem (ISMS) – und nicht nur in einer Präsentation – ermöglicht es Ihnen, die Bewertung bei Vertragsverlängerungen und Audits wiederzuverwenden und zu aktualisieren, anstatt die Begründung jedes Mal aus dem Gedächtnis neu zu formulieren, wenn jemand fragt: „Warum haben wir uns für diesen Anbieter entschieden?“

Wie kann eine MSP-Scorecard über verschiedene Standards und Regionen hinweg nützlich bleiben?

Eine gute Bewertungsmatrix konzentriert sich auf Verhaltensweisen und Qualitätssicherungsmechanismen, die für verschiedene Normen und Regulierungsbehörden relevant sind, und nicht nur auf die Dokumentation nach ISO 27001:

  • Das gleiche Kernmodell lässt sich auch auf Managed Service Provider (MSPs) anwenden, die ebenfalls Systeme wie beispielsweise … unterstützen. PCI DSS, SOC 2, NIS 2 oder DORA, weil Sie beurteilen, wie sie den Umfang ihrer Dienstleistungen festlegen, Kontrollen implementieren und testen, Lieferanten managen und Risiken kommunizieren.
  • Vorstände und Aufsichtsbehörden sehen eine einheitliche, vergleichbare Sichtweise des Drittparteienrisikos einen übergreifenden Ansatz für Sicherheit, Kontinuität und Datenschutz, anstatt eines Flickenteppichs aus einzelnen Fragebögen für jeden Rahmen.
  • Mit Ihrem integrierten Managementsystem gemäß Anhang L erhalten Sie eine wiederholbare Möglichkeit, auf externe Angelegenheiten und interessierte Parteien gemäß Klausel 4 einzugehen, unabhängig davon, welche spezifischen Normen zu einem bestimmten Zeitpunkt gelten.

Mit zunehmender Ergebniserfassung wird die Scorecard zu einem dynamischen Referenzpunkt. Sie können Fragen verfeinern, Gewichtungen anpassen, wenn sich Vorschriften oder die Risikobereitschaft des Unternehmens ändern, und interne Benchmarks erstellen, die jede neue MSP-Bewertung schneller, konsistenter und gegenüber Führungskräften leichter zu begründen machen.

Wann ist es sinnvoll, die MSP-Aufsicht auf eine gemeinsame ISMS-Plattform zu verlagern, anstatt sie weiterhin per E-Mail und Tabellenkalkulation zu verwalten?

Es macht Sinn, die MSP-Aufsicht in eine gemeinsame ISMS-Plattform zu verlagern, wenn Ihr Team wiederholt dieselben ISO 27001-Informationen von mehreren strategischen Anbietern einholen muss, Schwierigkeiten hat, Nachweise und Zuordnungen in verschiedenen Dokumenten auf dem neuesten Stand zu halten, und es Ihnen schwerfällt, Ihrem Management oder Ihren Auditoren ein kohärentes Bild des Drittparteienrisikos zu vermitteln.

Welche praktischen Vorteile können wir von der Verwaltung von MSPs innerhalb einer gemeinsamen ISMS-Plattform erwarten?

Der Einstieg mit ein oder zwei wirkungsvollen Managed Services kann schnell zeigen, ob dieses Modell für Sie geeignet ist:

  • Ausgerichtete Kontrollstrukturen: – Ihre ISO 27001-Fragensätze, dienstspezifische Kontrollmatrizen gemäß Anhang A:2022, Aufteilung der gemeinsamen Verantwortung und Risikoaufzeichnungen befinden sich in einer Umgebung, auf die sowohl Ihr Team als auch der MSP unter kontrollierten Berechtigungen zugreifen können.
  • Live-, zentrale Beweismittel: – Zusammenfassungen interner und externer Audits, Penetrationstestberichte, Schwachstellenmetriken und Lieferantenbewertungen können direkt mit den Kontrollen, Risiken und Dienstleistungen verknüpft werden, die sie unterstützen, sodass Sie auf „Zeig mir“-Anfragen reagieren können, ohne Ordner durchsuchen zu müssen.
  • Eine einzige Quelle für mehrere Zielgruppen: – Die gleichen strukturierten Informationen unterstützen Vorstandsunterlagen, Aktualisierungen des Risikoausschusses, Antworten auf Kunden-Due-Diligence-Anfragen und Zertifizierungsaudits, ohne dass der Managed Service Provider (MSP) dieselben Daten in mehreren verschiedenen Formaten anfordern muss.
  • Schnellere Prüfungen und Verlängerungen: – Wenn Sie Umfang, Kontrollabdeckung, Nachweise und Scorecard-Ergebnisse in Ihrem ISMS nebeneinander anzeigen können, wird der Vergleich von Anbietern und die Begründung von Verlängerungen weniger zu einer Ad-hoc-Tabellenkalkulationsübung.

Ein sinnvoller erster Schritt ist die Auswahl eines für Ihr Unternehmen relevanten Dienstes – beispielsweise Managed Security Monitoring oder eine zentrale Cloud-Plattform. Richten Sie für diesen Dienst in einem Tool wie ISMS.online eine einfache, ISO-konforme Struktur ein und laden Sie den Managed Service Provider (MSP) ein, dort Nachweise und Optimierungen beizusteuern. Können Sie nach einem Quartal Ihrem Vorstand, Prüfungsausschuss oder wichtigen Kunden diese gemeinsame Sichtweise präsentieren, ohne in letzter Minute nach Dokumenten suchen zu müssen, haben Sie einen starken Beweis dafür, dass sich die Ausweitung dieses Ansatzes auf andere MSPs lohnt. Gleichzeitig reift Ihr eigenes ISMS- oder Annex-L-integriertes System, da die Überwachung durch Dritte Teil des routinemäßigen Managements wird und nicht mehr nur eine jährliche Dokumentenprüfung darstellt.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.