Gradion
ISO 27001 in der Softwareentwicklung: Was Ihr Technologiepartner mitbringen muss
Scaling Business

ISO 27001 in der Softwareentwicklung: Was Ihr Technologiepartner mitbringen muss

Rosie Nguyen

Rosie Nguyen

14 June 2026

Die Zusammenarbeit mit einem ungeprüften Anbieter bei regulierter Software ist ein messbares Risiko. Eine Datenpanne, ein gescheitertes Audit oder eine DSGVO-Meldepflicht kann mehr kosten als das Engagement selbst. Ein ISO 27001-zertifizierter Softwareentwicklungspartner gibt Ihnen eine geregelte Baseline — eine, die von einem unabhängigen Prüfer verifiziert, nicht selbst deklariert wurde.

Die entscheidende Frage ist nicht, ob Ihr Anbieter ein Zertifikat besitzt. Sie ist, ob die Zertifizierung ein funktionierendes Sicherheitsmanagementsystem widerspiegelt oder eine reine Dokumentationsübung.

Was bedeutet ISO 27001 für ein Softwareentwicklungsunternehmen?

ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS), herausgegeben von der International Organization for Standardization und der International Electrotechnical Commission. Die aktuelle Version, ISO 27001:2022, wurde im Oktober 2022 veröffentlicht und löste ISO 27001:2013 ab.

Für ein Softwareentwicklungsunternehmen bedeutet die Zertifizierung, dass ein akkreditierter Drittprüfer verifiziert hat, dass die Organisation folgendes getan hat:

  • Informationssicherheitsrisiken systematisch identifiziert und bewertet
  • Kontrollen implementiert, um diese Risiken auf ein akzeptables Niveau zu reduzieren
  • Richtlinien, Verfahren und Verantwortlichkeiten dokumentiert
  • Sich zur kontinuierlichen Verbesserung des ISMS verpflichtet

ISO 27001:2022 enthält 93 Kontrollen in vier Themen: Organisatorisch, Menschen, Physisch, und Technologisch. Zertifizierung bedeutet nicht, dass ein Anbieter alle 93 implementiert hat. Es bedeutet, dass sie dokumentiert haben, welche Kontrollen gelten, jene angewendet haben, die zutreffen, und Ausschlüsse begründet haben.

Anzahl der Kontrollen gemäß ISO/IEC 27001:2022 Anhang A, verfügbar direkt unter iso.org.

Was ist der Unterschied zwischen ISO 27001:2013 und ISO 27001:2022?

Die Revision von 2022 hat das Kontrollset von 114 Kontrollen in 14 Kategorien auf 93 Kontrollen in 4 Themen umstrukturiert. Elf neue Kontrollen wurden eingeführt, die Cloud-Sicherheit, Datenmaskierung, Bedrohungsintelligenz und sicheres Codieren abdecken. Alle sind direkt für Softwareentwicklungspartner relevant.

ISO 27001:2013-Zertifikate gelten nicht mehr als aktuell, nachdem die branchenweite Übergangsfrist Ende 2025 abgelaufen ist. Jeder Anbieter, der ein 2013er-Zertifikat heute als gültig vorlegt, sollte nach seinem Rezertifizierungsstatus gefragt werden.

Stellen Sie bei der Bewertung eines Partners sicher, dass auf dem Zertifikat ISO/IEC 27001:2022 angegeben ist — nicht die abgelöste 2013er Version.

Was sollte ich einen ISO 27001-zertifizierten Softwareentwicklungspartner fragen?

Die Zertifizierung ist ein Ausgangspunkt, kein Abschluss. Behandeln Sie das Zertifikat als Nachweis, dass ein Prozess existiert — und überprüfen Sie dann, ob der Prozess funktioniert.

Stellen Sie vor jeder kommerziellen Zusammenarbeit folgende Fragen:

  • Ist Ihr Zertifikat aktuell? Zertifikate sind drei Jahre gültig, mit obligatorischen Überwachungsaudits im ersten und zweiten Jahr. Fordern Sie das Zertifikat an und bestätigen Sie das Gültigkeitsdatum und den Namen der akkreditierten Zertifizierungsstelle.
  • Was umfasst der Geltungsbereich Ihrer Zertifizierung? ISO 27001 kann eine bestimmte Abteilung, ein Produkt oder eine Region abdecken — nicht das gesamte Unternehmen. Bestätigen Sie, dass der zertifizierte Geltungsbereich das Team und die Systeme einschließt, die Ihre Daten verarbeiten.
  • Welche Zertifizierungsstelle hat Sie geprüft? Akkreditierte Stellen sind im Global ACI MLA aufgelistet. Zertifikate von nicht akkreditierten Stellen bieten keine international anerkannte Gewähr.
  • Wie gehen Sie mit Subverarbeitern und Drittanbietern um? Das Management von Lieferkettenrisiken ist eine in ISO 27001:2022 eingeführte Kontrolle (Kontrolle 5.19). Ein zertifizierter Partner sollte beschreiben, wie er Dritte, die auf Projektdaten zugreifen, überprüft und überwacht.
  • Was ist Ihr Verfahren zur Reaktion auf Sicherheitsvorfälle? Fordern Sie eine Übersicht an. Wie schnell werden Kunden benachrichtigt? Was wird dokumentiert?

Bedeutet ISO 27001-Zertifizierung DSGVO-Konformität?

Nein, und das ist ein weit verbreitetes Missverständnis. ISO 27001 und die DSGVO adressieren überlappende, aber unterschiedliche Anforderungen.

ISO 27001 ist ein freiwilliger internationaler Standard. Er konzentriert sich auf das Risikomanagement der Informationssicherheit.

Die DSGVO ist eine EU-Rechtspflicht. Sie konzentriert sich auf die Rechte der betroffenen Personen und die rechtmäßige Verarbeitung personenbezogener Daten.

Die ISO 27001-Zertifizierung unterstützt die DSGVO-Konformität, insbesondere die Pflichten aus Artikel 32 zur Sicherheit der Verarbeitung. Artikel 32 verpflichtet Organisationen, Maßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme zu implementieren, einschließlich Verschlüsselung, Pseudonymisierung und regelmäßiger Tests. Die ISO 27001-Zertifizierung ersetzt diese Pflichten nicht. Ein zertifizierter Anbieter kann nach wie vor nicht konform sein, wenn er keinen gültigen Auftragsverarbeitungsvertrag besitzt, kein Verzeichnis von Verarbeitungstätigkeiten führt oder die Rechte der betroffenen Personen nicht wahrt.

Für DACH-Unternehmen, die mit Partnern außerhalb der EU zusammenarbeiten, ist die Kombination aus ISO 27001-Zertifizierung und Standardvertragsklauseln (SCCs) in der Regel erforderlich. So wird der angemessene Schutz nach DSGVO Kapitel V nachgewiesen. Bestätigen Sie, dass beides vorhanden ist, bevor die Datenübertragung beginnt.

Welche Infosec-Kontrollen sind im Softwareentwicklungskontext am wichtigsten?

Nicht alle 93 Kontrollen haben im Rahmen einer Anbieterprüfung das gleiche Gewicht. Die für sichere Softwareentwicklungsengagements relevantesten Kontrollen sind:

  • A.8.25 - Sicherer Entwicklungslebenszyklus: Sicherheit im Entwicklungsprozess integriert, nicht nach der Veröffentlichung hinzugefügt
  • A.8.29 - Sicherheitstests in Entwicklung und Abnahme: Schwachstellen vor der Bereitstellung getestet
  • A.8.28 - Sicheres Codieren: Eine Kontrolle aus 2022, die Prinzipien für angriffsresistentes Schreiben von Code verlangt
  • A.5.19 - Informationssicherheit in Lieferantenbeziehungen: Dokumentierte Sicherheitsanforderungen für Drittanbieter
  • A.8.10 - Informationslöschung: Kundendaten aus den Systemen des Anbieters entfernt, wenn ein Projekt endet
  • A.6.8 - Meldung von Informationssicherheitsereignissen: Wie Mitarbeitende Vorfälle identifizieren und eskalieren

Fragen Sie bei der praktischen Beurteilung des ISMS eines Anbieters, wie jede dieser Kontrollen in seinem Entwicklungsworkflow funktioniert — nicht nur, ob sie dokumentiert ist.

Reicht ISO 27001-Zertifizierung für regulierte Branchen aus?

In den meisten regulierten Softwareentwicklungskontexten ist ISO 27001 notwendig, aber nicht ausreichend.

Finanzdienstleistungen. DORA – der Digital Operational Resilience Act (Verordnung EU 2022/2554) – trat am 16. Januar 2023 in Kraft und gilt ab dem 17. Januar 2025. Er verpflichtet Finanzinstitute, IKT-Drittanbieterrisiken durch Vertragsklauseln, Vorfallsmeldepflichten und Tests der operativen Resilienz zu managen. ISO 27001 unterstützt die DORA-Konformität, erfüllt sie aber nicht. Bestätigen Sie, dass Ihr Partner seine Pflichten unter DORA versteht, bevor das Engagement beginnt.

Gesundheitswesen. ISO 27001 adressiert Informationssicherheit im Allgemeinen. Für Gesundheitsdaten können ISO 27799 oder nationale Äquivalente gelten. Die Anforderungen variieren je nach Rechtsgebiet – prüfen Sie dies, bevor Patientendaten verarbeitet werden.

Öffentliche Hand und kritische Infrastruktur. NIS2 – die EU-Richtlinie zu Netz- und Informationssicherheit (EU 2022/2555) – erweiterte die ursprüngliche NIS-Richtlinie auf 15 Sektoren mit strengeren Anforderungen an Risikomanagement und Vorfallsmeldung. Nichtkonformität kann Strafen bis zu 10 Millionen Euro nach sich ziehen. Die ISO 27001-Zertifizierung ist eine unterstützende Maßnahme. Sie erfüllt NIS2-Pflichten nicht automatisch.

Ein audit-bereiter Partner in regulierten Branchen kann darlegen, wie sein ISMS diese Rahmenwerke adressiert. Ein Partner, der die Frage zurückstellt, ist nicht audit-bereit.

Was umfasst Gradions ISO 27001-Zertifizierung?

Gradion besitzt die ISO/IEC 27001:2022 Zertifizierung für seine Engineering-Betriebsabläufe. Der zertifizierte Geltungsbereich deckt die Systeme, Prozesse und Mitarbeitenden ab, die an der Softwareentwicklung für Kunden beteiligt sind – einschließlich Entwicklung, Deployment und Datenverarbeitung.

In der Praxis bedeutet das:

  • Der Zugang zu Kundensystemen und Repositories wird durch dokumentierte Zugangskontrollrichtlinien geregelt.
  • Sicherheitsvorfälle werden protokolliert, klassifiziert und betroffenen Kunden innerhalb definierter Fristen gemeldet.
  • Subverarbeiter und Drittanbieter-Tools werden vor dem Einsatz in Kundenprojekten im Rahmen eines Anbieter-Risikomanagementprozesses bewertet.
  • Entwickler erhalten Security-Awareness-Schulungen, bevor sie Zugang zu Kundenumgebungen erhalten.
  • Sichere Codierungspraktiken sind im Entwicklungsworkflow verankert – nicht als Post-Release-Prüfung angehängt.

So reduzieren wir die Sicherheitsrisiken eines Engagements, bevor der erste Sprint beginnt. Die Zertifizierung wird durch jährliche Überwachungsaudits einer akkreditierten Drittpartei erneuert. Das Zertifikat und die Geltungsbereichsdokumentation sind auf Anfrage unter NDA verfügbar.

Wie verifiziere ich, ob ein ISO 27001-Zertifikat legitim ist?

Drei Schritte:

  1. 1. Prüfen Sie, ob die Zertifizierungsstelle akkreditiert ist. Suchen Sie in der Global ACI-Datenbank unter global-aci.org oder bei Ihrer nationalen Akkreditierungsstelle (DAkkS in Deutschland, UKAS in Großbritannien, SAC in Singapur). Wenn die ausstellende Stelle nicht aufgeführt ist, bietet das Zertifikat keine anerkannte Gewähr.
  2. 2. Bestätigen Sie, dass der Geltungsbereich Ihr Engagement abdeckt. Das Zertifikat gibt den zertifizierten Geltungsbereich an. Wenn es 'Hauptbürobetrieb' lautet und Ihr Projekt ein verteiltes Entwicklungsteam umfasst, fragen Sie, ob dieses Team im Geltungsbereich liegt.
  3. 3. Bestätigen Sie die Gültigkeitsdaten. Zertifikate sind drei Jahre gültig. Überwachungsaudits sind im ersten und zweiten Jahr erforderlich. Kein Auditnachweis ist eine Nachfolgefrage.

Wenn ein Anbieter sein Zertifikat und die Geltungsbereichsdokumentation nicht vorlegen kann, ist das ein Risikosignal.

Quellen

  • ISO/IEC 27001:2022 Standard (Anzahl der Kontrollen, Anhang-A-Struktur) – iso.org, kostenpflichtig
  • DSGVO Artikel 32 – Pflichten zur Sicherheit der Verarbeitung – gdpr-info.eu (spiegelt EUR-Lex, Verordnung 2016/679)
  • DORA Inkrafttreten und IKT-Drittanbieterpflichten – ESMA, esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora
  • NIS2 Geltungsbereich und Strafen – nis2directive.eu (Richtlinie EU 2022/2555)
  • ISO 27001:2022 Übergangszeitraum – IAF MD 26 (Januar 2023). IAF stellte Betrieb am 1. Januar 2026 ein; Funktionen auf Global Accreditation Cooperation Incorporated (global-aci.org) übertragen.
  • Global ACI Akkreditierungsregister – global-aci.org
Rosie Nguyen

About the author

Rosie Nguyen

Rosie Nguyen works at the intersection of Marketing, Communications, and meaningful Storytelling at Gradion. She covers leadership and scaling, writing for the founders and operators building across Asia.

Bereit, Ihr Engineering zu beschleunigen?

Wir stellen eingebettete Engineering-Teams schnell zusammen. Schildern Sie uns Ihre Herausforderung — wir finden die richtigen Experten innerhalb weniger Tage.

Gespräch buchen