Skip to main navigation Skip to main content Skip to page footer
Kämmer Consulting GmbH Kämmer Consulting GmbH

Mehrfachzertifizierung nach ISO/IEC 27001:2022

Erstellt von Rene Telemann |

Mehrfachzertifizierung nach ISO 27001 ist ein Thema, das in Unternehmensgruppen regelmäßig aufkommt insbesondere dann, wenn bereits eine zentrale IT-Struktur vorhanden ist.

Die typische Ausgangsfrage lautet: „Können mehrere Gesellschaften unter einem gemeinsamen ISO 27001-Zertifikat geführt werden?"

Die fachlich belastbare Antwort lautet: Ja, unter bestimmten Voraussetzungen aber nicht allein deshalb, weil mehrere Gesellschaften dieselbe technische Plattform oder denselben Microsoft-Tenant nutzen.

Für die Bewertung kommt es vielmehr darauf an, ob über die betroffenen Einheiten hinweg tatsächlich ein einheitlich gesteuertes Informationssicherheits-Managementsystem (ISMS) besteht und auditierbar nachgewiesen werden kann.

 

Warum das Thema häufig falsch eingeordnet wird

In der Praxis beginnt die Diskussion meist bei der Technik: gemeinsame Benutzerverwaltung, zentrale Security-Tools, identische Endgeräte-Standards oder ein konzernweit genutzter Tenant.

Diese technische Gemeinsamkeit ist zwar ein starkes Indiz für ein gemeinsames Sicherheitsmodell. Sie ist für sich genommen aber noch kein Nachweis für ein gemeinsames ISMS im Sinne der ISO/IEC 27001:2022 und der einschlägigen Auditregeln.

Gerade hier entsteht eine der häufigsten Fehlannahmen: Aus gemeinsamer Infrastruktur wird vorschnell auf gemeinsame Zertifizierbarkeit geschlossen.

 

Was die ISO/IEC 27001:2022 zunächst verlangt

Die ISO/IEC 27001:2022 fordert in Kapitel 4.3 die klare Festlegung des Geltungsbereichs des ISMS. Dabei geht es nicht nur um die Frage, welche Gesellschaften oder Standorte organisatorisch zu einer Gruppe gehören.

Vielmehr müssen unter anderem folgende Aspekte sauber beschrieben und bewertet werden:

  • betroffene Organisationseinheiten und Standorte,
  • interne und externe Themen,
  • Schnittstellen und Abhängigkeiten,
  • Verantwortlichkeiten und Steuerungsstrukturen,
  • relevante Prozesse, Systeme und Informationswerte.

Der Scope beschreibt damit nicht einfach eine Unternehmensstruktur. Er beschreibt, wo und wie das Managementsystem tatsächlich wirkt.

 

Welche zusätzliche Rolle Multi-Site-Auditregeln spielen

Wenn mehrere Standorte oder Einheiten unter einem gemeinsamen Zertifikat auditiert werden sollen, werden in der Praxis zusätzlich die einschlägigen Vorgaben zur Multi-Site-Auditierung herangezogen, insbesondere die Anforderungen aus IAF MD 1.

Diese Regeln sind für Zertifizierungsstellen maßgeblich und im Akkreditierungskontext relevant. Sie zielen darauf ab sicherzustellen, dass nicht lediglich eine organisatorische Klammer vorhanden ist, sondern ein einheitlich gesteuertes Managementsystem.

Aus fachlicher Sicht bedeutet das: Eine gemeinsame Zertifizierung mehrerer Einheiten wird in der Regel nur dann akzeptiert, wenn zentrale Steuerungsmechanismen nachweisbar vorhanden und wirksam sind.

 

Die eigentliche Trennlinie: Governance statt Gesellschaftsstruktur

Entscheidend ist deshalb nicht in erster Linie die Frage, ob mehrere Gesellschaften zu einer Gruppe gehören. Entscheidend ist die Frage, ob eine zentrale Sicherheitssteuerung besteht oder ob in Wahrheit mehrere autonome Sicherheitssteuerungen nebeneinander arbeiten.

Diese Unterscheidung ist aus Audit- und Managementsicht wesentlich wichtiger als die rein gesellschaftsrechtliche Struktur.

Ein gemeinsames ISMS setzt typischerweise voraus, dass mindestens die folgenden Elemente über alle einbezogenen Einheiten hinweg einheitlich gesteuert werden:

  • gemeinsame Sicherheitsleitlinien und verbindliche Regelwerke,
  • klar definierte Rollen und Verantwortlichkeiten,
  • einheitliche Verfahren zur Risikoanalyse und Risikobehandlung,
  • zentrale oder konsolidierte interne Audits,
  • eine gemeinsame Managementbewertung,
  • ein funktionierendes Korrekturmaßnahmen-Management,
  • vergleichbare Freigabe-, Ausnahme- und Eskalationsprozesse.

Erst wenn diese Mechanismen über alle einbezogenen Einheiten hinweg tatsächlich greifen, lässt sich fachlich tragfähig von einem gemeinsamen ISMS sprechen.

 

Aus der Praxis: Wo gemeinsame Zertifizierung gut funktionieren kann

Es gibt Konstellationen, in denen eine Mehrfachzertifizierung gut und nachvollziehbar funktionieren kann. Ein typisches Beispiel ist eine Muttergesellschaft, die für mehrere Tochterunternehmen zentrale Leistungen bereitstellt und steuert etwa Identity-Management, Endpoint-Management, Logging, Backup, Patch-Management und Security-Governance.

Die Tochtergesellschaften können dabei durchaus unterschiedliche operative Aufgaben haben, beispielsweise Vertrieb, Entwicklung oder Produktion. Solange sie aber unter denselben Sicherheitsleitplanken, denselben Review-Mechanismen und denselben Auditprozessen arbeiten, kann ein gemeinsames ISMS fachlich sinnvoll abbildbar sein.

Die Risiken dürfen unterschiedlich sein. Entscheidend ist, dass die Steuerungslogik gleich bleibt.

 

Wann es kritisch wird

Komplexer wird es, wenn zwar dieselbe technische Plattform genutzt wird, sich aber die Sicherheitssteuerung zwischen den Gesellschaften spürbar unterscheidet.

Das kann sich zum Beispiel so zeigen:

  • unterschiedliche Conditional-Access-Regeln je Tochtergesellschaft,
  • eigene Gerätevorgaben oder lokale Freigabelogiken,
  • abweichende Prozesse für Sicherheitsausnahmen,
  • getrennte Risikoentscheidungen,
  • separate Managementfreigaben oder unterschiedliche Eskalationswege.

Technisch kann in solchen Fällen weiterhin eine gemeinsame Plattform vorliegen. Organisatorisch zeigt sich aber bereits, dass Sicherheit nicht mehr vollständig einheitlich gesteuert wird.

Aus Auditsicht stellen sich dann zentrale Fragen:

  • Wer verantwortet Richtlinien konzernweit?
  • Wer genehmigt Ausnahmen?
  • Wer bewertet Risiken nach welchen Maßstäben?
  • Wer stellt sicher, dass Abweichungen übergreifend konsistent behandelt werden?

Wenn diese Antworten je Gesellschaft unterschiedlich ausfallen, spricht vieles dafür, dass zwar eine gemeinsame technische Basis existiert – aber kein vollständig einheitlich gesteuertes ISMS.

 

Warum ein größerer Scope nicht automatisch besser ist

Managementseitig wirkt eine gemeinsame Zertifizierung auf den ersten Blick oft schlanker und wirtschaftlicher. In der Praxis kann ein zu großer oder zu heterogener Scope jedoch den gegenteiligen Effekt haben.

Ein größerer Scope kann insbesondere zu mehr Komplexität führen bei:

  • Auditplanung und Stichprobenbildung,
  • Abstimmungs- und Freigabeprozessen,
  • Risikobewertungen und Maßnahmenverfolgung,
  • Managementbewertung und Nachweisführung.

Deshalb ist eine getrennte Zertifizierung nicht automatisch die schlechtere Lösung. Sie kann organisatorisch klarer, auditfester und unter wirtschaftlichen Gesichtspunkten sogar sinnvoller sein.

 

Drei Schritte für eine belastbare Bewertung

1. Scope sauber und nachvollziehbar definieren

Beschreiben Sie eindeutig, welche Gesellschaften, Standorte, Prozesse und Systeme tatsächlich Bestandteil des ISMS sind. Der Scope sollte fachlich begründet, dokumentiert und gegenüber Auditoren klar vermittelbar sein.

2. Zentrale Governance nachweisbar machen

Wenn mehrere Einheiten unter einem Zertifikat zusammengeführt werden sollen, muss die zentrale Steuerung des ISMS nicht nur behauptet, sondern durch Rollen, Prozesse, Reviews, Audits und Managemententscheidungen nachweisbar gemacht werden.

3. Organisatorische Unterschiede ehrlich bewerten

Unterschiedliche operative Tätigkeiten sind in der Regel beherrschbar. Kritisch wird es dort, wo unterschiedliche Sicherheitssteuerungen, unterschiedliche Ausnahmeprozesse oder voneinander abweichende Risikologiken bestehen.

 

Mehrfachzertifizierung nach ISO/IEC 27001:2022 ist kein organisatorischer Shortcut und auch kein reines Strukturthema.

Sie ist vor allem eine Architekturentscheidung im Managementsystem. Ob mehrere Gesellschaften gemeinsam zertifiziert werden können, hängt wesentlich davon ab, ob das Sicherheitsmodell tatsächlich gemeinsam geführt, gesteuert und nachgewiesen werden kann.

Wer nur die gemeinsame IT betrachtet, greift deshalb regelmäßig zu kurz. Der eigentliche Prüfpunkt ist die gemeinsame Führbarkeit des ISMS.

Aus unserer Projektpraxis zeigt sich immer wieder: Nicht die größte Lösung ist automatisch die beste – sondern die klarste, nachvollziehbarste und auditfähigste Struktur.

 

Hinweis:
Dieser Beitrag dient der allgemeinen fachlichen Einordnung auf Basis gängiger Normanforderungen, Auditpraktiken und Projekterfahrungen. Er stellt keine Rechtsberatung dar und ersetzt keine Prüfung des Einzelfalls. Die konkrete Ausgestaltung eines ISMS sowie die Bewertung im Zertifizierungsverfahren hängen stets von der individuellen Organisationsstruktur, dem definierten Scope und der jeweiligen Zertifizierungsstelle ab.

 

Ihr nächster Schritt

Die entscheidende Frage ist nicht, ob Mehrfachzertifizierung möglich ist sondern ob sie für Ihre Organisation sinnvoll und tragfähig ist.

Wir helfen Ihnen, diese Entscheidung fundiert zu treffen auf Basis von Norm, Auditpraxis und realer Umsetzbarkeit.

Vereinbaren Sie ein unverbindliches Erstgespräch und schaffen Sie Klarheit für Ihren nächsten Schritt.

Zurück

Unsere Website verwendet Cookies

um Ihren Besuch auf dieser Website zu optimieren. Einige Cookies sind technisch notwendig, diese speichern aber keine personenbezogenen Daten. Cookies helfen aber auch dabei, unsere Inhalte individuell anzupassen und so die Performance für Sie als User zu verbessern. Mit dem Klick auf "Akzeptieren" stimmen Sie der Verwendung der gewählten Cookies zu. Detaillierte Informationen finden Sie in unseren Datenschutzhinweisen.

Cookie optin by Olli machts