ISO 27001 Abschnitt 7.2: Kompetenz als Erfolgsfaktor im ISMS – Warum Wissen über Technik entscheidet

Teil 13 

Die kritische Rolle menschlicher Kompetenz 

Die teuerste Firewall der Welt versagt, wenn der Administrator ihre Konfiguration nicht beherrscht. In der Realität funktionierender Informationssicherheitsmanagementsysteme (ISMS) entscheidet nicht die ausgeklügelteste Technologie über Erfolg oder Scheitern, sondern die Qualifikation der Menschen, die diese Systeme betreiben. 

Abschnitt 7.2 der ISO 27001 macht diese Erkenntnis zur verbindlichen Anforderung: Organisationen müssen sicherstellen, dass Personen mit sicherheitsrelevanten Aufgaben über die erforderliche Kompetenz verfügen. 

Diese Vorschrift wirkt auf den ersten Blick selbstverständlich, offenbart jedoch bei genauerer Analyse erhebliche strategische, operative und auditbezogene Komplexität. Die konsequente Umsetzung schafft nicht nur Compliance mit der Norm – sie bestimmt, ob ein ISMS im Arbeitsalltag funktioniert oder lediglich in Handbüchern existiert. Gleichzeitig bildet sie die unverzichtbare Grundlage für eine belastbare Sicherheitskultur und betriebsinternes Lernen. 

Die Digitalisierung und zunehmende Vernetzung von Geschäftsprozessen verstärken diese Anforderungen dramatisch. Cyber-Bedrohungen werden immer ausgereifter, regulatorische Vorgaben wie NIS2, die DSGVO oder die neue KI-Verordnung komplexer, und die Schnittstellen zwischen IT-Sicherheit und Geschäftsprozessen zahlreicher. Unternehmen benötigen daher nicht nur punktuelles Fachwissen, sondern adaptive Kompetenzstrukturen, die sich an veränderte Bedrohungslagen anpassen können. 

Die drei Säulen der normativen Anforderung 

Abschnitt 7.2 der ISO 27001 formuliert drei zentrale Verpflichtungen, die ineinandergreifen wie Zahnräder einer Präzisionsmaschine: 

• Organisationen müssen für sicherheitsrelevante Rollen die notwendigen Kompetenzen bestimmen – aufgaben- und risikobasiert. Diese Anforderung geht über simple Stellenbeschreibungen hinaus und verlangt eine systematische Analyse der Sicherheitsrisiken, die mit unzureichender Qualifikation verbunden sind. 

• Sie müssen gewährleisten, dass Personen diese Kompetenzen tatsächlich besitzen – sei es durch formale Qualifikation, zielgerichtete Schulung oder nachweisbare Erfahrung. Entscheidend ist dabei die Passung zwischen theoretischem Wissen und praktischer Anwendungsfähigkeit. 

• Kompetenzdefizite müssen durch geeignete Maßnahmen geschlossen werden, deren Wirksamkeit zu bewerten ist. Die Nachweise sind zu dokumentieren und müssen einer externen Prüfung standhalten. 

Diese Anforderungen betreffen sowohl strategisch bedeutsame Rollen wie die Leitung der Informationssicherheit oder Risikoentscheider als auch operative Funktionen mit privilegiertem Zugriff wie Administratoren, DevOps-Teams oder Projektleitende. Die Norm bleibt bewusst offen, wie Kompetenz nachgewiesen wird – entscheidend ist die Angemessenheit im Verhältnis zu den identifizierten Sicherheitsrisiken. 

Eine Kompetenzprüfung kann auf Basis von Qualifikationsnachweisen, Erfahrungsprofilen oder assessmentspezifischen Verfahren erfolgen. Wichtig ist, dass die gewählten Methoden den spezifischen Anforderungen der Organisation entsprechen und regelmäßig auf ihre Aussagekraft überprüft werden. 

Kompetenzarten im ISMS-Kontext 

Kompetenz im Sinne der ISO 27001 umfasst deutlich mehr als technisches Fachwissen. Entscheidend ist die Fähigkeit, sicherheitsrelevante Aufgaben im organisatorischen Kontext wirksam und verantwortungsvoll auszuüben. Fünf Dimensionen sind dabei besonders relevant: 

• Fachliche Kompetenz umfasst technisches und organisatorisches Wissen zur Informationssicherheit. Dazu gehören Kenntnisse über Verschlüsselungsverfahren, Netzwerksicherheit, Incident-Response-Prozesse und Risikomanagement-Methoden. Diese Kompetenz muss kontinuierlich an neue Technologien und Bedrohungslagen angepasst werden. 

• Regulatorische Kompetenz betrifft die Kenntnis geltender gesetzlicher und normativer Anforderungen. Mit der NIS2-Richtlinie, der DSGVO oder branchenspezifischen Regelungen wie den KRITIS-Verordnungen entstehen komplexe Compliance-Landschaften, die fundiertes Verständnis erfordern. 

• Prozessuale Kompetenz bezeichnet das Verstehen und Anwenden von ISMS-Prozessen. Dazu gehören Risikomanagement-Verfahren, Incident-Handling-Prozesse, Change-Management-Abläufe und die Integration von Sicherheitsanforderungen in Geschäftsprozesse. 

• Kommunikative Kompetenz ermöglicht die wirksame Vermittlung von Sicherheitszielen, die professionelle Einleitung von Eskalationen und die kompetente Begleitung von Audits. Diese Fähigkeit wird oft unterschätzt, ist aber entscheidend für die organisationsweite Akzeptanz von Sicherheitsmaßnahmen. 

• Rollenbewusstsein schafft Klarheit über Verantwortung, Zuständigkeit und Schnittstellen. In komplexen Organisationen mit geteilten Verantwortlichkeiten für die Informationssicherheit ist diese Kompetenz unverzichtbar für die Vermeidung von Zuständigkeitslücken. 

Die Gewichtung und Tiefe dieser Kompetenzarten variiert je nach Funktion erheblich. Eine zentrale Herausforderung besteht darin, diese Anforderungen differenziert zu operationalisieren und bei Rollenveränderungen dynamisch zu bewerten. In der Praxis bedeutet das: Für jede relevante Funktion müssen Kompetenzprofile festgelegt, regelmäßig überprüft und bei veränderten Anforderungen angepasst werden. 

Viele Organisationen verwenden dazu Kompetenzmatrizen, in denen Soll- und Ist-Kompetenzen für jede Rolle visuell gegenübergestellt werden. Diese Matrizen dienen nicht nur als Analysewerkzeug, sondern auch als Planungsgrundlage für Qualifizierungsmaßnahmen. Ergänzend können Reifegradmodelle helfen, die Entwicklung einzelner Kompetenzen zu strukturieren und Fortschritte nachvollziehbar zu dokumentieren. 

Systematische Ermittlung des Kompetenzbedarfs 

Die Kompetenzermittlung ist der erste normative Schritt – und eine strategische Chance zur Professionalisierung des ISMS. Das Ziel ist präzise: Für jede sicherheitsrelevante Rolle muss klar definiert werden: 

• Welche Aufgaben mit Einfluss auf die Informationssicherheit wahrgenommen werden 

• Welche Risiken mit unzureichender Kompetenz verbunden wären 

• Welche Kenntnisse, Fähigkeiten und Erfahrungen erforderlich sind, um diese Risiken zu beherrschen 

Empfohlen wird ein rollenbasiertes Kompetenzmodell, das mit der Aufgabenmatrix und den Schutzbedarfsbewertungen abgestimmt ist. In der Praxis kann dies in Form einer Kompetenzlandkarte erfolgen, die Funktionen, Anforderungen und Ausbildungsstände zusammenführt. 

Organisationen sollten diese Bewertung nicht nur auf IT-Funktionen beschränken: Auch Fachbereiche mit Schnittstellen zur Informationsverarbeitung, das Management sowie das interne Audit tragen sicherheitsrelevante Verantwortung. So benötigen beispielsweise Einkäufer, die IT-Dienstleister auswählen, Kenntnisse über Sicherheitsanforderungen in Lieferantenverträgen. Personalverantwortliche müssen über Datenschutzanforderungen bei der Mitarbeiterverwaltung informiert sein. 

Die Ermittlung des Kompetenzbedarfs darf nicht als einmalige Aktion verstanden werden. Technologische Entwicklungen wie Cloud Computing, Künstliche Intelligenz oder IoT-Integration, regulatorische Neuerungen und sich verändernde Bedrohungslagen führen dazu, dass auch Kompetenzanforderungen einem kontinuierlichen Wandel unterliegen. Daher ist die Bedarfsanalyse regelmäßig zu aktualisieren – etwa im Rahmen der jährlichen ISMS-Review-Zyklen oder im Zuge wesentlicher Änderungen im Unternehmen. 

Darüber hinaus empfiehlt es sich, Verantwortlichkeiten für die Pflege der Kompetenzmodelle und deren Abstimmung mit HR-Strategien klar zu definieren. Nur wenn Informationssicherheit und Personalentwicklung strategisch aufeinander abgestimmt sind, lassen sich langfristig tragfähige Sicherheitskulturen etablieren. 

Praktische Umsetzung und Erfolgsfaktoren 

Die erfolgreiche Implementierung der Kompetenzanforderungen nach ISO 27001 erfordert ein systematisches Vorgehen, das über die reine Compliance hinausgeht. Organisationen sollten die Kompetenzentwicklung als integralen Bestandteil ihrer Geschäftsstrategie verstehen und entsprechende Ressourcen bereitstellen. 

Ein kritischer Erfolgsfaktor ist die enge Zusammenarbeit zwischen der Informationssicherheit, der Personalentwicklung und dem Management. Nur wenn alle Beteiligten die Bedeutung qualifizierter Sicherheitskompetenzen verstehen und unterstützen, können nachhaltige Verbesserungen erreicht werden. 

Die Dokumentation der Kompetenzanforderungen und -nachweise muss auditfähig sein, aber gleichzeitig praxistauglich bleiben. Überbürokratisierung schadet der Akzeptanz und Wirksamkeit der Maßnahmen. Zielführend ist ein ausgewogenes Verhältnis zwischen Nachweisführung und praktischer Anwendbarkeit. 

Ihre Kompetenzstrategie auf dem Prüfstand 

Die Theorie ist klar – doch wie steht es um die praktische Umsetzung in Ihrer Organisation? Jedes Unternehmen hat individuelle Sicherheitsanforderungen, unterschiedliche Reifegrade und spezifische Herausforderungen bei der Kompetenzentwicklung. Eine maßgeschneiderte Analyse deckt Lücken auf, bevor sie zu Compliance-Problemen oder Sicherheitsvorfällen werden. 

Vereinbaren Sie ein vertrauliches Beratungsgespräch, um: 

• Die sicherheitsrelevanten Kompetenzanforderungen Ihrer Organisation zu analysieren 

• Effektive und auditfähige Kompetenzmodelle im Rahmen Ihres ISMS zu entwickeln 

• Praxisgerechte Schulungs- und Weiterbildungsmaßnahmen zu konzipieren und umzusetzen 

• Synergien zwischen HR, Compliance und Informationssicherheit zu identifizieren 

[Jetzt Beratungsgespräch vereinbaren]