Compliance

ISO 27001 und KI: Compliance-Anforderungen für Unternehmen

ISO 27001-zertifiziert und KI nutzen - geht das? Ja! Dieser Compliance-Guide zeigt die spezifischen Anforderungen für KI-Systeme, Risikoanalyse-Templates, Audit-Vorbereitung und eine 20-Punkte-Checkliste für ISO-konforme KI-Nutzung.

Niklas Coors
Niklas Coors
CEO & Co-Founder
10. Juli 2025
12 Min. Lesezeit

ISO 27001-zertifiziert und gleichzeitig KI nutzen - geht das zusammen? Ja, absolut! 60% der Unternehmen haben ISO 27001-Zertifizierung oder streben sie an. Bei 80% der Audits seit 2024 sind KI-Systeme ein Thema geworden. Auditoren fragen: "Wie gehen Sie mit KI-Tools um? Wo stehen die Server? Wer hat Zugriff?"

Das Problem: ISO 27001-Standards wurden vor der KI-Revolution geschrieben. Viele Anforderungen passen nicht 1:1 auf KI-Systeme. Die gute Nachricht: Mit den richtigen Maßnahmen sind ISO 27001 und KI perfekt vereinbar.

Dieser Compliance-Guide zeigt Ihnen KI-spezifische ISO-Anforderungen (Risikoanalyse, Zugriffskontrolle, Datenklassifizierung), wie Sie KI-Systeme ins ISMS integrieren (Schritt für Schritt), Audit-Vorbereitung (welche Nachweise brauchen Auditoren?), typische Audit-Fragen und eine 20-Punkte-Checkliste für ISO 27001-konforme KI-Nutzung.

ISO 27001 + KI: 60% der Unternehmen haben ISO 27001. 80% der Audits fragen nach KI. KI-Systeme MÜSSEN ins ISMS integriert werden: Risikoanalyse, Asset-Inventar, Zugriffskontrolle, Incident Management. Durchschnittliche Audit-Vorbereitung: 2-4 Wochen. Typische Audit-Fragen: "Serverstandort?", "Trainingsnutzung?", "Zugriffsprotokolle?".

ISO 27001 Grundlagen: Was ist das überhaupt?

ISO 27001 in 3 Sätzen:

  1. Internationaler Standard für Informationssicherheits-Managementsysteme (ISMS)
  2. Zertifizierung beweist: "Wir nehmen Sicherheit ernst und haben Prozesse"
  3. Anforderungen: Risikoanalyse, Sicherheitsmaßnahmen, kontinuierliche Verbesserung

Warum ISO 27001 wichtig ist:

  • Kundenforderung: Viele Großkunden (DAX, Behörden) fordern ISO 27001 von Lieferanten
  • Wettbewerbsvorteil: Differenzierung gegenüber nicht-zertifizierten Konkurrenten
  • Compliance: Erleichtert DSGVO, NIS2, KRITIS-Compliance
  • Struktur: Zwingt zu systematischem Security-Ansatz
  • Vertrauen: Signal an Kunden: "Eure Daten sind sicher"

Die 3 Hauptbereiche von ISO 27001:

1. ISMS aufbauen:

  • Informationssicherheits-Politik definieren
  • Rollen & Verantwortlichkeiten festlegen
  • Asset-Inventar erstellen

2. Risikoanalyse durchführen:

  • Assets identifizieren (Server, Datenbanken, KI-Systeme!)
  • Risiken bewerten (Eintrittswahrscheinlichkeit × Schadenshöhe)
  • Maßnahmen definieren (Verschlüsselung, Zugriffskontrolle)

3. Controls implementieren (Annex A):

  • 93 Controls in 4 Kategorien
  • Z.B.: A.9.2.1 Benutzerregistrierung
  • Z.B.: A.14.2.1 Sichere Entwicklung
  • Z.B.: A.18.1.3 Schutz von Datensätzen

KI-spezifische ISO 27001 Anforderungen

Anforderung #1: KI-Systeme als Assets inventarisieren

ISO Control: A.8.1.1 - Inventar der Assets

Was Sie tun müssen:

Alle KI-Systeme ins Asset-Inventar aufnehmen:

Für jedes Asset dokumentieren:

  • Zweck ("Automatisierung Kundenservice")
  • Verarbeitete Datentypen ("E-Mails, Chat-Verläufe")
  • Serverstandort ("Deutschland/EU")
  • Anbieter ("Plotdesk GmbH")
  • Kritikalität ("Hoch/Mittel/Niedrig")
  • Verantwortlicher ("IT-Leiter")

Anforderung #2: Risikoanalyse für KI

ISO Control: A.5.2 - Risikobewertung

Typische Risiken bei KI:

| Risiko | Wahrscheinlichkeit | Schaden | Bewertung | Maßnahmen | |--------|-------------------|---------|-----------|-----------| | Datenleck durch KI | Mittel (30%) | Hoch (500k€) | KRITISCH | Verschlüsselung, DSGVO-konforme Anbieter, AVV | | Unbefugte Nutzung | Hoch (50%) | Mittel (50k€) | HOCH | SSO, MFA, Audit-Logs | | Trainingsnutzung | Niedrig (10%) | Sehr Hoch (1M€) | MITTEL | Vertragliche Ausschluss-Klausel | | US-Datenzugriff | Mittel (30%) | Hoch (500k€) | KRITISCH | EU-Server, Verschlüsselung |

Für jedes Risiko:

  1. Eintrittswahrscheinlichkeit bewerten (Niedrig/Mittel/Hoch)
  2. Schadenshöhe schätzen (Euro)
  3. Maßnahmen definieren (technical + organizational)
  4. Residualrisiko akzeptieren oder weitere Maßnahmen

Anforderung #3: Zugriffskontrolle

ISO Control: A.9.1.2 - Zugang zu Netzen und Netzdiensten

Was Sie tun müssen:

Definieren Sie genau, wer Zugriff auf KI hat:

Implementierung:

  • Role-Based Access Control (RBAC)
  • Multi-Factor Authentication (MFA) für Admins
  • Automatische Zugriffssperre nach 30 Tagen Inaktivität
  • Audit-Logs (wer hat wann auf was zugegriffen)

Anforderung #4: Datenklassifizierung

ISO Control: A.8.2.1 - Klassifizierung von Informationen

KI-Datenklassifizierung:

| Klasse | Beschreibung | Beispiele | KI-Nutzung | |--------|--------------|-----------|------------| | Öffentlich | Keine Vertraulichkeit | Website-Texte, Pressemitteilungen | ✅ Unbedenklich | | Intern | Vertraulich | Interne Prozesse, Meeting-Notizen | ✅ Mit DSGVO-konformer KI | | Vertraulich | Sensibel | Kundendaten, Verträge | ⚠️ Nur mit AVV + EU-Servern | | Streng vertraulich | Hochsensibel | Patente, Finanzdaten | ❌ Nicht in Cloud-KI (On-Premise!) |

Regel:

  • Öffentlich + Intern: Okay in Plotdesk
  • Vertraulich: Okay mit AVV + DSFA
  • Streng vertraulich: On-Premise oder gar nicht

Anforderung #5: Incident Management

ISO Control: A.16.1.1 - Verantwortlichkeiten und Verfahren

Incident-Response-Plan für KI:

Wichtig: Üben Sie den Incident-Response-Plan (Drill 1x/Jahr)

20-Punkte-Checkliste: ISO 27001-konforme KI-Nutzung

Prüfen Sie jeden Punkt:

  • ✅ KI-Systeme im Asset-Inventar erfasst
  • ✅ Risikoanalyse für jedes KI-System durchgeführt
  • ✅ Maßnahmen zur Risikominimierung definiert
  • ✅ Serverstandort dokumentiert (muss EU sein!)
  • ✅ AVV mit Anbieter abgeschlossen
  • ✅ Subunternehmer bekannt und dokumentiert
  • ✅ Trainingsnutzung vertraglich ausgeschlossen
  • ✅ Zugriffskontrolle implementiert (RBAC + MFA)
  • ✅ Datenklassifizierung durchgeführt
  • ✅ Audit-Logs aktiviert
  • ✅ Incident Response Plan definiert
  • ✅ Datenschutz-Folgenabschätzung (DSFA) wenn nötig
  • ✅ Mitarbeiter geschult (Datenschutz + Security)
  • ✅ Nutzungsrichtlinie erstellt und kommuniziert
  • ✅ Verschlüsselung sichergestellt (Transit + Rest)
  • ✅ Backup-Strategie definiert
  • ✅ Business Continuity Plan (Was wenn KI ausfällt?)
  • ✅ Regelmäßige Reviews geplant (quartalsweise)
  • ✅ Dokumentation vollständig (für Audit)
  • ✅ Management-Commitment vorhanden

Audit-Vorbereitung: Was prüfen Auditoren?

Typische Audit-Fragen zu KI-Systemen:

Frage 1: "Welche KI-Systeme nutzen Sie?" ✅ Vorbereitung: Vollständiges Asset-Inventar bereithalten

Frage 2: "Wo stehen die Server dieser KI-Systeme?" ✅ Vorbereitung: Liste mit Serverstandorten (muss EU sein!)

Frage 3: "Haben Sie AVV-Verträge mit allen Anbietern?" ✅ Vorbereitung: Alle AVVs griffbereit (digital + signiert)

Frage 4: "Wie kontrollieren Sie den Zugriff auf KI?" ✅ Vorbereitung: RBAC-Konzept zeigen, MFA demonstrieren

Frage 5: "Welche Daten werden in KI verarbeitet?" ✅ Vorbereitung: Datenklassifizierung zeigen

Frage 6: "Werden Ihre Daten für Training genutzt?" ✅ Vorbereitung: Vertragliche Ausschluss-Klausel zeigen

Frage 7: "Haben Sie Risikobewertung für KI durchgeführt?" ✅ Vorbereitung: Risikoanalyse-Dokument vorlegen

Frage 8: "Wie gehen Sie mit Incidents um?" ✅ Vorbereitung: Incident-Response-Plan zeigen

Frage 9: "Schulen Sie Mitarbeiter zum sicheren KI-Umgang?" ✅ Vorbereitung: Schulungs-Nachweise, Teilnehmerlisten

Frage 10: "Können Sie beweisen, dass nur autorisierte Personen Zugriff hatten?" ✅ Vorbereitung: Audit-Logs der letzten 12 Monate

Typische Audit-Findings (und wie Sie sie vermeiden):

Finding 1: "Keine Risikoanalyse für KI-System XY" → Vermeiden: Risikoanalyse für JEDES KI-System (auch kleine Tools!)

Finding 2: "AVV unvollständig (Serverstandort fehlt)" → Vermeiden: AVV mit unserer 15-Punkte-Checkliste prüfen

Finding 3: "Keine Schulung für Mitarbeiter" → Vermeiden: Dokumentierte Schulungen (Datum, Teilnehmer, Inhalt)

Finding 4: "Audit-Logs nicht aktiviert" → Vermeiden: Logging from Day 1

Schritt-für-Schritt: KI ins ISMS integrieren

1

KI-Systeme inventarisieren

1 Woche

Alle KI-Tools erfassen (auch inoffizielle!). Details: Name, Anbieter, Zweck, Datentypen, Serverstandort, Kritikalität.

2

Risikoanalyse durchführen

2 Wochen

Für jedes KI-System: Risiken identifizieren, Wahrscheinlichkeit × Schaden bewerten, Maßnahmen definieren.

3

Maßnahmen umsetzen

4 Wochen

AVV abschließen, Zugriffskontrolle implementieren, Audit-Logs aktivieren, Schulungen durchführen.

4

Dokumentation erstellen

1 Woche

Alle Nachweise für Audit sammeln: AVVs, Risikoanalysen, Schulungs-Nachweise, Audit-Logs, Incident-Logs.

5

Audit-Readiness-Check

1 Woche

Internes Pre-Audit: Alle Fragen durchgehen, Lücken identifizieren, schließen.

Praxisbeispiel: ISO-Audit mit KI-Nutzung bestanden

Praxisbeispiel

Unternehmen

Maschinenbau-Unternehmen

800 Mitarbeiter, ISO 27001-zertifiziert seit 2019

Herausforderung

Re-Zertifizierungs-Audit stand an. Seit letztem Audit: Plotdesk eingeführt (500 User). Auditor kündigte detaillierte Prüfung der KI-Nutzung an.

Lösung

Vorbereitung in 3 Wochen: KI-Asset erfasst, Risikoanalyse nachgeholt, AVV aktualisiert, Dokumentation vervollständigt, Team geschult.

Ergebnisse

  • Audit-Dauer: 2 Tage On-Site
  • Findings zu KI: 0 (keine Beanstandungen!)
  • Auditor-Feedback: "Vorbildliche KI-Integration ins ISMS"
  • Re-Zertifizierung: Bestanden
  • Gültigkeit: 3 Jahre
  • Lessons Learned: Frühzeitige Vorbereitung entscheidend
  • Aufwand Vorbereitung: 40 Stunden gesamt
  • Kosten: 2.000€ (interne Arbeitszeit)
  • Nutzen: Zertifizierung behalten = unbezahlbar

Häufig gestellte Fragen

Muss ich für jede KI-Nutzung eine separate Risikoanalyse machen?

Ja und Nein. Ja: Jedes KI-SYSTEM braucht Risikoanalyse (z.B. Plotdesk = 1 Analyse). Nein: Nicht jeder einzelne Use Case. Beispiel: Plotdesk-Risikoanalyse deckt alle Nutzungen (Marketing, Vertrieb, Support) ab. Aber: ChatGPT (privat) = separate Analyse.

Was ist wenn mein KI-Anbieter nicht ISO-zertifiziert ist?

Das ist kein K.O.-Kriterium. SIE müssen ISO-konform arbeiten, nicht der Anbieter. Wichtig: Anbieter muss DSGVO-konform sein (AVV, EU-Server). Bonus: Wenn Anbieter ISO/SOC 2 hat, erleichtert das Ihren Audit (Sie können auf deren Zertifikate verweisen).

Wie lange dauert die Audit-Vorbereitung für KI?

Wenn KI schon läuft und Sie retroaktiv vorbereiten: 2-4 Wochen. Wenn Sie von Anfang an ISO-konform implementieren: 0 Zusatzaufwand (einfach Standard-Prozesse für KI anwenden).

Was ist wenn ich die Re-Zertifizierung wegen KI nicht bestehe?

Zertifizierung wird ausgesetzt bis Findings behoben sind. Typische Nachbesserungsfrist: 30-90 Tage. Danach Re-Audit. Kosten: 5.000-15.000€ für Re-Audit. Besser: Gleich richtig machen mit dieser Checkliste!

Download-Materialien:

Für Ihre Audit-Vorbereitung:

📄 KI-Asset-Inventar-Template (Excel) 📄 Risikoanalyse-Vorlage für KI (Word) 📄 20-Punkte-Checkliste (PDF) 📄 Audit-Fragen & Antworten (PDF) 📄 Muster-Dokumentation (Komplett-Paket)

Alle Materialien auf: [plotdesk.com/iso-27001-ki]

ISO 27001 + KI Audit-Vorbereitung

Beratungsgespräch: Wir helfen Ihnen bei der Audit-Vorbereitung. Checkliste durchgehen, Lücken identifizieren, Maßnahmen definieren.

Beratung buchen → Checkliste downloaden
Tags: ISO 27001 Compliance Audit

Das könnte Sie auch interessieren

Datenschutz

KI und DSGVO: Worauf deutsche Unternehmen achten sollten

3 Wege zur datenschutzrechtlich vertretbaren KI-Nutzung: (1) USA-Server direkt? Nicht empfohlen. (2) Praktische Lösung: Azure/AWS/GCP mit EU Data Boundary. (3) Kritische Anforderungen: Self-Hosting. Dieser Leitfaden erklärt rechtliche Grundlagen (Art. 28, 44-49), zeigt Setup-Anforderungen für EU-Hosting und gibt eine 15-Punkte-Checkliste zur Anbieterbewertung.

Artikel lesen
Compliance

Europäische KI-Modelle vs. US-Anbieter: Der Compliance-Vergleich

US-Anbieter sind technologisch führend, aber DSGVO-problematisch. Dieser Compliance-Vergleich zeigt OpenAI vs. Mistral AI, AWS vs. EU-Hosting und hilft Ihnen bei der Risiko-Nutzen-Abwägung. Mit Anbieter-Vergleichstabelle und Entscheidungs-Matrix.

Artikel lesen
Compliance

Auftragsverarbeitungsvertrag (AVV) für KI-Dienste: Das müssen Sie wissen

AVV ist Pflicht (Art. 28 DSGVO), nicht optional - aber 70% der AVVs sind unvollständig. Dieser juristische Leitfaden zeigt KI-spezifische Anforderungen, 15-Punkte-Checkliste zur Prüfung und Muster-Klauseln für Verhandlungen.

Artikel lesen

Bereit, Ihre
KI-Transformation zu starten?

Lassen Sie uns in einem kostenlosen Gespräch analysieren, wie Plotdesk Ihr Unternehmen produktiver macht.

Jetzt Meeting buchen Per E-Mail kontaktieren
30 Tage kostenlos testen
Setup in unter einer Woche
100% DSGVO-konform

Vertraut von führenden Unternehmen

Plotdesk Kunde Plotdesk Kunde Plotdesk Kunde
+10k
Bereits über 10.000 Nutzer arbeiten täglich mit Plotdesk