Suchbegruff eingeben

Dr. Dominic Lindner
am9. Februar 2026

ISO 27017 Audit – Cloud Security Controls im Überblick

14 02 2026
3 min read

Cloud Computing ist heute ein zentraler Bestandteil moderner IT- und Geschäftsmodelle. Unternehmen nutzen Cloud-Services, um flexibel zu skalieren, Kosten zu optimieren und Innovationen schneller umzusetzen. Gleichzeitig entstehen neue Risiken: geteilte Verantwortlichkeiten, komplexe Lieferketten und eingeschränkte Transparenz über technische Kontrollen. Die internationale Norm ISO/IEC 27017 ergänzt ISO 27001 gezielt um Sicherheitskontrollen für Cloud-Umgebungen. Ein ISO-27017-Audit überprüft, ob Cloud-Sicherheitsmaßnahmen angemessen definiert, umgesetzt und wirksam betrieben werden.

Dieser Artikel gibt einen strukturierten Überblick über Verantwortlichkeiten in der Cloud, zentrale Security Controls sowie die Bedeutung eines ISO-27017-Audits für Unternehmen.

Bedeutung von ISO 27017 im Cloud-Kontext

ISO 27017 ist kein eigenständiger Managementstandard, sondern eine Erweiterung von ISO 27001. Sie richtet sich sowohl an Cloud-Service-Provider (CSP) als auch an Cloud-Service-Kunden. Ziel ist es, cloud-spezifische Risiken zu adressieren, die durch Virtualisierung, Mandantentrennung und die Auslagerung von IT-Services entstehen.

Ein ISO-27017-Audit schafft Klarheit darüber, wie Sicherheitsverantwortlichkeiten zwischen Anbieter und Kunde verteilt sind und ob die implementierten Controls den aktuellen Bedrohungen gerecht werden. Für Unternehmen ist die Norm ein wichtiges Instrument, um Vertrauen in Cloud-Services zu schaffen und regulatorische Anforderungen besser zu erfüllen.

Geteilte Sicherheitsverantwortung in der Cloud

Ein zentrales Prinzip von ISO 27017 ist das Shared Responsibility Model. Es beschreibt, dass Informationssicherheit in der Cloud nicht ausschließlich Aufgabe des Providers ist.

Verantwortung des Cloud-Service-Providers

Der Provider ist typischerweise verantwortlich für:

  • Physische Sicherheit der Rechenzentren
  • Sicherheit der zugrunde liegenden Infrastruktur (Netzwerk, Hypervisor, Storage)
  • Verfügbarkeit der Cloud-Plattform
  • Grundlegende Sicherheitsmechanismen wie Mandantentrennung

Verantwortung des Cloud-Service-Kunden

Der Kunde trägt unter anderem Verantwortung für:

  • Konfiguration von Cloud-Ressourcen
  • Identitäts- und Zugriffsmanagement
  • Schutz von Daten und Anwendungen
  • Einhaltung regulatorischer und vertraglicher Anforderungen

ISO 27017 fordert, dass diese Verantwortlichkeiten klar definiert, dokumentiert und vertraglich geregelt sind. Auditoren prüfen, ob Rollen und Pflichten transparent und für alle Beteiligten verständlich sind.

Zentrale Cloud Security Controls nach ISO 27017

ISO 27017 ergänzt die Kontrollen aus ISO 27001/27002 um spezifische Anforderungen für Cloud-Umgebungen. Zu den wichtigsten Controls zählen:

Governance und Richtlinien

Unternehmen müssen cloud-spezifische Sicherheitsrichtlinien definieren. Dazu gehören Vorgaben zur Nutzung von Cloud-Services, zur Datenklassifizierung sowie zu Freigabe- und Genehmigungsprozessen.

Asset- und Konfigurationsmanagement

Cloud-Ressourcen sind dynamisch und kurzlebig. ISO 27017 fordert Mechanismen, um:

  • Cloud-Assets zu identifizieren und zu inventarisieren,
  • sichere Konfigurationen (z. B. Härtung von Cloud-Services) sicherzustellen,
  • Fehlkonfigurationen frühzeitig zu erkennen.

Identitäts- und Zugriffsmanagement (IAM)

Ein zentrales Risiko in der Cloud ist unzureichend kontrollierter Zugriff. Auditoren achten darauf, dass:

  • Rollen- und Rechtekonzepte klar definiert sind,
  • das Prinzip der minimalen Rechtevergabe angewendet wird,
  • privilegierte Zugriffe besonders geschützt und überwacht werden.

Mandantentrennung und Virtualisierung

Für Cloud-Provider ist die sichere Trennung von Kundenumgebungen essenziell. ISO 27017 fordert technische und organisatorische Maßnahmen, um Datenlecks zwischen Mandanten zu verhindern.

Logging, Monitoring und Incident Management

Transparenz über sicherheitsrelevante Ereignisse ist entscheidend. Cloud-Umgebungen müssen geeignete Logging- und Monitoring-Mechanismen bereitstellen. Zudem müssen klare Prozesse für die Behandlung von Sicherheitsvorfällen existieren – inklusive Meldewegen und Reaktionszeiten.

Lieferanten- und Vertragsmanagement

ISO 27017 legt besonderen Wert auf klare vertragliche Regelungen. Dazu gehören:

  • Definition der Sicherheitsverantwortlichkeiten,
  • Regelungen zu Auditrechten,
  • Anforderungen an Subdienstleister,
  • Vereinbarungen zur Datenrückgabe und -löschung.

Relevanz eines ISO-27017-Audits für Unternehmen

Ein ISO-27017-Audit ist sowohl für Cloud-Anbieter als auch für Cloud-Nutzer von hoher Bedeutung:

Für Cloud-Service-Provider

  • Nachweis eines hohen Sicherheitsniveaus gegenüber Kunden
  • Differenzierung im Markt
  • Strukturierte Weiterentwicklung der Cloud-Sicherheitsarchitektur

Für Cloud-Service-Kunden

  • Bessere Bewertung von Cloud-Risiken
  • Höhere Transparenz über Sicherheitsmaßnahmen des Providers
  • Unterstützung bei Compliance-Anforderungen (z. B. Datenschutz, Branchenregulierung)

Auditoren prüfen nicht nur die Dokumentation, sondern auch die praktische Umsetzung der Controls und deren Wirksamkeit im operativen Betrieb.

Typische Audit-Schwerpunkte und Feststellungen

In ISO-27017-Audits treten häufig folgende Themen in den Fokus:

  • Unklare Abgrenzung der Sicherheitsverantwortlichkeiten
  • Fehlende oder unzureichende Cloud-spezifische Richtlinien
  • Schwächen im IAM, insbesondere bei privilegierten Zugriffen
  • Unvollständige Logging- und Monitoring-Konzepte
  • Unzureichende vertragliche Regelungen mit Cloud-Providern oder Subdienstleistern

Diese Schwachstellen lassen sich durch eine frühzeitige und strukturierte Vorbereitung gezielt adressieren.

Fazit

Ein ISO-27017-Audit bietet Unternehmen einen klaren Rahmen, um Cloud-Sicherheitsrisiken systematisch zu bewerten und zu steuern. Die Norm schafft Transparenz über geteilte Verantwortlichkeiten, definiert relevante Cloud Security Controls und unterstützt sowohl Provider als auch Kunden bei der Umsetzung eines angemessenen Sicherheitsniveaus. Unternehmen, die ISO 27017 konsequent anwenden, stärken nicht nur ihre Informationssicherheit, sondern auch das Vertrauen in ihre Cloud-Strategie – ein entscheidender Faktor für nachhaltigen Geschäftserfolg.

Bildquelle: https://pixabay.com/illustrations/business-meeting-office-people-8941853

Unterstützung bei Audits benötigt?

Wenn Sie Unterstützung bei der Vorbereitung, Durchführung oder Nachbereitung von IT-Audits benötigen, können Sie sich gerne bei mir melden. Ich unterstütze Unternehmen bei Audit-Readiness, Compliance-Strukturen, Dokumentationsaufbau sowie bei der Begleitung von ISO-, TISAX-, BSI- und regulatorischen Audits und bringe langjährige praktische Erfahrung aus Projekten in regulierten IT-Umgebungen mit.

Besonders unterstütze ich Organisationen in hochregulierten Umfeldern wie Banken, Finanzdienstleistern und KRITIS-Unternehmen bei Themen wie BAIT, MaRisk, DORA, Informationssicherheits- und Compliance-Audits.

Wenn Sie Unterstützung benötigen, können Sie gerne einen Termin vereinbaren oder sich direkt auf LinkedIn mit mir vernetzen.

Dr. Dominic Lindner
am9. Februar 2026
Share
Siegelagileunternehmenumwelt      agileunternehmenchartadervielfalt

Weitere Artikel in dieser Kategorie

Information: Gastartikel | Guestarticle | Artikelplatzanfrage | Article Placement | Sponsered Post | Content Collaboration | Bezahlter Blogartikel | Paid Blogpost

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen