Zum Hauptinhalt springen
Alle Beiträge
Cybersicherheit6 Min. Lesezeit

ISO 27001 in der Cloud: Kontrollen auf Azure-Dienste abbilden

ISO 27001 Annex-A-Kontrollen auf Azure-native Dienste abbilden — von Azure Policy über Defender for Cloud bis zum auditfähigen Compliance-Dashboard.

ISO 27001 bleibt der Goldstandard für Informationssicherheitsmanagement, doch die Umsetzung in Cloud-Umgebungen bringt besondere Herausforderungen mit sich. Kontrollen, die für On-Premises-Infrastruktur konzipiert wurden, lassen sich nicht ohne Weiteres auf Shared-Responsibility-Modelle, kurzlebige Ressourcen und plattformverwaltete Dienste übertragen. Dieser Leitfaden zeigt, wie Sie diese Lücke mit Azure-nativen Funktionen schließen.

Die Shared-Responsibility-Realität

Bevor Sie Kontrollen zuordnen, müssen Sie verstehen, wofür Sie in Azure verantwortlich sind. Microsoft veröffentlicht detaillierte Verantwortungsmatrizen, aber das Prinzip ist klar:

  • IaaS: Sie verantworten alles oberhalb des Hypervisors — OS-Patching, Netzwerkkonfiguration, Datenschutz, Zugangskontrolle
  • PaaS: Microsoft verwaltet die Plattform; Sie verantworten Anwendungskonfiguration, Identität und Daten
  • SaaS: Microsoft verwaltet nahezu alles; Sie verantworten Identität, Zugriffsrichtlinien und Datenklassifizierung

Entscheidend: ISO-27001-Auditoren bewerten Ihre Kontrollen, nicht die von Microsoft. Sie müssen nachweisen, dass Ihre Konfiguration der Azure-Dienste die Kontrollziele erfüllt — nicht nur, dass Azure die entsprechenden Zertifizierungen besitzt.

Zentrale Annex-A-Kontrollen auf Azure-Dienste abbilden

Die 2022er-Revision von ISO 27001 hat Annex A in vier Themen reorganisiert: Organisatorisch, Personal, Physisch und Technologisch. Hier zeigen wir, wie die anspruchsvollsten technologischen und organisatorischen Kontrollen auf Azure abgebildet werden.

A.5.15 — Zugangskontrolle

Kontrollziel: Autorisierten Zugriff sicherstellen und unbefugten Zugriff verhindern.

Azure-Umsetzung:

  • Microsoft Entra ID als zentraler Identity Provider mit Conditional-Access-Richtlinien
  • Azure RBAC mit benutzerdefinierten Rollen nach dem Prinzip der geringsten Berechtigung
  • Privileged Identity Management (PIM) für Just-in-Time-Administratorzugriff
  • Access Reviews im Quartalszyklus für alle privilegierten Rollen und Gruppenmitgliedschaften
  • Entitlement Management für gesteuerte Zugriffspakete auf Ressourcen

Audit-Nachweise: Export der Conditional-Access-Richtlinien, PIM-Aktivierungsprotokolle, Abschlussberichte der Zugriffsüberprüfungen, RBAC-Rollenzuweisungen.

A.5.23 — Informationssicherheit für Cloud-Dienste

Kontrollziel: Informationssicherheitsrisiken im Zusammenhang mit Cloud-Diensten steuern.

Azure-Umsetzung:

  • Azure Policy zur Durchsetzung organisatorischer Standards (erlaubte Regionen, vorgeschriebene Verschlüsselung, vorgegebene SKUs)
  • Management Groups zur hierarchischen Richtlinienanwendung über Abonnements hinweg
  • Azure Resource Graph-Abfragen zur Inventarisierung und Validierung von Ressourcenkonfigurationen im großen Maßstab
  • Microsoft Cloud Security Benchmark als Baseline — bildet direkt auf ISO-27001-Kontrollen ab

Audit-Nachweise: Azure-Policy-Compliance-Dashboard-Exporte, Resource-Graph-Abfrageergebnisse, Management-Group-Hierarchie-Dokumentation.

A.8.1 — Benutzer-Endgeräte

Kontrollziel: Informationen auf Benutzer-Endgeräten schützen.

Azure-Umsetzung:

  • Microsoft Intune für Geräte-Compliance-Richtlinien (Verschlüsselung, OS-Version, EDR-Status)
  • Conditional Access mit Geräte-Compliance-Anforderung — nicht konforme Geräte erhalten keinen Zugriff auf Unternehmensressourcen
  • Microsoft Defender for Endpoint für Bedrohungserkennung und automatisierte Behebung
  • Windows Autopilot für konsistente, sichere Gerätebereitstellung

Audit-Nachweise: Intune-Compliance-Berichte, Conditional-Access-Policy-Exporte, Defender-for-Endpoint-Bedrohungszusammenfassung.

A.8.9 — Konfigurationsmanagement

Kontrollziel: Sichere Konfigurationen etablieren und aufrechterhalten.

Azure-Umsetzung:

  • Azure Policy mit deny- und audit-Effekten zur Durchsetzung von Konfigurationsbaselines
  • Azure Automanage Machine Configuration (ehemals Guest Configuration) für OS-Level-Einstellungen
  • Infrastructure as Code (IaC) über Bicep oder Terraform mit obligatorischen Policy-Checks in CI/CD-Pipelines
  • Azure Resource Graph für Drift-Erkennung und Konfigurationsauditing

Audit-Nachweise: Policy-Compliance-Berichte, IaC-Templates in der Versionsverwaltung, Resource-Graph-Exporte zum Konfigurationszustand.

A.8.11 — Datenmaskierung

Kontrollziel: Exposition sensibler Daten begrenzen.

Azure-Umsetzung:

  • Azure SQL Dynamic Data Masking für Datenbankfelder mit personenbezogenen Daten
  • Microsoft Purview Information Protection mit Sensitivitätsbezeichnungen, Inhaltsmarkierung und Verschlüsselung
  • Azure Key Vault für Secrets-, Schlüssel- und Zertifikatsverwaltung mit Zugriffsrichtlinien und Auditprotokollierung

Audit-Nachweise: Export der Datenmaskierungsregeln, Purview-Label-Bereitstellungsberichte, Key-Vault-Zugriffsprotokolle.

A.8.15 — Protokollierung

Kontrollziel: Protokolle von Aktivitäten, Ausnahmen und Ereignissen erstellen und schützen.

Azure-Umsetzung:

  • Azure Monitor und Log Analytics als zentrale Protokollierungsplattform
  • Diagnoseeinstellungen für alle Ressourcen, Weiterleitung an einen dedizierten Log-Analytics-Arbeitsbereich
  • Aktivitätsprotokoll mit Aufbewahrung von mindestens 90 Tagen (oder Archivierung in unveränderlichen Speicher für längere Aufbewahrung)
  • Microsoft Sentinel für Sicherheitsereignis-Korrelation und Alarmierung
  • Unveränderlicher Speicher für den Log-Analytics-Arbeitsbereich oder Azure Storage zur Gewährleistung der Protokollintegrität

Audit-Nachweise: Diagnoseeinstellungen-Konfiguration, Log-Analytics-Aufbewahrungsrichtlinie, Speicher-Unveränderlichkeitsrichtlinie, Beispielabfragen zum Nachweis der Verfügbarkeit.

A.8.20 — Netzwerksicherheit

Kontrollziel: Informationen in Netzwerken und unterstützenden Systemen schützen.

Azure-Umsetzung:

  • Network Security Groups (NSGs) mit dokumentierten Regelsätzen — Deny-All als Standard, explizite Allow-Regeln
  • Azure Firewall oder NVA eines Drittanbieters für zentralisierte Datenverkehrsinspektion
  • Private Endpoints für PaaS-Dienste — öffentliche Internet-Exposition eliminieren
  • Azure DDoS Protection auf virtuellen Netzwerken mit internetexponierten Ressourcen
  • NSG-Flussprotokolle analysiert durch Traffic Analytics für Transparenz und Anomalieerkennung

Audit-Nachweise: NSG-Regelexporte, Firewall-Policy-Dokumentation, Private-Endpoint-Konfiguration, DDoS-Protection-Plan-Zuweisung, Traffic-Analytics-Berichte.

A.8.24 — Einsatz von Kryptographie

Kontrollziel: Wirksamen Einsatz von Kryptographie sicherstellen.

Azure-Umsetzung:

  • TLS 1.2+ erzwingen über alle Dienste hinweg (TLS 1.0/1.1 per Azure Policy verbieten)
  • Azure Storage Service Encryption (SSE) mit kundenverwalteten Schlüsseln wo erforderlich
  • Azure Disk Encryption oder serverseitige Verschlüsselung für VM-Datenträger
  • Azure Key Vault mit HSM-gestützten Schlüsseln für kritisches kryptographisches Material
  • Transparent Data Encryption (TDE) mit kundenverwalteten Schlüsseln für Azure SQL

Audit-Nachweise: Azure-Policy-Compliance für TLS-Durchsetzung, Key-Vault-Schlüsselinventar mit Rotationsdaten, Verschlüsselungskonfiguration pro Speicherkonto und Datenbank.

Das Compliance-Dashboard: Kontinuierliche Transparenz

Azure bietet ein integriertes Compliance-Dashboard für regulatorische Anforderungen in Microsoft Defender for Cloud, das Ihre Ressourcenkonfiguration in Echtzeit auf ISO-27001-Kontrollen abbildet.

Einrichtung:

  1. Defender for Cloud auf allen Abonnements aktivieren (mindestens das kostenlose CSPM-Tier)
  2. ISO-27001-Standard unter Umgebungseinstellungen > Regulatorische Compliance hinzufügen
  3. Compliance-Dashboard prüfen — jede Kontrolle zeigt einen Compliance-Prozentsatz basierend auf automatisierten Bewertungen
  4. Compliance-Daten exportieren über planmäßigen Continuous Export nach Log Analytics oder Event Hub für historische Nachverfolgung

Was das Dashboard nicht kann: Es bewertet die technische Konfiguration, nicht prozessuale Kontrollen. Richtlinien, Schulungsnachweise, Risikobewertungen und Managementbewertungen müssen Sie weiterhin außerhalb von Azure nachweisen.

Auditvorbereitung

ISO-27001-Auditoren erwarten typischerweise:

  1. Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) — mit Angabe der implementierten und ausgeschlossenen Kontrollen samt Begründung
  2. Risikobewertung und Risikobehandlungsplan — als Nachweis, dass die Kontrollauswahl risikobasiert erfolgte
  3. Nachweis der Kontrollwirksamkeit — nicht nur, dass eine Richtlinie existiert, sondern dass sie funktioniert

Für Azure-spezifische Nachweise erstellen Sie ein Nachweissammlungs-Runbook, das folgendes exportiert:

  • Azure-Policy-Compliance-Status (pro Initiative, pro Abonnement)
  • Defender-for-Cloud-Compliance-Scores
  • Entra-ID-Conditional-Access-Richtlinien und Anmeldeprotokolle
  • PIM-Aktivierungsprotokolle und Ergebnisse der Zugriffsüberprüfungen
  • Key-Vault-Zugriffsprotokolle und Schlüsselrotationsnachweise
  • NSG- und Firewall-Regelkonfigurationen
  • Diagnoseeinstellungen und Protokollaufbewahrungskonfigurationen

Praxistipp: Automatisieren Sie die Nachweissammlung mit Azure Resource Graph-Abfragen und Logic Apps auf monatlicher Basis. Auditoren schätzen konsistente, zeitgestempelte Nachweise weitaus mehr als Ad-hoc-Screenshots.

Häufige Lücken aus unserer Praxis

Aus unseren ISO-27001-Beratungsprojekten auf Azure sind dies die häufigsten Feststellungen:

  • Inkonsistente Diagnoseeinstellungen — manche Ressourcen protokollieren nach Log Analytics, andere nicht, und Aufbewahrungsfristen variieren
  • Zu weitreichende RBAC-Berechtigungen — Owner- und Contributor-Rollen auf Abonnementebene statt auf Ressourcengruppenebene zugewiesen
  • Fehlende Zugriffsüberprüfungen — PIM ist aktiviert, aber Access Reviews sind nicht konfiguriert oder werden nicht durchgeführt
  • Keine Verschlüsselungs-Policy-Durchsetzung — Verschlüsselung ist verfügbar, aber nicht per Azure Policy vorgeschrieben
  • Compliance-Dashboard ohne Monitoring — das Dashboard existiert, aber niemand prüft oder handelt nach den Ergebnissen

Fazit

ISO 27001 in Azure bedeutet nicht, Ihr ISMS durch Azure-Tools zu ersetzen — es bedeutet, Azure-native Funktionen als Umsetzungsschicht für Ihre Kontrollen zu nutzen. Das Managementsystem — Risikobewertung, Richtlinien, Managementbewertung, kontinuierliche Verbesserung — muss weiterhin oberhalb der Technologie existieren. Wenn die Technologieschicht jedoch gut konfiguriert und kontinuierlich überwacht wird, werden Audits zur Bestätigung dessen, was Sie bereits wissen — und nicht zu einer hektischen Nachweissuche.

Haftungsausschluss: Dieser Artikel bietet allgemeine technische Orientierung zu regulatorischen Anforderungen und stellt keine Rechtsberatung dar. Vorschriften können Aktualisierungen, nationale Umsetzungsunterschiede und sich entwickelnde Durchsetzungsinterpretationen unterliegen. Konsultieren Sie stets qualifizierte Rechtsberatung für Compliance-Entscheidungen, die spezifisch für Ihre Organisation sind.

Benötigen Sie Unterstützung bei der Zuordnung Ihrer ISO-27001-Kontrollen zu Azure? Kontaktieren Sie unser Team — wir sind spezialisiert auf den Aufbau auditfähiger Cloud-Umgebungen.

ISO 27001 CloudAzure-ComplianceAnnex-A-KontrollenDefender for CloudISO 27001 Auditvorbereitung

Brauchen Sie Expertenberatung?

Unser Team ist spezialisiert auf Cloud-Architektur, Security, KI-Plattformen und DevSecOps. Lassen Sie uns besprechen, wie wir Ihrem Unternehmen helfen können.

Kontakt aufnehmen

Verwandte Artikel

Cybersicherheit

Aufbau einer Zero-Trust-KI-Plattform auf Azure Databricks

Wie wir eine vollständig private Azure-Databricks-Plattform mit Hub-Spoke-Netzwerk, Forced-Tunnel-Firewall, Private Endpoints und Managed Identities konzipiert haben — ohne öffentliche IPs, ohne gespeicherte Geheimnisse.

Artikel lesenCybersicherheit

Zero-Trust-Architektur: Vom Schlagwort zur Produktion in 6 Monaten

Ein praxisnaher 6-Monats-Plan zur Einführung von Zero Trust im Unternehmen, basierend auf NIST 800-207 und realen Umsetzungsmustern.

Artikel lesenCybersicherheit

Microsoft Entra ID absichern: Die 15-Punkte-Checkliste

15-Punkte-Checkliste zur Absicherung von Microsoft Entra ID — Conditional Access, PIM, MFA, Notfallkonten, Token-Schutz und mandantenübergreifende Zugriffe.

Artikel lesen