Das zentrale Dilemma: Ein Standard, viele Realitäten

ISO 27001 ist ein globaler Standard. Aber die Welt ist nicht global, sie ist dezentralisiert, fragmentiert und kompliziert. Für multinationale Unternehmen bedeutet das: Ein Audit in Hamburg, das bestanden wird, könnte in São Paulo nicht anerkannt sein. Ein ISMS-Prozess, der in Deutschlands striktem Compliance-Kosmos funktioniert, kann in den USA oder Singapur an regulativen Anforderungen scheitern, die ISO 27001 nicht abdeckt.

Dies ist die zentrale Spannung bei der Implementierung von ISO 27001 über Ländergrenzen hinweg. Nicht zwischen dem Standard und der Realität, sondern zwischen dem Standard und mehreren Realitäten gleichzeitig.

Die drei Herausforderungen

1. Regulatorisches Mosaik: Mehrere Regelwerke, keine klare Hierarchie

Ein französisches Unternehmen mit Standorten in Deutschland, Großbritannien, Polen und den Niederlanden operiert unter mindestens fünf verschiedenen Regelwerken:

Die wichtigsten regulativen Ebenen

  • EU-Ebene: DSGVO (alle Länder) + NIS-2 (ab 2025, alle Länder) + Branchendirektiven (Banken, Energie, Telekommunikation)
  • National: UK GDPR (UK), PDPA (Singapur), CCPA (USA) + nationale Branchenregelungen
  • Konzern: Eigene Group Compliance Policy
  • Kunde: Lieferantenvorgaben, oft strikte als nationale Gesetze

ISO 27001 deckt viele dieser Anforderungen ab, aber nicht alle. Die DSGVO z. B. verlangt Datenschutzfolgenabschätzungen, die ISO 27001 nicht vorsieht. NIS-2 verlangt Meldepflichten, ISO 27001 nicht. US-Unternehmen unterliegen dem NIST Cybersecurity Framework, das ISO 27001 als Ausgangsbaseline akzeptiert, aber deutlich weiter geht.

Die praktische Folge: Multinationale Konzerne müssen ISO 27001 als Fundament sehen, nicht als Dach. Darauf bauen sie Erweiterungen auf. Aber welche Erweiterungen in welchem Land? Das ist die erste Komplexität.

2. Sprachbarrieren und Dokumentations-Drift

Ein Konzern mit Zentrale in Hamburg und Tochtergesellschaften in 12 Ländern hat ein Problem: Alle Dokumentation wird auf Deutsch geführt. Ein Audit in Singapur verlangt aber englische Prozessdokumentation. Ein Audit in Brasilien verlangt portugiesisch. Und wenn die Muttergesellschaft eine Prüfung durchführt, muss alles „konzern-kompatibel" sein.

Was passiert in der Realität?

  • Version A: Zentrale Dokumentation in Deutsch, lokale Übersetzungen. Problem: Übersetzungsdrift. Ein Update der Muttergesellschaft wird in São Paulo erst nach 3 Monaten sichtbar.
  • Version B: Jeder Standort hat seine eigene Dokumentation. Problem: Sie widersprechen sich. Hamburg sagt „Zugriffsverweigerung nach 30 Minuten Inaktivität", Manila sagt „60 Minuten". Ist das ein Finding?
  • Version C: Zentrale Dokumentation in Englisch, als Standard. Problem: Nicht-englische Audits erfordern trotzdem Übersetzungen.

Dies ist weniger ein ISMS-Problem als vielmehr ein Governance-Problem. Aber es kostet Audit-Zeit und führt zu unnötigen Findings.

3. Kulturelle Unterschiede in der Sicherheits-Wahrnehmung

ISO 27001 basiert auf dokumentierten Prozessen, Nachweisen und Kontrollierbarkeit. Das passt zu Western-European-Governance-Kulturen. Aber es ist nicht universell.

In vielen asiatischen Märkten liegt die Sicherheits-Kultur stärker auf Vertrauen und Hierarchie als auf schriftliche Prozesse. Ein Interview mit dem lokalen IT-Chef in Singapur könnte so ablaufen:

„Wir haben einen Chief Security Officer. Er weiß, wie die Sicherheit läuft. Das ist dokumentiert, in seinem Kopf." Das ist keine bewusste Ignoranz des Standards, sondern eine andere Vertrauenskultur.

ISO-27001-Audits können das nicht akzeptieren. Sie verlangen Beweis. Und das erzeugt Reibung.

Wie Konzerne es lösen: Zentral + Dezentral

Das 3-Ebenen-Modell

Die erfolgreichen multinationalen Unternehmen arbeiten mit einem klaren 3-Ebenen-Modell:

Governance-Struktur

  • Ebene 1, Global Framework (Muttergesellschaft): Zentrale ISMS-Policy, definiert Mindeststandards (Scoping, Auditing, Incident Reporting). Gültig für alle Standorte.
  • Ebene 2, Regional/National Policies: Jede Region passt die Global Policy an lokale Regulierung an. Hamburg = DSGVO-plus; Singapur = PDPA-plus; Brasilien = Lei Geral de Proteção de Dados-plus.
  • Ebene 3, Site/Abteilungs-Prozeduren: Jeder Standort dokumentiert seine spezifischen Prozeduren. Das IT-Team in Manila kann z. B. ihre Login-Prozedur anders implementieren als Hamburg, solange beide die Anforderung erfüllen: „Multi-Faktor-Authentifizierung für administrative Zugriffe".

Das klingt simpel, ist aber in der Praxis komplex, weil die Kategorisierung nicht leicht fällt. Ist „Access Management" Global, Regional oder Site-spezifisch?

Die Praxis: Auditierung und Scooping

Ein Konzern mit 5 Tochtergesellschaften kann auf zwei Arten auditiert werden:

  • Szenario A: Ein Konzern-ISMS-Audit über alle Standorte (Multi-Location Audit). Der Auditor prüft zentrale Prozesse in Hamburg und Stichproben in Paris, Madrid und Warschau. Das ist effizienter, aber riskant: Wenn ein Standort ein großes Finding hat, kann es das ganze Zertifikat gefährden.
  • Szenario B: Jeder Standort wird einzeln auditiert (separate Zertifikate pro Location). Das ist teurer, aber regulatorisch sauberer und für Kunden oft akzeptabler: „Wir sind zertifiziert in Deutschland, Frankreich und Großbritannien, getrennt, aber konsistent".

Der goldene Weg ist oft eine Mischung: Zentrale Geschäftsprozesse in einem Konzern-Audit, operative Prozesse in regionalen Audits.

Praktische Checkliste für multinationale ISMS-Implementierung

10 konkrete Maßnahmen

  • Mapping: Erstelle eine Compliance-Matrix (Global Framework vs. lokale Regulierung). Für jede Anforderung: Wer ist verantwortlich (HQ oder Standort)?
  • Language: Wähle eine Sprache für Konzern-Dokumentation (meist Englisch), akzeptiere lokale Übersetzungen als ergänzend, nicht primär.
  • Governance: Installiere einen Global CISO, der die Ebene-1-Policies setzt, und lokale ISOs, die Ebene 2 & 3 verantworten.
  • Auditing: Nutze Multi-Location Audits für zentralisierte Prozesse, separate Zertifikate für operative Standorte.
  • Exceptions: Dokumentiere bewusste Abweichungen (Warum nutzt Singapur ein anderes Access-Management-System?). Auditor kann das dann bewerten.
  • Training: Lokale Trainings in lokaler Sprache. Nicht alle verstehen „Risk Assessment Interviews" auf Englisch.
  • Review-Zyklen: Zentrale Policy-Updates sollten innerhalb von 90 Tagen in lokale Richtlinien fließen. Nicht 6 Monate später.
  • Stakeholder-Mapping: Identifiziere die 3-5 Personen pro Standort, die für ISMS-Compliance sprechen (IT-Chef, Datenschützer, Audit-Beauftragter). Trainiere diese gezielt.
  • Incident Reporting: Ein zentrales System (z. B. ticketing) für alle Incidents, mit lokalen Eskalationswegen.
  • Benchmarking: Regelmäßig vergleichen: Wie viele Findings hatte Hamburg beim letzten Audit vs. Manila? Was ist normal, was ist Abweichung?

Das kritische Gespräch mit dem HQ

Der häufigste Fehler: Die Zentrale meint, dass ein globales ISMS bedeutet, dass alle Standorte identisch sein müssen. Das ist nicht richtig.

„Ein multinationales ISMS ist nicht ein Prozess in 12 Sprachen. Es ist ein Framework, das 12 lokale Prozesse in einer gemeinsamen Logik verbindet."

ISO/IEC 27006, Multi-Location-Audit-Leitlinien

Das ist der Unterschied zwischen Zentralisierung und Koordination.

Ein erfolgreicher Dialog mit der HQ-Ebene würde so laufen:

HQ: „Wieso nutzt ihr in Manila ein anderes Zugriffskontrollsystem als Hamburg?"

Lokal: „Weil Manila-Infrastruktur darauf basiert und die lokale Regulierung (PDPA) andere Nachweise verlangt. Aber beide Systeme erfüllen ISO 27001 A.8.2 (User access provisioning). Die Policy-Anforderung ist gleich; die Implementierung ist unterschiedlich."

HQ: „Okay. Dokumentiert das in Ebene-2-Policy. Dann ist es kein Finding."

Das ist der entscheidende Punkt: Klare Governance schlägt erzwungene Konsistenz.

Governance vor Prozessen

Multinationale ISO-27001-Implementierung ist nicht primär eine Sicherheitsfrage, es ist eine Governancefrage. Die technischen und organisatorischen Maßnahmen sind sekundär. Entscheidend ist:

  • Klare Definition: Was ist zentral (unveränderlich)? Was ist dezentral (adaptierbar)?
  • Transparenz: Jeder Standort muss verstehen, warum diese Regel zentral ist und diese nicht.
  • Dokumentation: Nicht nur „was", sondern auch „warum" dokumentieren. Das ist der Unterschied zwischen Compliance und Verständnis.
  • Review-Zyklen: Das Modell muss jährlich überprüft werden, weil reguliert sich ändert.

Der Auditor wird das System auch bewerten. Nicht an der Frage „Sind alle Prozesse identisch?", sondern: „Ist die Differenzierung begründet und dokumentiert?"

QUELLEN

  1. ISO/IEC 27001:2022, Information security management systems — Requirements, Abschnitt 4 (Context of the organization), iso.org
  2. ISO/IEC 27006:2015, Requirements for bodies providing audit and certification of information security management systems (Multi-Site-Auditing), iso.org
  3. IAF MD 1:2018, Mandatory Document for the Audit and Certification of a Management System Operated by a Multi-Site Organization, iaf.nu
  4. Verordnung (EU) 2016/679 (DSGVO), Art. 35 (Datenschutz-Folgenabschätzung), EUR-Lex
  5. Richtlinie (EU) 2022/2555 (NIS-2), Art. 23 (Meldepflichten), EUR-Lex
  6. NIST Cybersecurity Framework 2.0, nist.gov