Wer redet mit wem, worüber, und wann? ISO 27001 Clause 7.4 verlangt, dass du die interne und externe Kommunikation deines ISMS planst und dokumentierst. Der Kommunikationsplan macht aus einer vagen Absicht einen konkreten Ablauf — und liefert im Audit den Nachweis, dass Informationssicherheit in deiner Organisation tatsächlich kommuniziert wird.
Was enthält das Register?
Die Vorlage strukturiert jeden Kommunikationsanlass entlang der fünf Dimensionen aus Clause 7.4:
- Gegenstand — was wird kommuniziert? (z.B. neue Informationssicherheitsrichtlinie, Ergebnisse des internen Audits, Sicherheitsvorfall)
- Zeitpunkt / Häufigkeit — wann oder wie oft? (z.B. nach Freigabe, vierteljährlich, bei Eintritt eines Ereignisses)
- Zielgruppe — an wen? (z.B. alle Mitarbeitenden, Geschäftsführung, betroffene Kunden, Aufsichtsbehörde)
- Verantwortliche Person — wer löst die Kommunikation aus und stellt sicher, dass sie stattfindet?
- Kanal — wie wird kommuniziert? (z.B. E-Mail, Intranet, Briefing, formelles Schreiben)
So nutzt du die Vorlage
1. Kommunikationsanlässe sammeln. Geh die Clause-Anforderungen deines ISMS durch und identifiziere jeden Punkt, an dem Kommunikation stattfinden muss. Typische Auslöser: Richtlinienfreigabe (Clause 5.2), Rollen und Verantwortlichkeiten (Clause 5.3), Schulung (Clause 7.2), Vorfallbehandlung (A.5.24–A.5.28), Änderungsmanagement.
2. Interne und externe Anlässe trennen. Interne Kommunikation richtet sich an Mitarbeitende und Führungskräfte. Externe Kommunikation an Kunden, Lieferanten, Behörden, Zertifizierungsstellen. Die Anforderungen an Formalität, Frist und Nachweis unterscheiden sich erheblich.
3. Verantwortlichkeiten zuordnen. Jeder Anlass braucht eine benannte verantwortliche Person. In der Praxis ist das oft der CISO oder die Informationssicherheitsbeauftragte — aber bei Vorfallmeldungen an Behörden kann die Geschäftsführung verantwortlich sein.
4. Kanäle festlegen. Der Kanal muss zur Zielgruppe und zur Dringlichkeit passen. Richtlinienänderungen per Intranet-Ankündigung, Vorfallmeldungen per definiertem Eskalationsweg, Behördenmeldungen per formellem Schreiben mit Frist.
5. Regelmäßig aktualisieren. Neue Richtlinien, neue Stakeholder, neue regulatorische Anforderungen — der Kommunikationsplan wächst mit dem ISMS. Überprüfe ihn mindestens jährlich und nach jeder wesentlichen Änderung am Geltungsbereich.
| Stakeholder | Kategorie | Interesse am ISMS | Kommunikationsinhalt | Kanal | Frequenz | Verantwortlich | Sprache | ||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Geschäftsleitung | Intern | Strategische Aufsicht und Risikolage | KPI-Dashboard | Management-Review-Ergebnisse | Großvorfälle | Management-Review-Meeting + E-Mail | Quartalsweise | ||||
| Mitarbeitende | Intern | Richtlinien | Awareness | Vorfallmeldung | Richtlinien-Bestätigungen | Awareness-News | Phishing-Ergebnisse | ||||
| IT-Betriebsteam | Intern | Technische Kontrollen | Change-Management | Tickets | Change Advisory | Schwachstellenmeldungen | Ticket-System + Teams-Kanal | ||||
| Betriebsrat | Intern | Mitarbeiterüberwachung | mobiles Arbeiten | Geplante Monitoring-Maßnahmen | BYOD-Regelungen | Dediziertes Meeting | Bei Änderung | ||||
| Kunden | Extern | Vertraulichkeit | Verfügbarkeit | sie betreffende Vorfälle | Sicherheitsfactsheet | Vorfallmeldungen | Auditberichte | ||||
| Betroffene Personen | Extern | DSGVO-Rechte | Datenschutzerklärung | Breach-Meldungen | Website + E-Mail | Bei Änderung + bei Ereignis | DSB | ||||
| Aufsichtsbehörde BfDI | Extern | DSGVO-Konformität | Breach-Meldungen | Meldungen nach Art. 33 DSGVO | Online-Portal | Bei Ereignis | DSB | ||||
| NIS2-Behörde (BSI) | Extern | Vorfallmeldungen (24h/72h/1M) | Frühwarnung | Vorfallmeldung | Abschlussbericht | BSI-Meldeportal | Bei Ereignis | ||||
| Lieferanten | Extern | Vertragliche Sicherheitsanforderungen | Sicherheitsfragebögen | Audit-Anfragen | E-Mail + Lieferantenportal | Jährlich + bei Ereignis | Einkauf | ||||
| Externe Auditoren | Extern | Auditnachweise | SoA | Richtlinien | Aufzeichnungen | Auditraum / sicheres Share | Jährlich | ||||
| Versicherung | Extern | Cyber-Risikoprofil | Kontrollbestätigung | Jährlich | CFO | DE | |||||
| Presse | Extern | Krisenkommunikation | Holding Statement | Faktenupdates | Pressemitteilung + Briefing | Bei Ereignis | Kommunikationsleitung |
| Stakeholder | Category | Interest in ISMS | Communication Content | Channel | Frequency | Owner | Language | ||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Top Management | Internal | Strategic oversight | risk exposure | KPI dashboard | management review results | major incidents | Management review meeting + email | ||||
| Employees | Internal | Policies | awareness | incident reporting | Policy acknowledgements | awareness news | phishing results | ||||
| IT Operations team | Internal | Technical controls | change mgmt | Tickets | change advisory | vulnerability alerts | Ticket system + Teams channel | ||||
| Works council | Internal | Employee monitoring | remote work | Planned monitoring measures | BYOD rules | Dedicated meeting | On change | ||||
| Customers | External | Confidentiality | availability | incidents affecting them | Security factsheet | incident notifications | audit reports | ||||
| Data subjects | External | GDPR rights | Privacy notice | breach notifications | Website + email | On change + on event | DPO | ||||
| Regulator BfDI | External | GDPR compliance | breach reports | Breach notifications (Art. 33) | Online portal | On event | DPO | ||||
| NIS2 competent authority (BSI) | External | Incident notifications (24h/72h/1M) | Early warning | incident notification | final report | BSI reporting portal | On event | ||||
| Suppliers | External | Contractual security requirements | Security questionnaires | audit requests | Email + supplier portal | Annually + on event | Procurement | ||||
| Auditors (external) | External | Audit evidence | SoA | policies | records | Audit room / secure share | Annually | ||||
| Insurance | External | Cyber risk posture | Controls attestation | Annually | CFO | DE | |||||
| Press | External | Crisis communications | Holding statement | factual updates | Press release + briefing | On event | Communications Lead |
Quellen
- ISO/IEC 27001:2022 Clause 7.4 — Kommunikation
- NIS2-Richtlinie (EU 2022/2555) Art. 23 — Meldepflichten