Das Telefon klingelte in meinem Büro, und auf dem Display erschien der Name eines meiner langjährigen Kunden – ein mittelständisches IT-Unternehmen, zertifiziert nach ISO/IEC 27001.
»Herr Wagner hier. Wir haben Ihre Nummer gewählt, weil wir Ihre Expertise dringend brauchen. Haben Sie schon von den neuen Anforderungen der ISO 27001 zur Berücksichtigung des Klimawandels gehört?«
»Natürlich«, antwortete ich. »Die Änderungen wurden im Jahr 2024 veröffentlicht und betreffen jetzt alle zertifizierten Unternehmen. Was genau ist Ihr Anliegen?«
Herr Wagner seufzte hörbar. »Ehrlich gesagt, wissen wir nicht, wo wir anfangen sollen. Klimawandel und Informationssicherheit – wie hängt das überhaupt zusammen?«
Der Anfang: Kontextanalyse und Stakeholder-Bedürfnisse
»Fangen wir am besten ganz vorne an«, erklärte ich. »Die Änderungen in der Norm betreffen vor allem die Kontextanalyse (Kapitel 4.1). Ihr Unternehmen muss klären, ob der Klimawandel potenziell Einfluss auf Ihre Informationssicherheit hat. Dazu gehört, mögliche klimabedingte Risiken zu identifizieren, wie Überschwemmungen, Hitzewellen oder Stürme, die IT-Infrastrukturen gefährden könnten.«
Ich hörte, wie Herr Wagner mit jemandem in seinem Büro sprach. »Notieren Sie das: Wir brauchen eine Klimarisikoanalyse.«
»Das ist ein guter erster Schritt«, fügte ich hinzu. »Aber vergessen Sie nicht Kapitel 4.2 der Norm. Sie müssen auch die Erfordernisse und Erwartungen interessierter Parteien berücksichtigen. Das können Kunden sein, die von Ihnen Maßnahmen gegen klimabedingte Ausfälle erwarten, oder Regulierungsbehörden, die entsprechende Nachweise fordern.«
Schritt für Schritt: So integrieren Sie den Klimawandel ins ISMS
Herr Wagner wollte mehr wissen. »Was schlagen Sie konkret vor? Wie setzen wir das um?«
Ich skizzierte die nächsten Schritte:
1. Klimarisikoanalyse durchführen
»Bewerten Sie, wie klimatische Extremereignisse Ihre IT-Infrastruktur und Prozesse beeinflussen könnten. Prüfen Sie zum Beispiel, ob Ihre Datenzentren ausreichend gegen Überschwemmungen geschützt sind oder wie anhaltende Hitze die Verfügbarkeit von Hardware beeinflussen könnte.«
»Klingt, als müssten wir mit unserem Standortmanagement sprechen«, murmelte Wagner.
2. Stakeholder einbeziehen
»Fragen Sie sich, welche Erwartungen Ihre Stakeholder haben. Ein Kunde, der in einer Branche mit strengen Klimavorgaben arbeitet, könnte von Ihnen verlangen, dass Ihre Rechenzentren klimaneutral betrieben werden oder Notfallpläne für klimabedingte Ausfälle vorhanden sind.«
»Verstanden. Wir holen die Anforderungen unserer wichtigsten Kunden ein.«
3. Risikomanagement anpassen
»Integrieren Sie die neuen Erkenntnisse in Ihr bestehendes Risikomanagement. Legen Sie Maßnahmen fest, wie Sie klimabedingte Risiken minimieren – von der Standortwahl bis zu baulichen Schutzmaßnahmen.«
Herr Wagner notierte eifrig.
4. Mitarbeiter schulen
»Sorgen Sie dafür, dass Ihre Teams verstehen, warum der Klimawandel wichtig für die Informationssicherheit ist. Schulen Sie sie in neuen Prozessen, damit sie mögliche Risiken erkennen und melden können.«
»Ein Punkt, den wir leicht unterschätzen könnten«, gab Wagner zu.
5. Dokumentation und Verbesserung
»Dokumentieren Sie alle Schritte und Ergebnisse sorgfältig im ISMS. Und vergessen Sie nicht: Der Klimawandel ist ein dynamisches Thema. Ihre Analysen und Maßnahmen müssen regelmäßig aktualisiert werden.«
Ein Blick auf die Konsequenzen
Herr Wagner zögerte kurz. »Und was passiert, wenn wir das nicht umsetzen?«
Ich erzählte ihm von einem anderen Kunden, der kürzlich ein ähnliches Problem hatte. Ein Auditor hatte bei einem Überwachungsaudit festgestellt, dass dessen Notfallpläne keinerlei klimabedingte Risiken abdeckten. Die Zertifizierungsstelle hatte daraufhin Nachbesserungen verlangt.
»Außerdem müssen Sie an Ihre Glaubwürdigkeit denken«, ergänzte ich. »Wenn ein Kunde oder Partner merkt, dass Sie solche Anforderungen nicht ernst nehmen, könnten sie das Vertrauen in Ihr Unternehmen verlieren. Und im schlimmsten Fall droht sogar der Verlust der Zertifizierung.«
Fazit: Warum die Änderungen wichtig sind
Am Ende des Gesprächs klang Herr Wagner optimistischer. »Das klingt nach Arbeit, aber es ist machbar – vor allem, wenn wir systematisch vorgehen.«
»Das ist der Schlüssel«, stimmte ich zu. »Der Klimawandel ist nicht nur ein Umweltproblem, sondern auch ein Geschäftsrisko. Unternehmen, die diese neuen Anforderungen proaktiv angehen, machen sich resilienter und sichern langfristig ihren Erfolg.«
Wir verabschiedeten uns, und ich wusste, dass Herr Wagner und sein Team den richtigen Weg einschlagen würden. Die Änderungen der ISO/IEC 27001:2022/Amd 1:2024 sind eine Herausforderung, aber auch eine Chance – für mehr Sicherheit und Nachhaltigkeit in der Informationssicherheit.