ISO 27001 betrifft auch Marketing und Social Media: von Access Control (Need-to-know, Offboarding) über Informationsklassifizierung und Audit-Trails bis zu Dienstleister-Management und sicherer Tool-Auswahl. Der Artikel zeigt, was der Standard konkret verlangt und wie er sich zur DSGVO abgrenzt.
ISO 27001 klingt nach etwas, das IT-Abteilungen und Sicherheitsbeauftragte beschäftigt – nicht Marketing-Teams. Das ist ein Irrtum. Denn ISO 27001 betrifft alle Bereiche eines Unternehmens, in denen Informationen verarbeitet werden. Und Social Media ist ein Ort, an dem Informationen in großem Umfang verarbeitet werden.
ISO 27001 ist der internationale Standard für Informationssicherheitsmanagementsysteme (ISMS). Er beschreibt, wie Unternehmen Informationssicherheit systematisch planen, umsetzen, überwachen und verbessern sollen.
Eine ISO-27001-Zertifizierung bedeutet, dass ein unabhängiger Auditor bestätigt hat, dass das Unternehmen diese Anforderungen erfüllt. Für Kunden, Partner und Behörden ist das ein wichtiges Vertrauenssignal.
Zugriffsrechte und Access Control
ISO 27001 Anhang A.9 regelt Access Control: Zugriffsrechte müssen nach dem Need-to-know-Prinzip vergeben, dokumentiert und regelmäßig überprüft werden. Für Social-Media-Teams bedeutet das: Ein Zugriffskonzept mit klaren Rollen, regelmäßige Access Reviews und konsequentes Offboarding.
Informationsklassifizierung
Nicht alle Informationen sind gleich schützenswert. ISO 27001 verlangt eine Klassifizierung von Informationen nach ihrem Schutzbedarf. Im Social-Media-Kontext: unveröffentlichte Posts, Kampagnenpläne, Budgetinformationen und Kundendaten haben unterschiedliche Schutzbedarfe – und der Zugang sollte entsprechend geregelt sein.
Protokollierung und Monitoring
ISO 27001 fordert, dass sicherheitsrelevante Aktionen protokolliert werden. Im Social-Media-Bereich: Wer hat wann welchen Post veröffentlicht? Wer hat Zugriffsrechte geändert? Wer hat sich eingeloggt? Ohne Audit-Trail im Tool ist diese Anforderung nicht erfüllbar.
Lieferanten- und Dienstleistermanagement
ISO 27001 Anhang A.15 regelt den Umgang mit externen Dienstleistern. Das betrifft direkt die Zusammenarbeit mit Social-Media-Agenturen: Zugriffsrechte müssen kontrolliert, Verträge müssen Sicherheitsanforderungen enthalten, und externe Zugänge müssen regelmäßig überprüft werden.
Tool-Auswahl nach Sicherheitskriterien
ISO 27001 verlangt, dass eingesetzte Tools und Services nach Sicherheitskriterien ausgewählt werden. Ein Social-Media-Management-Tool, das keine granularen Zugriffsrechte bietet, keinen Audit-Trail hat und Daten auf US-Servern speichert, erfüllt diese Anforderungen nicht.
Eine ISO-27001-Zertifizierung schließt Social Media ein. Marketing-Teams, die ihre Tools und Prozesse nicht an den Standard anpassen, gefährden die Zertifizierung des gesamten Unternehmens.
ISO 27001 und DSGVO verfolgen ähnliche Ziele, haben aber unterschiedliche Schwerpunkte: ISO 27001 ist ein freiwilliger Standard, der die Informationssicherheit allgemein adressiert. DSGVO ist gesetzlich verpflichtend und fokussiert auf den Schutz personenbezogener Daten.
In der Praxis ergänzen sich beide: Wer ISO 27001 umsetzt, erfüllt viele DSGVO-Anforderungen als Nebeneffekt. Zugriffsrechte, Audit-Trails und Sicherheitsmaßnahmen dienen beiden Zwecken.
Die Kosten einer ISO-27001-Zertifizierung sind nicht trivial. Aber die Frage ist nicht nur „Was kostet die Zertifizierung?" – sondern „Was kostet ein Sicherheitsvorfall, ein Datenleck oder ein gescheitertes Audit?"
Für Unternehmen, die mit sensiblen Kundendaten arbeiten, in B2B-Märkten tätig sind oder mit großen Konzernen zusammenarbeiten, wird ISO 27001 zunehmend zur Voraussetzung. Lieferanten und Partner verlangen es häufig.
Luceena ist ISO 27001-zertifiziert und bietet damit eine verlässliche Basis für Social-Media-Aktivitäten, die den Anforderungen des Standards entsprechen – von Zugriffsrechten über Audit-Trails bis zur Infrastruktur.
ISO 27001 ist kein abstraktes Zertifikat – es ist ein strukturierter Ansatz, um Informationssicherheit systematisch zu managen. Für Marketing-Teams bedeutet das: Zugriffskonzepte, Freigabeprozesse, Audit-Trails und die richtige Tool-Auswahl sind keine Extras. Sie sind Teil des Standards.