In der heutigen Projektwelt geht es nicht mehr nur um Budget und Zeit – es geht um Vertrauen, Resilienz und Datenschutz. Wer Informationssicherheit im Projektmanagement erst am Ende betrachtet, läuft Gefahr, teure Fehler zu machen. Deshalb fordert ISO/IEC 27001:2024 (Control 5.8), dass Sicherheitsanforderungen von Anfang an integraler Bestandteil des Projektmanagements sind. Auch die NIS-2-Richtlinie, das NIS-2-Umsetzungsgesetz, die DSGVO und der Cyber Resilience Act (CRA) erwarten einen klaren Sicherheitsfokus – vom ersten Workshop bis zum Go-Live.
Dieser Beitrag zeigt Ihnen praxisnah, wie Sie Informationssicherheit systematisch in das Projektmanagement integrieren, welche Risiken ohne frühzeitige Berücksichtigung entstehen – und wie Sie Anforderungen aus ISO 27001, NIS-2 und Datenschutzrecht in Einklang bringen..
Inhaltsverzeichnis
- Was fordert ISO 27001 zur Informationssicherheit im Projektmanagement konkret?
- Warum ist Informationssicherheit im Projektmanagement wichtig?
- Ziele des Controls 5.8 – kurz erklärt
- Checkliste: So verankern Sie Informationssicherheit im Projektmanagement
- Risiken bei Projektmanagement ohne Informationssicherheit
- Umsetzung im ISMS / Projektmanagementprozess
- Relevanz für DSGVO, NIS-2 & Co
- Fazit – Informationssicherheit im Projektmanagement
- FAQ: Informationssicherheit im Projektmanagement nach ISO 27001 (Control 5.8)
Was fordert ISO 27001 zur Informationssicherheit im Projektmanagement konkret?
Control 5.8 verlangt, dass Informationssicherheit während des gesamten Projektlebenszyklus berücksichtigt wird. Das bedeutet konkret:
- Sicherheitsanforderungen müssen von Projektbeginn an definiert werden
- Risiken für Informationen müssen frühzeitig erkannt und bewertet werden
- Sicherheitsmaßnahmen müssen in Planung, Umsetzung und Abnahme einfließen
- Der Informationssicherheitsbeauftragte (ISB) und der Datenschutzbeauftragte (DSB) müssen in Projekte eingebunden werden
- Sicherheitsverantwortlichkeiten müssen klar zugewiesen und dokumentiert werden
Warum ist Informationssicherheit im Projektmanagement wichtig?
Projekte sind oft innovationsgetrieben, aber genau das birgt auch Risiken: Neue Technologien, unklare Verantwortlichkeiten und Zeitdruck führen schnell zu Sicherheitslücken – mit teils gravierenden Folgen. Frühzeitige Integration von Informationssicherheit im Projektmanagement bedeutet:
- Vermeidung von Datenschutzverstößen (z. B. DSGVO-Art. 25: Datenschutz durch Technikgestaltung)
- Reduktion von Cyberrisiken im Sinne der NIS-2-Umsetzung
- Schutz vertraulicher Unternehmensdaten in Entwicklungs- und Umsetzungsphasen
- Minimierung späterer Nachbesserungskosten
- Vertrauensgewinn bei Kunden, Partnern und Aufsichtsbehörden
Gerade bei der Umsetzung der NIS-2-Richtlinie und des NIS-2-Umsetzungsgesetzes gewinnt diese Maßnahme und die NIS-Beratung stark an Bedeutung.
Ziele des Controls 5.8 – kurz erklärt
Control 5.8 verfolgt mehrere strategische Ziele:
- Sicherheitsanforderungen werden systematisch berücksichtigt
- Projekte werden auditfähig dokumentiert und umgesetzt
- Interessenskonflikte zwischen Projektzielen und Sicherheit werden früh erkannt
- Compliance mit DSGVO, BDSG, NIS-2, CRA, DORA etc. wird sichergestellt
Informationssicherheit wird so nicht zum Projekt-Hindernis, sondern zum Erfolgsfaktor.
Checkliste: So verankern Sie Informationssicherheit im Projektmanagement
Damit Informationssicherheit im Projekt nicht untergeht, sollte sie strukturell verankert werden – von der Planung bis zum Lessons Learned. Die folgende Checkliste zeigt zentrale Maßnahmen, die sowohl KMU als auch Konzerne umsetzen sollten – unabhängig davon, ob ein interner oder externer Informationssicherheitsbeauftragter eingebunden ist:
| ✅ | Maßnahme |
| ☑ | Sicherheitsziele im Projektstart definieren |
| ☑ | Informationssicherheitsbeauftragten & Datenschutzbeauftragten frühzeitig einbinden |
| ☑ | Risiken für Informationen analysieren und bewerten |
| ☑ | Sicherheitsmaßnahmen im Projektplan verankern |
| ☑ | Dokumentationspflichten berücksichtigen (z. B. für Audits) |
| ☑ | Sicherheitsabnahmen einplanen (z. B. bei Go-Live) |
| ☑ | Lessons Learned dokumentieren für zukünftige Projekte |
Risiken bei Projektmanagement ohne Informationssicherheit
Wer Sicherheitsanforderungen im Projektmanagement vernachlässigt, läuft Gefahr:
- Projektverzögerungen durch nachträgliche Sicherheitsmaßnahmen
- Vertrauliche Daten geraten schon während der Entwicklung in falsche Hände
- Reputationsschäden bei Sicherheitsvorfällen
- Schlechte Dienstleister auszuwählen, die Datenschutz und IT-Sicherheit missachten
- DSGVO-Verstöße (z. B. durch mangelnde Zugriffskontrollen oder verspätete Löschung von Daten)
- Verstoß gegen gesetzliche Sicherheitsvorgaben der NIS-2
- Bußgelder und persönliche Haftung der Geschäftsleitung
- Fehlende Auditfähigkeit bei ISO-27001-Zertifizierungen
Umsetzung im ISMS / Projektmanagementprozess
Informationssicherheit muss fester Bestandteil Ihres Projektmanagement-Modells sein. Dazu gehören:
- Richtlinie zur Auswahl von datenschutzkonformen und sicherheitskonformen Dienstleistern
- Projektmanagement-Richtlinie um Informationssicherheitsaspekte ergänzen
- Sicherheits-Templates in Projektplänen
- Verpflichtende durch den Informationssicherheitsbeauftragten und Datenschutzbeauftragten Projektfreigaben
- Prozessschnittstellen zwischen ISMS, IT, Datenschutz und PMO
- Schulungen für Projektleiter zur Sensibilisierung
- Festlegung von Zugriffsrechten auf Projektunterlagen
- Festlegung von Aufbewahrungsfristen bzw. Löschroutinen für Projektdokumente
- Referenz im SoA zu Control 5.8
Auch ein externer Informationssicherheitsbeauftragter kann dabei unterstützen, strukturierte Prozesse zu entwickeln und umzusetzen.
Relevanz für DSGVO, NIS-2 & Co
- DSGVO Art. 25 fordert Sicherheit durch Technikgestaltung, z.B Passwortsicherheit – schon im Projektentwurf
- NIS-2-Umsetzungsgesetz verlangt Sicherheitsmaßnahmen für „alle Systeme und Prozesse“ – also auch in Projekten
- CRA: Bei Produkt- und Softwareentwicklung muss „Security by Design“ nachgewiesen werden
- DORA: Insbesondere für Finanzunternehmen müssen ICT-Risiken projektbezogen gesteuert werden
Ein externer Datenschutzbeauftragter oder Informationssicherheitsbeauftragter kann helfen, diese Anforderungen in Ihrem Projektmanagement zu operationalisieren.
Fazit – Informationssicherheit im Projektmanagement
Sicherheitsvorfälle passieren nicht nur im Betrieb, sondern häufig schon in der Projektphase – dort, wo neue Systeme entstehen. Genau deshalb muss Informationssicherheit von Anfang an mitgedacht werden.
ISO 27001 Control 5.8 schafft hierfür einen klaren Rahmen: Projekte müssen so geplant, durchgeführt und abgeschlossen werden, dass Sicherheitsanforderungen jederzeit erfüllt sind. Ob durch systematische Risikoanalysen, standardisierte Prozesse oder frühzeitige Einbindung des ISB – Sicherheit wird damit integraler Bestandteil erfolgreicher Projektarbeit.
Gerade mit Blick auf NIS-2, DSGVO und CRA ist die Sicherheitsintegration nicht nur Best Practice, sondern gesetzliche Pflicht. Wer Informationssicherheit im Projektmanagement konsequent lebt, stärkt nicht nur die eigene Resilienz – sondern auch Vertrauen, Compliance und Wettbewerbsfähigkeit.
FAQ: Informationssicherheit im Projektmanagement nach ISO 27001 (Control 5.8)
Bereits in der Planungs- oder sogar Vorbereitungsphase. Sicherheitsanforderungen müssen frühzeitig definiert und in das Projektkonzept integriert werden.
Durch regelmäßige Abstimmungen mit dem ISB, die Nutzung von Sicherheitschecklisten und die Integration von Security-Gates im Projektplan.
Wenn die Informationssicherheit im Projektmanagement erst am Ende berücksichtigt wird, drohen kostspielige Nachbesserungen, Projektverzögerungen oder sogar gesetzliche Verstöße gegen NIS-2, DSGVO, BDSG, etc..
Projektleitung gemeinsam mit dem Informationssicherheitsbeauftragten und – je nach Thema – dem Datenschutzbeauftragten.
Durch strukturierte Beratung, Dokumentationsvorlagen, Risikoanalysen und gezielte Awareness für das Projektteam.
Nachweisbare Integration von Informationssicherheit in alle Prozesse – insbesondere bei IT- und Digitalprojekten.
Datenschutz muss von Anfang an mitgedacht werden – z. B. bei Schnittstellen, Nutzerrechten oder Datenverarbeitungssystemen.
Über projektbezogene Sicherheitsdokumente, Risikobewertungen, Maßnahmenpläne und Verweise im SoA.
Wenn etwa Zeitdruck oder Budgeteinsparungen auf Kosten notwendiger Sicherheitsmaßnahmen gehen – das gilt es zu vermeiden.
Durch Security-Reviews in jedem Sprint, abgestimmte User Stories und die Beteiligung des ISB im agilen Team.
Ja – ISO 27001 und NIS-2 fordern Awareness-Maßnahmen, auch projektbezogen.
Sicherheitsanforderungen werden aktiv mitentwickelt und technisch umgesetzt, nicht erst nachträglich eingebaut (Privacy by Design).
Indem Informationssicherheit fester Bestandteil des Projektstart-Workshops und der Projektsteuerung wird.
Projektmanagement-Software mit Security-Modulen, ISMS-Plattformen oder einfache Vorlagen & Checklisten.
Durch klare Vorgaben, Verantwortlichkeiten, Nachweisdokumente und unterstützende Standards.
Es muss dokumentiert sein, wer für die Umsetzung und Kontrolle der Sicherheitsmaßnahmen zuständig ist.
Durch Verankerung von Security-Gates im Projektphasenmodell oder im Meilensteinplan.
Zu späte Einbindung des externen Informationssicherheitsbeauftragten, unklare Zuständigkeiten, fehlende Risikobewertung oder lückenhafte Dokumentation.
Ja – unabhängig von Größe oder Branche. Sobald Informationen betroffen sind, gilt die Anforderung.
Über Audits, Lessons Learned, Vorfallanalysen und Rückmeldungen aus vorherigen Projekten.
Immer dann, wenn im Projekt personenbezogene Daten im Auftrag verarbeitet werden – z. B. durch externe IT-Dienstleister, Cloud-Anbieter oder Entwickler. Der AVV regelt u. a. technische und organisatorische Maßnahmen, Weisungsrechte und Kontrollpflichten. Er ist sowohl aus Sicht der DSGVO als auch der ISO 27001 ein zentraler Bestandteil projektbezogener Compliance.
