- Bedeutung
- Sicherheitsmaßnahmen zur Risikoreduzierung
- Beispiele
- MFA, Backups, Rechtekonzepte, Monitoring
- Standard
- Annex A der ISO 27001 (93 Controls)
- Deutsch
- TOMs
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was sind Controls?
Controls (Maßnahmen) sind die konkreten Hebel, mit denen Risiken gesenkt werden – etwa MFA, regelmäßige Backups, klare Zugriffsrechte, Verschlüsselung oder Monitoring. Sie sind die praktische Umsetzung von Sicherheit: Wo das Risikomanagement beschreibt, was geschützt werden muss, beantworten Controls die Frage, wie das geschieht. Der Begriff stammt aus der internationalen Standardwelt; im deutschen Datenschutz spricht man synonym von TOMs.
Arten von Controls
- Vorbeugend: verhindern Vorfälle (z. B. Zugriffskontrolle, Verschlüsselung, MFA).
- Erkennend: machen Vorfälle sichtbar (z. B. Monitoring, Logging, Alarmierung).
- Reagierend: begrenzen Schäden (z. B. Backups, Incident Response, Notfallpläne).
Controls, TOMs und Standards
Der Anhang A der ISO/IEC 27001 listet 93 anerkannte Controls in vier Themenbereichen (organisatorisch, personenbezogen, physisch, technologisch) auf – eine international bewährte Orientierung, die sich auch für die NIS2-Umsetzung eignet. Ergänzend beschreibt das BSI IT-Grundschutz-Kompendium geeignete Maßnahmen je nach Schutzbedarf. Inhaltlich sind diese Controls weitgehend deckungsgleich mit den TOMs aus dem deutschen Datenschutzrecht – nur die Begriffe unterscheiden sich.
Controls und Risikomanagement
Controls werden nicht zufällig gewählt, sondern systematisch aus der Risikoanalyse abgeleitet: Für jedes relevante Risiko die passende Maßnahme – nicht mehr, nicht weniger. Genau diesen risikobasierten Ansatz verlangt auch NIS2, das seit dem 6. Dezember 2025 in Kraft ist. Konkret: Ein mittelständischer Online-Händler erkennt in der Risikoanalyse, dass kompromittierte Admin-Zugänge sein größtes Risiko sind. Als vorbeugende Controls führt er MFA für alle Verwaltungskonten ein, beschränkt Adminrechte nach dem Prinzip der minimalen Berechtigung auf wenige Personen und verschlüsselt die zugehörigen Datenbanken. Ergänzend setzt er erkennende Controls ein, indem er die Anmeldungen protokolliert und ungewöhnliche Zugriffe automatisch melden lässt. Für den Ernstfall hält er als reagierende Maßnahme regelmäßig getestete Backups und einen klaren Notfallplan bereit. Jede einzelne Maßnahme ist dokumentiert, einer verantwortlichen Person und einem konkreten Risiko zugeordnet sowie mit einem Prüfdatum versehen. So lässt sich gegenüber der Aufsichtsbehörde belegen, dass der Schutz angemessen ist und die Anforderungen der NIS2-Richtlinie an ein risikobasiertes Sicherheitsmanagement erfüllt werden.
Häufige Fragen
Was sind Controls in der IT-Sicherheit?
Controls (Maßnahmen) sind konkrete Sicherheitsmaßnahmen, die Risiken reduzieren – etwa Multi-Faktor-Authentifizierung, regelmäßige Backups, Zugriffskontrollen, Verschlüsselung oder Monitoring. Sie sind die praktische Umsetzung dessen, was ein Risikomanagement an Schutz fordert, und lassen sich in vorbeugende, erkennende und reagierende Controls unterteilen. Im deutschen Datenschutzrecht spricht man inhaltlich weitgehend deckungsgleich von technischen und organisatorischen Maßnahmen, kurz TOMs.
Wo sind Controls definiert?
Anerkannte Controls finden sich vor allem im Anhang A der ISO/IEC 27001, der seit der Fassung von 2022 genau 93 Maßnahmen in vier Themenbereichen bündelt: organisatorisch, personenbezogen, physisch und technologisch. Auch das IT-Grundschutz-Kompendium des BSI beschreibt geeignete Controls für unterschiedliche Schutzbedarfe. Beide Quellen bieten eine bewährte Orientierung, die sich gut für die Umsetzung der NIS2-Anforderungen eignet.
Wie wählt man die richtigen Controls aus?
Die passenden Controls werden systematisch aus der Risikoanalyse abgeleitet: Für jedes relevante Risiko wählt man eine angemessene Maßnahme – nicht mehr und nicht weniger. So bleiben Aufwand und Schutzwirkung im Verhältnis. Genau diesen risikobasierten Ansatz verlangt auch die seit dem 06.12.2025 geltende NIS2-Umsetzung. Jedes Control sollte dokumentiert, einer verantwortlichen Person sowie einem konkreten Risiko zugeordnet und gegenüber der Aufsicht nachweisbar sein.
Weiterführende Quelle: ISO/IEC 27001 (Informationssicherheits-Managementsysteme)