WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

ISO 27001 ist die internationale Norm fuer Informationssicherheits-Managementsysteme (ISMS). Sie bietet einen systematischen Ansatz zur Verwaltung sensibler Informationen und stellt sicher, dass diese sicher bleiben. Die Version 2022 reorganisierte die Annex-A-Kontrollen in vier Kategorien.

Wer sollte ISO 27001 zertifiziert werden?

ISO 27001 ist wertvoll fuer jede Organisation, die strukturiertes Informationssicherheitsmanagement demonstrieren muss, insbesondere SaaS-Anbieter, Unternehmen im Gesundheitswesen, Finanzdienstleister und Organisationen, die mit Regierungsbehoerden zusammenarbeiten.

Was ist ISO 27001 Annex A?

Annex A enthaelt 93 Kontrollen in vier Kategorien: Organisatorisch (37), Personenbezogen (8), Physisch (14) und Technologisch (34). Diese Kontrollen sind nicht alle obligatorisch — Organisationen waehlen basierend auf ihrer Risikobewertung aus.

Wie lange dauert die ISO-27001-Zertifizierung?

Fuer KMU typischerweise 6-12 Monate fuer die Erstimplementierung, mit 3-6 Monaten fuer das erste Audit. Die Zertifizierung ist 3 Jahre gueltig mit jaehrlichen Ueberwachungsaudits.

Wie verhaelt sich ISO 27001 zu NIS2 und SOC 2?

ISO 27001 bietet ein umfassendes ISMS-Framework. NIS2-Compliance kann mit ISO-27001-Kontrollen weitgehend abgedeckt werden. SOC 2 konzentriert sich auf dienstleistungsspezifische Trust-Kriterien, waehrend ISO 27001 breiter angelegt ist.

Was kann WarDek fuer ISO 27001 automatisieren?

WarDek bewertet automatisch 12 technische Annex-A-Kontrollen durch Sicherheitsscanning: Verschluesselungspruefung, Header-Analyse, Schwachstellenerkennung, E-Mail-Sicherheit und mehr. Dies liefert sofortige Ausgangsbewertungen fuer die Implementierung.

ISO 27001:2022 Compliance Guide — Annex A Controls

Was ist ISO 27001:2022?

ISO 27001 ist die weltweit anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Sie wird von ISO und IEC veröffentlicht und definiert, wie Organisationen Informationssicherheitsrisiken durch einen systematischen, prozessbasierten Ansatz managen sollten. Die Revision 2022 hat die Kontrollmaßnahmen modernisiert, um Cloud Computing, Bedrohungsanalyse und Datenschutz zu berücksichtigen.

Die Zertifizierung wird von akkreditierten externen Auditoren erteilt und muss alle drei Jahre mit jährlichen Überwachungsaudits erneuert werden. Für KMU ist ISO 27001 zunehmend eine wettbewerbsrelevante Anforderung — Großkunden fordern sie häufig bei der Lieferantenbewertung.

Die 4 Kontrollkategorien (Anhang A)

ISO 27001:2022 organisiert seine 93 Kontrollen in vier Themen und ersetzt damit die bisherige Struktur mit 14 Bereichen:

Kategorie	Kontrollen	Schwerpunkt
Organisatorisch	37	Richtlinien, Rollen, Verantwortlichkeiten, Bedrohungsanalyse, Cloud-Dienste, Lieferantenbeziehungen
Personenbezogen	8	Überprüfung, Schulungen, Fernarbeit, Vertraulichkeitsvereinbarungen
Physisch	14	Perimetersicherheit, Geräteschutz, gesicherte Bereiche, Verkabelung, Überwachung
Technologisch	34	Zugriffskontrolle, Kryptographie, sichere Entwicklung, Schwachstellenmanagement, Protokollierung, Netzwerksicherheit

Jede Kontrolle verfügt über zugeordnete Attribute — Kontrolltyp (präventiv, detektiv, korrektiv), Informationssicherheitseigenschaften (CIA) und Cybersicherheitskonzepte — was die Zuordnung zu anderen Rahmenwerken erleichtert.

12 wichtige technische Kontrollen, die WarDek automatisiert

Die Sicherheitsscanner von WarDek bewerten automatisch die folgenden Anhang-A-Kontrollen durch passive und aktive Scans:

Kontrolle	Name	Was WarDek prüft
A.5.7	Bedrohungsanalyse	Bekannte Schwachstellendatenbanken, CVE-Exposition, Bedrohungsfeeds
A.5.23	Cloud-Dienstsicherheit	Cloud-Anbieter-Header, CDN-Konfiguration, Speicher-Exposition
A.8.9	Konfigurationsmanagement	Sicherheitsheader, Serverkonfiguration, Standardeinstellungen
A.8.16	Überwachungsaktivitäten	Protokollierungsheader, Fehlerbehandlung, Informationsoffenlegung
A.8.20	Netzwerksicherheit	TLS-Konfiguration, Cipher-Suiten, Protokollversionen, HSTS
A.8.24	Einsatz von Kryptographie	Zertifikatsgültigkeit, Schlüsselstärke, Verschlüsselungsstandards
A.8.25	Sicherer Entwicklungslebenszyklus	Sicherheitsheader, die SDLC-Praktiken anzeigen, CSP-Richtlinien
A.8.26	Sicherheitsanforderungen für Anwendungen	Eingabevalidierung, CORS-Richtlinien, Authentifizierungsmechanismen
A.8.28	Sichere Programmierung	XSS-Schutz, Injection-Abwehr, Ausgabekodierung
A.8.8	Technisches Schwachstellenmanagement	Bekannte CVEs, veraltete Softwareversionen, Patch-Status
A.8.12	Verhinderung von Datenlecks	Exponierte Metadaten, Verzeichnisauflistung, Informationsoffenlegung
A.8.22	Webfilterung	Content-Security-Policies, Referrer-Policies, Berechtigungen

Implementierungs-Roadmap für KMU

Ein praxisnaher 6-Phasen-Ansatz zur ISO 27001-Zertifizierung für kleine und mittlere Unternehmen:

Phase 1 — Gap-Analyse (Wochen 1–4)

Aktuelle Sicherheitslage anhand der Anhang-A-Kontrollen bewerten
Einen WarDek-Scan durchführen, um eine Basislinie für technische Kontrollen zu erstellen
Schnelle Erfolge und große Lücken identifizieren
Managementverpflichtung sichern und ISMS-Geltungsbereich definieren

Phase 2 — Risikobewertung (Wochen 5–8)

Informationswerte und deren Eigentümer identifizieren
Bedrohungen, Schwachstellen und Auswirkungen bewerten
Risikoniveaus berechnen und Risikobehandlungspläne definieren
Die Erklärung zur Anwendbarkeit (SoA)erstellen — dokumentiert, welche Anhang-A-Kontrollen gelten und warum

Phase 3 — Richtlinien und Dokumentation (Wochen 9–16)

Pflichtdokumente erstellen: ISMS-Richtlinie, Risikobehandlungsplan, SoA
Betriebsverfahren für anwendbare Kontrollen entwickeln
Metriken und Überwachungsansätze definieren
Dokumentenlenkung und Versionierung einrichten

Phase 4 — Implementierung (Wochen 17–28)

Technische Kontrollen umsetzen (Firewall-Regeln, Verschlüsselung, Zugriffsverwaltung)
Schulungen zur Sicherheitssensibilisierung für alle Mitarbeiter durchführen
Verfahren zur Vorfallreaktion implementieren
Überwachungs- und Protokollierungssysteme konfigurieren

Phase 5 — Internes Audit (Wochen 29–32)

Ein vollständiges internes Audit aller anwendbaren Kontrollen durchführen
Abweichungen und Korrekturmaßnahmen dokumentieren
Managementbewertung durchführen
Einen abschließenden WarDek-Scan zur Überprüfung der technischen Kontrollen durchführen

Phase 6 — Zertifizierungsaudit (Wochen 33–40)

Stufe 1: Dokumentenprüfung — der Auditor prüft die Vollständigkeit der ISMS-Dokumentation
Stufe 2: Implementierungsaudit — der Auditor überprüft, ob die Kontrollen wirksam funktionieren
Auditfeststellungen innerhalb des vorgegebenen Zeitrahmens beheben
Zertifizierung erhalten (gültig 3 Jahre, jährliche Überwachung)

Beziehung zu NIS2, DSGVO und SOC 2

ISO 27001 existiert nicht isoliert. Das Verständnis der Beziehungen zu anderen Compliance-Rahmenwerken hilft, den Ertrag Ihrer Zertifizierungsinvestition zu maximieren:

Rahmenwerk	Beziehung zu ISO 27001	Überschneidung
NIS2	Die Maßnahmen gemäß Artikel 21 lassen sich direkt vielen Anhang-A-Kontrollen zuordnen. Die ISO 27001-Zertifizierung gilt als starker Nachweis der NIS2-Konformität.	~70 %
DSGVO	Artikel 32 (Sicherheit der Verarbeitung) stimmt mit den Zielen von ISO 27001 überein. Anhang-A-Kontrollen für Datenklassifizierung, Zugriffskontrolle und Kryptographie unterstützen direkt die Anforderungen der DSGVO.	~50 %
SOC 2	Die Trust Service Criteria (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz) überschneiden sich erheblich mit den Anhang-A-Kontrollen. Viele Organisationen streben beide Zertifizierungen an.	~60 %

Durch die Implementierung von ISO 27001 als Erstes decken Organisationen typischerweise 50–70 % der Anforderungen von NIS2, der technischen Maßnahmen der DSGVO und von SOC 2 ab — was nachfolgende Zertifizierungen deutlich schneller und kosteneffizienter macht.

ISO 27001:2022 — Complete Guide for SMEs