ISO 27001 mit Apple und JAMF: So erreichen KMUs die Zertifizierung

ISO 27001 ist der internationale Standard für Informationssicherheits-Management. Immer mehr KMUs, Kanzleien, Fintech-Unternehmen und Beratungsfirmen müssen die Zertifizierung nachweisen — sei es als Anforderung von Enterprise-Kunden, Investoren oder Regulatoren. Die gute Nachricht: Unternehmen die auf Apple und JAMF setzen, haben dabei einen strukturellen Vorteil.

Was ist ISO 27001?

ISO/IEC 27001 ist ein internationaler Standard der ein Informationssicherheits-Managementsystem (ISMS) definiert. Er beschreibt Anforderungen an die systematische Behandlung von Informationssicherheitsrisiken — von der Risikoanalyse über technische Controls bis zur Dokumentation und Audits. Die aktuelle Version ist ISO/IEC 27001:2022 mit 93 Controls in vier Kategorien: organisatorische, personelle, physische und technologische Controls.

Warum Apple-Unternehmen bei ISO 27001 einen Vorteil haben

Apple hat Sicherheit und Datenschutz als Kernprinzip in seine Plattformen eingebaut. Viele ISO-27001-Controls lassen sich mit Apple-nativen Funktionen und JAMF direkt erfüllen:

• Verschlüsselung (Control 8.24): FileVault auf macOS, iOS-Geräteverschlüsselung immer aktiv — über JAMF Pro zentral erzwungen und überwacht
• Zugriffskontrolle (Controls 5.15–5.17): JAMF Connect mit Okta/Azure AD, MFA, Least Privilege
• Inventarisierung (Control 5.9): JAMF Pro liefert vollständiges Hardware- und Software-Inventar in Echtzeit
• Patch-Management (Control 8.8): JAMF Pro automatisiert OS-Updates und Software-Patches
• Logging und Monitoring (Controls 8.15, 8.16): JAMF Protect liefert Security-Telemetrie an SIEM-Systeme
• Endpoint Security (Control 8.7): JAMF Protect mit Verhaltensanalyse und CIS-Benchmark-Compliance

JAMF und ISO 27001: Die relevanten Controls im Detail

Asset Management (Controls 5.9, 5.10)

ISO 27001 verlangt ein vollständiges Inventar aller Informationsassets. JAMF Pro liefert automatisch: Gerätetyp, Seriennummer, installierte Software, OS-Version, letzter Check-in und Compliance-Status — kein manuelles Inventar, alles in Echtzeit und auditfähig.

Verschlüsselung (Controls 8.24, 8.25)

JAMF Pro erzwingt FileVault auf allen verwalteten Macs per Konfigurationsprofil. Schlüssel werden sicher in JAMF gespeichert. iOS-Geräte sind by default verschlüsselt sobald ein Passcode gesetzt ist — JAMF Pro erzwingt den Passcode und liefert den Verschlüsselungsstatus als Report für den Auditor.

Zugriffskontrolle und Identity Management (Controls 5.15–5.17, 8.3)

JAMF Connect in Kombination mit Okta oder Azure AD setzt Least-Privilege-Prinzipien um: Mac-Login nur mit verifizierter Unternehmensidentität, automatische Account-Deaktivierung beim Off-Boarding und MFA als Pflicht. Conditional Access stellt sicher dass nur compliance-konforme Geräte Zugriff auf Unternehmensressourcen erhalten. Mehr dazu: Was ist ZTNA?

Malware-Schutz und Endpoint Security (Controls 8.7, 8.8)

JAMF Protect erfüllt die ISO-27001-Anforderungen für Malware-Schutz: Verhaltensbasierte Erkennung, CIS-Benchmark-Compliance, Patch-Compliance-Reporting und SIEM-Integration. Für mehr Details: JAMF Protect: Endpoint Security für macOS und iPhone.

Logging und Monitoring (Controls 8.15, 8.16)

JAMF Protect liefert kontinuierliche Security-Telemetrie: Prozessaktivitäten, Netzwerkverbindungen, Dateimodifikationen und Login-Events. Diese Daten fließen in SIEM-Systeme (Microsoft Sentinel, Splunk) für zentrale Log-Aggregation und Anomalieerkennung — eine direkte Anforderung aus ISO 27001.

Incident Response (Controls 5.24–5.26)

Bei einem Sicherheitsvorfall ermöglicht JAMF Pro sofortige Reaktion: Remote-Isolation eines kompromittierten Geräts, Remote-Wipe, Gerätesperre und forensische Analyse über JAMF-Protect-Logs — konkrete technische Controls die ISO 27001 für Incident Response fordert.

Was JAMF nicht abdeckt

JAMF deckt die technologischen Controls (Annex A Kategorie 8) sehr gut ab. Für eine vollständige ISO-27001-Zertifizierung werden zusätzlich benötigt: dokumentierte Risikoanalyse (Kapitel 6), ISMS-Richtlinien, Mitarbeiterschulungen (Control 6.3), Lieferantenmanagement (Controls 5.19–5.22) und ein externer Auditor für das Zertifizierungsaudit.

ISO 27001 mit Apple und JAMF: Realistischer Zeitplan für KMUs

Für ein KMU mit 20–100 Mitarbeitenden und Apple-Infrastruktur ist ISO 27001 in 6–12 Monaten erreichbar: 2 Monate Gap-Analyse und ISMS-Scope, 2 Monate technische Implementierung (JAMF Pro, JAMF Protect, JAMF Connect), 2 Monate Dokumentation und Schulungen, 3–6 Monate Audit-Vorbereitung und Zertifizierung.

mx-itsolutions unterstützt bei der technischen Umsetzung der JAMF-basierten Controls. Mehr zum Thema Apple Endpoint Security und IT-Security bei mx-itsolutions. Jetzt Erstgespräch vereinbaren.