---
title: "Die unsichtbaren Stakeholder"
date: 2026-04-17T07:35:00+02:00
draft: false
image: "2026-04-17_Unsichtbare-Stakeholder.jpg"
tags: ["Anti-Pattern", "ISMS", "ISO 27001", "Stakeholder-Analyse"]
keywords: ["ISO 27001 Clause 4.2", "interessierte Parteien", "Lieferantenaudit", "Patch-SLAs", "MFA-Nachweis", "externe Erwartungen"]
description: "Wer Clause 4.2 als Formalie abhandelt, baut ein ISMS, das Audits besteht – aber keine echten Erwartungen erfüllt."
---

## 🔍 Was beobachte ich?

ISMS-Projekte starten mit Scope, Maßnahmen und Richtlinien. ISO 27001 Clause 4.2 – die Analyse interessierter Parteien – wird dabei oft als Formalie abgehakt: eine Liste mit Regulatoren, Kunden und Lieferanten. Was diese konkret erwarten, weiß niemand – und so richtig interessiert es auch niemanden.

## 🎯 Was soll eigentlich erreicht werden?

ISO 27001 Clause 4.2 verlangt: Wer sind die interessierten Parteien – und welche Anforderungen stellen sie? Externe Erwartungen sind der Ausgangspunkt – nicht das Anhängsel.

## ⚠️ Warum funktioniert das nicht?

Wer externe Erwartungen nicht kennt, kann sie nicht erfüllen. Ein Schlüsselkunde verlangt im Lieferantenaudit dokumentierte Patch-Fristen nach Schweregrad. Das ISMS hat einen Patch-Prozess – aber ohne SLAs, weil niemand je danach gefragt hat. Ein Versicherer fordert beim Renewal den Nachweis vollständiger MFA für privilegierte Zugänge. Das ISMS empfiehlt MFA – schreibt sie nicht vor. Das Ergebnis ist ein ISMS, das Audits bestehen kann, aber keine echte externen Erwartungen erfüllt.

## 💡 Was funktioniert besser?

Stakeholder-Analyse als echte Recherche, nicht als Formalie: Was erwarten Regulatoren, Schlüsselkunden und Partner konkret? Diese Anforderungen fließen dann in alle Elemente des ISMS ein: Scope, Prozesse, Vorgaben und Maßnahmen. Clause 4.2 ist nicht die Pflicht vor dem eigentlichen ISMS – sie ist sein Fundament.

## 📚🔍

- ISO 27001 Clause 4.2 – Needs and Expectations (HighTable) [https://hightable.io/iso-27001-clause-4-2-understanding-the-needs-and-expectations-of-interested-parties/](https://hightable.io/iso-27001-clause-4-2-understanding-the-needs-and-expectations-of-interested-parties/)
- Verstehen der Erfordernisse und Erwartungen interessierter Parteien gemäß ISO 27001 – Kapitel 4.2 [https://data-security.one/de/blog/iso-27001-erfordernisse-erwartungen-kapitel-4-2/](https://data-security.one/de/blog/iso-27001-erfordernisse-erwartungen-kapitel-4-2/)
- ISACA Implementierungsleitfaden ISO/IEC 27001:2022 [https://www.isaca.de/images/Publikationen/Leitfaden/ISACA%20Implementierungsleitfaden%20ISMS%202022.pdf](https://www.isaca.de/images/Publikationen/Leitfaden/ISACA%20Implementierungsleitfaden%20ISMS%202022.pdf)