ISO 27001: Der komplette Guide zur Zertifizierung [2026]

ISO 27001 ist der internationale Goldstandard für Informationssicherheit. Immer mehr Kunden, Ausschreibungen und Compliance-Anforderungen setzen ihn voraus - und mit der Umsetzungspflicht der NIS-2-Richtlinie ist der Druck auf deutsche Unternehmen weiter gestiegen. Dieser Guide fasst alles zusammen, was Sie für den Weg zur Zertifizierung wissen müssen: von den Grundlagen und der Kapitelstruktur über das ISMS und die Rolle des ISB bis zu Kosten, Zeitplanung und der Vorbereitung auf das Zertifizierungsaudit.

---

1. Was ist ISO 27001?

ISO 27001 ist eine international anerkannte Norm, die von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt wird. Sie legt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) fest, mit dem die drei zentralen Sicherheitsziele gemanagt werden:

• Vertraulichkeit: Nur berechtigte Personen können Informationen einsehen oder verarbeiten.
• Integrität: Daten können nicht unbemerkt verändert werden (Revisionssicherheit).
• Verfügbarkeit: Systeme und Daten sind bei Bedarf erreichbar - Ausfallzeiten werden minimiert.

Der Standard kann auf alle Organisationsarten und -größen angewendet werden: von kleinen Mittelständlern bis zu Konzernen, von Dienstleistern bis zu Behörden. Die Norm deckt dabei nicht nur digitale Informationen ab, sondern auch physische Sicherheitsmaßnahmen und betriebliche Prozesse.

Warum ISO 27001?

Die Gründe für eine Zertifizierung sind sowohl geschäftlicher als auch sicherheitsbezogener Natur.

Aus Geschäftssicht:

• Differenzierungsmerkmal im Wettbewerb
• Häufige Voraussetzung für Großkunden und öffentliche Ausschreibungen
• Cyber-Versicherungsprämien sinken typischerweise um 10 bis 30 Prozent
• ISO 27001 erfüllt gleichzeitig wesentliche Anforderungen aus NIS-2 Art. 21

Aus Sicherheitssicht:

• Strukturierte Identifikation und Behandlung von Risiken
• Klare Verantwortlichkeiten für Informationssicherheit
• Kontinuierliche Verbesserungslogik statt einmaliger Aktion
• Dokumentierte Incident-Response-Prozesse

Rechtliche Einordnung: Mit den Novellen des IT-Sicherheitsgesetzes wurden Betreiber Kritischer Infrastruktur zur Einführung von ISMS nach ISO 27001 verpflichtet. Durch NIS-2 (seit Oktober 2024 in Deutschland durch das NIS2UmsuCG umgesetzt) weitet sich dieser Kreis erheblich aus - bei Nichtbeachtung drohen Sanktionen bis zu 20 Mio. EUR oder 4 Prozent des Vorjahresumsatzes.

Ursprung und Geschichte

Der Ursprung der ISO 27001 liegt in den 1990er Jahren: Als BS-7799-2:2002 wurde sie von der British Standards Institution veröffentlicht. Die ISO entwickelte den Standard weiter, mit neuen Versionen in den Jahren 2005, 2013 und 2017. Die bislang letzte und aktuell gültige Version ist die ISO 27001:2022, die im Oktober 2022 veröffentlicht wurde.

---

2. ISO 27001:2022 - Was ist neu?

Die ISO 27001:2022 brachte die umfangreichste Überarbeitung seit Jahren. Die wichtigsten Änderungen im Überblick:

Neuer Maßnahmenkatalog (Annex A)

Der Anhang A wurde grundlegend restrukturiert:

• Anzahl der Controls: von 114 auf 93 reduziert
• Abschnitte: von 14 auf vier zusammengefasst:
  1. Organisatorische Maßnahmen (37 Controls)
  2. Personenbezogene Maßnahmen (8 Controls)
  3. Physische Maßnahmen (14 Controls)
  4. Technologische Maßnahmen (34 Controls)
• Neue Controls: 11 komplett neue Maßnahmen eingeführt

Fünf neue Attribute für jede Maßnahme

Jede der 93 Maßnahmen erhält erstmals fünf standardisierte Attribute:

1. Kontrolltyp (präventiv, detektiv, korrektiv)
2. Informationssicherheitseigenschaft (Vertraulichkeit, Integrität, Verfügbarkeit)
3. Cybersicherheitskonzepte (nach NIST CSF: Identify, Protect, Detect, Respond, Recover)
4. Operative Fähigkeiten
5. Sicherheitsdomänen

Stärkere Betonung von Datenschutz

Datenschutz wird in der 2022er Version stärker als integraler Bestandteil des ISMS behandelt - konsequent, da Informationssicherheit und Datenschutz viele Berührungspunkte haben.

Übergangsfrist

Bereits nach ISO 27001:2013 zertifizierte Unternehmen erhielten eine Übergangsfrist von drei Jahren. Diese ist inzwischen abgelaufen - seit Oktober 2025 werden neue Zertifizierungen nur noch nach der Version 2022 ausgestellt. Besonders im Business Continuity Management sind die Anforderungen strenger geworden.

---

3. Alle Kapitel im Überblick (Kapitel 4-10 und Annex A)

Die ISO 27001 ist in zehn Kapitel gegliedert. Die Kapitel 1 bis 3 enthalten Anwendungsbereich, Referenzen und Begriffsdefinitionen - sie stellen keine direkten Anforderungen an das ISMS. Die prüfungsrelevanten Anforderungen beginnen mit Kapitel 4.

Kapitel 4 - Kontext der Organisation

Kapitel 4 bildet das Fundament des ISMS. Es beantwortet die Frage: In welchem Umfeld operiert die Organisation?

4.1 - Verstehen der Organisation und ihres Kontexts: Interne und externe Themen, die für die Informationssicherheitsziele relevant sind, müssen ermittelt und verstanden werden.

4.2 - Erfordernisse und Erwartungen interessierter Parteien: Alle relevanten Parteien (Mitbewerber, Behörden, Mitarbeiter, Kunden) werden ermittelt. Für jede Partei werden die Anforderungen an die Informationssicherheit dokumentiert - etwa vertragliche Verpflichtungen oder regulatorische Vorgaben.

4.3 - Anwendungsbereich des ISMS (Scope): Dies ist der einzige Unterpunkt in Kapitel 4, der dokumentierte Informationen zwingend erfordert. Der Scope bestimmt, welche Teile des Unternehmens zertifiziert werden - Standorte, Verbundteile, Verfahren, Schnittstellen zu Externen. In den meisten Fällen wird das gesamte Unternehmen zertifiziert. Es kann aber sinnvoll sein, nur bestimmte Bereiche einzuschließen, etwa wenn nur ein Teil der Organisation am KRITIS-relevanten Prozess beteiligt ist.

Kapitel 5 - Führung

Ohne aktives Management-Commitment scheitern ISMS-Projekte. Kapitel 5 macht die Geschäftsleitung explizit verantwortlich.

5.1 - Führung und Verpflichtung: Die Leitung muss Ressourcen bereitstellen, die Bedeutung des ISMS vermitteln und das ISB-Team aktiv unterstützen.

5.2 - Informationssicherheitspolitik (IS-Politik): Dokumentierte Informationen sind Pflicht. Die IS-Politik muss Ziele enthalten, die Selbstverpflichtung der Leitung festhalten und intern sowie ggf. extern verfügbar gemacht werden.

5.3 - Rollen, Verantwortlichkeiten und Befugnisse: Sicherheitsrollen werden klar verteilt und bekannt gemacht. Ein strukturiertes Berichtswesen ist erforderlich.

Kapitel 6 - Planung

Kapitel 6 ist eines der anspruchsvollsten Kapitel - hier wird das Herzstück des ISMS, die Risikosteuerung, methodisch festgelegt.

6.1.2 - Risikobeurteilung: Dokumentierte Informationen sind Pflicht. Risikoeigentümer werden festgelegt, Risiken hinsichtlich Eintrittswahrscheinlichkeit und Risikoniveau bewertet, priorisiert und vorbereitet.

6.1.3 - Risikobehandlung: Dokumentierte Informationen sind Pflicht. Hier werden die Prozesse zur Behandlung der identifizierten Risiken definiert. Die festgelegten Maßnahmen werden gegen Annex A auf Vollständigkeit geprüft. Für alle Controls muss eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) erstellt werden.

6.2 - Informationssicherheitsziele: Messbare Ziele für relevante Funktionen und Ebenen werden festgelegt - sofern möglich mit Kennzahlen. Jede Maßnahme muss folgende Angaben enthalten: was getan wird, welche Ressourcen erforderlich sind, wer verantwortlich ist, bis wann die Maßnahme abgeschlossen sein soll und wie der Erfolg bewertet wird.

Kapitel 7 - Unterstützung

Kapitel 7 regelt die organisatorischen Voraussetzungen für den ISMS-Betrieb in fünf Unterkapiteln:

7.1 - Ressourcen: Die für das ISMS notwendigen Ressourcen werden bestimmt. Keine Dokumentationspflicht.

7.2 - Kompetenz: Dokumentationspflicht. Erforderliche Kompetenzen werden auf Mitarbeiter verteilt; die Wirksamkeit wird regelmäßig überprüft.

7.3 - Bewusstsein: Alle Beschäftigten müssen ein Bewusstsein für die IS-Politik entwickeln - insbesondere für die Folgen bei Nichterfüllung der ISMS-Anforderungen.

7.4 - Kommunikation: Wer, wann, mit wem, worüber und wie im ISMS-Kontext kommuniziert wird, wird festgelegt - intern und extern.

7.5 - Dokumentierte Informationen: Das umfangreichste Unterkapitel. Es regelt Allgemeines, Erstellen und Aktualisieren sowie die Lenkung von Dokumenten. Der Schutz der Dokumente wird explizit gefordert: Verfügbarkeit muss sichergestellt und Missbrauch, Verlust und unberechtigte Änderungen müssen verhindert werden.

Kapitel 8 - Betrieb

Kapitel 8 überführt die Planung in den operativen Betrieb. Alle drei Unterkapitel erfordern dokumentierte Informationen.

8.1 - Betriebliche Planung und Steuerung: Informationssicherheitsprozesse werden geplant, Maßnahmen zur Risikobehandlung verwirklicht und gesteuert. Änderungen werden überwacht, negative Auswirkungen vermieden.

8.2 - Informationssicherheits-Risikobeurteilung: Risikobeurteilungen müssen regelmäßig und bei wesentlichen Änderungen erneut durchgeführt werden.

8.3 - Informationssicherheits-Risikobehandlung: Die in Kapitel 6 geplanten Risikobehandlungspläne werden umgesetzt und die Umsetzung dokumentiert.

Kapitel 9 - Bewertung der Leistung

Kapitel 9 stellt sicher, dass das ISMS nicht nur existiert, sondern auch wirksam ist. Alle drei Unterkapitel erfordern dokumentierte Informationen.

9.1 - Überwachung, Messung, Analyse, Bewertung: Die Wirksamkeit des ISMS wird messbar gemacht. Es muss festgelegt sein, was, wie, wann und von wem gemessen und analysiert wird.

9.2 - Interne Audits: Interne Audits müssen in geplanten, regelmäßigen Abständen durchgeführt werden. Der Nutzen: Prüfen, ob das ISMS wirklich gelebt wird und wirksam ist. Der Auditor darf nicht seinen eigenen Bereich prüfen.

9.3 - Managementbewertung (Management Review): Die oberste Leitung bewertet in geplanten Abständen Eignung, Angemessenheit und Wirksamkeit des ISMS. Pflichtinhalte: Status vorheriger Maßnahmen, Veränderungen externer und interner Faktoren, Ergebnisse von Überwachungen, Audits und Rückmeldungen interessierter Parteien.

Kapitel 10 - Verbesserung

Kapitel 10 schließt den PDCA-Zyklus (Plan-Do-Check-Act) ab.

10.1 - Nichtkonformität und Korrekturmaßnahmen: Bei Nichtkonformitäten muss die Organisation reagieren, Ursachen klären und die Wirksamkeit von Korrekturmaßnahmen überprüfen. Dokumentationspflicht: Art der Nichtkonformität, getroffene Maßnahmen und Ergebnisse.

10.2 - Fortlaufende Verbesserung: Keine Dokumentationspflicht, aber eine Grundanforderung: Eignung, Angemessenheit und Wirksamkeit des ISMS sollen kontinuierlich verbessert werden.

Annex A - Maßnahmenreferenz

Der Anhang A enthält die 93 Controls, die als Referenz für die Risikobehandlung dienen. Sie sind nicht alle verpflichtend umzusetzen - entscheidend ist das Ergebnis der Risikobeurteilung. Im Statement of Applicability (SoA) wird für jeden Control dokumentiert, ob er angewendet wird und warum.

---

4. Das ISMS: Informationssicherheits-Managementsystem

Was ist ein ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) ist eine Sammlung von Prozessen, Regeln, Methoden und Tools, um Informationssicherheit in einem Unternehmen zu messen und zu verbessern. Das Ziel: Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch sicherstellen.

Das ISMS umfasst die koordinierte Planung und Umsetzung von Maßnahmen zur Behandlung von Informationssicherheitsrisiken. Entscheidend dabei: Die Planung muss fortlaufend weitergeführt werden. Ein ISMS ist kein einmaliges Projekt - es ist ein kontinuierlicher Prozess.

Die drei Schutzziele im Detail

Vertraulichkeit bedeutet, dass nur Personen mit entsprechender Berechtigung Informationen einsehen oder verarbeiten können. Dafür sind klare Zugriffsrechte erforderlich, die konsequent umgesetzt werden.

Verfügbarkeit beschreibt die Funktionsfähigkeit der Systeme und die Erreichbarkeit der Datenbestände. Gefahren von Systemausfällen sollen minimiert und Ausfallzeiten gering gehalten werden.

Integrität wird häufig mit Vertraulichkeit verwechselt. Es geht hier darum, dass Daten nicht unbemerkt verändert werden können - das Stichwort lautet Revisionssicherheit.

Aufbau und Betrieb eines ISMS

Der Aufbau folgt einem konsekutiven Vorgang:

1. Geltungsbereich definieren: Grenzen, Schnittstellen und Kontext des ISMS werden klar bestimmt.
2. Risiken identifizieren: Innerhalb des Anwendungsbereichs werden Risiken erkannt und nach Eintrittswahrscheinlichkeit und Auswirkung bewertet.
3. Maßnahmen ableiten: Auf Grundlage der Risikobewertung werden geeignete Schutzmaßnahmen ausgewählt und umgesetzt - technisch, organisatorisch und personell.
4. Überwachen und verbessern: Die implementierten Maßnahmen werden laufend überwacht. Werden Schwächen aufgedeckt, beginnt der Prozess von vorn.

Ein zentraler Teil des ISMS ist die Bestimmung von Assets - den schützenswerten Informationswerten des Unternehmens. Assets können IT-Systeme, Daten, Software, Prozesse und Personal umfassen. Das Asset-Inventar ist Grundlage der Risikobeurteilung.

Der PDCA-Zyklus

ISO 27001 basiert auf dem Plan-Do-Check-Act-Zyklus:

• Plan: ISMS-Scope und -Politik festlegen, Risiken bewerten, Maßnahmen planen
• Do: Maßnahmen umsetzen und betreiben
• Check: Interne Audits, Überwachung und Management Review durchführen
• Act: Nichtkonformitäten beheben, das ISMS kontinuierlich verbessern

Was zählt zur Informationssicherheit?

Im Unternehmen liegen zu schützende Daten sowohl in digitaler als auch in physischer Form vor - von Programmiercode über PDF-Dokumente bis zu Ordnern mit Verträgen, Kundenlisten und Aufträgen. Ganzheitliche Sicherheit umfasst abschließbare Tresore und Alarmanlage genauso wie Anti-Viren-Software, Hardware-Verschlüsselung und Backup-Routinen.

Warum ein ISMS? Die Vorteile in der Praxis

Ein zertifiziertes ISMS bringt konkrete Vorteile:

• Gestärktes Kundenvertrauen: Nachweisliche Informationssicherheit verbessert Beziehungen zu Bestands- und Neukunden.
• Beschleunigte Sales-Zyklen: Das ISO-27001-Zertifikat wird zunehmend als Branchenstandard vorausgesetzt.
• Rechtssicherheit: Regulatorische, geschäftliche und vertragliche Anforderungen lassen sich leichter einhalten und überwachen.
• Reduzierte Kundenaudits: Wiederkehrende Sicherheitsprüfungen durch Kunden werden verkürzt.
• Geringere Haftungsrisiken: Das Management kann Sorgfaltspflichten nachweisbar erfüllen.
• Wirtschaftlichkeit: Zentrale Koordination und Ressourcenallokation führen zu Effizienzgewinnen.

---

5. Die Rolle des ISB (Informationssicherheitsbeauftragter)

Was ist ein ISB?

ISB steht für Informationssicherheitsbeauftragter. Er ist die zentrale Verantwortungsperson für Vertraulichkeit, Integrität und Verfügbarkeit aller Unternehmensinformationen - und in immer mehr Branchen gesetzlich vorgeschrieben.

Weitere in der Praxis verwendete Begriffe: Chief Information Security Officer (CISO), IT-Sicherheitsbeauftragter (ITSiBe) oder - im behördlichen Kontext - Informationssicherheitsbeauftragter der Behörde (ISB-B).

Wichtige Abgrenzung: Der ISB ist nicht identisch mit dem Datenschutzbeauftragten (DSB). Der DSB schützt personenbezogene Daten nach DSGVO. Der ISB ist für die Sicherheit aller Informationswerte zuständig - unabhängig davon, ob sie personenbezogen sind.

ISO 27001 schreibt in Abschnitt 5.3 explizit die Zuweisung von Rollen und Verantwortlichkeiten vor. Ohne einen benannten ISB ist eine ISO-27001-Zertifizierung formal nicht möglich.

Aufgaben des ISB

Der ISB trägt breite operative und strategische Verantwortung:

Strategische Steuerung: Entwicklung und Pflege der Informationssicherheitsleitlinie, Aufbau und Betrieb des ISMS, Definition von Schutzzielen und Risikoakzeptanzschwellen gemeinsam mit der Geschäftsleitung.

Risikoidentifikation und -behandlung: Regelmäßige Risikoanalysen und Business-Impact-Analysen, Ableitung und Priorisierung von Schutzmaßnahmen, Fortschrittsberichterstattung an die Geschäftsleitung.

Sicherheitskonzepte und Richtlinien: Erstellung von Sicherheitskonzepten für IT-Systeme und Prozesse, Entwicklung von IT-Richtlinien (Passwortrichtlinie, Mobile-Device-Policy, Clean-Desk-Policy), Begleitung von Projekten als Sicherheitsberater.

Interne Audits: Planung und Durchführung interner Informationssicherheitsaudits, Vorbereitung auf externe Zertifizierungsaudits, ISMS-Monitoring.

Security Awareness: Konzeption und Umsetzung von Awareness-Programmen, Schulungen zu Phishing, Social Engineering und sicherem Arbeiten.

Incident Response: Koordination der Reaktion auf Sicherheitsvorfälle, Sicherstellung der Meldepflichten nach NIS-2, BSIG oder DSGVO, Post-Mortem-Analysen.

Compliance: Monitoring gesetzlicher Anforderungen, Dokumentation aller sicherheitsrelevanten Vorgänge.

Interner vs. Externer ISB

Merkmal	Interner ISB	Externer ISB
Verfügbarkeit	Vollzeit im Unternehmen	Nach Bedarf (Retainer)
Kosten	Jahresgehalt 70.000-120.000 € + Sozialleistungen	Monatlicher Retainer (skalierbar)
Einarbeitungszeit	6-12 Monate	Sofort einsatzbereit
Wissensaktualität	Abhängig von Eigeninitiative	Laufend durch Mandantenvielfalt
Befangenheit	Interne Abhängigkeiten möglich	Unabhängige, neutrale Bewertung
Ausfall-Risiko	Kündigung = Kompetenzlücke	Dienstleister stellt Vertretung

Das BSI empfiehlt, mindestens 0,5 FTE für die ISB-Rolle einzuplanen. Für viele mittelständische Unternehmen ist ein externer ISB die wirtschaftlich überlegene Alternative - sofort einsatzbereit, fachlich auf aktuellem Stand und kostenskalierbar.

Wann ist ein ISB gesetzlich Pflicht?

NIS-2-Richtlinie: Verpflichtet wichtige und besonders wichtige Einrichtungen zur Benennung einer verantwortlichen Person für Cybersicherheit. Die Geschäftsleitung haftet bei Pflichtverletzungen persönlich.

BSIG §8a (KRITIS): KRITIS-Betreiber müssen dem BSI auf Anforderung nachweisen, dass ein ISMS betrieben wird - was ohne qualifizierten ISB praktisch nicht erfüllbar ist.

ISO 27001: Abschnitt 5.3 schreibt die Zuweisung von Rollen und Verantwortlichkeiten vor. Ohne ISB ist die Zertifizierung formal nicht möglich.

Branchenspezifisch: Gesundheitswesen (§75c SGB V), Finanzwesen (DORA, MaRisk) und öffentliche Verwaltung haben zusätzliche Verpflichtungen.

Auch für nicht explizit verpflichtete Unternehmen gilt: Das Fehlen eines ISB wird bei Sicherheitsvorfällen zunehmend als organisatorisches Verschulden gewertet, das die Haftung der Geschäftsleitung begründen kann.

---

6. Der Weg zur Zertifizierung (Schritt für Schritt)

Für ein Unternehmen mit 50 bis 200 Mitarbeitern ist folgender Zeitplan realistisch:

Phase 1: Gap-Analyse (Monat 1-2)

Der erste Schritt ist eine ehrliche Bestandsaufnahme. Was haben Sie bereits? Was fehlt? Welche Annex-A-Controls sind bereits implementiert?

Was wird analysiert:

• Governance: Gibt es eine Informationssicherheitspolitik? Ist Sicherheitsverantwortung klar geregelt? Unterstützt die Geschäftsführung aktiv?
• Asset Management: Liegt ein Asset-Inventar vor? Ist eine Datenklassifizierung implementiert?
• Zugangsmanagement: Ist MFA implementiert? Wird Least-Privilege gelebt? Ist ein Offboarding-Prozess definiert?
• Technisch: Gibt es Patch-Management? EDR auf allen Endpoints? Logging und SIEM? Backup-Strategie mit Tests? Netzwerksegmentierung?
• Prozesse: Liegen Incident Response Plan, Business Continuity Plan, Supplier Security Management und Security Awareness Training vor?

Ergebnis: Ein priorisierter Maßnahmenplan in drei Prioritätsstufen:

• Kritisch (muss vor Zertifizierung erledigt sein): Asset-Inventar, Risikobewertung, IS-Politik, Incident Response Plan, internes Audit-Programm
• Wichtig (deutliche Lücken): MFA auf Remote-Zugängen, Security Awareness Training, Backup-Recovery-Tests, Supplier-Security-Prozess
• Verbesserung (kleinere Lücken): Dokumentation vervollständigen, bestehende Policies formalisieren, Logging-Coverage verbessern

Eine Gap-Analyse kostet typischerweise 3.000 bis 8.000 Euro und spart am Ende erheblich Zeit und Geld.

Phase 2: ISMS-Dokumentation aufbauen (Monat 3-6)

Die Dokumentation ist in vier Ebenen gegliedert:

Tier 1 - Richtlinien (Policies): Informationssicherheitspolitik (Kl. 5.2), Informationssicherheitsziele (Kl. 6.2), Risikobeurteilungsverfahren (Kl. 6.1.2).

Tier 2 - Prozesse: Incident Response, Business Continuity, internes Audit-Programm, Supplier Security Management, Change Management.

Tier 3 - Arbeitsanweisungen: Passwort-Richtlinie, Clean Desk/Clear Screen Policy, BYOD Policy, Acceptable Use Policy.

Tier 4 - Nachweise (Records): Risikobewertungsergebnisse, Statement of Applicability, interne Audit-Berichte, Management Review Protokolle, Nichtkonformitäten mit Korrekturmaßnahmen, Schulungsnachweise.

Phase 3: Risikobewertung (Monate 4-6)

Die Risikobeurteilung ist das Herzstück von ISO 27001.

Risikoidentifikation: Zunächst werden alle Assets erfasst - IT-Systeme, Daten, Software, Prozesse und Personal. Dann werden Bedrohungen und Schwachstellen ermittelt: Ransomware-Angriff auf das ERP-System, Phishing gegen Mitarbeiter, ungepatchter VPN-Gateway, fehlende Backups der Kundendatenbank.

Risikobewertung (5×5-Matrix): Das Risiko ergibt sich aus Eintrittswahrscheinlichkeit × Auswirkung (jeweils 1-5):

Risiko	Wahrscheinlichkeit	Auswirkung	Punkte	Stufe
Ransomware	4	5	20/25	KRITISCH
Phishing	4	3	12/25	HOCH
DDoS	2	2	4/25	NIEDRIG

Risiken mit mehr als 12 Punkten müssen behandelt werden.

Statement of Applicability (SoA): Für jeden der 93 Controls in Anhang A wird dokumentiert: Ist er anwendbar und warum? Ist er implementiert und welcher Nachweis liegt vor? Falls nicht anwendbar: Was ist die Begründung?

Phase 4: ISMS betreiben (Monat 7-9)

Das ISMS muss gelebt werden, bevor es auditiert wird. In dieser Phase:

• Erstes internes Audit wird durchgeführt
• Management Review findet statt
• Nichtkonformitäten werden behoben
• Nachweise (Logs, Reports, Schulungsnachweise) werden gesammelt

Das interne Audit muss von einem Auditor durchgeführt werden, der unabhängig vom geprüften Bereich ist - kein Self-Audit. Empfohlen wird eine Qualifikation als ISO 27001 Lead Auditor.

Phase 5: Stage 1 Audit - Dokumentenprüfung (Monat 10-11)

Der Zertifizierer prüft die Vollständigkeit der ISMS-Dokumentation, die Konsistenz der Risikobewertung, die Plausibilität des SoA, ob ein internes Audit stattgefunden hat und ob das Management Review dokumentiert ist. Das Ergebnis ist eine Liste offener Punkte, die bis zum Stage 2 geschlossen sein müssen. Zwischen Stage 1 und Stage 2 liegen typischerweise vier bis acht Wochen.

Phase 6: Stage 2 Audit - Hauptaudit (Monat 11-12)

Stage 2 prüft, ob die Prozesse tatsächlich gelebt werden - nicht nur ob Dokumente existieren. Auditoren führen Interviews mit Mitarbeitern aller Ebenen, fordern technische Nachweise (Logs, Reports, Schulungsnachweise) und nehmen Stichproben vor.

Typische Audit-Fragen:

• “Können Sie mir die letzten drei Passwort-Reset-Tickets zeigen?”
• “Wer hat zuletzt das Backup getestet? Wann? Mit welchem Ergebnis?”
• “Wie haben Sie von der letzten kritischen Schwachstelle erfahren? Was haben Sie getan?”
• “Zeigen Sie mir den letzten Phishing-Simulationsbericht.”

Bei Bestehen folgt das Zertifikat. Es gilt drei Jahre - mit jährlichen Überwachungsaudits und nach drei Jahren einer vollständigen Rezertifizierung.

Eine detaillierte Begleitung bietet AWARE7 unter Zertifizierungsbegleitung.

---

7. Was kostet eine ISO 27001 Zertifizierung?

“Was kostet ISO 27001?” ist die häufigste Frage in der Erstberatung - und die schwierigste, weil die Antwort stark vom Ausgangszustand, der Unternehmensgröße und dem Implementierungsaufwand abhängt.

Die Gesamtkosten im Überblick

Für ein mittelständisches Unternehmen mit 50 bis 250 Mitarbeitenden:

Kostenblock	Typischer Bereich
Externe Beratung (Gap-Analyse + Aufbau)	20.000-60.000 €
Interne Personalkosten (Projektzeit)	15.000-40.000 €
Tools (ISMS-Software, Vulnerability Scanner)	5.000-15.000 €/Jahr
Penetrationstest (oft obligatorisch)	5.000-20.000 €
Security Awareness Training	3.000-10.000 €/Jahr
Zertifizierungsaudit (Stage 1 + 2)	8.000-20.000 €
Gesamt erstmalige Zertifizierung	56.000-165.000 €

Faustformel: Ein KMU mit 50 Mitarbeitern sollte 30.000 bis 80.000 Euro einplanen. Bei 100 Mitarbeitern sind es 60.000 bis 150.000 Euro.

Was die Kosten beeinflusst

1. Ausgangszustand (Reifegrad): Der größte Kostenfaktor. Wer bereits ein dokumentiertes Notfallkonzept, regelmäßige Vulnerability Scans, MFA und Passwortrichtlinien hat, reduziert den Aufwand um 30 bis 50 Prozent. Die Gap-Analyse zu Beginn zeigt den tatsächlichen Abstand.

2. Unternehmensgröße und Komplexität: Mehr Mitarbeitende bedeuten mehr zu dokumentierende Prozesse, mehr Schulungen, mehr Assets im ISMS-Scope. Richtwerte für den Beratungsaufwand: 10 bis 50 Mitarbeitende = 50 bis 100 Beratungstage; 50 bis 250 Mitarbeitende = 100 bis 200 Beratungstage.

3. Scope-Definition: Ein eng definierter Scope ist günstiger, für manche Kunden und Regulatoren aber weniger wertvoll als ein breiter Scope.

4. Interne vs. externe Leistung: Externe Berater kosten Geld, beschleunigen aber den Prozess erheblich. Eine rein interne Implementierung erfordert einen dedizierten ISB, dauert länger und endet häufig mit Zertifizierungsversagen beim ersten Audit.

5. Zertifizierungsaudit: DAkkS-akkreditierte Zertifizierer kosten 1.200 bis 2.000 Euro pro Audittag. Gesamtkosten Stage 1 + 2: 8.000 bis 20.000 Euro.

Laufende Kosten nach der Zertifizierung

ISO 27001 ist kein einmaliges Projekt:

Jährlicher Aufwand	Kosten
Überwachungsaudit	3.000-8.000 €
ISMS-Software	5.000-15.000 €
Awareness Training	3.000-10.000 €
Penetrationstest (jährlich empfohlen)	5.000-15.000 €
ISB (intern oder extern)	20.000-60.000 €
Gesamt jährlich	36.000-108.000 €

Der ROI der Zertifizierung

Direkte Kostenersparnis: Viele Versicherer gewähren 10 bis 30 Prozent Rabatt auf Cyber-Versicherungsprämien. Bei einer Prämie von 50.000 Euro/Jahr sind das 5.000 bis 15.000 Euro Ersparnis - jährlich.

Kundenforderungen: Ein verlorener Auftrag über 500.000 Euro, weil das ISO-27001-Zertifikat fehlt, übersteigt die gesamten Zertifizierungskosten.

NIS-2-Compliance: ISO 27001 deckt die meisten NIS-2-Anforderungen ab. NIS-2-Bußgelder bis 10 Mio. Euro bzw. 2 Prozent des Umsatzes sind in einer anderen Größenordnung als die Zertifizierungskosten.

Schadensprävention: Der durchschnittliche Datenschutzvorfall kostet deutsche Unternehmen 5,31 Mio. USD (IBM Cost of a Data Breach 2024). Ein strukturiertes ISMS reduziert die Wahrscheinlichkeit erheblich.

---

8. Audit-Vorbereitung: Tipps aus der Praxis

Was Auditoren wirklich prüfen

Das größte Missverständnis: ISO 27001 ist keine Checkliste der 93 Annex-A-Controls. Auditoren prüfen das ISMS als System - den PDCA-Zyklus, die Risikosteuerung, das Management-Commitment.

Auditoren prüfen sechs Kernfragen:

1. Ist der ISMS-Scope sinnvoll definiert? (Kl. 4.3)
2. Hat das Management Verantwortung übernommen? (Kl. 5.1)
3. Wurden Risiken systematisch ermittelt und bewertet? (Kl. 6.1.2)
4. Ist das Statement of Applicability vollständig? (Kl. 6.1.3)
5. Wurden Controls implementiert, die zu den identifizierten Risiken passen?
6. Funktioniert der PDCA-Zyklus - läuft das ISMS wirklich?

Die Pflicht-Dokumentation

Folgende Dokumente sind nach ISO 27001:2022 Abschnitt 7.5 immer zu prüfen:

Dokument	Klausel
Informationssicherheitsrichtlinie	Kl. 5.2
ISMS-Scope-Dokument	Kl. 4.3
Risikobeurteilungsverfahren	Kl. 6.1.2
Risikobewertungsbericht	Kl. 6.1.2 a
Risikobehandlungsplan	Kl. 6.1.3 d
Statement of Applicability (SoA)	Kl. 6.1.3 d
Ziele zur Informationssicherheit	Kl. 6.2
Qualifikationsnachweise	Kl. 7.2
Interne Audit-Ergebnisse	Kl. 9.2
Management-Review-Protokoll	Kl. 9.3
Korrekturmaßnahmen	Kl. 10.1

Akzeptierte Nachweise für Auditoren

Bereich	Akzeptierter Nachweis
Patch-Management	WSUS/Intune Reports, Ticket-Export, Change-Log
Access Reviews	AD-Berichte, Export aus IAM-System
Backup-Tests	DR-Test-Protokoll mit Datum, Dauer, Ergebnis
Awareness-Training	LMS-Export (Nutzer + Abschlussdatum)
Phishing-Test	Plattform-Report (KPIs, keine Personennamen)
Incidents	Incident-Register (Datum, Typ, Behandlung)
Interne Audits	Audit-Bericht + NC-Tracking

Certifier-Auswahl

Nur DAkkS-akkreditierte Zertifizierungsstellen stellen rechtlich anerkannte ISO-Zertifikate aus. Bekannte Certifier in Deutschland:

Certifier	Stärken
TÜV SÜD	Sehr bekannt, hohe Reputation, weit verbreitet
TÜV Rheinland	Sehr angesehen, stark in der Industrie
DQS	Deutsche Gesellschaft zur Zertifizierung von Systemen
DNV	International, stark in Maritim und Energie
Bureau Veritas	International, kostengünstiger

Wichtig: Berater und Zertifizierer dürfen nicht dieselbe Organisation sein - Interessenkonflikt. AWARE7 begleitet als Berater die Implementierung; das Zertifikat stellt ein unabhängiger DAkkS-akkreditierter Certifier aus.

Final-Check vor dem Audit

• Alle Pflichtdokumente aktuell und von der Leitung genehmigt
• Asset-Inventar aktuell (jünger als 3 Monate)
• Risikobewertung aktuell (jünger als 12 Monate)
• SoA vollständig (alle 93 Controls mit Begründung und Status)
• Internes Audit durchgeführt (jünger als 12 Monate)
• Management Review durchgeführt (jünger als 12 Monate)
• Awareness-Training mit Nachweis vorhanden
• Patch-Management-Nachweise vorhanden
• Incident-Register aktuell
• ISMS-Beauftragter benannt und dokumentiert geschult

---

9. Häufige Fehler bei der Zertifizierung

Fehler 1: Statement of Applicability unvollständig

Controls werden ohne Begründung ausgeschlossen oder der Implementierungsstatus ist veraltet. Für alle 93 Controls muss eine Begründung und ein Nachweis dokumentiert sein. Controls als “nicht anwendbar” zu deklarieren erfordert eine substanzielle Begründung - “keine Telearbeit” ist nach der COVID-19-Erfahrung für die meisten Unternehmen nicht mehr glaubwürdig.

Fehler 2: Risikobeurteilung zu abstrakt

“IT-Infrastruktur” als einzelnes Asset ist zu unspezifisch. Auditoren erwarten Granularität auf Systemebene: Asset → Bedrohung → Schwachstelle → Konsequenz. Risiken ohne klaren Asset-Bezug werden nicht akzeptiert.

Fehler 3: Dokumentation ohne Umsetzung

Im Stage 2 fragt der Auditor nach Evidenz. Wer keine nachweisbaren Belege hat, scheitert - unabhängig davon, wie gut die Dokumente aussehen. “Wir machen das regelmäßig” ohne Teilnehmerlisten oder Logs reicht nicht aus.

Fehler 4: Management-Commitment nur auf dem Papier

Auditoren merken schnell, wenn die Geschäftsführung das Thema nicht wirklich trägt. Fehlende Ressourcenbereitstellung, kein Management Review oder ein IS-Politik-Dokument das offensichtlich nie kommuniziert wurde - all das führt zu Major Non-Conformities.

Fehler 5: Scope zu groß oder zu klein

Zu groß führt zu Überforderung der Organisation. Zu klein lässt Kunden an der Relevanz zweifeln. Die richtige Scope-Definition ist eine strategische Entscheidung, die frühzeitig mit der Geschäftsführung abgestimmt werden sollte.

Fehler 6: Interne Audits nicht ernst nehmen

Wer das interne Audit als formale Übung ohne echte Prüfung behandelt, verzichtet auf den wertvollsten Lerneffekt vor dem Zertifizierungsaudit. Häufige Fehler: nur IT wird geprüft, HR und physische Sicherheit werden ausgelassen; der Auditor prüft seinen eigenen Bereich.

Fehler 7: Lieferanten-Management ignorieren

Cloud-Provider und IT-Dienstleister werden oft nicht im ISMS berücksichtigt. Auditoren prüfen, ob ein Lieferanten-Inventar existiert, ob Risiken je Lieferant bewertet wurden und ob Verträge Sicherheitsklauseln enthalten.

Fehler 8: Business Continuity nicht getestet

Der Business Continuity Plan existiert, wurde aber nie getestet. Existenz allein genügt nicht - Auditoren erwarten einen jährlichen DR-Test mit schriftlichem Protokoll.

Fehler 9: Überdokumentation

ISO 27001 schreibt kein bestimmtes Dokumentationsformat vor. Weniger ist oft mehr - lebbare Prozesse statt 500-seitige ungelesene Handbücher.

Fehler 10: Einmalige statt kontinuierliche Awareness

Mitarbeitendenschulungen müssen regelmäßig wiederholt werden, nicht nur zur Zertifizierung. Einmalige Awareness-Maßnahmen werden von Auditoren kritisch bewertet.

---

10. FAQ: Häufige Fragen zu ISO 27001

Wie lange dauert eine ISO 27001 Zertifizierung?

Für ein KMU mit 50 bis 200 Mitarbeitern sind 10 bis 12 Monate realistisch. Unternehmen mit höherem Reifegrad (bestehende Prozesse, MFA, Patch-Management) können schneller sein. Unternehmen, die von null starten, sollten 12 bis 18 Monate einplanen.

Muss ich alle 93 Controls aus Annex A umsetzen?

Nein. Die Controls aus Annex A sind eine Referenzliste. Welche Controls angewendet werden, bestimmt das Ergebnis der Risikobeurteilung. Im Statement of Applicability (SoA) wird für jeden Control begründet, ob und warum er angewendet wird oder nicht.

Was ist der Unterschied zwischen ISO 27001 und IT-Grundschutz?

Der BSI IT-Grundschutz ist ein deutsches Regelwerk des Bundesamts für Sicherheit in der Informationstechnik, das detailliertere Umsetzungshinweise enthält. ISO 27001 ist der internationale Standard. Beide können kombiniert werden - IT-Grundschutz-Kataloge können als Inspiration für Maßnahmen im Rahmen einer ISO-27001-Zertifizierung genutzt werden.

Gilt das Zertifikat für das gesamte Unternehmen?

Das hängt vom definierten Scope ab. Das Zertifikat gilt nur für den festgelegten Anwendungsbereich. Typischerweise zertifizieren Unternehmen alle Standorte und Prozesse. Es ist aber möglich, nur bestimmte Bereiche zu zertifizieren - etwa wenn nur ein Teil der Organisation regulatorisch relevant ist.

Was kostet eine Gap-Analyse?

Typischerweise 3.000 bis 8.000 Euro extern, plus 10 bis 20 Stunden interner Aufwand. Das Ergebnis ist ein priorisierter Maßnahmenplan, der die Grundlage für die gesamte Investitionsplanung bildet. Mehr Informationen unter ISO 27001 Gap-Analyse.

Muss ein ISB ein eigener Mitarbeiter sein?

Nein. ISO 27001 und das BSI erlauben ausdrücklich, die ISB-Rolle durch einen qualifizierten externen Dienstleister zu besetzen. Entscheidend ist, dass die Person über die notwendigen Kenntnisse verfügt, tatsächlich aktiv tätig ist und im Unternehmen als Ansprechpartner bekannt ist.

Kann der Datenschutzbeauftragte gleichzeitig ISB sein?

Grundsätzlich ist eine Personalunion möglich, wird aber nicht empfohlen. Beide Rollen beanspruchen erhebliche Zeitressourcen und haben unterschiedliche Schwerpunkte. In kleinen Unternehmen kann eine Doppelrolle temporär akzeptiert werden, sollte aber mittelfristig getrennt werden.

Für wen lohnt sich ISO 27001?

Sofort empfehlenswert, wenn:

• Kunden Nachweise der Informationssicherheit fordern
• Sie in einem regulierten Sektor tätig sind (Finanz, Gesundheit, KRITIS)
• Sie NIS2-pflichtig sind
• Sie Behörden oder öffentliche Auftraggeber bedienen

Mittelfristig sinnvoll, wenn:

• Sie wachsen und Sicherheitsprozesse skalieren müssen
• Sie eine Cyber-Versicherung abschließen oder verbessern wollen
• Sie M&A-Aktivitäten planen

---

Nächste Schritte

Der Weg zur ISO-27001-Zertifizierung beginnt mit einer ehrlichen Bestandsaufnahme Ihres aktuellen Sicherheitsniveaus. AWARE7 begleitet mittelständische Unternehmen in allen Phasen des Prozesses:

• ISO 27001 Beratung - Überblick über unser Leistungsangebot
• Gap-Analyse - Wo stehen Sie heute? Maßnahmenplan in einem halbtägigen Workshop
• Implementierung - ISMS aufbauen, Dokumentation erstellen, Controls umsetzen
• Zertifizierungsbegleitung - Begleitung durch Stage 1 und Stage 2 Audit

AWARE7 ist selbst nach ISO 27001 zertifiziert - mit vollständigem Geltungsbereich aller Produkte, Prozesse, Mitarbeiter und Räumlichkeiten. Wir beraten herstellerunabhängig und begleiten Sie vom ersten Workshop bis zum Zertifikat.