Compliance & Standards
ISO 27001: Der komplette Guide zur Zertifizierung [2026]
Jan Hörnemann20 Min.
Wissen kompakt
ISO 27001: Der Goldstandard
für Informationssicherheit
ISO/IEC 27001 ist der weltweit führende Standard für Informationssicherheits-Managementsysteme (ISMS). Diese Seite erklärt Struktur, Anforderungen und den Weg zur Zertifizierung - praxisnah und ohne Buzzwords.
Zuletzt aktualisiert: März 2026 Von zertifizierten Experten geprüft
- Aktuelle Revision
-
- Controls in Annex A
-
- Zertifizierungszyklus
-
- Wettbewerbsvorteil
-
Grundlagen
Was ist ISO 27001?
ISO/IEC 27001 ist ein internationaler Standard der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission). Er legt die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) fest - das systematische Rahmenwerk, mit dem Unternehmen Informationssicherheitsrisiken identifizieren, bewerten und steuern.
Anders als technische Sicherheitsstandards ist ISO 27001 risikobasiert und technologieneutral: Der Standard schreibt nicht vor, welche Sicherheitssoftware einzusetzen ist, sondern wie Risiken bewertet und behandelt werden müssen. Dadurch ist er für Unternehmen jeder Größe und Branche anwendbar.
Die aktuelle Version ISO/IEC 27001:2022 (veröffentlicht Oktober 2022) löste die Version von 2013 ab. Sie wurde an die geänderte Bedrohungslage angepasst: Cloud-Sicherheit, Threat Intelligence und sichere Entwicklungspraktiken gehören nun explizit zu den Controls.
Warum ISO 27001 zertifizieren?
- Nachweis gegenüber Kunden, Partnern und Aufsichtsbehörden
- Voraussetzung für viele Aufträge aus dem öffentlichen Sektor
- Rechtssicherheit bei DSGVO und NIS2-Anforderungen
- Strukturierte Grundlage für das Risikomanagement
- Reduzierung von Versicherungsprämien für Cyber-Versicherungen
- Wettbewerbsvorteil bei Ausschreibungen und Kundengesprächen
ISO 27001 und NIS2
Die NIS2-Richtlinie (umgesetzt durch das NIS2UmsuCG in Deutschland) verweist implizit auf ISO 27001-äquivalente Maßnahmen. Unternehmen mit ISO 27001-Zertifizierung können große Teile der NIS2-Anforderungen als erfüllt nachweisen - ein erheblicher Compliance-Vorteil.
Persönliche Zertifizierung für ISMS-Verantwortliche
Neben der organisatorischen ISO 27001-Zertifizierung empfiehlt sich für ISBs und CISOs das T.I.S.P. Zertifikat als persönlicher Kompetenznachweis - anerkannt in 32 europäischen Ländern, förderfähig und speziell auf ISMS-Expertise ausgelegt.
Aufbau
Struktur der ISO 27001:2022
Der Standard gliedert sich in den normativen Hauptteil (Clauses 4-10) und den informativen Annex A mit 93 Controls.
Clause 4
Kontext der Organisation
Bestimmung interner und externer Einflussfaktoren, interessierter Parteien sowie des ISMS-Geltungsbereichs.
Clause 5
Führung
Verpflichtung der Geschäftsleitung, Informationssicherheitsrichtlinie, Rollen und Verantwortlichkeiten.
Clause 6
Planung
Risikobeurteilung und -behandlung, Statement of Applicability (SoA), Informationssicherheitsziele.
Clause 7
Unterstützung
Ressourcen, Kompetenzen, Bewusstsein, Kommunikation und Dokumentation.
Clause 8
Betrieb
Operative Umsetzung der geplanten Maßnahmen inklusive Risikobehandlungsplan.
Clause 9
Bewertung der Leistung
Internes Audit, Management-Review, Monitoring und Messung der ISMS-Wirksamkeit.
Clause 10
Verbesserung
Umgang mit Abweichungen und Korrektivmaßnahmen, kontinuierliche Verbesserung.
Annex A
93 Controls
4 Kategorien: Organisatorisch (37), Personell (8), Physisch (14), Technologisch (34). Davon 11 neue Controls gegenüber 2013.
Neu 2022
11 neue Controls
u. a. Threat Intelligence, ICT Readiness, Web Filtering, Datenmaskierung, sichere Entwicklungsumgebung, DLP.
In 5 Schritten
Der Weg zur Zertifizierung
Von der ersten Bestandsaufnahme bis zur Übergabe des Zertifikats - ein strukturierter Prozess mit klaren Meilensteinen.
01
Gap-Analyse
Systematische Bestandsaufnahme des aktuellen Sicherheitsniveaus anhand der ISO 27001:2022-Anforderungen. Ergebnis: ein priorisierter Maßnahmenplan mit Aufwandsschätzung.
02
ISMS aufbauen
Definition des ISMS-Geltungsbereichs, Erstellung der Informationssicherheitsrichtlinie, Risikobewertung (Clause 6.1) und Statement of Applicability (SoA) nach ISO 27001:2022.
03
Implementierung
Einführung der ausgewählten Controls aus Annex A, Dokumentation von Prozessen und Verantwortlichkeiten, Schulung der Mitarbeitenden, Integration in bestehende Abläufe.
04
Internes Audit
Unabhängige Prüfung der ISMS-Implementierung durch zertifizierte Lead Auditoren. Identifikation verbleibender Lücken und Nachbesserungsmaßnahmen vor dem externen Audit.
05
Zertifizierungsaudit
Zweistufiges Audit durch eine akkreditierte Zertifizierungsstelle (Stage 1: Dokumentenprüfung, Stage 2: Vor-Ort-Prüfung). Bei Erfolg: Ausstellung des ISO 27001-Zertifikats.
Planung
Kosten und Zeitrahmen
Realistische Schätzungen für verschiedene Unternehmensgrößen. Die Zahlen basieren auf Erfahrungswerten aus über 50 begleiteten ISO 27001-Projekten.
Kleines Unternehmen
bis 50 Mitarbeitende
Projektlaufzeit 3-6 Monate
Gesamtbudget 25.000-45.000 EUR
Zertifizierungsgebühr 6.000-10.000 EUR
- Geltungsbereich überschaubar
- Oft 1-2 dedizierte ISMS-Verantwortliche
- Beratungsaufwand: 30-50 Tage
- Jährliches Surveillance Audit: 3.000-5.000 EUR
Häufigster Fall
Mittelständisches Unternehmen
50-500 Mitarbeitende
Projektlaufzeit 6-12 Monate
Gesamtbudget 60.000-150.000 EUR
Zertifizierungsgebühr 10.000-20.000 EUR
- Komplexere Systemlandschaft
- Mehrere Standorte möglich
- Beratungsaufwand: 60-120 Tage
- Jährliches Surveillance Audit: 5.000-10.000 EUR
Großunternehmen
ab 500 Mitarbeitende
Projektlaufzeit 12-24 Monate
Gesamtbudget ab 200.000 EUR
Zertifizierungsgebühr ab 20.000 EUR
- Konzernweite oder teilbereichsbezogene Zertifizierung
- Mehrere Länder / Standorte
- Großes ISMS-Team erforderlich
- Mehrstufige Auditplanung
Alle Angaben sind Richtwerte basierend auf Erfahrungswerten. Individuelle Angebote richten sich nach Geltungsbereich, vorhandenem Sicherheitsniveau und Branche.
Quelle: AWARE7 Projektdaten 2021-2025, ISO Survey 2023 (ISO Central Secretariat).
Vergleich
ISO 27001 vs. BSI IT-Grundschutz
Beide Frameworks verfolgen dasselbe Ziel - die systematische Steuerung von Informationssicherheitsrisiken - unterscheiden sich aber in Ansatz und Zielgruppe erheblich.
| Kriterium | ISO 27001:2022 | BSI IT-Grundschutz |
|---|---|---|
| Herausgeber | ISO / IEC (international) | BSI (Deutschland) |
| Ansatz | Risikobasiert, prinzipienorientiert | Preskriptiv, maßnahmenorientiert |
| Detaillierungsgrad | Hoch auf Prozessebene, flexibel bei Technik | Sehr hoch, konkrete Umsetzungshinweise |
| Zielgruppe | International, alle Branchen und Größen | Primär Behörden und KRITIS-Betreiber in DE |
| Zertifizierung | Ja, durch akkreditierte Stellen weltweit | Ja, durch BSI-Auditoren (IS-Revisor/-Auditor) |
| Internationale Anerkennung | Sehr hoch (weltweit anerkannt) | Begrenzt (vor allem DACH) |
| Kombination möglich | Ja - ISO 27001-Zertifizierung auf Basis IT-Grundschutz | Ja - als Methodik für ISO 27001-Umsetzung |
| Aufwand | Mittlerer initialer Aufwand | Hoher initialer Dokumentationsaufwand |
Empfehlung: Für international tätige Unternehmen und KMU ohne behördliche Anforderungen empfehlen wir in der Regel den ISO 27001-Weg - schneller, international anerkannt und flexibler. Für Bundesbehörden, KRITIS-Betreiber und Unternehmen mit starkem Deutschlandbezug ist der BSI IT-Grundschutz die richtige Wahl. In beiden Fällen begleitet AWARE7 Sie kompetent.
Unsere Leistung
Wie AWARE7 bei ISO 27001 unterstützt
AWARE7 begleitet Unternehmen im DACH-Raum durch den gesamten ISO 27001-Prozess - von der ersten Gap-Analyse bis zur Übergabe des Zertifikats und darüber hinaus. Unsere ISO 27001 Lead Auditoren und Lead Implementer haben über 50 erfolgreiche Zertifizierungsprojekte abgeschlossen.
Wir bieten keine Standardlösung von der Stange: Jedes Projekt beginnt mit einer ehrlichen Bestandsaufnahme, aus der ein realistischer Fahrplan entsteht - inklusive Festpreisangebot innerhalb von 24 Stunden.
Gap-Analyse & Readiness Assessment
Systematische Bewertung des aktuellen Sicherheitsniveaus anhand der ISO 27001:2022-Anforderungen mit priorisiertem Maßnahmenplan.
ISMS-Aufbau und Dokumentation
Erstellung aller erforderlichen Richtlinien, Prozesse und Dokumente - strukturiert, verständlich und auditierbar.
Risikobewertung und Statement of Applicability
Vollständige Risikobewertung nach ISO 27005 und Erstellung des SoA als Herzstück des ISMS.
Internes Audit und Pre-Audit
Unabhängige Prüfung durch unsere zertifizierten Lead Auditoren - als Generalprobe für das Zertifizierungsaudit.
Externer Informationssicherheitsbeauftragter
Dauerhafter ISB auf Abruf - für Unternehmen, die kein dediziertes ISMS-Team aufbauen wollen.
„Ein gut implementiertes ISMS nach ISO 27001 ist nicht nur ein Zertifikat an der Wand - es ist das Fundament, auf dem jede weitere Sicherheitsmaßnahme aufbaut. Unternehmen, die das verstehen, sind ihrer Konkurrenz strukturell überlegen.“
Oskar Braun
ISO 27001 Lead Auditor (IRCA-zertifiziert) · AWARE7 GmbH
Häufige Fragen
FAQ: ISO 27001 Zertifizierung
Was ist ISO 27001 und warum ist die Norm wichtig?
ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Die Norm definiert Anforderungen an die Einführung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS. Sie ist der einzige weltweit akkreditierungsfähige Standard in diesem Bereich und damit das entscheidende Nachweisinstrument gegenüber Kunden, Partnern und Aufsichtsbehörden.
Was hat sich mit der ISO 27001:2022 gegenüber der Version 2013 geändert?
Die Revision 2022 brachte eine deutlich modernisierte Struktur: Annex A wurde von 114 auf 93 Controls reduziert, gleichzeitig kamen 11 neue Controls hinzu - darunter Threat Intelligence, ICT Readiness for Business Continuity, Web Filtering und Datenmaskierung. Die neue Kategorisierung gliedert sich in vier Themengruppen (Organisatorisch, Personell, Physisch, Technologisch) statt der früheren 14 Domänen. Bestehende Zertifikate nach der Version 2013 mussten bis Oktober 2025 migriert werden.
Welche Unternehmen müssen oder sollten sich zertifizieren lassen?
Eine gesetzliche Pflicht besteht in Deutschland für KRITIS-Betreiber, bestimmte Dienstleister im Finanz- und Gesundheitssektor sowie zunehmend für Lieferanten von Behörden (BSI-Anforderungen). Darüber hinaus fordern viele Großkonzerne und internationale Auftraggeber von ihren Lieferanten den Nachweis einer ISO 27001-Zertifizierung. Für den Mittelstand ist die Zertifizierung ein starkes Differenzierungsmerkmal im Wettbewerb.
Wie lange dauert ein ISO 27001-Zertifizierungsprojekt?
Die Projektdauer hängt stark von Unternehmensgröße, vorhandenem Sicherheitsniveau und verfügbaren Ressourcen ab. Kleine Unternehmen (bis 50 Mitarbeitende) können ein ISMS in 3-6 Monaten aufbauen. Mittelständische Unternehmen (50-500 MA) benötigen typischerweise 6-12 Monate. Konzerne planen 12-24 Monate ein. AWARE7 beschleunigt diesen Prozess durch strukturierte Gap-Analysen, erprobte Dokumentenvorlagen und erfahrene Lead Auditoren.
Was kostet eine ISO 27001-Zertifizierung?
Die Gesamtkosten setzen sich aus internen Aufwänden, Beratungskosten und Zertifizierungsgebühren zusammen. Für ein KMU mit 50 Mitarbeitenden und externer Beratung liegt das Gesamtbudget realistisch zwischen 25.000 und 60.000 EUR. Davon entfallen ca. 8.000-15.000 EUR auf die Zertifizierungsstelle, der Rest auf Beratung und interne Ressourcen. Surveillance Audits (jährlich) kosten 3.000-8.000 EUR, das Re-Zertifizierungsaudit nach drei Jahren vergleichbar mit dem Erstaudit.
Was ist der Unterschied zwischen ISO 27001 und BSI IT-Grundschutz?
ISO 27001 ist ein risikobasierter, internationaler Standard: Er gibt das "Was" vor, lässt beim "Wie" aber Spielraum. BSI IT-Grundschutz ist ein deutsches Rahmenwerk mit detaillierten, preskriptiven Umsetzungsempfehlungen - ideal für Behörden und KRITIS-Betreiber. Beide können kombiniert werden: Eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz ist möglich und kombiniert die internationale Anerkennung mit dem deutschen Detaillierungsgrad.
Wie oft müssen Überwachungsaudits durchgeführt werden?
Das ISO 27001-Zertifikat hat eine Laufzeit von drei Jahren. In diesem Zeitraum sind mindestens zwei Surveillance Audits (Überwachungsaudits) durch die Zertifizierungsstelle vorgeschrieben, typischerweise jährlich. Nach drei Jahren ist ein vollständiges Re-Zertifizierungsaudit erforderlich. Zusätzlich muss das Unternehmen intern mindestens ein internes Audit pro Jahr sowie eine Management-Review durchführen.
Wie unterstützt AWARE7 beim Aufbau eines ISMS?
AWARE7 begleitet Sie durch den gesamten Prozess: von der initialen Gap-Analyse über die Risikobewertung und Erstellung des Statement of Applicability bis zur Vorbereitung auf das Zertifizierungsaudit. Unsere Lead Auditoren (ISO 27001 LA, ISO 27001 LI) haben über 50 Zertifizierungsprojekte erfolgreich begleitet. Wir bieten auch die Funktion des externen Informationssicherheitsbeauftragten (ISB) an, der das ISMS dauerhaft betreut.
ISO 27001 Gap-Analyse starten
In einem kostenlosen Erstgespräch analysieren wir Ihren aktuellen Stand und erstellen einen realistischen Fahrplan zur Zertifizierung - inklusive Festpreisangebot.
Kostenlos · 30 Minuten · Unverbindlich
