- Eine ISO 27001 Zertifizierung dauert für KMU typischerweise 6 bis 12 Monate und kostet zwischen 15.000 und 60.000 Euro, je nach Unternehmensgröße und Reifegrad.
- Der Ablauf gliedert sich in Vorbereitung, Stage 1 Audit (Dokumentenprüfung), Stage 2 Audit (Umsetzungsprüfung), jährliche Überwachungsaudits und Rezertifizierung nach drei Jahren.
- Konformität ohne Zertifikat kann sinnvoll sein, wenn du kein externes Siegel brauchst, aber dennoch ein wirksames ISMS betreiben willst.
- Die größten Kostenblöcke sind interner Personalaufwand (40-60 %), Beratung (20-35 %) und die Gebühren der Zertifizierungsstelle (15-25 %).
- Die häufigsten Audit-Findings betreffen fehlende Managementbewertungen, unvollständige Risikobehandlungspläne und mangelnde Wirksamkeitsprüfung der Maßnahmen.
Zertifizierung oder Konformität: Was brauchst du wirklich?
Bevor du dich in den Zertifizierungsprozess stürzt, lohnt sich eine grundsätzliche Frage: Brauchst du tatsächlich das Zertifikat an der Wand, oder reicht es, die Anforderungen der ISO 27001 intern umzusetzen?
Der Unterschied ist nicht trivial. Eine Zertifizierung bedeutet, dass eine unabhängige, akkreditierte Stelle dein ISMS geprüft und für konform befunden hat. Du erhältst ein Zertifikat, das du Kunden, Partnern und Auftraggebern vorlegen kannst. Konformität hingegen bedeutet, dass du die Anforderungen der Norm erfüllst, aber niemand Externes das bestätigt hat.
Für die Zertifizierung sprechen handfeste Gründe. Wenn deine Kunden oder Auftraggeber explizit ein ISO 27001 Zertifikat fordern, etwa in Ausschreibungen oder als Lieferantenanforderung, führt kein Weg daran vorbei. Das gilt zunehmend auch im Mittelstand, besonders wenn du für größere Unternehmen oder den öffentlichen Sektor arbeitest. Ein Zertifikat schafft Vertrauen, das du mit einer Selbstauskunft nicht erreichst.
Konformität ohne Zertifikat kann dagegen sinnvoll sein, wenn du primär die eigene Sicherheit verbessern willst und keinen externen Nachweis brauchst. Du sparst die Kosten für die Zertifizierungsstelle und den Aufwand für die formale Auditierung, behältst aber alle Vorteile eines strukturierten ISMS. Viele Unternehmen starten so und holen die Zertifizierung nach, wenn der geschäftliche Druck steigt.
Noch eine dritte Option: NIS2-betroffene Unternehmen können mit einer ISO 27001 Zertifizierung rund 80 % der NIS2-Anforderungen nachweisen. Wenn du ohnehin NIS2-pflichtig bist, schlägt die Zertifizierung zwei Fliegen mit einer Klappe.
Der Zertifizierungsprozess im Überblick
Der Weg zum ISO 27001 Zertifikat folgt einem klar definierten Ablauf, der sich in fünf Phasen gliedert. Jede Phase hat eigene Ziele, Anforderungen und typische Stolperstellen.
Phase 1: Vorbereitung und ISMS-Aufbau (3-8 Monate)
Die längste und arbeitsintensivste Phase beginnt lange vor dem eigentlichen Audit. Hier baust du dein ISMS auf oder bringst ein bestehendes System auf den Stand der Norm. Was in dieser Phase passieren muss:
Gap-Analyse durchführen. Vergleiche den aktuellen Stand deiner Informationssicherheit mit den Anforderungen der ISO 27001. Welche Prozesse existieren bereits? Wo gibt es Lücken? Die Gap-Analyse gibt dir eine Roadmap für die verbleibende Vorbereitungszeit. Plane dafür ein bis zwei Wochen ein, je nachdem wie komplex deine IT-Landschaft ist.
Geltungsbereich (Scope) definieren. Lege fest, welche Standorte, Abteilungen, Systeme und Prozesse dein ISMS umfasst. Der Scope ist eine strategische Entscheidung. Ein zu breiter Scope treibt den Aufwand in die Höhe, ein zu enger Scope wird vom Auditor hinterfragt. Für ein KMU mit einem Standort und überschaubarer IT empfiehlt sich häufig ein unternehmensweiter Scope, weil die Abgrenzung sonst schwieriger zu begründen ist als die vollständige Abdeckung.
Risikobewertung und Risikobehandlung. Das Herzstück des ISMS. Identifiziere deine Informationswerte (Assets), bewerte die Risiken und definiere Maßnahmen zur Behandlung. Die Ergebnisse fließen in das Statement of Applicability (SoA) ein, das festlegt, welche der 93 Controls aus Anhang A du umsetzt und welche du begründet ausschließt.
Richtlinien und Prozesse dokumentieren. ISO 27001 fordert eine Reihe dokumentierter Informationen: Informationssicherheitsleitlinie, Risikobewertungsmethodik, Risikobehandlungsplan, SoA, interne Audit-Berichte, Managementbewertung. Dazu kommen operative Richtlinien wie Passwort-Policy, Zugriffskontrolle, Backup-Konzept und Incident-Response-Verfahren.
Maßnahmen umsetzen. Dokumentation allein reicht nicht. Die definierten Controls müssen auch tatsächlich implementiert sein. Wenn dein SoA Verschlüsselung für mobile Endgeräte vorsieht, muss diese Verschlüsselung vor dem Audit aktiv sein und nicht nur geplant.
Internes Audit durchführen. Vor dem externen Audit musst du mindestens ein internes Audit durchgeführt haben. Dabei prüfst du selbst, ob dein ISMS die Anforderungen der Norm erfüllt. Das interne Audit deckt Schwachstellen auf, die du vor dem externen Audit noch beheben kannst. Es ist deine Generalprobe.
Managementbewertung (Management Review). Die Geschäftsleitung muss das ISMS mindestens einmal formal bewertet haben. Dabei werden die Ergebnisse des internen Audits, die Zielerreichung, Vorfälle und Verbesserungsmöglichkeiten besprochen. Das Management Review ist kein optionaler Termin, sondern eine Pflichtanforderung der Norm, die Auditoren immer prüfen.
Phase 2: Stage 1 Audit (Dokumentenprüfung)
Das Stage 1 Audit ist die erste Begegnung mit dem externen Auditor der Zertifizierungsstelle. Es findet typischerweise vor Ort statt, kann aber auch teilweise remote durchgeführt werden. Der Umfang liegt bei ein bis zwei Tagen für ein KMU.
Der Auditor prüft in Stage 1 im Wesentlichen drei Dinge:
Dokumentation des ISMS. Sind alle geforderten dokumentierten Informationen vorhanden? Informationssicherheitsleitlinie, Risikomethodik, Risikobehandlungsplan, SoA, internes Audit, Management Review. Der Auditor liest diese Dokumente und prüft, ob sie inhaltlich die Anforderungen der Norm abdecken.
Bereitschaft für Stage 2. Ist das ISMS tatsächlich implementiert und nicht nur auf dem Papier vorhanden? Der Auditor führt Gespräche mit dem ISMS-Verantwortlichen und stellt fest, ob die Organisation bereit für das Umsetzungsaudit ist.
Scope und Kontext. Ist der Geltungsbereich sinnvoll definiert? Sind die relevanten interessierten Parteien identifiziert? Passt der Kontext der Organisation zur Dokumentation?
Am Ende des Stage 1 Audits erhältst du einen Bericht mit Feststellungen. Das können Abweichungen (Nonconformities) sein, die du vor Stage 2 beheben musst, oder Hinweise und Empfehlungen. Zwischen Stage 1 und Stage 2 liegen in der Regel vier bis acht Wochen, in denen du offene Punkte abarbeiten kannst.
Ein typischer Grund für Verzögerungen nach Stage 1: Die Dokumentation existiert zwar, aber sie ist nicht konsistent. Die Risikobewertung referenziert andere Assets als das SoA, oder die Informationssicherheitsrichtlinie verwendet andere Begriffe als die operativen Richtlinien. Solche Inkonsistenzen fallen dem Auditor sofort auf.
Phase 3: Stage 2 Audit (Umsetzungsprüfung)
Das Stage 2 Audit ist das eigentliche Zertifizierungsaudit. Hier prüft der Auditor, ob dein ISMS nicht nur dokumentiert, sondern auch wirksam implementiert ist. Der Aufwand liegt bei zwei bis fünf Tagen für ein KMU, abhängig von Scope und Unternehmensgröße.
Der Auditor arbeitet sich systematisch durch die Normanforderungen und die Controls aus deinem SoA. Er führt Interviews mit Mitarbeitern auf verschiedenen Ebenen, sichtet Nachweise (Logs, Protokolle, Schulungsnachweise) und beobachtet Prozesse. Ein paar Beispiele, was typischerweise geprüft wird:
Risikomanagement. Der Auditor fragt den ISMS-Verantwortlichen: Zeigen Sie mir Ihre Risikobewertung. Wie haben Sie die Risiken identifiziert? Wie werden Risiken nachverfolgt? Wann wurde die letzte Aktualisierung durchgeführt? Er schaut sich konkrete Risikoeinträge an und prüft, ob die Behandlungsmaßnahmen umgesetzt sind.
Zugriffskontrolle. Wie werden Berechtigungen vergeben und entzogen? Was passiert, wenn ein Mitarbeiter das Unternehmen verlässt? Der Auditor möchte Nachweise sehen: Berechtigungsanträge, Offboarding-Checklisten, regelmäßige Berechtigungsreviews.
Incident Management. Gab es Sicherheitsvorfälle? Wenn ja: Wie wurden sie behandelt? Wenn nein: Wie würde der Prozess im Ernstfall ablaufen? Der Auditor testet, ob die Mitarbeiter den Meldeprozess kennen.
Schulungen. Wurden Awareness-Schulungen durchgeführt? Kann das Unternehmen Teilnahmenachweise vorlegen? Wissen die Mitarbeiter, was die Informationssicherheitsleitlinie besagt?
Am Ende des Stage 2 Audits steht die Entscheidung. Der Auditor kann drei Arten von Feststellungen treffen:
| Feststellung | Bedeutung | Auswirkung |
|---|---|---|
| Hauptabweichung (Major Nonconformity) | Eine Normanforderung wird nicht erfüllt oder das ISMS ist in einem Bereich grundlegend unwirksam | Zertifikat wird nicht erteilt, bis die Abweichung behoben und nachgeprüft ist |
| Nebenabweichung (Minor Nonconformity) | Einzelne Schwäche, die das ISMS nicht grundlegend beeinträchtigt | Muss innerhalb von 90 Tagen behoben werden, Zertifikat kann trotzdem erteilt werden |
| Verbesserungsmöglichkeit (Opportunity for Improvement) | Empfehlung des Auditors, keine formale Abweichung | Kann, muss aber nicht umgesetzt werden |
Wenn keine Hauptabweichungen vorliegen und die Nebenabweichungen überschaubar sind, empfiehlt der Auditor die Zertifizierung. Die finale Entscheidung trifft allerdings nicht der Auditor selbst, sondern ein unabhängiges Gremium der Zertifizierungsstelle.
Phase 4: Überwachungsaudits (jährlich)
Das ISO 27001 Zertifikat hat eine Gültigkeit von drei Jahren. In den beiden Jahren zwischen der Erstzertifizierung und der Rezertifizierung finden Überwachungsaudits statt, typischerweise eines pro Jahr.
Überwachungsaudits sind weniger umfangreich als das Stage 2 Audit. Sie dauern für ein KMU meist ein bis zwei Tage. Der Auditor prüft nicht das gesamte ISMS erneut, sondern konzentriert sich auf ausgewählte Bereiche. Dabei achtet er besonders auf:
- Wurden Abweichungen aus vorherigen Audits behoben?
- Funktioniert der kontinuierliche Verbesserungsprozess?
- Hat es Änderungen im Scope, in der Organisation oder in der IT-Landschaft gegeben?
- Wurden interne Audits und Management Reviews durchgeführt?
- Wie wurden Sicherheitsvorfälle behandelt?
Überwachungsaudits sind kein Selbstläufer. Wenn der Auditor feststellt, dass das ISMS seit der Zertifizierung stagniert oder sich verschlechtert hat, kann er Hauptabweichungen aussprechen und im schlimmsten Fall die Aussetzung des Zertifikats empfehlen. Das passiert in der Praxis selten, aber die Möglichkeit besteht.
Die Vorbereitung auf Überwachungsaudits sollte kein Kraftakt sein, wenn du dein ISMS das ganze Jahr über pflegst. Wenn du zwei Wochen vor dem Audit hektisch Dokumente aktualisierst und Nachweise zusammensuchst, ist das ein Zeichen dafür, dass das ISMS im Alltag nicht gelebt wird. Genau das wird der Auditor bemerken.
Phase 5: Rezertifizierung (nach 3 Jahren)
Drei Jahre nach der Erstzertifizierung steht die Rezertifizierung an. Sie ähnelt dem Stage 2 Audit, ist aber in der Regel etwas schlanker, weil der Auditor das Unternehmen bereits kennt und auf die Ergebnisse der Überwachungsaudits zurückgreifen kann.
Die Rezertifizierung prüft, ob das ISMS weiterhin die Anforderungen der Norm erfüllt und ob es sich weiterentwickelt hat. Drei Jahre sind eine lange Zeit in der IT, und der Auditor erwartet, dass sich das ISMS an veränderte Rahmenbedingungen angepasst hat: neue Systeme, neue Bedrohungen, organisatorische Veränderungen, technologische Entwicklungen.
Wenn du die Überwachungsaudits sauber bestanden und dein ISMS kontinuierlich weiterentwickelt hast, ist die Rezertifizierung eine Formsache. Wenn nicht, kann es unangenehm werden.
Realistischer Zeitplan: 6 bis 12 Monate
Wie lange dauert der Weg zum Zertifikat? Die ehrliche Antwort: Es kommt darauf an. Aber für ein KMU mit 50 bis 250 Mitarbeitern kannst du mit folgenden Richtwerten rechnen:
| Phase | Dauer | Voraussetzung |
|---|---|---|
| Gap-Analyse | 1-2 Wochen | Zugang zu allen relevanten Dokumenten und Systemen |
| ISMS-Aufbau und Dokumentation | 3-6 Monate | Dedizierte Ressource (mindestens 50 % Stellenanteil) |
| Maßnahmenumsetzung | 2-4 Monate (parallel) | Budget für technische Maßnahmen |
| Internes Audit + Management Review | 2-4 Wochen | ISMS muss operativ sein |
| Stage 1 Audit | 1-2 Tage | Dokumentation vollständig |
| Nacharbeit Stage 1 | 4-8 Wochen | Festgestellte Lücken schließen |
| Stage 2 Audit | 2-5 Tage | Maßnahmen implementiert und nachweisbar |
| Zertifikatserteilung | 4-6 Wochen nach Stage 2 | Keine offenen Hauptabweichungen |
6 Monate sind möglich, wenn du bereits grundlegende Sicherheitsprozesse hast (Backup-Konzept, Zugriffsmanagement, Firewall-Regeln), eine dedizierte Person das Projekt treibt und die Geschäftsleitung aktiv unterstützt. In diesem Fall geht es weniger um den Aufbau von Sicherheit als um die Systematisierung und Dokumentation dessen, was im Wesentlichen schon vorhanden ist.
12 Monate sind realistischer, wenn du bei null oder nahe null startest, wenn Richtlinien erst geschrieben, Prozesse erst definiert und technische Maßnahmen erst implementiert werden müssen. Auch Unternehmen mit mehreren Standorten oder komplexer IT-Infrastruktur brauchen tendenziell mehr Zeit.
Länger als 12 Monate sollte es nicht dauern. Wenn der Prozess sich über mehr als ein Jahr zieht, fehlt entweder die Ressource oder die Unterstützung des Managements. Beides sind Probleme, die du lösen musst, bevor du weitermachst.
Ein Faktor, den viele unterschätzen: Die Norm fordert, dass das ISMS eine gewisse Zeit operativ gewesen sein muss, bevor du dich zertifizieren lässt. Der Auditor möchte Nachweise über einen Betriebszeitraum sehen, nicht nur eine frisch erstellte Dokumentation. Drei bis sechs Monate operativer Betrieb vor dem Stage 2 Audit sind ein guter Richtwert.
Kosten aufgeschlüsselt: Womit du rechnen musst
Die Kostenfrage ist für KMU oft entscheidend. Hier eine realistische Aufschlüsselung für ein Unternehmen mit 50 bis 150 Mitarbeitern und einem Standort:
Interner Personalaufwand (40-60 % der Gesamtkosten)
Der größte Kostenblock ist gleichzeitig der am häufigsten unterschätzte. Jemand muss das ISMS aufbauen, Dokumente schreiben, Prozesse definieren, Mitarbeiter schulen und das Audit vorbereiten. Rechne mit:
| Rolle | Aufwand | Geschätzte Kosten (intern) |
|---|---|---|
| ISB / ISMS-Verantwortlicher | 6-12 Monate, 50-100 % | 30.000-70.000 € (Gehaltsanteil) |
| IT-Leitung (technische Umsetzung) | 2-4 Monate, 20-30 % | 5.000-15.000 € |
| Geschäftsleitung (Reviews, Entscheidungen) | 10-20 Stunden gesamt | 2.000-5.000 € |
| Fachabteilungen (Interviews, Schulungen) | 5-10 Stunden pro Abteilung | 3.000-8.000 € |
Die Bandbreite ist groß, weil sie stark davon abhängt, ob du einen vorhandenen Mitarbeiter auf das Thema ansetzt oder eine neue Stelle schaffst. Ein erfahrener ISB arbeitet deutlich schneller als jemand, der sich das Thema erst erarbeiten muss.
Externe Beratung (20-35 % der Gesamtkosten)
Beratung ist kein Muss, aber für die meisten KMU eine sinnvolle Investition. Ein erfahrener ISO 27001 Berater beschleunigt den Prozess erheblich und hilft, typische Fehler zu vermeiden.
| Leistung | Typischer Umfang | Kosten |
|---|---|---|
| Gap-Analyse und Projektplanung | 2-5 Tage | 2.000-6.000 € |
| ISMS-Aufbau-Begleitung | 10-30 Tage | 10.000-35.000 € |
| Internes Audit (extern durchgeführt) | 2-3 Tage | 2.000-4.000 € |
| Audit-Vorbereitung und Coaching | 2-5 Tage | 2.000-6.000 € |
Die Tagessätze für ISO 27001 Berater liegen typischerweise zwischen 1.000 und 1.500 Euro. Bei Paketen oder längerer Zusammenarbeit sind oft günstigere Konditionen verhandelbar. Achte darauf, dass der Berater akkreditiert oder zertifiziert ist, beispielsweise als ISO 27001 Lead Auditor oder Lead Implementer.
Eine wichtige Einschränkung: Der Berater darf dich nicht beraten und gleichzeitig zertifizieren. Die Zertifizierungsstelle muss unabhängig sein. Wenn dein Berater bei einer Zertifizierungsstelle angestellt ist, darf er nicht dein ISMS-Projekt begleiten und anschließend den Auditor derselben Stelle für dein Audit stellen.
Zertifizierungsstelle (15-25 % der Gesamtkosten)
Die Gebühren der Zertifizierungsstelle richten sich nach der Unternehmensgröße (gemessen in Mitarbeitern im Scope), der Anzahl der Standorte und der Komplexität der IT-Umgebung.
| Audit | Typische Kosten (50-150 MA, 1 Standort) |
|---|---|
| Stage 1 Audit | 3.000-6.000 € |
| Stage 2 Audit | 5.000-12.000 € |
| Überwachungsaudit (pro Jahr) | 3.000-6.000 € |
| Rezertifizierung (nach 3 Jahren) | 5.000-10.000 € |
Über den gesamten Drei-Jahres-Zyklus (Erstaudit + zwei Überwachungsaudits) landest du bei 14.000 bis 30.000 Euro für die Zertifizierungsstelle. Pro Jahr sind das rund 5.000 bis 10.000 Euro.
Technische Maßnahmen und Tools
Je nach Reifegrad deiner IT kommen Kosten für technische Maßnahmen hinzu: MFA-Lösung, Endpoint-Detection, Verschlüsselung, SIEM-Anbindung oder ein ISMS-Tool für Dokumentation und Risikomanagement. Diese Kosten variieren extrem stark und hängen davon ab, was bereits vorhanden ist.
| Bereich | Typische Kosten |
|---|---|
| ISMS-Tool / Software (z. B. ISMS Lite ab 500 €/Jahr) | 500-8.000 €/Jahr |
| Technische Maßnahmen (MFA, EDR, Backup) | 3.000-20.000 € einmalig + laufend |
| Schulungsplattform / E-Learning | 1.000-5.000 €/Jahr |
Gesamtkosten: Eine realistische Bandbreite
Für ein KMU mit 50 bis 150 Mitarbeitern und einem Standort sieht die Gesamtrechnung im ersten Jahr ungefähr so aus:
| Kategorie | Minimum | Maximum |
|---|---|---|
| Interner Aufwand | 15.000 € | 50.000 € |
| Externe Beratung | 5.000 € | 40.000 € |
| Zertifizierungsstelle | 8.000 € | 18.000 € |
| Tools und Technik | 3.000 € | 20.000 € |
| Gesamt (Jahr 1) | 31.000 € | 128.000 € |
Die Folgejahre sind deutlich günstiger, weil der initiale Aufbauaufwand wegfällt. Rechne mit 10.000 bis 30.000 Euro pro Jahr für laufende Pflege, Überwachungsaudits und kontinuierliche Verbesserung.
Die richtige Zertifizierungsstelle auswählen
Nicht alle Zertifizierungsstellen sind gleich. Die Auswahl beeinflusst Kosten, Qualität des Audits und die Außenwirkung deines Zertifikats. Worauf du achten solltest:
Akkreditierung prüfen. Die Zertifizierungsstelle muss von einer nationalen Akkreditierungsstelle akkreditiert sein. In Deutschland ist das die Deutsche Akkreditierungsstelle (DAkkS). Eine Zertifizierung ohne DAkkS-Akkreditierung ist im strengen Sinne kein anerkanntes ISO 27001 Zertifikat. Die bekannten Zertifizierer wie TÜV, DEKRA, DQS, BSI (British Standards Institution) oder Bureau Veritas sind alle akkreditiert.
Branchenerfahrung. Ein Auditor, der regelmäßig Unternehmen deiner Branche und Größe auditiert, versteht deine Herausforderungen und stellt relevante Fragen. Ein Auditor, der sonst Großkonzerne prüft, hat möglicherweise unrealistische Erwartungen an ein 80-Personen-Unternehmen.
Angebote vergleichen. Hole mindestens drei Angebote ein. Die Preisunterschiede können erheblich sein, und du bekommst ein Gefühl dafür, was marktüblich ist. Achte darauf, dass die Angebote vergleichbar sind: Wie viele Audittage sind enthalten? Sind Reisekosten inkludiert? Was kostet ein Nachaudit bei Hauptabweichungen?
Verfügbarkeit klären. Beliebte Zertifizierungsstellen haben Vorlaufzeiten von mehreren Monaten. Plane den Auditiermin frühzeitig, idealerweise drei bis sechs Monate im Voraus. Wenn du einen festen Zeitplan hast (etwa weil ein Kunde das Zertifikat bis zu einem Stichtag sehen möchte), ist die frühzeitige Terminreservierung kritisch.
Auditorenwechsel beachten. Nach einer bestimmten Anzahl von Auditzyklen muss der Lead-Auditor wechseln, um Betriebsblindheit zu vermeiden. Frage nach, wie die Zertifizierungsstelle das handhabt.
Häufige Audit-Findings: Was Auditoren wirklich beanstanden
Aus der Praxis lassen sich klare Muster erkennen, welche Punkte in ISO 27001 Audits immer wieder zu Feststellungen führen. Wenn du diese Themen im Griff hast, bist du gut aufgestellt.
Managementbewertung fehlt oder ist oberflächlich
Die Managementbewertung (Kapitel 9.3) ist einer der Punkte, die Auditoren bei jedem Audit prüfen. Und es ist einer der häufigsten Findings. Entweder wurde das Management Review gar nicht durchgeführt, oder es ist so dünn dokumentiert, dass der Auditor nicht erkennen kann, was tatsächlich besprochen und entschieden wurde.
Die Norm definiert konkrete Inputs für das Management Review: Ergebnisse interner Audits, Status von Korrekturmaßnahmen, Veränderungen im Kontext, Rückmeldungen interessierter Parteien, Ergebnisse der Risikobewertung und Verbesserungsmöglichkeiten. Wenn dein Protokoll nur „Management Review durchgeführt, keine Beanstandungen" enthält, wird der Auditor nachhaken.
Risikobehandlungsplan nicht nachvollziehbar
Du hast Risiken identifiziert und bewertet, aber die Verbindung zur Behandlung fehlt oder ist unklar. Der Auditor erwartet, dass er von einem identifizierten Risiko über den Behandlungsplan zum konkreten Control und von dort zum Nachweis der Umsetzung navigieren kann. Diese Rückverfolgbarkeit (Traceability) ist entscheidend. In ISMS Lite lässt sich der Umsetzungsstatus jedes Controls mit Begründung und verlinkten Maßnahmen dokumentieren, was dem Auditor die Arbeit erheblich erleichtert.
Ein typisches Problem: Das Risiko „Ransomware-Angriff" wurde identifiziert, aber im Risikobehandlungsplan steht nur „technische Maßnahmen ergreifen". Welche Maßnahmen? Wer ist verantwortlich? Bis wann? Wie wird die Wirksamkeit geprüft? Diese Fragen muss der Plan beantworten.
Statement of Applicability nicht konsistent
Das Statement of Applicability (SoA) ist das zentrale Dokument, das festlegt, welche Controls aus Anhang A angewendet werden und welche nicht. Inkonsistenzen zwischen SoA und der tatsächlichen Umsetzung sind ein häufiges Finding. Wenn das SoA besagt, du setzt Control A.8.24 (Kryptografie) um, aber in der Praxis keine Verschlüsselungsrichtlinie existiert, ist das eine Abweichung.
Genauso problematisch: Controls, die als „nicht anwendbar" markiert sind, ohne ausreichende Begründung. Der Auditor wird fragen, warum ein bestimmtes Control nicht relevant ist, und die Antwort muss nachvollziehbar sein.
Wirksamkeitsprüfung fehlt
ISO 27001 fordert nicht nur die Umsetzung von Maßnahmen, sondern auch die Überprüfung ihrer Wirksamkeit (Kapitel 9.1). Viele Unternehmen implementieren Controls, prüfen aber nie, ob sie tatsächlich wirken. Du hast MFA eingeführt, aber hast du gemessen, ob alle Accounts tatsächlich MFA aktiviert haben? Du hast eine Backup-Richtlinie, aber hast du einen Restore-Test durchgeführt?
Die Wirksamkeitsprüfung muss nicht aufwändig sein, aber sie muss dokumentiert und nachvollziehbar sein.
Internes Audit nicht unabhängig
Das interne Audit muss von Personen durchgeführt werden, die unabhängig vom auditierten Bereich sind. Wenn der ISB sein eigenes ISMS auditiert, ist die Unabhängigkeit nicht gegeben. Bei kleinen Unternehmen ist das eine echte Herausforderung, weil es möglicherweise nur einen ISB gibt. Die Lösung: Entweder einen externen Dienstleister mit dem internen Audit beauftragen oder einen geschulten Mitarbeiter aus einer anderen Abteilung einsetzen.
Änderungsmanagement lückenhaft
Wenn sich seit dem letzten Audit wesentliche Dinge geändert haben (neue Standorte, neue Systeme, Organisationsänderungen, neuer Cloud-Provider), muss das ISMS diese Änderungen reflektieren. Hat sich der Scope verändert? Wurde die Risikobewertung aktualisiert? Wurden neue Controls definiert? Auditoren schauen gezielt nach Veränderungen und prüfen, ob das ISMS mitgewachsen ist.
Schulungsnachweise unvollständig
Awareness-Schulungen wurden durchgeführt, aber es gibt keine Teilnahmelisten, keine Inhaltsübersichten, keine Nachweise über das vermittelte Wissen. Besonders die Schulung der Geschäftsleitung wird oft vergessen, obwohl die Norm explizit die Kompetenz des Top-Managements fordert. Wenn der Geschäftsführer nicht erklären kann, was die Informationssicherheitsleitlinie besagt, ist das ein Problem.
Tipps für eine reibungslose Zertifizierung
Frühzeitig mit der Zertifizierungsstelle sprechen. Kläre den Scope, die Audittage und den Zeitplan. Manche Zertifizierer bieten ein Vorgespräch an, bei dem du offene Fragen klären kannst, ohne dass es gleich ein formales Audit ist.
Den Auditor als Gesprächspartner sehen, nicht als Gegner. Auditoren wollen keine Unternehmen durchfallen lassen. Sie wollen ein wirksames ISMS vorfinden. Offenheit und Transparenz im Audit zahlen sich aus. Wenn du weißt, dass du in einem Bereich noch Nachholbedarf hast, sprich es proaktiv an, statt darauf zu hoffen, dass der Auditor es übersieht.
Nachweise vorbereiten. Erstelle vor dem Audit eine Übersicht, welche Nachweise du für welche Normanforderung vorlegen kannst. Das spart im Audit Zeit und zeigt dem Auditor, dass du vorbereitet bist. Nichts verzögert ein Audit mehr als hektisches Suchen nach Dokumenten.
Mitarbeiter vorbereiten. Der Auditor wird nicht nur mit dem ISB sprechen, sondern auch mit anderen Mitarbeitern: IT-Administratoren, Fachabteilungsleiter, Empfangspersonal. Diese Mitarbeiter sollten wissen, was ein Audit ist, welche Fragen kommen können und dass sie ehrlich antworten sollen. Briefings vor dem Audit sind keine Manipulation, sondern Vorbereitung.
Korrekturnachweise zeitnah liefern. Wenn der Auditor eine Nebenabweichung feststellt, hast du typischerweise 90 Tage Zeit für die Korrektur. Warte nicht bis Tag 89. Je schneller du die Korrektur nachweist, desto besser ist der Eindruck, den dein Unternehmen hinterlässt.
Der Weg nach der Zertifizierung
Das Zertifikat zu bekommen ist ein Meilenstein, aber nicht die Ziellinie. Die eigentliche Herausforderung beginnt danach: das ISMS im Alltag zu leben, es kontinuierlich zu verbessern und bei den Überwachungsaudits nachzuweisen, dass es nicht nur ein Zertifizierungsprojekt war.
Plane feste Zeiten für die ISMS-Pflege ein: wöchentliche kurze Reviews, monatliche Statusberichte an die Geschäftsleitung, quartalsweise Risikobewertungs-Updates und ein jährliches Management Review. Tools wie ISMS Lite unterstützen dich dabei mit automatischen Erinnerungen an Prüfzyklen und einem Audit-Trail, der die kontinuierliche Pflege dokumentiert. Wenn das ISMS Teil deines Betriebsalltags wird, verliert es den Projektcharakter und wird zu dem, was es sein soll: ein lebendiges Managementsystem, das deine Informationssicherheit nachhaltig verbessert.
Und noch ein abschließender Gedanke: Die Zertifizierung ist kein Beweis dafür, dass du sicher bist. Sie ist ein Beweis dafür, dass du einen systematischen Ansatz zur Informationssicherheit verfolgst. Das klingt nach einer feinen Unterscheidung, aber sie ist wesentlich. Das Zertifikat zeigt, dass du Risiken managst, Prozesse definiert hast und kontinuierlich an Verbesserung arbeitest. Die tatsächliche Sicherheit hängt davon ab, wie konsequent du diese Prozesse im Alltag umsetzt.
Weiterführende Artikel
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
- NIS2 vs. ISO 27001: Unterschiede, Gemeinsamkeiten und wie beides zusammenpasst
- Statement of Applicability erstellen: Schritt-für-Schritt-Anleitung
- Audit-Feststellungen und Korrekturmaßnahmen richtig managen
- Schulungsnachweise im ISMS: Was dokumentiert werden muss