- Die größten Kostenfaktoren beim ISMS-Aufbau sind Personal (interner Aufwand), externe Beratung, Software-Tools und die Zertifizierung selbst.
- Ein 100-Mitarbeiter-Unternehmen sollte für den ISMS-Aufbau mit 40.000 bis 100.000 Euro Gesamtkosten im ersten Jahr rechnen, je nach Reifegrad und Beratungsumfang.
- Der laufende Betrieb des ISMS kostet jährlich etwa 30 bis 50 Prozent der Aufbaukosten, hauptsächlich für Personal und die jährlichen Überwachungsaudits.
- Der ROI eines ISMS lässt sich über vermiedene Schäden, reduzierte Versicherungsprämien, erfüllte Kundenanforderungen und regulatorische Compliance argumentieren.
- Am falschen Ende zu sparen, nämlich bei Schulungen, Managementbeteiligung oder qualifizierter Beratung, führt häufig zu einem ISMS, das auf dem Papier existiert, aber in der Praxis nicht funktioniert.
Warum die Kostenfrage so schwer zu beantworten ist
Wer sich zum ersten Mal mit dem Thema ISMS beschäftigt, sucht verständlicherweise nach einer klaren Zahl: Was wird das kosten? Die ehrliche Antwort lautet: Es kommt darauf an. Nicht weil die Frage unberechtigt wäre, sondern weil die Kosten von so vielen Faktoren abhängen, dass pauschale Aussagen fast zwangsläufig in die Irre führen.
Die Kosten eines ISMS hängen unter anderem ab von der Unternehmensgröße und -komplexität, vom gewählten Scope (Geltungsbereich), vom aktuellen Reifegrad der Informationssicherheit, davon, ob eine Zertifizierung angestrebt wird, vom Umfang externer Beratung und von den eingesetzten Tools.
Ein Unternehmen mit 50 Mitarbeitern, einem Standort und einer überschaubaren IT-Landschaft hat einen völlig anderen Aufwand als ein Unternehmen mit 500 Mitarbeitern, mehreren Standorten und komplexen Cloud-Infrastrukturen. Trotzdem lassen sich die Kostenfaktoren strukturieren und mit realistischen Größenordnungen versehen, sodass du eine solide Grundlage für deine Budgetplanung bekommst.
Die Kostenfaktoren im Überblick
Die Kosten eines ISMS lassen sich in sechs Kategorien aufteilen, die in unterschiedlichem Maße anfallen, je nachdem, wie dein Unternehmen aufgestellt ist und welchen Ansatz du wählst.
1. Personalkosten (interner Aufwand)
Der mit Abstand größte Kostenfaktor ist der interne Personalaufwand. Ein ISMS aufzubauen und zu betreiben erfordert Zeit von Menschen, die diese Zeit anderweitig nutzen könnten. Das sind keine direkten Ausgaben, die auf einer Rechnung stehen, weshalb dieser Posten in der Budgetplanung häufig unterschätzt wird.
Informationssicherheitsbeauftragter (ISB). Die zentrale Rolle im ISMS. In der Aufbauphase ist der ISB der Haupttreiber des Projekts und benötigt einen erheblichen Teil seiner Arbeitszeit dafür. In einem 100-Mitarbeiter-Unternehmen solltest du mit mindestens 50 Prozent einer Vollzeitstelle für den ISB rechnen, während der Aufbauphase eher 80 Prozent. Nach der Aufbauphase sinkt der Aufwand, aber auch im laufenden Betrieb bleibt das ISMS eine substanzielle Aufgabe: Risikobewertungen aktualisieren, Maßnahmen nachverfolgen, Audits vorbereiten, Schulungen organisieren und Vorfälle bearbeiten.
Geschäftsführung. Das Management-Commitment ist keine Floskel, sondern ein konkreter Zeitaufwand. Die Geschäftsführung muss den Geltungsbereich genehmigen, die Informationssicherheitsleitlinie verabschieden, Ressourcen freigeben, an Management-Reviews teilnehmen und Entscheidungen über Risikoakzeptanz treffen. Rechne mit etwa zwei bis vier Stunden pro Monat während der Aufbauphase und einer bis zwei Stunden pro Monat im laufenden Betrieb.
Risikoeigner und Fachabteilungen. Die Risikobewertung und die Umsetzung von Maßnahmen können nicht allein vom ISB erledigt werden. IT-Leiter, Abteilungsleiter und Fachexperten müssen Informationen zuliefern, Risiken bewerten und Maßnahmen umsetzen. Dieser verteilte Aufwand summiert sich und ist schwer zu quantifizieren, liegt aber typischerweise bei 30 bis 60 Personentagen für den gesamten Aufbauprozess, verteilt auf mehrere Personen.
IT-Abteilung. Die IT trägt einen großen Teil der technischen Maßnahmen: Firewall-Konfiguration, Patch-Management, Monitoring, Backup-Strategien und Zugriffskontrollen. Viele dieser Dinge sollten ohnehin gemacht werden, aber ein ISMS formalisiert die Anforderungen und erfordert Dokumentation und Nachweisführung, was zusätzlichen Aufwand bedeutet.
2. Externe Beratung
Externe Berater können den ISMS-Aufbau erheblich beschleunigen und die Qualität verbessern, insbesondere wenn intern wenig Erfahrung mit Informationssicherheits-Managementsystemen vorhanden ist. Die Frage ist nicht, ob Beratung sinnvoll ist, sondern wie viel du brauchst.
Vollumfängliche Beratung (Aufbau begleiten). Ein externer Berater begleitet den gesamten Aufbauprozess, von der Gap-Analyse über die Risikobewertung bis zur Zertifizierungsvorbereitung. Für ein 100-Mitarbeiter-Unternehmen liegt der Aufwand typischerweise bei 20 bis 40 Beratertagen. Bei Tagessätzen zwischen 1.200 und 2.000 Euro ergibt das 24.000 bis 80.000 Euro.
Punktuelle Beratung. Du holst dir externe Expertise nur für bestimmte Themen: die initiale Gap-Analyse, die Vorbereitung auf das Zertifizierungsaudit oder die Überprüfung der Dokumentation. Das reduziert die Kosten erheblich und kann bei 5 bis 15 Beratertagen liegen, also 6.000 bis 30.000 Euro.
Keine externe Beratung. Grundsätzlich möglich, wenn intern genügend Expertise vorhanden ist. Das Risiko ist allerdings, dass Fehler erst beim Zertifizierungsaudit auffallen, was im schlimmsten Fall ein Nicht-Bestehen und damit erhebliche Zusatzkosten bedeutet. Für Unternehmen, die zum ersten Mal ein ISMS aufbauen, ist zumindest eine punktuelle Beratung empfehlenswert.
3. Software und Tools
ISMS-Software unterstützt die Dokumentation, Risikobewertung, Maßnahmenverfolgung und Auditplanung. Die Preisspanne ist groß und hängt vom Funktionsumfang und Hosting-Modell ab.
SaaS-Lösungen. Typische Kosten liegen zwischen 200 und 1.500 Euro pro Monat, je nach Anbieter, Nutzerzahl und Funktionsumfang. Für ein 100-Mitarbeiter-Unternehmen mit 10 bis 20 aktiven Nutzern kannst du mit 400 bis 800 Euro pro Monat rechnen, also 4.800 bis 9.600 Euro pro Jahr.
Self-Hosted-Lösungen. Einmalige Lizenzkosten oder jährliche Pauschalen, oft unabhängig von der Nutzerzahl. ISMS Lite beispielsweise kostet 500€/Jahr im Abo oder 2.500€ als Einmalkauf, jeweils ohne Seat-Lizenzen und mit vollem Funktionsumfang. Die Preisspanne bei Self-Hosted-Lösungen insgesamt reicht von einigen hundert Euro für schlanke Lösungen bis zu fünfstelligen Beträgen für umfassende Plattformen. Hinzu kommen die Kosten für den eigenen Serverbetrieb. Ein detaillierter TCO-Vergleich zwischen SaaS und Self-Hosted über fünf Jahre zeigt, wie sich die Gesamtkosten bei wachsender Nutzerzahl entwickeln.
Open-Source oder kostenlose Tools. Es gibt Open-Source-ISMS-Tools, die keine Lizenzkosten verursachen. Der Aufwand für Einrichtung, Anpassung und Betrieb ist aber höher, und der fehlende Support kann sich rächen, wenn Probleme auftreten.
Excel und Dateiablage. Keine Lizenzkosten, aber der höchste manuelle Aufwand und die größten Risiken bei der Datenintegrität. Für den Einstieg akzeptabel, langfristig aber selten die effizienteste Lösung.
4. Schulungen und Awareness
Informationssicherheit funktioniert nur, wenn alle Mitarbeiter mitspielen. Schulungen sind deshalb kein optionaler Bonus, sondern eine Pflichtinvestition, die auch von ISO 27001 explizit gefordert wird.
Grundschulung für alle Mitarbeiter. Jeder Mitarbeiter sollte eine Basisschulung zu Informationssicherheit erhalten: Passwortverhalten, Phishing-Erkennung, Umgang mit vertraulichen Daten, Meldewege bei Vorfällen. Das lässt sich über E-Learning-Plattformen (500 bis 3.000 Euro pro Jahr für ein 100-Mitarbeiter-Unternehmen) oder über interne Schulungen abbilden.
Fachspezifische Schulungen. Der ISB, IT-Mitarbeiter und andere Schlüsselpersonen brauchen vertiefte Schulungen zu ISO 27001, Risikomanagement oder Incident Response. Eine dreitägige Schulung zu ISO 27001 kostet pro Person zwischen 1.500 und 3.000 Euro.
Laufende Awareness. Einmalige Schulungen reichen nicht. Ein wirksames Awareness-Programm umfasst regelmäßige Auffrischungen, Phishing-Simulationen und aktuelle Informationen zu Bedrohungen. Der jährliche Aufwand liegt bei 2.000 bis 5.000 Euro für Tools und Inhalte, plus interner Zeitaufwand.
5. Zertifizierungskosten
Wenn du eine ISO-27001-Zertifizierung anstrebst, kommen die Kosten für das externe Audit hinzu. Die Zertifizierung ist nicht zwingend erforderlich, um ein ISMS zu betreiben, aber viele Unternehmen streben sie an, um Kunden und Partnern die Wirksamkeit ihres ISMS nachzuweisen.
Erstzertifizierung (Stage 1 + Stage 2 Audit). Die Kosten hängen von der Unternehmensgröße, dem Scope und der Zertifizierungsstelle ab. Für ein 100-Mitarbeiter-Unternehmen liegen die Auditkosten typischerweise bei 8.000 bis 20.000 Euro. Hinzu kommen interne Kosten für die Auditvorbereitung (5 bis 10 Personentage).
Jährliche Überwachungsaudits. Nach der Erstzertifizierung finden jährlich Überwachungsaudits statt. Diese sind weniger umfangreich als die Erstzertifizierung und kosten etwa 4.000 bis 10.000 Euro pro Jahr.
Rezertifizierung (alle drei Jahre). Nach drei Jahren muss das Zertifikat erneuert werden. Der Aufwand liegt zwischen der Erst- und der Überwachungsaudit-Größenordnung.
6. Laufender Betrieb
Ein ISMS ist kein einmaliges Projekt, sondern ein fortlaufender Managementprozess. Die laufenden Kosten setzen sich zusammen aus dem ISB-Aufwand (fortlaufend), Softwarelizenzen oder -betrieb, Awareness-Programm, Überwachungsaudits, Risikobewertungs-Updates, Maßnahmenumsetzung und Vorfallbehandlung.
Als Faustregel gilt: Die jährlichen Betriebskosten betragen etwa 30 bis 50 Prozent der Aufbaukosten. Dieser Wert kann niedriger sein, wenn die Aufbauphase besonders beratungsintensiv war (weil die laufende Beratung geringer ausfällt), oder höher, wenn viele technische Maßnahmen laufend gewartet werden müssen.
Beispielrechnung: 100-Mitarbeiter-Unternehmen
Um die abstrakten Kostenfaktoren greifbar zu machen, hier eine Beispielrechnung für ein mittelständisches Unternehmen mit rund 100 Mitarbeitern, einem Standort und einer typischen IT-Landschaft. Das Unternehmen hat bisher kein formales ISMS und strebt eine ISO-27001-Zertifizierung an.
Aufbauphase (Jahr 1)
| Kostenfaktor | Aufwand | Kosten (circa) |
|---|---|---|
| ISB intern (60 % einer Vollzeitstelle, 12 Monate) | Ca. 125 Personentage | 30.000 - 45.000 EUR (Opportunitätskosten) |
| Beteiligung Geschäftsführung, IT, Fachabteilungen | Ca. 40 - 60 Personentage | 15.000 - 25.000 EUR (Opportunitätskosten) |
| Externe Beratung (punktuell bis begleitend) | 10 - 30 Beratertage | 12.000 - 50.000 EUR |
| ISMS-Software (z. B. ISMS Lite 500€/Jahr) | 12 Monate | 500 - 10.000 EUR |
| Schulungen (ISB-Fachschulung + Mitarbeiter-Awareness) | Einmalig + laufend | 5.000 - 12.000 EUR |
| Zertifizierung (Stage 1 + Stage 2) | Einmalig | 8.000 - 20.000 EUR |
| Gesamtkosten Aufbauphase | 73.000 - 162.000 EUR |
Die Spanne ist bewusst groß, weil die Ausgangssituation und der gewählte Ansatz so unterschiedlich sein können. Ein Unternehmen, das bereits solide IT-Prozesse hat und nur wenig externe Beratung braucht, landet am unteren Ende. Ein Unternehmen, das bei null startet und eine umfassende Begleitung wählt, eher am oberen.
Wichtig: Die internen Personalkosten (Opportunitätskosten) machen den Löwenanteil aus. Diese fallen an, egal ob du ein teures oder günstiges Tool wählst und ob du viel oder wenig externe Beratung einkaufst. Der größte Hebel zur Kostensenkung liegt deshalb nicht im Sparen an Tools oder Beratung, sondern in der effizienten Gestaltung der internen Prozesse.
Laufender Betrieb (ab Jahr 2)
| Kostenfaktor | Aufwand | Kosten (circa) |
|---|---|---|
| ISB intern (30 - 40 % einer Vollzeitstelle) | Ca. 65 - 85 Personentage | 18.000 - 30.000 EUR |
| Beteiligung Fachabteilungen | Ca. 15 - 25 Personentage | 6.000 - 12.000 EUR |
| ISMS-Software | 12 Monate | 3.000 - 10.000 EUR |
| Awareness-Programm | Laufend | 2.000 - 5.000 EUR |
| Überwachungsaudit | Jährlich | 4.000 - 10.000 EUR |
| Punktuelle Beratung (bei Bedarf) | 2 - 5 Beratertage | 2.400 - 10.000 EUR |
| Jährliche Betriebskosten | 35.400 - 77.000 EUR |
Aufwand in Personentagen
Neben den reinen Kosten ist der Aufwand in Personentagen eine wichtige Planungsgröße, weil er dir zeigt, welche Kapazitäten du über welchen Zeitraum einplanen musst.
Typischer Aufwand für den ISMS-Aufbau (100 MA)
| Phase | ISB | GF/Management | IT | Fachabteilungen | Summe |
|---|---|---|---|---|---|
| Initiierung und Scope | 5 PT | 3 PT | 2 PT | 2 PT | 12 PT |
| Risikobewertung | 15 PT | 2 PT | 5 PT | 10 PT | 32 PT |
| Richtlinien und Dokumentation | 20 PT | 3 PT | 5 PT | 5 PT | 33 PT |
| Maßnahmenumsetzung | 15 PT | 2 PT | 15 PT | 10 PT | 42 PT |
| Schulungen und Awareness | 10 PT | 1 PT | 2 PT | 3 PT | 16 PT |
| Internes Audit | 8 PT | 2 PT | 3 PT | 3 PT | 16 PT |
| Zertifizierungsvorbereitung | 10 PT | 2 PT | 3 PT | 3 PT | 18 PT |
| Management-Review | 3 PT | 2 PT | 1 PT | 1 PT | 7 PT |
| Summe | 86 PT | 17 PT | 36 PT | 37 PT | 176 PT |
Diese 176 Personentage verteilen sich über 9 bis 12 Monate. Das entspricht knapp einer Vollzeitstelle für die gesamte Dauer, verteilt auf mehrere Personen. Der ISB trägt den Löwenanteil, aber die Beteiligung von IT und Fachabteilungen ist substanziell und darf nicht vergessen werden.
ROI-Argumentation: Warum sich ein ISMS rechnet
Die Frage „Was kostet ein ISMS?" wird fast immer begleitet von der Frage „Und was bringt es?" Für die Geschäftsführung ist die Kosten-Nutzen-Abwägung der zentrale Entscheidungsfaktor. Hier sind die Argumente, die in der Praxis am stärksten wiegen.
Vermeidung von Schäden durch Sicherheitsvorfälle
Der offensichtlichste ROI: Ein funktionierendes ISMS reduziert die Wahrscheinlichkeit und die Auswirkungen von Sicherheitsvorfällen. Die durchschnittlichen Kosten eines Datenlecks in Deutschland lagen laut IBM Cost of a Data Breach Report 2025 bei über 4,5 Millionen Euro. Selbst wenn man davon ausgeht, dass ein mittelständisches Unternehmen im Schadensfall weniger verliert, übersteigen die potenziellen Kosten eines einzigen schweren Vorfalls (Ransomware, Datenabfluss, Betriebsunterbrechung) die jährlichen ISMS-Kosten um ein Vielfaches.
Natürlich lässt sich das nicht als garantierte Rendite verkaufen. Ein ISMS macht dich nicht immun gegen Angriffe. Aber es reduziert die Angriffsfläche, beschleunigt die Reaktion im Ernstfall und begrenzt den Schaden. Die Frage an die Geschäftsführung lautet nicht „Können wir uns ein ISMS leisten?", sondern „Können wir es uns leisten, kein ISMS zu haben?"
Regulatorische Compliance
NIS2 verpflichtet betroffene Unternehmen zu einem Risikomanagement für Cybersicherheit und droht bei Verstößen mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Die DSGVO sieht ähnliche Größenordnungen vor. Auch wenn diese Maximalstrafen in der Praxis selten verhängt werden, sind Bußgelder im fünf- bis sechsstelligen Bereich für mittelständische Unternehmen durchaus realistisch.
Ein ISMS ist der effizienteste Weg, diese regulatorischen Anforderungen strukturiert zu erfüllen. Die Kosten des ISMS sind also auch eine Art Versicherungsprämie gegen regulatorische Sanktionen.
Kundenanforderungen und Marktvorteile
Immer mehr Unternehmen fordern von ihren Lieferanten und Dienstleistern einen Nachweis über die Informationssicherheit, sei es eine ISO-27001-Zertifizierung, ein ausgefüllter Sicherheitsfragebogen oder ein TISAX-Label. Ohne ISMS kannst du diese Anforderungen nicht oder nur mit großem Aufwand erfüllen.
In manchen Branchen ist die Zertifizierung bereits eine Voraussetzung, um überhaupt an Ausschreibungen teilnehmen zu können. Der ROI ist hier direkt messbar: Welchen Umsatz verlierst du, wenn du Kundenanforderungen nicht erfüllen kannst? Wie viele Ausschreibungen gehen dir durch die Lappen?
Reduzierte Versicherungsprämien
Cyber-Versicherungen berücksichtigen den Reifegrad der Informationssicherheit bei der Tarifgestaltung. Unternehmen mit einem zertifizierten ISMS erhalten in der Regel bessere Konditionen als Unternehmen ohne nachgewiesene Sicherheitsmaßnahmen. Die Ersparnis liegt typischerweise bei 10 bis 30 Prozent der Jahresprämie, was bei einer Prämie von 15.000 bis 30.000 Euro immerhin 1.500 bis 9.000 Euro pro Jahr ausmacht.
Effizienzgewinne
Ein weniger offensichtlicher, aber realer Vorteil: Ein ISMS bringt Struktur in Prozesse, die sonst oft ad hoc ablaufen. Klare Zuständigkeiten, dokumentierte Verfahren und regelmäßige Reviews verbessern nicht nur die Sicherheit, sondern auch die Effizienz der IT-Organisation. Weniger Firefighting, weniger doppelte Arbeit, schnellere Entscheidungen.
ROI-Beispielrechnung
Für ein 100-Mitarbeiter-Unternehmen könnte die Argumentation so aussehen:
| Nutzen | Jährlicher Wert (geschätzt) |
|---|---|
| Risikoreduktion (konservativ: 10 % geringere Eintrittswahrscheinlichkeit bei 200.000 EUR erwartetem Schaden) | 20.000 EUR |
| Vermiedene Bußgelder (Risikogewichtet) | 5.000 - 15.000 EUR |
| Erhaltene/gewonnene Kundenbeziehungen | Schwer quantifizierbar, aber substanziell |
| Versicherungsersparnis | 1.500 - 9.000 EUR |
| Effizienzgewinne IT | 5.000 - 10.000 EUR |
| Geschätzter jährlicher Nutzen | 31.500 - 54.000 EUR+ |
Dem stehen jährliche Betriebskosten von 35.000 bis 77.000 Euro gegenüber, wobei ein großer Teil davon (Personalkosten) Aufwand ist, der ohnehin in die IT-Sicherheit fließen sollte, ISMS oder nicht. Der echte Zusatzaufwand durch das ISMS, also die Strukturierung, Dokumentation und Auditierung, ist deutlich geringer als die Gesamtkosten suggerieren.
Wo du sparen kannst und wo nicht
Angesichts der nicht unerheblichen Kosten ist es verständlich, dass Unternehmen nach Einsparmöglichkeiten suchen. Einige sind sinnvoll, andere gefährlich.
Hier kannst du sinnvoll sparen
Scope begrenzen. Der Geltungsbereich des ISMS muss nicht das gesamte Unternehmen umfassen. Ein fokussierter Scope auf die wirklich kritischen Geschäftsprozesse und IT-Systeme reduziert den Aufwand erheblich, ohne die Wirksamkeit wesentlich zu beeinträchtigen. Du kannst den Scope später erweitern, wenn das ISMS etabliert ist.
Beratung gezielt einsetzen. Statt einer Rundum-Begleitung kannst du Beratung punktuell nutzen, etwa für die Gap-Analyse am Anfang und die Auditvorbereitung am Ende. Die Arbeit dazwischen erledigst du intern, mit dem Berater als Sparringspartner bei konkreten Fragen.
Schlanke Tools wählen. Wenn dein Unternehmen 100 Mitarbeiter hat, brauchst du kein Enterprise-GRC-System für 50.000 Euro pro Jahr. Ein fokussiertes ISMS-Tool, das die Kernfunktionen gut abdeckt, reicht in der Regel aus und kostet einen Bruchteil. ISMS Lite wurde genau für den Mittelstand entwickelt: transparentes Preismodell ohne Pro-Nutzer-Gebühren und volle Kontrolle über die eigene Infrastruktur. ISMS Lite wurde genau für diese Zielgruppe entwickelt, aber es gibt auch andere Optionen, die in Frage kommen können.
Bestehende Prozesse nutzen. Viele Unternehmen haben bereits IT-Sicherheitsmaßnahmen, die nur dokumentiert und formalisiert werden müssen. Wenn dein IT-Team bereits Patches einspielt, Backups erstellt und Zugriffsrechte verwaltet, musst du diese Prozesse nicht neu erfinden, sondern sie in das ISMS integrieren.
Interne Audits selbst durchführen. Für das interne Audit brauchst du keinen externen Dienstleister, wenn du intern eine Person hast, die unabhängig vom ISMS-Betrieb ist und grundlegende Auditkenntnisse mitbringt. Eine Schulung zum internen Auditor kostet 1.000 bis 2.000 Euro und zahlt sich über Jahre aus.
Hier solltest du nicht sparen
Managementbeteiligung. Wenn die Geschäftsführung das ISMS als reines IT-Projekt betrachtet und sich nicht aktiv beteiligt, wird es scheitern, oder zumindest nicht die gewünschte Wirkung entfalten. Die wenigen Stunden pro Monat, die das Management investieren muss, sind nicht verhandelbar.
Schulungen und Awareness. Ein ISMS, das nur auf dem Papier existiert, bringt nichts. Wenn die Mitarbeiter die Richtlinien nicht kennen oder nicht verstehen, warum sie wichtig sind, werden sie nicht befolgt. Schulungen sind eine der wirksamsten Maßnahmen zur Risikoreduktion und gleichzeitig eine der günstigsten.
Qualität der Risikobewertung. Die Risikobewertung ist das Herzstück des ISMS. Wenn du hier Abkürzungen nimmst, etwa indem du Risiken pauschal bewertest statt individuell, oder indem du wichtige Risiken ignorierst, weil ihre Behandlung teuer wäre, untergräbst du die gesamte Systematik.
Zertifizierungsstelle. Wähle eine akkreditierte Zertifizierungsstelle mit Erfahrung in deiner Branche. Die günstigste Zertifizierungsstelle ist nicht automatisch die beste. Ein schlecht durchgeführtes Audit, das offensichtliche Mängel übersieht, schadet dir langfristig mehr als die Ersparnis bringt.
Vorfallmanagement und Notfallplanung. Business Continuity und Incident Response werden gern aufgeschoben, weil sie keinen unmittelbaren Nutzen bringen, solange nichts passiert. Wenn dann etwas passiert, ist es zu spät. Investiere zumindest in einen grundlegenden Notfallplan und teste ihn regelmäßig.
Kostenvergleich: Verschiedene Ansätze
Um die Bandbreite zu verdeutlichen, hier ein Vergleich verschiedener Ansätze für dasselbe 100-Mitarbeiter-Unternehmen.
Ansatz A: Minimal (ISMS ohne Zertifizierung)
Das Unternehmen baut ein ISMS auf, strebt aber keine Zertifizierung an. Es geht primär darum, die eigene Sicherheitslage zu verbessern und regulatorische Anforderungen (zum Beispiel NIS2) zu erfüllen.
- Externe Beratung: Gap-Analyse (3 - 5 Tage), punktuelle Unterstützung
- Tool: Schlanke Lösung oder strukturierte Dateiablage
- Keine Zertifizierungskosten
- Geschätzte Gesamtkosten Jahr 1: 40.000 - 65.000 EUR (inkl. interner Aufwand)
Ansatz B: Standard (ISMS mit Zertifizierung, gemischter Ansatz)
Das Unternehmen baut ein ISMS auf und strebt die ISO-27001-Zertifizierung an. Es nutzt externe Beratung punktuell und setzt auf ein spezialisiertes ISMS-Tool.
- Externe Beratung: 10 - 20 Beratertage
- Tool: Spezialisierte ISMS-Software
- Zertifizierung durch akkreditierte Stelle
- Geschätzte Gesamtkosten Jahr 1: 73.000 - 120.000 EUR (inkl. interner Aufwand)
Ansatz C: Premium (ISMS mit umfassender Begleitung)
Das Unternehmen arbeitet eng mit einem Beratungshaus zusammen, das den gesamten Aufbauprozess begleitet. Es nutzt eine umfassende GRC-Plattform.
- Externe Beratung: 30 - 40 Beratertage
- Tool: Umfassende GRC-Plattform
- Zertifizierung inklusive intensiver Vorbereitung
- Geschätzte Gesamtkosten Jahr 1: 120.000 - 180.000 EUR (inkl. interner Aufwand)
Keiner dieser Ansätze ist per se besser oder schlechter. Die richtige Wahl hängt von der Ausgangssituation, den verfügbaren Ressourcen und den Zielen ab. Ein Unternehmen mit einem erfahrenen ISB kann mit Ansatz A hervorragende Ergebnisse erzielen. Ein Unternehmen ohne jede Vorkenntnis profitiert möglicherweise von der intensiveren Begleitung in Ansatz C.
Häufige Budgetfehler
Zum Abschluss noch einige typische Fehler bei der Budgetplanung, die dir hoffentlich erspart bleiben.
Nur die direkten Kosten rechnen. Wenn du der Geschäftsführung sagst, das ISMS kostet 15.000 Euro für den Berater und 5.000 Euro für das Tool, und dann stellt sich heraus, dass der ISB ein halbes Jahr zu 60 Prozent gebunden ist und die IT-Abteilung 30 Personentage beisteuert, hast du ein Vertrauensproblem. Rechne immer die vollen Kosten inklusive internem Aufwand.
Den laufenden Betrieb vergessen. Das ISMS ist mit der Zertifizierung nicht „fertig". Die laufenden Kosten sind in der Budgetplanung von Anfang an zu berücksichtigen. Sonst stehst du nach der Zertifizierung ohne Budget da und das ISMS verkommt zur Papiertiger-Übung.
Zeitplan zu optimistisch. Ein ISMS in sechs Monaten aufzubauen ist theoretisch möglich, praktisch aber nur unter idealen Bedingungen. Krankheitsausfälle, konkurrierende Projekte und schlicht die Realität des Arbeitsalltags sorgen dafür, dass 9 bis 12 Monate realistischer sind. Ein zu knapper Zeitplan führt zu Hektik, Qualitätseinbußen und Frustration.
Am falschen Ende sparen. 2.000 Euro bei den Schulungen zu sparen und dann Mitarbeiter zu haben, die Phishing-Mails nicht erkennen, ist kein guter Deal. 5.000 Euro beim Berater zu sparen und dann beim Zertifizierungsaudit durchzufallen, erst recht nicht.
Keinen Puffer einplanen. Unvorhergesehene Anforderungen, zusätzlicher Beratungsbedarf oder technische Herausforderungen sind bei einem ISMS-Aufbau keine Ausnahme, sondern die Regel. Plane einen Puffer von 15 bis 20 Prozent auf das Gesamtbudget ein.
Weiterführende Artikel
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
- ISB extern oder intern? Vor- und Nachteile für den Mittelstand
- ISMS-Software auswählen: Worauf es bei der Evaluation ankommt
- Self-Hosted vs. Cloud: Datensouveränität bei Compliance-Software
- Rollen und Verantwortlichkeiten im ISMS: Wer macht was?