Zusammenarbeit mit externen Beratern: So wird das ISMS-Projekt ein Erfolg

Wann lohnt sich externe Unterstützung?

Nicht jedes Unternehmen braucht einen externen Berater für den Aufbau eines ISMS. Aber viele Unternehmen profitieren erheblich davon, besonders wenn bestimmte Voraussetzungen zutreffen.

Der offensichtlichste Fall: Du baust zum ersten Mal ein ISMS auf und niemand im Unternehmen hat das schon einmal gemacht. Die Lernkurve bei ISO 27001 und NIS2 ist steil, die Normentexte sind abstrakt und die Umsetzung in die Praxis erfordert Erfahrung, die man nur durch Projekte sammelt. Ein erfahrener Berater hat dutzende ISMS-Projekte begleitet und weiß, welche Ansätze in der Praxis funktionieren und welche nur auf dem Papier gut aussehen.

Der zweite typische Fall: Du hast grundsätzlich die Kompetenz im Haus, aber nicht die Kapazität. Der ISB macht das Thema neben seiner eigentlichen Aufgabe, die IT-Abteilung ist im Tagesgeschäft eingebunden und für ein dediziertes ISMS-Projekt fehlen schlicht die Stunden. Ein externer Berater kann hier Kapazitäten schaffen, indem er bestimmte Aufgaben übernimmt oder das interne Team so effizient anleitet, dass der Aufwand überschaubar bleibt.

Der dritte Fall ist die Zertifizierungsvorbereitung. Wenn eine ISO-27001-Zertifizierung ansteht, lohnt sich fast immer ein externer Blick. Ein Berater, der Zertifizierungsaudits kennt, kann die Dokumentation so aufbereiten, dass der Auditor sie effizient prüfen kann, und er kann Schwachstellen identifizieren, die intern vielleicht übersehen werden, weil man betriebsblind geworden ist.

Wann lohnt sich ein Berater eher nicht? Wenn du ein kleines Unternehmen mit überschaubarer Komplexität bist und bereit bist, dich selbst einzuarbeiten. Wenn du bereits Erfahrung mit Managementsystemen hast (z.B. ISO 9001) und die Methodik kennst. Oder wenn du schlicht nicht die Bereitschaft hast, aktiv mitzuarbeiten, denn dann wird auch der beste Berater scheitern.

Drei Beratungsmodelle im Vergleich

Beratung ist nicht gleich Beratung. Es gibt fundamental unterschiedliche Ansätze, die sich in Aufwand, Kosten und Ergebnis erheblich unterscheiden. Die Wahl des richtigen Modells ist eine der wichtigsten Entscheidungen zu Beginn des Projekts.

Modell 1: Vollberatung

Bei der Vollberatung übernimmt der Berater die Führung des ISMS-Projekts. Er erstellt die Dokumentation, führt die Risikoanalysen durch, entwickelt die Richtlinien und bereitet das Unternehmen auf die Zertifizierung vor. Das interne Team wird einbezogen, aber der Berater treibt das Projekt.

Vorteile: Schnelle Ergebnisse, geringe Belastung für das interne Team, hohe Qualität der Ergebnisse, wenn der Berater gut ist.

Nachteile: Hohe Kosten, starke Abhängigkeit vom Berater, Risiko, dass das ISMS nicht zum Unternehmen passt ("Berater-ISMS"), und das gravierendste Problem: Wenn der Berater fertig ist, kann oft niemand im Unternehmen das ISMS weiterführen.

Geeignet für: Unternehmen mit sehr wenig interner Kapazität und hohem Zeitdruck, z.B. wenn eine Zertifizierung in sechs Monaten stehen muss und intern kein dedizierter ISB vorhanden ist.

Modell 2: Coaching

Beim Coaching-Modell liegt die Projektführung beim internen Team. Der Berater steht als Sparringspartner zur Verfügung, reviewt Ergebnisse, gibt methodische Anleitung und hilft bei schwierigen Themen. Die eigentliche Arbeit, also das Schreiben der Richtlinien, das Durchführen der Risikoanalysen und das Einführen der Prozesse, macht das interne Team.

Vorteile: Deutlich günstiger als Vollberatung, das Wissen bleibt im Unternehmen, das ISMS wird von den Menschen gestaltet, die es auch betreiben werden, und die interne Kompetenz wächst mit dem Projekt.

Nachteile: Erfordert signifikante interne Kapazität, dauert länger als Vollberatung, das interne Team muss bereit sein, sich tief in die Materie einzuarbeiten.

Geeignet für: Unternehmen mit einem dedizierten ISB oder IT-Sicherheitsverantwortlichen, der die nötige Zeit bekommt und bereit ist, sich das Thema zu erarbeiten. Das ist in den meisten Fällen das empfehlenswerteste Modell.

Modell 3: Punktuelle Unterstützung

Bei der punktuellen Unterstützung wird der Berater nur für bestimmte, klar abgegrenzte Aufgaben hinzugezogen. Das kann eine Gap-Analyse sein, ein Review der Dokumentation vor dem Zertifizierungsaudit, die Durchführung eines internen Audits oder die Unterstützung bei einer besonders komplexen Risikoanalyse.

Vorteile: Am günstigsten, sehr flexibel, gezielter Einsatz dort wo es am meisten bringt.

Nachteile: Setzt voraus, dass das Unternehmen bereits grundlegende ISMS-Kompetenz hat und weiß, wo es Hilfe braucht. Kein Gesamtüberblick durch den Berater, daher Gefahr, dass Lücken übersehen werden.

Geeignet für: Unternehmen, die bereits ein ISMS betreiben und es weiterentwickeln wollen, oder Unternehmen mit erfahrenem ISB, die zu spezifischen Themen eine zweite Meinung brauchen.

Den richtigen Berater finden

Die Auswahl des Beraters ist entscheidend für den Projekterfolg. Ein guter Berater kann den Unterschied machen zwischen einem ISMS, das in sechs Monaten steht und gelebt wird, und einem Projekt, das sich über zwei Jahre zieht und am Ende in der Schublade landet.

Qualifikationen, die zählen

Zertifizierungen. Ein ISO-27001-Lead-Auditor- oder Lead-Implementer-Zertifikat ist ein guter Indikator für methodische Kompetenz. Es ist kein Garant für gute Beratung, aber es zeigt, dass die Person sich systematisch mit dem Thema auseinandergesetzt hat. Zusätzlich relevante Zertifizierungen: CISM (Certified Information Security Manager), CISSP (Certified Information Systems Security Professional) oder BSI-Grundschutz-Praktiker.

Branchenerfahrung. Ein Berater, der hauptsächlich Großkonzerne berät, wird Schwierigkeiten haben, ein pragmatisches ISMS für ein KMU mit 80 Mitarbeitern zu gestalten. Umgekehrt kennt ein KMU-Berater möglicherweise nicht die Anforderungen regulierter Branchen wie Finance oder Healthcare. Frage gezielt nach Erfahrung mit Unternehmen deiner Größe und Branche.

Referenzen. Lass dir konkrete Referenzprojekte nennen, idealerweise mit der Möglichkeit, bei einem früheren Kunden nachzufragen. Ein seriöser Berater wird das anbieten können. Die Referenzen müssen nicht namentlich genannt werden (Vertraulichkeit), aber der Berater sollte zumindest Branche, Größe und Umfang der Projekte nennen können.

Red Flags: Woran du einen schlechten Berater erkennst

Unrealistische Zeitversprechen. "Wir machen Ihr ISMS in vier Wochen zertifizierungsreif" klingt verlockend, ist aber in den allermeisten Fällen unrealistisch. Ein ISMS aufzubauen dauert für ein KMU typischerweise sechs bis zwölf Monate, selbst mit intensiver Beraterunterstützung. Wer anderes verspricht, liefert entweder eine oberflächliche Papierlösung oder kennt die Anforderungen nicht.

Einheitslösung für alle. Wenn ein Berater im Erstgespräch bereits ein fertiges Dokumentenpaket auf den Tisch legt und sagt "Das müssen Sie nur noch ausfüllen", ist Vorsicht geboten. Ein ISMS muss zum Unternehmen passen, nicht umgekehrt. Vorlagen sind ein guter Startpunkt, aber sie müssen individuell angepasst werden. Ein Berater, der nur Vorlagen verkauft, liefert kein funktionierendes ISMS.

Kein Interesse an eurem Unternehmen. Ein guter Berater stellt im Erstgespräch viele Fragen: Über eure Geschäftsprozesse, eure IT-Landschaft, eure Branche, eure Risikobereitschaft, eure internen Kapazitäten. Ein Berater, der hauptsächlich über sich selbst redet und sein eigenes Framework präsentiert, ohne zu verstehen, wo ihr steht, wird keine passgenaue Lösung liefern.

Abhängigkeit als Geschäftsmodell. Manche Berater haben ein Interesse daran, die Abhängigkeit des Kunden zu maximieren, weil das wiederkehrende Umsätze sichert. Achte darauf, ob der Berater aktiv Wissenstransfer betreibt und darauf hinarbeitet, sich überflüssig zu machen, oder ob er Strukturen schafft, die dauerhaft seine Beteiligung erfordern.

Keine eigene Meinung. Ein Berater, der zu allem Ja sagt und keine unbequemen Wahrheiten ausspricht, ist kein Berater, sondern ein Auftragnehmer. Du zahlst für Expertise und die kritische Perspektive von außen. Wenn der Berater nicht bereit ist, dir zu sagen, dass dein Ansatz nicht funktionieren wird, verschwendest du dein Geld.

Das Erstgespräch: Was du fragen solltest

Bereite dich auf das Erstgespräch mit einem potenziellen Berater gut vor. Folgende Fragen helfen dir, die Spreu vom Weizen zu trennen:

• Wie viele ISMS-Projekte in unserer Größenordnung haben Sie in den letzten drei Jahren begleitet?
• Wie sieht Ihr typischer Projektablauf aus? Was erwarten Sie von uns?
• Wie stellen Sie sicher, dass wir das ISMS nach Projektende eigenständig betreiben können?
• Was sind die häufigsten Gründe, warum ISMS-Projekte scheitern?
• Können Sie ein Beispiel nennen, wo Sie einem Kunden von einer bestimmten Maßnahme abgeraten haben?
• Wie handhaben Sie es, wenn wir mit Ihren Empfehlungen nicht einverstanden sind?
• Was ist in Ihrem Angebot enthalten und was nicht?

Die Zusammenarbeit strukturieren

Ein ISMS-Projekt ist kein einmaliges Beratungsmandat, sondern eine Zusammenarbeit, die sich über Monate erstreckt. Damit diese Zusammenarbeit produktiv bleibt, braucht es klare Strukturen von Anfang an.

Rollen klar definieren

Wer macht was? Diese Frage muss zu Beginn des Projekts beantwortet werden, schriftlich und verbindlich. Typische Rollenverteilung:

Der Berater liefert Methodik, Templates, Reviews und Best Practices. Er moderiert Workshops, bewertet Ergebnisse und gibt Empfehlungen. Er trifft keine Entscheidungen über Maßnahmen, das ist Sache des Unternehmens.

Der ISB / Projektleiter intern koordiniert die Umsetzung, sammelt Informationen aus den Fachbereichen, erstellt Entwürfe auf Basis der Berater-Vorlagen und stellt sicher, dass Entscheidungen getroffen und umgesetzt werden.

Die Geschäftsführung gibt das Budget frei, trifft strategische Entscheidungen, nimmt am Management Review teil und stellt sicher, dass das Projekt die nötige Priorität bekommt.

Die Fachbereiche liefern Input für Risikoanalysen, setzen Maßnahmen in ihrem Bereich um und nehmen an Schulungen teil.

Meilensteine und Deliverables

Definiere zu Beginn des Projekts klare Meilensteine mit messbaren Deliverables. Ein typischer Meilensteinplan für ein ISMS-Aufbau-Projekt:

Monat 1-2: Bestandsaufnahme und Grundlagen. Gap-Analyse, Scope-Definition, Informationssicherheitsleitlinie, ISMS-Organisation (Rollen, Verantwortlichkeiten). Deliverables: Gap-Analyse-Bericht, Scope-Dokument, Leitlinie.

Monat 3-4: Risikomanagement. Asset-Inventar, Risikoanalyse, Risikobehandlungsplan, Statement of Applicability. Deliverables: Asset-Register, Risikobewertung, SoA.

Monat 5-6: Richtlinien und Maßnahmen. Erstellung der operativen Richtlinien (Passwort, Zugangskontrolle, Backup, Incident Response etc.), Umsetzung priorisierter Maßnahmen. Deliverables: Richtlinienpaket, Maßnahmenplan mit Status.

Monat 7-8: Schulung und Awareness. Security-Awareness-Schulung für alle Mitarbeiter, rollenspezifische Schulungen für IT und Management. Deliverables: Schulungsmaterial, Teilnahmenachweise.

Monat 9-10: Internes Audit und Review. Durchführung des internen Audits, Management Review, Korrekturmaßnahmen. Deliverables: Interner Auditbericht, Management-Review-Protokoll, Korrekturmaßnahmenplan.

Monat 11-12: Zertifizierungsvorbereitung. Dokumentation finalisieren, offene Maßnahmen abschließen, Probe-Audit (optional). Deliverables: Zertifizierungsreife Dokumentation, Audit-Readiness-Bericht.

Regelmäßige Abstimmung

Ein fester Abstimmungsrhythmus hält das Projekt auf Kurs. Empfohlen:

Wöchentlicher Status-Call (30 Minuten). Kurzer Austausch zwischen Berater und internem Projektleiter: Was wurde erledigt, was steht an, wo gibt es Hindernisse?

Monatliches Steuerungsmeeting (60 Minuten). Mit erweitertem Teilnehmerkreis (Geschäftsführung, Abteilungsleiter): Fortschrittsbericht, Meilenstein-Review, Entscheidungen über offene Punkte.

Quarterly Review (halber Tag). Strategische Bewertung: Sind wir auf dem richtigen Weg? Müssen wir den Plan anpassen? Gibt es neue Anforderungen, die berücksichtigt werden müssen?

Wissenstransfer sicherstellen

Der Wissenstransfer ist der Bereich, in dem die meisten ISMS-Beratungsprojekte scheitern. Nicht, weil der Berater schlechte Arbeit leistet, sondern weil der Transfer nicht bewusst geplant wird. Wenn der Berater das Projekt abschließt und das interne Team nicht in der Lage ist, das ISMS eigenständig zu betreiben, war das Projekt nur ein teurer Papiertiger.

Vom ersten Tag an transferieren

Wissenstransfer ist kein Event am Ende des Projekts, sondern ein kontinuierlicher Prozess. Der Berater sollte bei jeder Aktivität erklären, warum er etwas so macht und nicht anders. Das interne Team sollte bei jedem Workshop, jedem Review und jeder Analyse aktiv dabei sein, nicht als Zuschauer, sondern als Beteiligte.

Ein bewährter Ansatz: Für jedes Deliverable erstellt der Berater den ersten Entwurf gemeinsam mit dem internen Team. Beim zweiten Mal erstellt das interne Team den Entwurf und der Berater reviewt. Beim dritten Mal kann das interne Team es eigenständig. Dieses "Vormachen, Mitmachen, Selbermachen"-Prinzip stellt sicher, dass die Kompetenz systematisch aufgebaut wird.

Was dokumentiert werden muss

Neben den ISMS-Dokumenten selbst sollte der Berater folgende Inhalte dokumentieren oder in Schulungen vermitteln:

• Methodik und Entscheidungsgrundlagen (Warum wurde die Risikoanalyse so durchgeführt? Warum wurden bestimmte Maßnahmen priorisiert?)
• Betriebshandbuch für das ISMS (Welche Aktivitäten müssen regelmäßig durchgeführt werden? Wann? Von wem?)
• Review-Zyklen und KPIs (Wie misst man den Reifegrad? Woran erkennt man, dass etwas nicht funktioniert?)
• Eskalationswege (Was tun, wenn eine Situation eintritt, die der Berater noch nicht abgedeckt hat?)

Exit-Strategie vereinbaren

Vereinbare mit dem Berater von Anfang an eine klare Exit-Strategie. Das bedeutet: Zu welchem Zeitpunkt soll das interne Team das ISMS vollständig eigenständig betreiben können? Welche Kriterien müssen dafür erfüllt sein? Gibt es eine Übergangsphase mit reduzierter Beraterunterstützung?

Eine bewährte Struktur: Nach Abschluss des Hauptprojekts gibt es eine dreimonatige Übergangsphase, in der der Berater auf Abruf zur Verfügung steht und bei Bedarf unterstützt. In dieser Phase zeigt sich, ob der Wissenstransfer funktioniert hat. Danach kann das Engagement auf ein jährliches Review reduziert werden.

Typische Fehler in der Zusammenarbeit

Aus der Praxis lassen sich eine Reihe von Fehlern identifizieren, die ISMS-Projekte mit externer Unterstützung zum Scheitern bringen oder zumindest erheblich verzögern.

Den Berater allein machen lassen. Wenn du den Berater beauftragst und dich dann zurücklehnst, bekommst du ein ISMS, das der Berater versteht, aber nicht dein Unternehmen. Die aktive Mitarbeit des internen Teams ist keine freundliche Empfehlung, sie ist eine Voraussetzung für den Projekterfolg.

Kein interner Projektowner. Jemand im Unternehmen muss das Projekt besitzen. Nicht der Berater, sondern eine interne Person, die Entscheidungen treffen kann, Zugang zu allen relevanten Informationen hat und die Umsetzung im Unternehmen vorantreibt. Ohne diesen internen Anker bleibt das Projekt ein Beratermandat statt einer internen Initiative.

Perfektionismus in der Dokumentation. Manche Teams verbringen Monate damit, eine einzelne Richtlinie zu perfektionieren, statt mit einem soliden 80-%-Entwurf weiterzumachen und die Richtlinie im laufenden Betrieb zu verbessern. Ein guter Berater wird hier bremsen und auf Pragmatismus drängen. Wenn er das nicht tut, treibt er möglicherweise sein Honorar in die Höhe.

Zu wenig Management-Attention. Wenn die Geschäftsführung das Projekt an den ISB und den Berater delegiert und sich dann nicht mehr blicken lässt, fehlt dem Projekt die nötige Rückendeckung. Maßnahmen werden nicht umgesetzt, weil niemand sie priorisiert. Budgets werden nicht freigegeben, weil das Thema keine Chefprioritaet hat. Der Berater kann die Geschäftsführung nicht ersetzen.

Keine realistische Ressourcenplanung. Ein ISMS-Projekt erfordert interne Kapazität. Wenn das Team neben dem Tagesgeschäft ein ISMS aufbauen soll, ohne dass dafür Zeit freigeräumt wird, verzögert sich das Projekt unweigerlich. Plane realistisch: Ein ISB braucht für die Aufbauphase mindestens 40-60 % seiner Arbeitszeit für das ISMS, Fachbereiche müssen für Workshops und Interviews verfügbar sein.

Scope Creep. Das Projekt beginnt mit dem Ziel, ein ISMS für die Kernprozesse aufzubauen. Dann kommt die Anforderung, auch die Produktions-OT einzubeziehen. Dann soll auch TISAX gleich mitgemacht werden. Und der Datenschutz wird auch noch integriert. Jede einzelne Erweiterung mag sinnvoll sein, aber in Summe kann der Scope so wachsen, dass das Projekt unhandhabbar wird. Halte den initialen Scope eng und erweitere bewusst in späteren Phasen.

Kosten realistisch einschätzen

Beratungskosten sind ein Thema, über das oft ungern gesprochen wird. Hier eine realistische Einordnung für den Mittelstand:

Tagessätze

Erfahrene ISMS-Berater berechnen zwischen 1.200 und 2.000 Euro pro Tag (netto), abhängig von Erfahrung, Spezialisierung und Region. Sehr spezialisierte Berater (z.B. für regulierte Branchen wie Finance oder Healthcare) können auch darüber liegen. Berater unter 1.000 Euro pro Tag sind nicht zwangsläufig schlecht, aber die Erfahrung zeigt, dass bei sehr niedrigen Tagessätzen oft die Erfahrung fehlt oder der Berater den geringeren Satz durch mehr Tage kompensiert.

Gesamtkosten nach Beratungsmodell

Vollberatung für ein KMU (50-250 Mitarbeiter): 50.000 bis 120.000 Euro, abhängig von Komplexität und Scope. Typisch sind 40 bis 80 Beratertage über einen Zeitraum von 9 bis 15 Monaten.

Coaching-Modell: 25.000 bis 60.000 Euro. Der Berater ist weniger Tage vor Ort oder in Calls (typisch 20-40 Tage), dafür arbeitet das interne Team mehr selbst. In der Regel das beste Preis-Leistungs-Verhältnis.

Punktuelle Unterstützung: 5.000 bis 20.000 Euro, je nach Umfang. Gap-Analyse: 3-5 Tage. Internes Audit: 3-5 Tage. Dokumenten-Review: 5-10 Tage. Pre-Audit-Check: 2-3 Tage.

Zusätzliche Kosten

Neben den Beraterkosten fallen weitere Kosten an, die oft vergessen werden:

• Interne Personalkosten (der ISB arbeitet 6-12 Monate signifikant am ISMS)
• Software/Tools (ISMS-Software, Risikomanagement-Tool, Schulungsplattform)
• Schulungen für das interne Team (z.B. ISO 27001 Lead Implementer Kurs: ca. 2.500-3.500 Euro pro Person)
• Zertifizierungskosten, falls angestrebt (initiale Zertifizierung: 8.000-25.000 Euro für ein KMU)

Kosten optimieren

Der effektivste Weg, Beratungskosten zu optimieren: Gute Vorbereitung. Je besser du auf die Beratung vorbereitet bist, desto effizienter kann der Berater arbeiten. Konkret bedeutet das:

• Sammle vorab alle relevanten Dokumente (Organigramm, IT-Landschaft, bestehende Richtlinien, Verträge mit IT-Dienstleistern)
• Stelle sicher, dass die richtigen Ansprechpartner für Workshops verfügbar sind
• Arbeite zwischen den Berater-Terminen die vereinbarten Aufgaben ab
• Nutze die Berater-Zeit für Themen, die du nicht selbst lösen kannst, nicht für Aufgaben, die du mit einer guten Vorlage selbst erledigen könntest

Ein gut vorbereitetes Unternehmen kann die Berater-Tage um 20-30 % reduzieren. Bei Tagessätzen von 1.500 Euro sind das schnell 10.000 bis 15.000 Euro Ersparnis. Tools wie ISMS Lite bieten ein strukturiertes Framework mit konkreten Umsetzungsempfehlungen, KI-gestützte Richtlinienerstellung und geführte Workflows, sodass du vieles selbst vorbereiten kannst und die Beraterzeit für strategische Fragen statt für Dokumentationsfleißarbeit nutzt.

Die Investition in einen guten Berater zahlt sich in der Regel aus, wenn du das richtige Beratungsmodell wählst und die Zusammenarbeit gut strukturierst. Der teuerste Fehler ist nicht die Beratung selbst, sondern ein gescheitertes Projekt, das von vorne begonnen werden muss.

Weiterführende Artikel

• ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
• ISB: Extern oder intern?
• Was kostet ein ISMS?
• ISO 27001 Zertifizierung: Ablauf
• ISMS-Dokumentation im Überblick