Ein klarer Fahrplan zur ISO 27001-Zertifizierung ist der Unterschied zwischen einem Projekt, das in 3 Monaten steht, und einem, das sich über zwei Jahre zieht. Die meisten Teams scheitern nicht an der Norm selbst, sondern an fehlender Reihenfolge: Sie schreiben Richtlinien, bevor der Geltungsbereich steht, oder buchen den Auditor, bevor das interne Audit gelaufen ist. Dieser Leitfaden bringt die Schritte in die richtige Ordnung, benennt die Dokumente, die der Auditor tatsächlich sehen will, und zeigt, wo die Zeit wirklich verloren geht. Wenn Sie danach mit einer Plattform für die ISO 27001 Zertifizierung arbeiten, verkürzen sich mehrere dieser Schritte deutlich.
Wie lange dauert die ISO 27001-Zertifizierung?
Rechnen Sie mit 3 bis 10 Monaten bis zum Zertifikat, abhängig von Reifegrad, Unternehmensgröße und Ressourcen. Das Zertifikat gilt anschließend 3 Jahre und wird durch jährliche Überwachungsaudits bestätigt. Die aktuelle Fassung der Norm ist ISO/IEC 27001:2022, und genau gegen diese Version prüft Ihr Auditor.
Die Gesamtdauer verteilt sich auf drei Phasen mit sehr unterschiedlichem Aufwand. Kleinere SaaS-Unternehmen mit sauberer Cloud-Infrastruktur erreichen das untere Ende der Spanne, während stark regulierte oder gewachsene Organisationen eher am oberen Ende landen. Wer den Aufbau des Managementsystems mit einer ISMS-Zertifizierung strukturiert angeht, verliert in Phase 1 am wenigsten Zeit.
Der ultimative Fahrplan zur ISO 27001-Zertifizierung in 10 Schritten
Die folgenden zehn Schritte bilden den vollständigen Fahrplan zur ISO 27001-Zertifizierung, von der ersten Planung bis zur dauerhaften Aufrechterhaltung. Halten Sie die Reihenfolge ein, denn jeder Schritt liefert die Grundlage für den nächsten. Für die technische Umsetzung der Maßnahmen lohnt ein Blick auf die ISO 27001 Controls, die in Annex A der Norm definiert sind.
Phase 1: Planung und Aufbau des ISMS
Schritt 1: Projektplan und Management-Commitment. Bevor Sie eine einzige Richtlinie schreiben, brauchen Sie einen Projektplan mit Verantwortlichkeiten, Meilensteinen und Terminen. Ohne sichtbaren Rückhalt der Geschäftsführung stockt jedes ISMS-Projekt. Das deutsche BSI beschreibt in seinen Leitfäden, warum die Leitungsebene formal Verantwortung übernehmen muss.
Schritt 2: Geltungsbereich (Scope) definieren. Legen Sie fest, welche Informationswerte, Standorte, Systeme und Teams das ISMS abdeckt. Ein zu breiter Scope treibt den Aufwand nach oben, ein zu enger verliert an Aussagekraft gegenüber Kunden. Formulieren Sie den Scope so, dass er genau die Systeme umfasst, die Ihre Kunden interessieren.
Schritt 3: Risikoanalyse und Gap-Analyse. Jetzt inventarisieren Sie Ihre Assets, identifizieren Bedrohungen, bewerten Risiken nach einer definierten Methodik und leiten Behandlungsmaßnahmen ab. Die Gap-Analyse zeigt parallel, welche Controls noch fehlen. Diese beiden Analysen bilden das Fundament für die Statement of Applicability.
Schritt 4: Richtlinien und Controls umsetzen. Auf Basis der Gap-Analyse schließen Sie die Lücken durch Richtlinien, technische Maßnahmen und Zugriffskontrollen. Hier entscheidet sich, ob das ISMS gelebt oder nur dokumentiert wird. Moderne ISO 27001 Compliance-Tools automatisieren die Nachweissammlung für viele dieser Controls.
Schritt 5: Mitarbeiterschulungen durchführen. Security-Awareness, sichere Grundgewohnheiten und ein klarer Meldeweg für Vorfälle gehören zu jedem konformen ISMS. Der Auditor prüft, ob Schulungen stattgefunden haben und dokumentiert sind. Aktualisieren Sie die Inhalte, wenn sich Rollen oder Systeme ändern.
Phase 2: Der Audit-Prozess
Schritt 6: Zertifizierungsaudit vorbereiten und Auditor wählen. Wählen Sie eine akkreditierte Zertifizierungsstelle. In Deutschland weist die nationale Akkreditierungsstelle DAkkS aus, welche Stellen für ISO 27001 zugelassen sind. Achten Sie auf die Unabhängigkeit zwischen Beratung und Zertifizierung.
Schritt 7: Internes Audit und Readiness-Check. Ein internes Audit deckt verbleibende Lücken auf, bevor der externe Auditor sie findet. Sortieren Sie alle Nachweise so, dass sie schnell auffindbar sind. Dieser Schritt entscheidet häufig darüber, ob Stufe 1 reibungslos läuft.
Schritt 8: Stufe-1-Audit (Dokumentenprüfung). Der Auditor prüft Ihre Dokumentation auf Vollständigkeit und Normkonformität. Fehlt etwas, erhalten Sie eine Abweichung (Nonconformity), die Sie vor Stufe 2 beheben müssen. Sehen Sie Stufe 1 als Generalprobe, nicht als Formalie.
Schritt 9: Stufe-2-Audit (Umsetzungsprüfung). Jetzt prüft der Auditor vor Ort oder remote, ob die Controls tatsächlich wirksam sind. Er bewertet Risikomanagement, Asset-Management, Incident Response und die Angemessenheit der Maßnahmen. Bestehen Sie dieses Audit, wird das Zertifikat ausgestellt.
Phase 3: Aufrechterhaltung und Rezertifizierung
Schritt 10: Kontinuierliche Compliance etablieren. Nach der Zertifizierung beginnt die Daueraufgabe: Überwachungsaudits in Jahr 1 und 2, Rezertifizierung vor Ablauf der 3 Jahre. Wer den Übergang von der Zertifizierung zur kontinuierlichen Compliance automatisiert, spart bei jedem Folgeaudit erheblich Aufwand. So wird die Norm zum Betriebszustand, nicht zum jährlichen Feuerwehreinsatz.
Welche Dokumente verlangt der ISO 27001-Auditor?
Der Auditor erwartet ein definiertes Set an Nachweisen, das den gesamten ISMS-Zyklus abbildet. Fehlt eines dieser Dokumente in Stufe 1, verzögert sich der gesamte Fahrplan. Bereiten Sie die folgenden Unterlagen frühzeitig und vollständig vor.
Diese Dokumente sind kein Selbstzweck. Sie belegen, dass Ihr ISMS geplant, umgesetzt und überprüft wird, also den vollständigen Zyklus durchläuft, den die Norm verlangt.
Typische Stolpersteine auf dem Weg zur Zertifizierung
Die meisten Verzögerungen entstehen nicht durch die Norm, sondern durch vermeidbare Organisationsfehler. Wer sie kennt, plant den Fahrplan zur ISO 27001-Zertifizierung realistischer. Vier Muster tauchen in fast jedem Projekt auf.
Erstens der Lieferantenbereich: Drittanbieter-Risiken werden einmal bewertet und dann nie wieder aktualisiert. Die EU-Agentur für Cybersicherheit ENISA weist in ihren Analysen darauf hin, wie zentral das Lieferkettenrisiko inzwischen ist. Planen Sie eine wiederkehrende Neubewertung fest ein.
Zweitens die Nachweispflege: Evidenzen werden kurz vor dem Audit hektisch zusammengesucht statt laufend gesammelt. Das führt zu Lücken und Widersprüchen, die der Auditor sofort erkennt. Kontinuierliche Erfassung schlägt jede Last-Minute-Aktion.
Drittens der Ressourcenkonflikt: Compliance-Arbeit konkurriert mit dem Tagesgeschäft, und das Projekt verliert an Fahrt. Ein realistischer Plan mit klaren Verantwortlichkeiten und, wo möglich, ein strukturierter Einstieg über einen ISO 27001 Boot Camp halten das Momentum. Viertens die Skalierung: Was bei 30 Mitarbeitenden funktioniert, bricht bei 250 zusammen, wenn Prozesse nicht mitwachsen.
Häufige Fragen zur ISO 27001-Zertifizierung
Wie viel kostet die ISO 27001-Zertifizierung? Die Kosten setzen sich aus internem Aufwand, eventueller Beratung, Toolkosten und den Auditgebühren der Zertifizierungsstelle zusammen. Für kleine und mittlere Unternehmen liegt die Gesamtinvestition häufig im mittleren fünfstelligen Bereich, wobei Automatisierung den internen Aufwand spürbar senkt.
Kann ich die Zertifizierung ohne externe Beratung schaffen? Ja, technisch ist das möglich, besonders mit einer Plattform, die Nachweise automatisiert. Viele Teams kombinieren Software mit punktueller Expertise, um teure Fehler im Scope und in der Statement of Applicability zu vermeiden.
Was ist der Unterschied zwischen Stufe-1- und Stufe-2-Audit? Stufe 1 prüft Ihre Dokumentation auf Vollständigkeit, Stufe 2 prüft die tatsächliche Wirksamkeit der Controls in der Praxis. Beide sind Teil desselben Zertifizierungsaudits und bauen aufeinander auf.
Wie oft muss ich rezertifizieren? Das Zertifikat gilt 3 Jahre. In den Jahren 1 und 2 finden Überwachungsaudits statt, vor Ablauf steht die Rezertifizierung an. Kontinuierliche Compliance macht diese Folgeaudits deutlich einfacher.
Ein guter Fahrplan endet nicht mit dem Zertifikat, sondern mit einem System, das sich selbst aktuell hält. Genau hier setzt Kertos an: Die Plattform verbindet automatisierte Nachweissammlung mit europäischer Compliance-Expertise, sodass Sie ISO 27001 nicht nur erreichen, sondern dauerhaft halten. Wenn Sie Ihren konkreten Fahrplan besprechen möchten, buchen Sie eine Demo und wir gehen ihn gemeinsam durch.







