.svg)
ISO 27001 ist der internationale Standard für Informationssicherheit, und für immer mehr europäische Tech-Unternehmen ist die Zertifizierung still und leise zur Eintrittskarte für ernsthafte Deals geworden. Wenn die Einkaufsabteilung eines Interessenten je nach Ihrem Sicherheitszertifikat gefragt hat, bevor sie unterschreibt, kennen Sie das Gefühl. Die gute Nachricht: ISO 27001 ist deutlich erreichbarer, als ihr Ruf vermuten lässt, sobald Sie verstehen, worauf Auditoren wirklich achten. Dieser Guide führt durch die Norm, den Weg zur Zertifizierung, die echten Kosten und die Fehler, die Teams ausbremsen.
Wir halten es praxisnah. Am Ende wissen Sie, was ein Informationssicherheits-Managementsystem tatsächlich ist, welche 93 Controls Sie berücksichtigen müssen und an welcher Stelle die meisten Erstprojekte Monate verlieren, die sie nicht hätten verlieren müssen.
Was ist ISO 27001?
ISO 27001 ist der weltweit anerkannte Standard für den Aufbau und Betrieb eines Informationssicherheits-Managementsystems, kurz ISMS. Veröffentlicht von der Internationalen Organisation für Normung, legt die Norm fest, wie eine Organisation Informationssicherheitsrisiken erkennt und sie strukturiert und wiederholbar steuert.
Das Schlüsselwort lautet System. ISO 27001 liefert Ihnen keine Checkliste mit zu installierenden Firewalls. Die Norm verlangt den Nachweis, dass Sie einen lebendigen Prozess zum Schutz von Informationen betreiben: Sie bewerten Risiken, entscheiden über Maßnahmen, setzen sie um und prüfen fortlaufend, ob sie wirken. Genau diese prozessorientierte Philosophie verleiht einem Zertifikat sein Gewicht. Es signalisiert dem Kunden, dass Sicherheit in Ihre Arbeitsweise eingebaut ist und nicht in der Woche vor dem Audit aufgesetzt wurde.
Die aktuelle Fassung ist ISO/IEC 27001:2022. Organisationen mit dem älteren Zertifikat von 2013 hatten bis zum 31. Oktober 2025 Zeit für den Übergang, eine Frist, die inzwischen verstrichen ist. Jedes heute gültige Zertifikat bildet also die Anforderungen von 2022 ab. Wer 2026 neu startet, beginnt ohnehin auf der aktuellen Version. Für einen tieferen Einstieg in die einzelnen Bausteine erklärt die ISO-27001-Zertifizierung von Kertos die Norm in klarer Sprache.
Aufbau und Struktur der ISO 27001
Die Norm gliedert sich in zwei Teile: die verbindlichen Kapitel, die das Managementsystem definieren, und Anhang A, der die wählbaren Sicherheitsmaßnahmen auflistet. Diese Trennung zu verstehen ist das Nützlichste, was Sie vor dem Start tun können.
Die Kapitel 4 bis 10 bilden das verpflichtende Rückgrat. Sie sind nicht optional, und ein Auditor prüft jedes einzelne davon. Sie umfassen den Kontext der Organisation, die Verpflichtung der Leitung, Planung und Risikobeurteilung, Unterstützung und Ressourcen, Betrieb, Bewertung der Leistung sowie kontinuierliche Verbesserung. Das ist der bekannte Plan-Do-Check-Act-Zyklus in Normform, und europäische Leitlinien von Behörden wie der ENISA verweisen immer wieder auf genau diesen strukturierten Managementansatz als Fundament reifer Sicherheit.
Anhang A ist der Bereich, den die Revision 2022 verändert hat. Der Maßnahmenkatalog wurde von 114 auf 93 Controls verschlankt und in vier klare Themen neu geordnet. Elf vollständig neue Controls kamen hinzu, um Cloud Computing, Threat Intelligence und sichere Entwicklung abzubilden. Sie setzen nicht automatisch alle 93 um, sondern wählen die Maßnahmen, die Ihre Risikobeurteilung rechtfertigt, und begründen sie in einer Erklärung zur Anwendbarkeit. Wer Maßnahme für Maßnahme durchgehen möchte, findet im Kertos-Beitrag zu den ISO-27001-Controls eine hilfreiche Begleitung.
Wer braucht eine ISO 27001 Zertifizierung?
Jeder, der mit den Daten anderer arbeitet und an Organisationen verkaufen will, die Sicherheit ernst nehmen. Das betrifft inzwischen einen sehr großen Teil des europäischen Tech-Markts, und zunehmend ist es die Regulierung und nicht nur der Vertriebsdruck, die die Frage erzwingt.
Die Zertifizierung ist im engen rechtlichen Sinn freiwillig, doch mehrere Rahmenwerke machen ein ISMS faktisch unumgänglich. Die EU-Richtlinie NIS2 weitet Cybersicherheitspflichten auf Tausende mittelständische Unternehmen in kritischen und wichtigen Sektoren aus, und die geforderten Managementpraktiken decken sich eng mit ISO 27001. Diese Überschneidung beleuchten wir ausführlich im Kertos-Beitrag dazu, wie Sie NIS2 im Licht von ISO 27001 umsetzen.
Finanzunternehmen sehen sich DORA gegenüber, Automobilzulieferer TISAX, und viele Enterprise-Einkäufer nehmen schlicht keinen Anbieter ohne anerkanntes Sicherheitszertifikat an Bord. Die offiziellen Informationen der Europäischen Kommission zur NIS2 sind lesenswert, falls Sie unsicher sind, ob Ihr Sektor betroffen ist. Für frühe Teams, die herausfinden wollen, wo sie anfangen, zeigt der Kertos-Leitfaden zum Aufbau eines ISMS für Startups, wie sich ein System so zuschneiden lässt, dass es mit Ihnen wächst, statt Sie am ersten Tag zu erdrücken.
Der Weg zur Zertifizierung: die vier Phasen
Die Zertifizierung folgt einem vorhersehbaren Verlauf, und wer die Phasen im Voraus kennt, vermeidet böse Überraschungen. Die meisten Projekte durchlaufen Vorbereitung, Umsetzung, internes Audit und schließlich das externe Zertifizierungsaudit.
Phase eins ist Scope und Gap-Analyse. Sie legen fest, welche Teile des Unternehmens das ISMS abdeckt, führen eine Risikobeurteilung durch und vergleichen Ihren Status mit den Anforderungen der Norm. Phase zwei ist die Umsetzung: Richtlinien schreiben, Controls einführen und die Nachweise sammeln, die belegen, dass jede Maßnahme wirkt. Phase drei ist das interne Audit samt Managementbewertung, Ihre Generalprobe vor dem Ernstfall. Phase vier ist das zweistufige externe Audit durch eine akkreditierte Zertifizierungsstelle, die das Zertifikat ausstellt. Es ist anschließend drei Jahre gültig, mit jährlichen Überwachungsaudits dazwischen.
Die Dauer hängt stark von Ihrer Ausgangsreife ab und davon, wie viel der Nachweisarbeit automatisiert ist. Teams, die alles in Tabellen verwalten, brauchen regelmäßig neun bis zwölf Monate. Teams mit einer dedizierten Plattform verkürzen das deutlich. Der Kertos-Leitfaden dazu, wie Sie schnell ISO 27001 zertifiziert werden, zeigt, wo die Zeit tatsächlich verloren geht.
Was kostet die ISO 27001 Zertifizierung?
Die Gesamtkosten teilen sich in zwei Töpfe: die Auditgebühren der Zertifizierungsstelle, die unvermeidbar sind, und der interne Aufwand für die Vorbereitung, in den das eigentliche Geld fließt. Bei den meisten mittelständischen Unternehmen übersteigt der Umsetzungsaufwand die Auditrechnung deutlich.
Die Auditgebühren skalieren mit Mitarbeiterzahl und Komplexität, und sie wiederholen sich, weil das Zertifikat jährliche Überwachung verlangt. Die versteckten Kosten sind die Monate an Personenzeit für Dokumentation und Nachweissammlung, also genau die Arbeit, die gute Automatisierung beseitigt. Der Kertos-Überblick zu den besten ISO-27001-Compliance-Tools vergleicht, wie verschiedene Ansätze diese Rechnung verändern.
Verstehen Sie diese Werte als Planungsrahmen, nicht als Angebot. Die Größe, die Sie am direktesten steuern, ist der interne Aufwand, und genau hier zahlt sich weniger Handarbeit am schnellsten aus.
Wo Teams stolpern: typische Audit-Findings
Die meisten Fehlschläge beim ersten Mal sind nicht exotisch. Es sind dieselben wenigen Lücken, die Auditoren immer wieder sehen, und fast alle laufen auf Nachweise hinaus, die nicht zur Realität passen.
Das häufigste Finding ist eine Dokumentation, die einen Prozess beschreibt, dem niemand wirklich folgt. Ihre Richtlinie zur Zugriffskontrolle nennt vierteljährliche Prüfungen, doch zu den letzten drei gibt es keine Aufzeichnung. Auditoren prüfen die Spur, nicht die Absicht. Dicht dahinter folgt eine Erklärung zur Anwendbarkeit, die Controls ohne nachvollziehbaren Grund ausschließt, was auf eine übereilte Risikobeurteilung hindeutet. Risikobeurteilungen, die als einmalige Tabelle statt als gepflegter, datierter Prozess existieren, sind ein weiterer häufiger Stolperstein, und die Risikomanagement-Ressourcen des NIST sind eine solide Referenz, um diese Methodik richtig aufzusetzen.
Das Muster ist eindeutig: ISO 27001 belohnt lebendige Systeme und bestraft Papier-Theater. Das Kertos-ISO-27001-Automatisierungs-Playbook geht in die Tiefe, wie Sie Nachweise fortlaufend aktuell halten, sodass ein Überwachungsaudit Sie nie in Hektik versetzt.
Die Zertifizierung ist der Anfang, nicht das Ziel
Ein verbreiteter Irrtum ist, das Zertifikat sei das Ziel. Es ist der Beginn einer dreijährigen Beziehung zu Ihrer Zertifizierungsstelle, unterbrochen von jährlichen Überwachungsaudits, die bestätigen, dass das ISMS weiterhin lebt und sich verbessert.
Genau hier zerfällt tabellenbasierte Compliance still und leise. Das Projektteam zerstreut sich nach der Feier, die Nachweissammlung schläft ein, und das nächste Überwachungsaudit wird zur Feuerwehrübung. Continuous Compliance löst das, indem die Nachweissammlung zu einem laufenden Hintergrundprozess wird statt zu einem jährlichen Ereignis, ein Ansatz, um den herum die Kertos Compliance-Plattform gebaut ist. Ruhig bleiben bei der Verlängerung jene Teams, die nie aufgehört haben zu sammeln.
Wie Kertos Sie schneller zur Zertifizierung bringt
ISO 27001 muss nicht ein Jahr Ihres Teams verschlingen. Kertos verbindet eine agentische Compliance-Plattform mit akkreditierten Expertinnen und Experten, die an Ihrer Seite arbeiten. So erhalten Sie beides: die Automatisierung und das menschliche Urteilsvermögen, das ein Audit verlangt. Die Plattform automatisiert die Nachweissammlung und ordnet Ihre Controls zu, während echte Fachleute Scope, Risikobeurteilung und Auditvorbereitung begleiten.
Diese Kombination ist der Grund, warum ein Kunde wie AskUI die ISO 27001 Zertifizierung in rund 2,5 Monaten erreicht hat statt im üblichen Jahr, wobei Teams ihren manuellen Compliance-Aufwand typischerweise um rund 80 Prozent senken. Weil Kertos in Europa gebaut und auf europäischer Infrastruktur gehostet wird, erfüllt es zugleich die Erwartungen an die Datenresidenz, die NIS2 und DSGVO an Sie stellen. Wenn ISO 27001 auf Ihrer Roadmap steht und Sie es sauber erledigen wollen, ohne den Tabellen-Marathon, ist der schnellste nächste Schritt, eine Kertos-Demo zu buchen und Ihren konkreten Weg zur Zertifizierung zu planen.
Häufig gestellte Fragen
Wie lange dauert eine ISO 27001 Zertifizierung?
Zwischen drei und zwölf Monaten. Reife und Automatisierung sind die entscheidenden Faktoren. Teams mit dedizierter Plattform und Expertenunterstützung schaffen es regelmäßig in einem Bruchteil der Zeit tabellengetriebener Projekte.
Ist ISO 27001 verpflichtend?
Für sich allein nicht per Gesetz, doch Rahmenwerke wie NIS2, DORA und TISAX sowie die Anforderungen im Enterprise-Einkauf machen die Norm für viele europäische Tech-Unternehmen, die nach oben verkaufen wollen, faktisch erforderlich.
Was ist der Unterschied zwischen ISO 27001 und ISO 27002?
ISO 27001 ist die zertifizierbare Norm, die die Anforderungen an das Managementsystem definiert. ISO 27002 ist eine begleitende Leitlinie, die erklärt, wie die Controls aus Anhang A in der Praxis umgesetzt werden. Zertifiziert werden Sie gegen 27001, für Details ziehen Sie 27002 heran.
Wie viele Controls enthält ISO 27001:2022?
Anhang A umfasst 93 Controls in vier Themen: organisatorisch, personenbezogen, physisch und technologisch. Sie wählen die für Ihr Risikoprofil relevanten Maßnahmen und begründen sie in Ihrer Erklärung zur Anwendbarkeit.
Wie oft ist eine Rezertifizierung nötig?
Das Zertifikat ist drei Jahre gültig, mit jährlichen Überwachungsaudits dazwischen und einem vollständigen Rezertifizierungsaudit am Ende des Zyklus. Nachweise fortlaufend zu pflegen hält jedes dieser Audits stressfrei. Einen Überblick über alle unterstützten Compliance-Frameworks finden Sie dort, wo auch ersichtlich wird, wie ISO 27001 neben SOC 2, DSGVO und NIS2 einzuordnen ist.
.png)