ISO 27001 Zertifizierung 2026: Ablauf, Dauer & Kosten
Die ISO 27001 Zertifizierung ist der formale Nachweis, dass Ihr Informationssicherheits-Managementsystem (ISMS) den Anforderungen der international führenden Norm ISO/IEC 27001 entspricht, bestätigt durch eine akkreditierte Zertifizierungsstelle. Geprüft werden nicht einzelne Firewalls oder Server, sondern Ihr gesamter Governance-Rahmen: Scope, Risikoprozess, Controls und kontinuierliche Verbesserung nach dem PDCA-Zyklus.
Seit dem Ende der 36-monatigen Übergangsfrist am 31. Oktober 2025 ist ausschließlich die Version ISO/IEC 27001:2022 zertifizierungsfähig. Zertifikate nach der alten :2013-Fassung haben ihren Akkreditierungsstatus verloren, was in regulierten Branchen faktisch einem Zertifikatsverlust gleichkommt. Parallel treiben NIS-2 und DORA die Nachfrage 2026 spürbar: Laut einer TÜV SÜD-Prognose wächst allein durch NIS-2 der Kreis der regulierten Organisationen in Deutschland von rund 4.500 auf etwa 29.500 Einrichtungen.
Wie verbreitet die Norm international ist, zeigt eine Studie der BAM: Zum Stichtag 31.12.2019 existierten 36.362 gültige Zertifikate an 68.930 Standorten weltweit, Deutschland lag mit 1.175 Zertifikaten auf Rang 6. Seither hat die Zahl durch NIS-2, DORA und Kundenanforderungen in Lieferketten deutlich zugelegt.
Dieser Leitfaden beantwortet die zentralen Fragen zur Zertifizierung nach ISO 27001 in der Version 2022: Was fordert die Norm konkret, für wen ist sie Pflicht, wie läuft eine ISO 27001 Zertifizierung ab, wie lange dauert sie, und mit welchen Kosten müssen Sie 2026 realistisch rechnen? Nutzen Sie das Inhaltsverzeichnis als direkte Navigation zu den für Sie relevanten Projektphasen, von normativen Anforderungen bis zum Zertifizierungsaudit.
Was Sie in diesem Leitfaden erwartet:
- Klare Definition der Norm und Abgrenzung zu IT-Grundschutz und TISAX
- Pflicht-Check: Wann greifen NIS-2, KRITIS und DORA für Ihr Unternehmen
- Die 93 Controls des Annex A, strukturiert nach den vier neuen Kategorien
- Ablauf in 9 Schritten, realistische Dauer und Kostenspannen für 2026
- Die häufigsten Non-Conformities und wie Sie sie vermeiden
- Konkrete Handlungsempfehlungen für Ihren nächsten Schritt
Inhaltsverzeichnis
Was ist die ISO 27001 Zertifizierung? Definition und Version 2022
Die ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie legt fest, wie ein Unternehmen Informationssicherheit systematisch aufbaut, betreibt und kontinuierlich verbessert – über einen dokumentierten Risikoprozess, definierte Rollen und einen PDCA-Zyklus (Plan-Do-Check-Act). Ein ISMS ist kein Tool und kein Produkt, sondern das Managementsystem, mit dem Ihr Unternehmen Vertraulichkeit, Integrität und Verfügbarkeit von Informationen nachweislich steuert.
Mit der Revision 2022 hat die Norm einen erweiterten Titel erhalten: „Information Security, Cybersecurity and Privacy Protection“. Diese Umbenennung ist keine Kosmetik. Sie spiegelt die inhaltliche Öffnung in Richtung Cybersicherheit und Datenschutz wider und schlägt sich konkret im Annex A nieder, einer Referenzliste von 93 Controls in vier Kategorien (organisatorisch, personenbezogen, physisch, technologisch), darunter elf neue Maßnahmen wie Threat Intelligence, Cloud-Sicherheit oder Data Leakage Prevention. Details zu den neuen Controls liefert der TÜV SÜD.
Wichtig für die Begrifflichkeit: Die in Deutschland häufig zitierte DIN EN ISO/IEC 27001 ist keine eigenständige Norm, sondern die deutsche Übernahme des internationalen Standards. Wer von „DIN ISO 27001 Zertifizierung“ oder „ISO/IEC 27001 Zertifizierung“ spricht, meint dieselbe Zertifizierungsgrundlage. Entsprechend bezeichnet ISMS-Zertifizierung in der Praxis fast immer eine Zertifizierung nach ISO 27001.
Übergangsfrist 2022 → verbindlich seit 1. November 2025
Die 36-monatige Übergangsfrist ab Veröffentlichung am 25.10.2022 endete am 31. Oktober 2025, wie der TÜV SÜD zur Version 2022 dokumentiert. Seither ist die Fassung ISO/IEC 27001:2022 die allein gültige Zertifizierungsgrundlage. Die Vorgängerversion 2013 besitzt keinen Akkreditierungsstatus mehr. Unternehmen, die das Transitions-Audit bis zum Stichtag nicht abgeschlossen haben, benötigen für den Wiedereinstieg ein neues Erstaudit, keine Re-Zertifizierung, da die Zertifikatskontinuität gebrochen ist. Für regulierte Branchen wie Automotive (VDA ISA), Finanzdienstleistungen (DORA) oder öffentliche Ausschreibungen wirkt das faktisch wie ein Zertifikatsverlust.
Warum die ISO 27001 Zertifizierung ein belastbarer Nachweis ist
- Schutz: Das ISMS reduziert das Risiko von Datenverlust, Betriebsunterbrechung und Reputationsschaden über einen steuerbaren Risikoprozess nach Kap. 6.1.
- Marktzugang: In Ausschreibungen, Lieferantenaudits und Konzern-Compliance-Frameworks ist das Zertifikat oft Zugangsvoraussetzung, besonders im IT-Sektor, auf den laut BAM-Studie zur ISO 27001 in Deutschland 58 % der Zertifikate entfallen.
- Compliance-Basis: Die Norm liefert das Grundgerüst, auf dem sich Anforderungen aus NIS-2, DORA, KRITIS-Dachgesetz und TISAX abbilden lassen – ohne für jedes Regelwerk ein eigenes Managementsystem aufzubauen.
Ein Zertifikat ist Governance-Nachweis, keine technische Sicherheitsbescheinigung. Es bestätigt, dass Ihr Managementsystem funktioniert, inklusive Scope, Politik, Risikobehandlung und Wirksamkeitsmessung. Ein zertifiziertes Unternehmen kann Restrisiken bewusst akzeptieren, solange der Prozess nach Kap. 6.1.3 sauber dokumentiert ist. Wer das Zertifikat im Vertrieb als pauschales Sicherheitsversprechen einsetzt, verwechselt zwei Dinge: die Prüfung des Managementsystems und die technische Härtung der IT.
Ist die ISO 27001 Zertifizierung Pflicht? NIS-2, KRITIS und DORA
Eine universelle gesetzliche Pflicht zur ISO 27001 gibt es nicht. Für viele Unternehmen ist die Zertifizierung 2026 trotzdem faktisch unumgänglich – weil drei Regulierungsstränge parallel laufen: das NIS-2-Umsetzungsgesetz (NIS2UmsuCG), die KRITIS-Verordnung und DORA für den Finanzsektor. Keine dieser Normen schreibt ein 27001-Zertifikat explizit vor. Alle drei fordern aber ein dokumentiertes Risikomanagement nach Stand der Technik, und genau dieser Nachweis lässt sich mit einem ISO-27001-ISMS sauber führen.
NIS-2: Von 4.500 auf 29.500 Einrichtungen
Der Kreis der regulierten Organisationen erweitert sich durch die NIS-2-Umsetzung von rund 4.500 auf etwa 29.500 Einrichtungen in Deutschland, laut TÜV SÜD. Das deutsche NIS2UmsuCG unterscheidet zwei Kategorien: wesentliche Einrichtungen (z. B. Energie, Transport, Gesundheit, digitale Infrastruktur ab 250 Mitarbeitenden oder 50 Mio. € Umsatz) und wichtige Einrichtungen (u. a. Post- und Kurierdienste, Chemie, Lebensmittel, verarbeitendes Gewerbe, digitale Anbieter ab 50 Mitarbeitenden oder 10 Mio. € Umsatz).
§ 30 BSIG fordert Risikomanagementmaßnahmen nach Stand der Technik. Ein ISO-27001-Zertifikat dient als anerkannter Nachweis dieser Pflicht, ersetzt aber nicht die Registrierung beim BSI (§ 33), die 24-Stunden-Frühmeldung (§ 32) und die persönliche Haftung der Leitungsorgane (§ 38). Wer ein Zertifikat hat, deckt § 30 weitgehend ab. Wer nur ein Zertifikat hat, ist nicht NIS-2-konform.
Praxis-Tipp: Prüfen Sie zunächst anhand des NIS-2-Sektor-Anhangs, ob Ihre Einrichtung als „wesentlich“ oder „wichtig“ gilt. Die Selbsteinstufung ist Pflicht, eine behördliche Benachrichtigung erfolgt nicht.
Für die technische Zuordnung empfehlen wir das Fraunhofer-Mapping für NIS-2. Es übersetzt die Forderungen des § 30 BSIG direkt auf Annex-A-Controls der Version :2022.
KRITIS: Sektorale Pflicht bleibt bestehen
Die KRITIS-Verordnung verpflichtet Betreiber kritischer Infrastrukturen seit Jahren zu einem Nachweis angemessener IT-Sicherheit alle zwei Jahre (§ 8a BSIG). ISO 27001 – nativ oder auf Basis IT-Grundschutz – ist hier der Standardnachweis. Mit dem KRITIS-Dachgesetz und NIS-2 verschmelzen die Regime teilweise: Wer bereits KRITIS-pflichtig ist, fällt in der Regel unter „besonders wichtige Einrichtungen“ nach NIS-2 und unterliegt damit doppelten Melde- und Dokumentationspflichten.
DORA: Seit 17.01.2025 scharfgestellt
Für Banken, Versicherungen, Zahlungsdienstleister und deren IKT-Drittanbieter ist der Digital Operational Resilience Act (DORA) seit dem 17. Januar 2025 anwendbar. DORA fokussiert IKT-Risiken im Finanzsektor. Ein ISO-27001-ISMS deckt realistisch 60–70 Prozent der DORA-Pflichten ab. Die Lücken liegen vor allem im ICT Third-Party Risk Management (Art. 28–30, inklusive Kritikalitätsregister und Exit-Strategien), im Threat-Led Penetration Testing (Art. 26, alle drei Jahre auf TIBER-DE-Basis) und im Incident-Reporting mit 4-Stunden-Erstmeldung für „major incidents“ (Art. 19). BaFin-Rundschreiben aus 2025 akzeptieren ISO 27001 als Teilnachweis, nicht als Ersatz.
Abgrenzung: drei Regime, drei Schwerpunkte
Die drei Regelwerke überlappen sich, haben aber unterschiedliche Stoßrichtungen. ISO 27001 deckt die Informationssicherheit im gesamten Unternehmen ab. NIS-2 adressiert zusätzlich Lieferketten und Meldepflichten. DORA geht am weitesten in die Tiefe, betrifft aber nur IKT-Risiken in Finanzdienstleistungen. Eine saubere juristische Abgrenzung liefert ein Provectus-Whitepaper zu NIS-2.
Unsere Einschätzung: Behandeln Sie ISO 27001 nicht als Compliance-Ziel, sondern als Struktur-Fundament. Das Zertifikat löst keine BSI-Registrierung aus, keine Meldepflicht und keine persönliche Haftung. Es gibt Ihnen aber einen auditierten Prozess, auf den Sie die sektoralen Pflichten aus NIS-2, KRITIS oder DORA aufsetzen können. Ein Mandant aus der Medizintechnik-Zulieferung hat genau diesen Fehler vermieden: Nach Einstufung als „wichtige Einrichtung“ wurde zuerst der § 32-Meldeprozess scharfgeschaltet, die 27001-Zertifizierung lief parallel mit realistischem 14-Monats-Zeitplan.
Anforderungen der ISO 27001: ISMS, Hauptteil und 93 Controls des Annex A
Die ISO 27001 Anforderungen gliedern sich in zwei klar getrennte Blöcke: den Hauptteil der Norm (Kapitel 4–10) und den Annex A mit den Controls. Wer eine Zertifizierung nach ISO 27001 plant, muss beide Ebenen beherrschen. Die Kapitel 4–10 definieren das Managementsystem selbst, der Annex A listet die konkreten Sicherheitsmaßnahmen.
Hauptteil: Kapitel 4 bis 10 und der PDCA-Zyklus
Der normative Hauptteil folgt der High-Level-Structure und orientiert sich am PDCA-Zyklus (Plan-Do-Check-Act):
- Kapitel 4 – Kontext der Organisation: interne und externe Themen, interessierte Parteien, Festlegung des ISMS-Geltungsbereichs.
- Kapitel 5 – Führung: Verpflichtung der obersten Leitung, Informationssicherheitspolitik, Rollen und Verantwortlichkeiten.
- Kapitel 6 – Planung: Risikobeurteilung, Risikobehandlung, Sicherheitsziele.
- Kapitel 7 – Unterstützung: Ressourcen, Kompetenz, Bewusstsein, Kommunikation, dokumentierte Information.
- Kapitel 8 – Betrieb: Operative Umsetzung der Risikobehandlung.
- Kapitel 9 – Bewertung der Leistung: Wirksamkeitsmessung, internes Audit, Management Review.
- Kapitel 10 – Verbesserung: Umgang mit Nichtkonformitäten, kontinuierliche Verbesserung.
Die Kapitel 4–10 sind vollständig verpflichtend. Ausschlüsse sind hier nicht erlaubt. Das unterscheidet den Hauptteil strukturell vom Annex A.
Praxis-Tipp: Viele Erstaudits scheitern nicht am Annex A, sondern an Kapitel 9. Wirksamkeitsmessung (9.1), interne Audits (9.2) und Management Reviews (9.3) sind die häufigsten Quellen für Major-Findings. Wer hier nur Formalismus produziert, fällt im Stage-2-Audit auf.
Annex A der Version 2022: 93 Controls in vier Kategorien
Mit der Revision 2022 wurde der Annex A vollständig umstrukturiert. Laut der Übersicht von TÜV SÜD reduzierte sich die Anzahl der Maßnahmen von 114 auf 93 Controls, neu gegliedert in vier Kategorien:
| Kategorie | Anzahl Controls | Inhaltlicher Fokus |
|---|---|---|
| Organisatorische Controls (A.5) | 37 | Richtlinien, Rollen, Lieferantenbeziehungen, Cloud-Steuerung |
| Personenbezogene Controls (A.6) | 8 | Screening, Awareness, Remote Work, Disziplinarmaßnahmen |
| Physische Controls (A.7) | 14 | Zutritt, Monitoring, Ausstattung, Arbeitsplätze |
| Technologische Controls (A.8) | 34 | Zugriffskontrolle, Kryptografie, Logging, Entwicklung |
| Summe | 93 |
Die 11 neuen Controls der Version 2022
Elf der 93 Maßnahmen sind neu und adressieren moderne Bedrohungslagen wie Cloud-Nutzung, Datenabfluss und Supply-Chain-Risiken:
- A.5.7 Threat Intelligence
- A.5.23 Information Security for Cloud Services
- A.5.30 ICT Readiness for Business Continuity
- A.7.4 Physical Security Monitoring
- A.8.9 Configuration Management
- A.8.10 Information Deletion
- A.8.11 Data Masking
- A.8.12 Data Leakage Prevention
- A.8.16 Monitoring Activities
- A.8.23 Web Filtering
- A.8.28 Secure Coding
Drei dieser Controls verursachen im Audit regelmäßig die meiste Arbeit. A.5.7 (Threat Intelligence) wird oft auf ein Feed-Abo reduziert, obwohl die Norm einen dokumentierten Auswertungsprozess auf strategischer, taktischer und operativer Ebene fordert. A.8.10 (Information Deletion) wird häufig mit dem DSGVO-Löschkonzept verwechselt. Die ISO-Forderung geht weiter und erfasst auch Backup-Archive. A.8.28 (Secure Coding) scheitert, wenn die Entwicklung outgesourct ist und der Auftraggeber keinen Einfluss auf den SDLC hat.
Statement of Applicability: das Kerndokument
Das Statement of Applicability (SoA) ist das zentrale Dokument des Annex A. Es begründet pro Control die Anwendbarkeit und verweist auf die umsetzende Richtlinie oder Evidenz. Ein audit-sicheres SoA enthält pro Control sechs Angaben:
- Control-ID und Titel
- Anwendbarkeit (Ja/Nein)
- Umsetzungsstatus (umgesetzt, teilweise, geplant, nicht umgesetzt)
- Begründung bei Ausschluss
- Referenz auf Richtlinie, Prozess oder Evidenz
- Risikoeigentümer oder verantwortliche Rolle
Ein verbreiteter Mythos lautet, alle 93 Controls müssten implementiert werden. Das stimmt nicht. Der Annex A ist laut Kapitel 6.1.3 d) eine Referenzliste. Die tatsächliche Auswahl ergibt sich aus der Risikobehandlung. Ein reines SaaS-Unternehmen ohne eigenes Rechenzentrum schließt A.7.1 (Physische Sicherheitsperimeter für Serverräume) ohne Probleme aus, sofern die Cloud-Verantwortung über A.5.23 geregelt ist.
Wichtig ist die Unterscheidung zwischen „nicht anwendbar“ und „anwendbar, aber nicht umgesetzt“. Erstes bedeutet: Das Control adressiert ein Risiko, das im Scope nicht existiert. Zweites bedeutet: Das Risiko existiert, die Organisation akzeptiert es oder plant die Umsetzung. Im zweiten Fall ist ein dokumentierter Umsetzungsplan mit Termin Pflicht, sonst resultiert ein Minor- oder Major-Finding. In 7 von 10 Erstaudits fällt genau hier mindestens eine Abweichung auf.
Praxis-Tipp: Dokumentieren Sie Ausschlüsse von Controls mit belastbarer Risiko-Begründung. Ein Satz wie „trifft auf uns nicht zu“ reicht nicht. Leiten Sie den Ausschluss aus dem Scope oder einer dokumentierten Risikoakzeptanz ab. Auditoren prüfen an dieser Stelle besonders genau, weil Widersprüche zwischen SoA und gelebter Realität das dankbarste Angriffsziel im Stage-2-Audit sind.
ISO 27001 nativ vs. IT-Grundschutz vs. TISAX: Welche Variante passt zu Ihrem Unternehmen?
Die Zertifizierung nach ISO 27001 existiert in Deutschland in drei praxisrelevanten Ausprägungen. Welche Variante passt, hängt weniger vom Budget ab als von Ihrer Kundenstruktur, Ihrer Branche und der Frage, ob Bundesbehörden zu Ihren Stakeholdern zählen.
Vergleich der drei Zertifizierungswege
| Kriterium | ISO 27001 nativ | ISO 27001 auf Basis IT-Grundschutz | TISAX |
|---|---|---|---|
| Geltungsbereich | International, frei definierbarer Scope | Deutschland, oft behördennah | Automotive-Lieferkette (OEM und Tier-n) |
| Prüfer | Auditor einer akkreditierten Zertifizierungsstelle | Vom BSI zertifizierter Auditor | TISAX-Prüfdienstleister über ENX-Portal |
| Zertifikatsgeber | Akkreditierte Zertifizierungsstelle (z. B. TÜV, DEKRA, DQS) | Bundesamt für Sicherheit in der Informationstechnik (BSI) | ENX Association (Label, kein klassisches Zertifikat) |
| Typische Branche | IT, SaaS, Cloud, Finanzen, Mittelstand | Bundesbehörden, KRITIS, Länder, Kommunen | OEM-Zulieferer, Tier-1/Tier-2 Automotive |
| Besonderheit | Weltweit anerkannt, Version 2022 verpflichtend seit 31.10.2025 | BSI prüft Auditbericht und entscheidet über Zertifikat | Assessment-Level 1–3, ISA-Katalog 6.0.x |
Die BSI-Besonderheit im Detail
Der zentrale Unterschied zur nativen Route: Bei der Variante auf Basis IT-Grundschutz vergibt nicht die prüfende Stelle das Zertifikat, sondern das BSI selbst. Laut BSI-Vorgabe prüft ein vom BSI zertifizierter Auditor Ihre Referenzdokumente, führt eine Vor-Ort-Prüfung durch und legt anschließend den Auditbericht dem BSI zur Entscheidung vor. Erst das BSI entscheidet final über die Zertifikatserteilung.
Für die Planung entscheidend ist die Antragsfrist. Nach dem BSI-Zertifizierungsschema muss der vollständige Zertifizierungsantrag der BSI-Zertifizierungsstelle mindestens einen Monat vor Beginn des Audits vorliegen, also vor der Sichtung der Referenzdokumente. Wer diese Frist übersieht, verschiebt den Audit-Start um Wochen.
Praxis-Tipp: ISO 27001 nativ und IT-Grundschutz schließen sich nicht aus. Das BSI erlaubt eine kombinierte Zertifizierung. Der Zusatzaufwand rechnet sich, sobald Sie regelmäßig an Ausschreibungen des Bundes teilnehmen.
Framework-Positionierung im Überblick
Die Einordnung der ISO/IEC 27001 gegenüber weiteren Sicherheitsstandards wie BSI IT-Grundschutz, ISIS12 oder VdS 10000 dokumentiert der Bitkom-Kompass. Die Referenz des Branchenverbands hilft vor allem bei der Auswahl eines passenden Einstiegsstandards für kleinere Unternehmen, die perspektivisch auf die ISO 27001 zusteuern.
Kurze Entscheidungshilfe
- Internationale Kunden, Cloud- oder SaaS-Geschäft: ISO 27001 nativ nach der Version 2022.
- Bundesbehörden-Kontext, KRITIS im Bundesbereich: ISO 27001 auf Basis IT-Grundschutz, Planung mit mindestens einem Monat Antragsvorlauf.
- Tier-1- oder Tier-2-Zulieferer in der Automobilindustrie: TISAX über das ENX-Portal, bei Nicht-Automotive-Kunden ergänzend nativ.
- DE-Mittelstand ohne Behörden- oder Automotive-Bezug: ISO 27001 nativ, optional VdS 10000 als Einstiegsstandard.
Die Wahl der Variante prägt den gesamten Projektzuschnitt: Dokumentenstruktur, Auditor-Akkreditierung und Scope-Definition unterscheiden sich spürbar. Eine nachträgliche Umstellung von nativ auf IT-Grundschutz kostet in der Regel ein komplettes Re-Audit.
Ablauf der ISO 27001 Zertifizierung: 9 Schritte bis zum Zertifikat
Der Weg zum Zertifikat folgt einem etablierten Pfad. Der TÜV SÜD 9-Schritte-Prozess beschreibt die anerkannte Roadmap vom ersten Scope-Workshop bis zum Überwachungsaudit und dient als Orientierung für Erstzertifizierungen ebenso wie für Transition-Projekte nach der Version 2022.
Die 9 Schritte im Überblick
Die offizielle Sequenz nach TÜV SÜD ISO 27001 gliedert das Vorhaben in neun klar abgrenzbare Etappen:
- Geltungsbereich festlegen: Scope, Standorte, Prozesse und Organisationsgrenzen definieren, inklusive interner und externer Issues nach Kap. 4.1 sowie Stakeholder-Analyse nach Kap. 4.2.
- Situationsanalyse / Gap-Assessment: Ist-Aufnahme gegen die 93 Controls des Annex A und die Hauptteil-Forderungen (Kap. 4–10). Liefert die Lücken-Liste, die den gesamten Projektplan trägt.
- Sicherheitskonzept: Informationssicherheitspolitik, Rollenmatrix und Risikomanagementverfahren (Kap. 6.1.2) werden freigegeben und datiert.
- Maßnahmenplan inklusive Statement of Applicability (SoA): Risikobehandlungsplan, Auswahl bzw. begründeter Ausschluss der Annex-A-Controls, Freigabe durch die Risikoeigentümer.
- Internes Audit: Erster vollständiger Audit-Durchlauf nach Kap. 9.2 mit eigenem Auditprogramm, Auditplan und Feststellungen.
- Management Review: Führungskreis-Sitzung mit allen Pflicht-Inputs nach Kap. 9.3.2 (Audit-Ergebnisse, Wirksamkeitskennzahlen, Ressourcenbedarf, Verbesserungsvorschläge).
- Externe Prüfung vorbereiten: Zertifizierungsstelle auswählen, Vertrag schließen, Audit-Programm abstimmen. Die Akkreditierung der Stelle ist das wichtigste Auswahlkriterium, wie eine BAM-Studie zur ISO 27001 mit einem Mittelwert von 4,7 auf einer 5er-Skala belegt.
- **Zertifizierungsaudit (Stage 1 und Stage 2): Zweistufiges externes Audit, bestehend aus Dokumentenprüfung und anschließender Wirksamkeitsprüfung vor Ort.
- Regelmäßige Überwachungsaudits: Jährliche Surveillance-Audits und Re-Zertifizierung nach drei Jahren sichern die Kontinuität des Zertifikats.
Stage 1 vs. Stage 2: zwei unterschiedliche Prüftiefen
Stage 1 ist primär eine Dokumentenprüfung mit kurzen Interviews. Der Auditor prüft Existenz und formale Qualität der ISMS-Dokumente, Plausibilität von Scope und SoA sowie den Reifegrad des Managementsystems. Typische Dauer: 1 bis 2 Audit-Tage. Das Ergebnis ist ein Auditbericht mit Go-Votum für Stage 2 oder konkreten Nachbesserungsempfehlungen.
Stage 2 prüft Wirksamkeit statt Existenz. Der Auditor folgt sogenannten Audit Trails: Eine Richtlinie führt zu einem Prozess, dieser zu einem konkreten Vorgang und dieser zu Evidenzen. Beispiel Zugriffskontrolle: Policy → Onboarding-Prozess → Stichprobe von drei Mitarbeitern der letzten drei Monate → Tickets, Berechtigungsmatrix, Offboarding-Nachweis. Interviews dauern 30 bis 90 Minuten pro Rolle, die Gesamtdauer liegt bei 3 bis 8 Personentagen, je nach Organisationsgröße.
Praxis-Tipp: Planen Sie zwischen Stage 1 und Stage 2 mindestens 4 bis 6 Wochen Puffer für Nachbesserungen ein. Wer Stage 2 direkt im Anschluss ansetzt, verliert bei jedem Stage-1-Hinweis wertvolle Reaktionszeit.
Die drei Audit-Phasen: Vorbereitung, Durchführung, Nachbereitung
Unabhängig vom Stage läuft jedes externe Audit nach dem Dreiphasen-Muster ab, das in der Praxis-Darstellung von iso27001-it-sicherheit.de dokumentiert ist:
- Vorbereitung (ca. 4 Wochen vor Termin): Die Zertifizierungsstelle übermittelt das Auditprogramm, fordert die Dokumentation an und prüft sie im Vorfeld. Auf Kundenseite werden Interviewpartner benannt, Räume reserviert und Evidenzen zusammengestellt.
- Durchführung: Eröffnungsbesprechung, strukturierte Interviews entlang der Audit-Trails, Beobachtung von Prozessen im Echtbetrieb und Stichproben in Systemen. Abschluss mit einer Schlussbesprechung, in der Findings vorläufig kommuniziert werden.
- Nachbereitung: Schriftlicher Auditbericht, Klassifikation der Findings nach Major, Minor und Opportunity for Improvement (OFI), Vereinbarung und Umsetzung der Korrekturmaßnahmen. Minor-Findings sind typischerweise innerhalb von 60 bis 90 Tagen nachzuweisen, Major-Findings setzen die Zertifikatserteilung bis zu einem Nachaudit aus.
Stage-1-Reife: Fünf Kriterien, die vorliegen müssen
Ein Stage-1-Audit besteht, wer folgende fünf Punkte dokumentiert und datiert vorlegt: einen begründeten Scope mit Issues und Stakeholder-Liste, ein finales SoA mit Versionsstand, eine abgeschlossene und freigegebene Risikoanalyse, mindestens einen vollständigen PDCA-Zyklus (Richtlinien, internes Audit, Management Review) sowie einen Awareness-Nachweis mit Teilnahme-Tracking nach Kap. 7.3. Fehlt eines dieser Elemente, verschiebt der Auditor Stage 2 oder hält das positive Votum zurück. Ein zweites Stage 1 kostet einen zusätzlichen Audit-Tag.
Wer diesen 9-Schritte-Rahmen diszipliniert abarbeitet, vermeidet die klassische Falle eines Dokumenten-Schatten-ISMS, das im Stage-2-Interview mit den Fachbereichen zusammenbricht. Wie lange der Weg durch diese neun Schritte in der Praxis dauert, klären wir im nächsten Abschnitt.
Dauer: Wie lange dauert eine ISO 27001 Zertifizierung?
Eine ISO 27001 Zertifizierung dauert typischerweise 6 bis 18 Monate, abhängig von Unternehmensgröße, ISMS-Reifegrad und Geltungsbereich. Wer bei null startet, landet selten unter 9 Monaten. Wer bereits SOC-2-nahe Kontrollen lebt, schafft es in 5 bis 6 Monaten. Eine Studie der CISO Alliance zeigt dies konkret: Selbst in kleineren Organisationen sollten mehr als 6 Monate eingeplant werden, bei großen komplexen Organisationen auch weit über 12 Monate.
Timeline nach Szenario
Die folgende Übersicht zeigt realistische Dauern aus begleiteten Mandaten der BOS. Sie ersetzt keine individuelle Planung, gibt aber einen belastbaren Rahmen für die Projektplanung.
| Szenario | Gap-Analyse | ISMS-Aufbau | Internes Audit & Mgmt Review | Stage 1 | Stage 2 & Zertifikat | Gesamt |
|---|---|---|---|---|---|---|
| KMU (< 50 MA, hoher Reifegrad) | 2–3 Wochen | 3–5 Monate | 3–4 Wochen | 2–4 Wochen | 4–6 Wochen | 6–9 Monate |
| Mittelstand (50–500 MA) | 4–6 Wochen | 6–9 Monate | 4–6 Wochen | 4–6 Wochen | 6–10 Wochen | 9–15 Monate |
| Konzern / komplexer Scope | 6–10 Wochen | 9–15 Monate | 6–10 Wochen | 6–8 Wochen | 10–16 Wochen | 12–24+ Monate |
Praxis-Tipp: Ein ISMS-Aufbau im Mittelstand dauert typischerweise 9–12 Monate bis zur Zertifizierungsreife. Wer weniger ansetzt, riskiert ein Dokumenten-Schatten-ISMS, das im Stage-2-Audit kippt, sobald Fachbereichsleiter zu Prozessen befragt werden, die sie nicht kennen.
Was die Dauer wirklich treibt
Drei Faktoren verschieben den Zeitplan stärker als die Mitarbeiterzahl:
- Scope-Komplexität: Zwei Standorte oder zwei juristische Einheiten skalieren nicht-linear. Jede neue Scope-Komponente zieht eigene Kontextfaktoren, Risikoprofile und Auditstichproben nach sich.
- Vorhandener Reifegrad: Ein cloud-natives SaaS-Unternehmen mit gelebten DevSecOps-Praktiken formalisiert Strukturen – es erzeugt sie nicht. Klassische Mittelständler starten typischerweise 4–6 Monate später im Projektverlauf.
- Beratungsmodell: Coaching-begleitete Projekte mit 30–40 PT verteilt über 9 Monate liefern nachhaltigere Ergebnisse als Turnkey-Lieferungen von 90 PT in drei Monaten, die im Erstaudit an Major-NCs scheitern.
Planungsanker: BSI-Fristen und Zertifizierungsstellen
Für Zertifizierungen auf Basis IT-Grundschutz setzen die BSI-Fristen harte Randbedingungen: Der vollständige Zertifizierungsantrag muss der Zertifizierungsstelle mindestens 1 Monat vor Beginn des Audits vorliegen. Spätestens 3 Monate nach Beginn der Sichtung muss der Auditbericht bei der Zertifizierungsstelle eingehen, und Nachforderungen sind innerhalb von 1 Monat zu erfüllen. Diese Fristen gehören in jeden Projektplan – nicht als Puffer, sondern als fixe Meilensteine.
Hinzu kommt die Kapazitätsfrage bei der nativen ISO-27001-Zertifizierung: Stage-2-Slots bei DQS, TÜV SÜD und DEKRA waren im dritten Quartal 2025 vielerorts auf 2026 ausgebucht. Wer 2026 startet, sollte die Zertifizierungsstelle spätestens 4–6 Monate vor dem gewünschten Stage-2-Termin buchen. Dieser Slot bestimmt faktisch das Projektenddatum.
Die Meilensteine im Detail
- Gap-Analyse (2–10 Wochen): Ist-Aufnahme gegen die 93 Controls des Annex A und die Hauptteil-Anforderungen (Kap. 4–10). Ergebnis ist ein priorisierter Maßnahmenplan.
- ISMS-Aufbau (3–15 Monate): Scope, Kontextanalyse, Risikomanagement nach Kap. 6.1.3, SoA, Richtlinien, Rollen, Awareness-Programm. Dieser Block trägt den größten Zeitanteil.
- Internes Audit & Management Review (3–10 Wochen): Kap. 9.2 und 9.3 der Norm. Beide sind Pflicht-Input vor Stage 1 und häufigste Quelle für Major-NCs, wenn sie formal-oberflächlich durchgeführt werden.
- Stage 1 (2–8 Wochen inkl. Nachbereitung): Dokumentenprüfung und Readiness-Check durch die Zertifizierungsstelle.
- Stage 2 & Zertifikat (4–16 Wochen): Vor-Ort-Audit, Korrekturmaßnahmen für etwaige Findings, Ausstellung des Zertifikats.
Zwischen Stage 1 und Stage 2 sollten mindestens 4 Wochen Puffer eingeplant werden, um Findings aus Stage 1 zu schließen. Kürzere Abstände sind möglich, erhöhen aber das Risiko eines gescheiterten Stage 2 erheblich.
Kosten der ISO 27001 Zertifizierung: Realistische Preisspannen für 2026
Die Frage „Was kostet eine ISO 27001 Zertifizierung?“ lässt sich nicht mit einer einzigen Zahl beantworten. Die Preisspanne reicht vom schlanken SaaS-Startup mit rund 24.000 € bis zum international aufgestellten Maschinenbauer mit über 400.000 € im ersten Jahr. Entscheidend sind Scope, Reifegrad und die Frage, ob interne Personalaufwände mitgerechnet werden.
Kostenbeispiele nach Unternehmensgröße
Als Einstiegs-Benchmark eignen sich die medianen externen Erstjahres-Kosten aus der PCG-Kostenanalyse. Diese Werte decken ausschließlich externe Positionen ab, der interne Personalaufwand kommt obendrauf.
| Unternehmensgröße | GAP-Assessment | ISMS-Implementierung | Schulung | Externes Audit (Stufe 1 & 2) | Gesamt extern |
|---|---|---|---|---|---|
| SaaS-Startup, 25 MA | ~1.500 € | ~15.000 € (inkl. internes Audit) | — | ~7.500 € | ~24.000 € |
| Mittelstand, 250 MA | ~50.000 € | ~50.000 € | ~15.000 € | ~15.000 € | ~85.000 € |
Diese Zahlen greifen zu kurz, sobald parallele Frameworks wie TISAX oder DORA adressiert werden, Pentests hinzukommen oder das Unternehmen ohne jede ISMS-Vorarbeit startet. Umgekehrt fallen sie niedriger aus, wenn ein reifes ISO-9001-QMS strukturell nutzbar ist oder Cloud-Dienste über SOC-2 delegierbare Controls liefern.
Einzelkostenfaktoren im Überblick
| Position | Preisband | Anmerkung |
|---|---|---|
| Externe Beratung | 5.000–30.000 € | Coaching-Modell (30–40 PT) günstiger als Turnkey-Dokumentation |
| ISMS-Software | 2.000–10.000 € p.a. | Break-even ab ca. 80 MA oder erster Re-Zertifizierung |
| Externes Audit (Erstzertifizierung) | 5.000–15.000 € | Audit-Tagessätze 1.500–2.400 € netto plus Reisekosten |
| Pentest (A.8.8 / A.8.29) | 8.000–40.000 € | Mittelständische Web-/API-Landschaft: 15.000–25.000 € |
| Awareness-Schulung | 15–40 € pro MA/Jahr | Anbieter wie SoSafe, KnowBe4, Hornetsecurity |
| Nachaudit bei Major-NC | 2.000–4.800 € | 1–2 Audit-PT plus erneute interne Vorbereitung |
Ein zentraler Korrekturposten bleibt der interne Personalaufwand. Für einen Mittelständler mit 250 Mitarbeitenden entstehen über zwölf Monate 80–120 PT in Fachbereichen plus 0,8–1,2 FTE ISB und 0,3–0,5 FTE IT-Projektleitung. Bei 650 € interner Verrechnung sind das zusätzlich 50.000–85.000 €, also häufig das Zwei- bis Dreifache der externen Kosten.
ISMS-Tools: Was zwischen 2000 € und 40 000 € pro Jahr liegt
Die Tool-Auswahl ist der Kostenhebel, der am häufigsten unterschätzt wird. Im deutschsprachigen Markt haben sich vor allem zwei Produkte mit BSI-Nähe etabliert:
- verinice (SerNet): On-Premise mit Pro-Subskription, 2.500–12.000 € pro Jahr. Sweetspot zwischen 50 und 500 Mitarbeitenden, parallele Nutzung von ISO 27001 und BSI-Grundschutz, Datensouveränität durch deutsche Hosting-Option.
- opus i (kronsoft): On-Premise, 4.000–15.000 € pro Jahr. Stark in KMU und Behörden, sehr BSI-kompatibel, deutschsprachiger Markt.
Für cloudnative SaaS‑Unternehmen rechnen sich Automatisierungsplattformen wie Vanta (12.000–40.000 € p.a.) oder HiScout (15.000–60.000 € p.a.) als Mittelstands-GRC-Suite. Unterhalb von rund 80 Mitarbeitenden reicht eine Kombination aus Excel, SharePoint und einem sauberen Dokumenten-Wiki, vorausgesetzt, die Disziplin stimmt.
Kostentreiber: Was die Spanne wirklich bestimmt
Fünf Faktoren entscheiden, wo innerhalb der Preisbänder Ihr Projekt landet:
- Scope-Größe: Eine zweite juristische Einheit oder ein dritter Standort skaliert nicht linear. Jeder zusätzliche Kontext nach Kap. 4.1 erzeugt neue interessierte Parteien, eigene Risikoprofile und separate Auditstichproben.
- Anzahl der Standorte: Seit IAF MD 4 müssen bei Erstzertifizierungen mindestens 30 % der Auditzeit vor Ort stattfinden, realistisch sind 50–70 %. Mehrere Standorte bedeuten mehrere Reisetage.
- ISMS-Reifegrad: Ein Unternehmen mit gelebtem ISO-9001-QMS spart 20–30 % externe Beratung. Eine Organisation ohne Policy-Basis addiert entsprechend.
- Externe Beratung: Turnkey-Dokumentation für 25.000–45.000 € scheitert in rund 40 % der Projekte am Stage-2-Audit, weil Fachbereichsleiter die Prozesse nicht kennen. Das coachende Modell mit 30–40 PT über neun Monate ist günstiger und belastbarer.
- Auditdauer: Die Personentage der Zertifizierungsstelle richten sich nach DAkkS-Tabellen (Mitarbeiterzahl, Scope-Komplexität). Zwischen DQS im Mittelstandssegment und TÜV SÜD im gehobenen Preisniveau liegen spürbare Unterschiede.
Praxis-Tipp: Planen Sie einen Kostenpuffer von 15–20 % ein. Nicht für Major-NCs, sondern für Positionen, die in Angeboten selten erscheinen: Produktivitätsverlust während Audits (6–12 Auditteilnehmer × 1–2 Tage × 800 € = 5.000–20.000 €), Tool-Migration von Excel auf verinice (15–25 PT intern) und die Pflicht-Awareness-Kampagne im Vorfeld von Stage 2.
Wer die Kosten realistisch plant, rechnet also nicht mit 24.000 € oder 85.000 €, sondern mit einem Gesamtbudget von 65.000–110.000 € für das cloud-native Startup und 100.000–240.000 € für den klassischen Mittelständler inklusive internem Aufwand. Das ist kein Zuschlag für Worst-Case-Szenarien, sondern die Zahl, die sich in der Mandatsrealität 2024–2026 eingependelt hat.
Gültigkeit, Überwachungsaudits und Re-Zertifizierung
Das ISO/IEC 27001-Zertifikat ist drei Jahre gültig. In Jahr 1 und Jahr 2 prüft die Zertifizierungsstelle das ISMS in einem Überwachungsaudit (Surveillance Audit), im dritten Jahr folgt die Re-Zertifizierung. Diese Taktung ist verbindlich, der genaue Audittermin wird in der Regel rund vier Wochen vor Durchführung mit dem Auditprogramm angekündigt.
Überwachungsaudit vs. Re-Zertifizierung
Das jährliche Überwachungsaudit ist eine Stichprobenprüfung. Geprüft werden typischerweise Management Review, internes Audit, Wirksamkeitsmessung nach Kap. 9.1 sowie eine rotierende Auswahl an Controls aus dem Annex A. Der Aufwand liegt meist bei 30 bis 50 Prozent eines Stage-2-Audits.
Die Re-Zertifizierung im dritten Jahr deckt das ISMS wieder vollständig ab. Wie die PCG zur Gültigkeit ausführt, beträgt der Umfang etwa ein Drittel der Erstzertifizierung. Diese Faustregel beschreibt allerdings nur den externen Audit-Aufwand. Fällt zwischen Erst- und Re-Zertifizierung eine Norm-Revision (wie zuletzt 2022), ändert sich der Scope oder wechselt die Zertifizierungsstelle, liegt der reale Aufwand schnell bei 40 bis 60 Prozent der Erstkosten – inklusive Aktualisierung der Risikoanalyse und des Statement of Applicability.
Meldepflicht bei wesentlichen Änderungen
Zwischen den Audits gilt eine Informationspflicht gegenüber der Zertifizierungsstelle, sobald sich am ISMS etwas Wesentliches verändert. Dazu zählen unter anderem:
- Erweiterung oder Reduktion des Geltungsbereichs (neue Standorte, neue juristische Einheiten, neue Produktlinien)
- Wechsel der für das ISMS verantwortlichen Leitungsebene
- Schwerwiegende Sicherheitsvorfälle mit Auswirkung auf zertifizierte Prozesse
- Strukturelle Reorganisationen, die Rollen, Prozesse oder Controls verändern
Wer eine wesentliche Änderung verschweigt, riskiert beim nächsten Überwachungsaudit ein Major-Finding. Bei Sicherheitsvorfällen kann die Zertifizierungsstelle zudem ein außerordentliches Audit (Special Audit) anordnen. In einem von uns begleiteten Tier-2-Automotive-Mandat führte ein Ransomware-Vorfall im Februar 2025 dazu, dass die Zertifizierungsstelle binnen sechs Wochen ein Sonderaudit ansetzte. Geprüft wurden die Wirksamkeit von Incident-Management (A.5.24), Privileged Access (A.8.2) und Backup (A.8.13). Das Zertifikat wurde für 90 Tage ausgesetzt, nicht entzogen, und nach Korrekturmaßnahmen reaktiviert.
Was Sie für ein erfolgreiches Überwachungsaudit vorbereiten
Die häufigsten Major-Findings im Überwachungsaudit drehen sich nicht um exotische Controls, sondern um den Management-System-Kern. Folgende Nachweise sollten zum Audittag aktuell und vollständig vorliegen:
- Aktuelles Management Review mit allen Pflicht-Inputs nach Kap. 9.3.2 (Auditergebnisse, NC-Status, Wirksamkeitskennzahlen, Veränderungen externer/interner Themen, Verbesserungsvorschläge)
- Dokumentierte Korrekturmaßnahmen zu offenen Findings aus dem Vorjahr inkl. Wirksamkeitsverifikation
- Bericht des internen Audits mit risikobasiertem Auditplan, qualifizierten Auditoren und nachvollziehbaren Stichproben
- Nachweis kontinuierlicher Verbesserung über messbare KPIs (z. B. Incident-Reaktionszeit, Schulungsquote, Patch-Latenz)
- Aktualisiertes Risikoregister und SoA-Update bei Änderungen der Bedrohungslage oder Controls
Ein praktischer Hinweis: Die meisten Zertifizierer fordern Ihre Auditdokumentation rund vier Wochen vor dem Termin an. Wer Management Review und internes Audit erst in dieser Vorlauffrist nachholt, produziert sichtbare Datierungslücken – ein zuverlässiger Auslöser für Minor-Findings und damit für Akkumulationsrisiken in Richtung Major.
Nutzen und Vorteile: Was bringt die ISO 27001 Zertifizierung wirklich?
Der Nutzen einer Zertifizierung nach ISO 27001 lässt sich nicht aus Marketing-Broschüren ableiten, sondern aus empirischen Daten. Die BAM-Studie hat zertifizierte Unternehmen nach der tatsächlich wahrgenommenen Wirkung befragt. Vier Effekte stechen heraus:
- Erhöhung des Mitarbeitendenbewusstseins (MW 4,3): Die stärkste gemessene Wirkung laut BAM-Studie. Awareness-Schulungen, Rollenmatrix und dokumentierte Zugriffsregeln verändern das Verhalten in Fachbereichen nachweisbar, weit über die IT-Abteilung hinaus.
- Vorbeugung von Informationssicherheitsvorfällen (MW 4,1): Zugleich das führende Motiv für die Einführung eines ISMS. Der Risikoprozess nach Kap. 6.1.3 und die Wirksamkeitsmessung nach Kap. 9.1 zwingen Organisationen, Schwachstellen strukturiert zu behandeln statt reaktiv.
- Markt- und Ausschreibungszugang: Wer nach ISO 27001 zertifiziert ist, qualifiziert sich für B2B-Enterprise-Deals und öffentliche Vergabeverfahren. Konkretes Beispiel aus laufenden Mandaten: Ein 32-MA-SaaS-Anbieter konnte erst nach Vorlage des Zertifikats einen Kunden aus dem österreichischen öffentlichen Sektor abschließen, der Deal war an eine sechsmonatige Frist gebunden.
- Nachweisfunktion gegenüber NIS-2 und KRITIS: Das Zertifikat dient als Evidenz für die geforderten Risikomanagementmaßnahmen. Ausführlich behandeln wir diesen Punkt im Abschnitt „Ist die ISO 27001 Zertifizierung Pflicht?“.
Grenzen des Nutzens: Was die Zertifizierung nicht leistet
Die Zertifizierung nach ISO 27001 bestätigt, dass Ihr Managementsystem funktioniert, nicht dass Ihre Systeme technisch sicher sind. Ein zertifiziertes Unternehmen kann ein ungepatchtes System betreiben, solange der Risikoakzeptanzprozess nach Kap. 6.1.3 sauber dokumentiert ist und die Geschäftsführung das Restrisiko bewusst trägt. Das Zertifikat ist ein Governance-Nachweis, keine Penetration-Test-Bescheinigung. Vertriebsteams, die es als Sicherheitsversprechen kommunizieren, schaffen Haftungsrisiken im Schadensfall.
Praxis-Tipp: Definieren Sie vor Projektstart messbare KPIs, etwa Awareness-Quote aus Phishing-Simulationen, mittlere Incident-Response-Zeit oder Schließungsquote offener Findings. Nur so lässt sich der ROI der Zertifizierung 18 Monate später gegenüber Geschäftsführung und Budgetverantwortlichen belegen. Werte, die Sie erst nach dem Stage-2-Audit erfassen, haben keinen Vergleichsmaßstab.
Stolpersteine im Zertifizierungsaudit: Die häufigsten Non-Conformities
Die meisten Erstaudits scheitern nicht an der Technik, sondern am gelebten Managementsystem. Wer die Muster kennt, spart sich Nachaudits, Korrekturschleifen und die damit verbundenen Tagessätze. Die folgenden sieben Stolpersteine tauchen bei ISO 27001 Audits in immer gleicher Form auf.
1. Zu schmal definierter Geltungsbereich
Ein Scope, der bewusst Teile der Organisation ausklammert, produziert Scope-Lücken. Wenn Vertrieb und Entwicklung denselben Azure-Tenant nutzen, der Scope aber nur die Entwicklung umfasst, führt das im Audit zu Widersprüchen zwischen SoA und Realität. Der Auditor zieht dann Nachaudits, bis die Grenzen sauber gezogen sind.
2. Fehlende Wirksamkeitsnachweise
Policies auf dem Papier reichen nicht. Kapitel 9.1 der Norm verlangt Messungen, nicht Existenzbeweise. Eine Passwort-Richtlinie ist kein Wirksamkeitsnachweis, solange keine Kennzahl zu Ausnahmen, Resets oder Verstößen vorliegt. Die CISO-Alliance-Stolperfallen fassen diese Lücke zwischen dokumentierter und gelebter Sicherheit als wiederkehrendes Audit-Muster zusammen.
3. Lückenhaftes Statement of Applicability
Ausschlüsse ohne Risiko-Begründung sind der Klassiker. Sätze wie „trifft auf uns nicht zu“ reichen nicht. Zulässig ist ein Ausschluss nur, wenn er aus dem Scope oder einer dokumentierten Risikoakzeptanz ableitbar ist. Häufig verwechselt: „nicht anwendbar“ (kein Risiko im Scope) versus „anwendbar, aber nicht umgesetzt“ (Risiko existiert, Plan mit Termin nötig). In sieben von zehn Erstaudits fällt genau hier mindestens ein Finding.
4. Unzureichendes internes Audit
Ein internes Audit ohne ein einziges Finding ist in den seltensten Fällen ein gutes Audit. Typische Schwäche: Der ISB auditiert sein eigenes ISMS, die Stichprobe ist nicht dokumentiert, die Reports enthalten nur „i. O.“. Kap. 9.2 verlangt Unabhängigkeit, dokumentierte Stichprobe und Wirksamkeitsprüfung. Die Frage lautet nicht „Gibt es eine Passwort-Richtlinie?“, sondern „Wie oft wurden in den letzten 90 Tagen Passwörter regelkonform zurückgesetzt und wie wurden Ausnahmen dokumentiert?“.
5. Schwaches Management Review
Ein Review ohne dokumentierte Entscheidungen ist aus Auditsicht kein Review, sondern ein Info-Termin. Kap. 9.3.2 verlangt sieben Pflicht-Inputs, darunter Status früherer Maßnahmen, Änderungen interner und externer Themen, Rückmeldungen interessierter Parteien sowie Ergebnisse der Wirksamkeitsmessungen. Kap. 9.3.3 fordert zusätzlich nachverfolgbare Entscheidungen. Regelmäßig vergessen: die Aktualisierung der Kontextanalyse nach Kap. 4.1. Dieser Block produziert die meisten Major-Findings im gesamten Audit.
6. Unterschätzter Zeitaufwand
Die größte Implementierungshürde ist nicht die Technik, sondern die Laufzeit. Laut der BAM-Studie liegt der Zeitaufwand bei einem Mittelwert von 4,2 auf einer Skala von 1 bis 5, die fehlende externe Beratung bei 3,8 und die Kostenseite bei 3,6. In der Praxis bedeutet das: Ein realistisches ISMS-Projekt im Mittelstand dauert 9 bis 12 Monate, nicht 3. Wer mit unterdimensioniertem Zeitbudget startet, baut unter Druck Dokumente, die das Stage-2-Audit nicht übersteht.
7. Fehlende oder falsch eingesetzte externe Beratung
Externe Beratung beschleunigt nur dann, wenn sie begleitend-coachend arbeitet. Turnkey-Lieferungen mit 90 Personentagen Dokumentation erzeugen ein Schatten-ISMS, das im Interview mit Fachbereichsleitern in sich zusammenfällt. Der tatsächliche Beschleunigungseffekt tritt bei rund 30 bis 40 PT, verteilt über neun Monate, ein, wenn die Organisation die Prozesse selbst trägt.
Praxis-Tipp: Prüfen Sie vor Stage 1, ob Ihr Management Review-Protokoll mindestens drei nachverfolgbare Entscheidungen mit Termin und Verantwortlichem enthält und ob Ihr internes Audit echte Findings produziert hat. Fehlt eines von beiden, verschieben Sie Stage 2 lieber um vier Wochen, als einen Major zu riskieren.
Wir erstellen Ihre Gap-Analyse, begleiten Risikoanalyse und Management Review und auditieren Ihr ISMS intern vor dem Zertifizierungsaudit. Damit adressieren wir genau die Felder, in denen Zertifizierer die Major-NCs typischerweise ziehen.
Geltungsbereich und Vorbereitung: Der Grundstein für ein erfolgreiches Audit
Der Scope ist die erste echte Weichenstellung im Projekt. Er entscheidet darüber, ob Ihr ISMS Ihre Wertschöpfung absichert oder nur ein Abteilungs-Alibi produziert. Die BAM-Scope-Analyse zeigt die Schieflage deutlich: Nur bei 43 % der zertifizierten Unternehmen deckt das ISMS das gesamte Unternehmen ab. Bei den übrigen 57 % bezieht sich der Geltungsbereich zu 86 % ausschließlich auf die IT.
Ein reiner IT-Scope ist normativ zulässig, kundenseitig aber oft wertlos. Fordert ein Großkunde Nachweise für die Produktentwicklung und Sie zertifizieren nur das Rechenzentrum, läuft die Akquise ins Leere.
Praxis-Tipp: Definieren Sie den Scope so, dass alle wertschöpfenden Prozesse erfasst werden, ein realistisches Projekt aber möglich bleibt. Ein sinnvoller Mindestschnitt umfasst einen kompletten Wertschöpfungsprozess inklusive der unterstützenden IT. Beginnen Sie eng und erweitern Sie im zweiten oder dritten Zyklus. Scope-Verkleinerungen sind kommunikativ deutlich heikler als Erweiterungen.
Pflichtdokumente für Stage 1
Zum Stage-1-Audit müssen folgende Unterlagen dokumentiert, datiert und freigegeben vorliegen:
- ISMS-Leitlinie (Informationssicherheitspolitik nach Kap. 5.2)
- Scope-Dokument mit interner/externer Kontextanalyse und Stakeholder-Liste (Kap. 4.1–4.3)
- Risikoanalyse und Risikobehandlungsplan, freigegeben durch den Risikoeigentümer
- Statement of Applicability (SoA) mit Versionsstand und Begründung für jeden Ein- und Ausschluss der 93 Annex-A-Controls
- Maßnahmenkatalog mit Verantwortlichkeiten und Terminen
- Auditprogramm und erster interner Auditbericht (Kap. 9.2)
- Management Review mit allen Pflicht-Inputs nach Kap. 9.3.2
Fehlt eines dieser Elemente, verschiebt der Auditor Stage 2 oder hält das Stage-1-Votum zurück. Ein Nachholtermin kostet einen zusätzlichen Audit-Tag und verzögert die Zertifizierung um vier bis acht Wochen.
FAQ: Häufige Fragen zur ISO 27001 Zertifizierung
Ja. Bei gravierenden Non-Conformities in den Überwachungsaudits kann die Zertifizierungsstelle das Zertifikat aussetzen oder entziehen. Typischer Ablauf: eine 90-Tage-Frist für wirksame Korrekturmaßnahmen, gefolgt von einem Sonderaudit (Special Audit nach IAF MD 15). Auch nach einem schwerwiegenden Sicherheitsvorfall – etwa einem Ransomware-Angriff mit ungepatchten Backups – ist eine außerordentliche Überwachung innerhalb von sechs Wochen realistisch.
Seit dem 31.10.2025 sind alle Zertifikate nach der 2013er-Fassung ungültig. Das Ende der 36-monatigen Übergangsfrist bedeutet: Wer die Umstellung verpasst hat, verliert den akkreditierten Status und muss faktisch eine neue Erstzertifizierung nach :2022 durchlaufen. Eine reine „Nachzertifizierung“ ist nicht mehr möglich, der Re-Entry dauert realistisch 4–8 Monate und kostet den Faktor 1,5 bis 2 gegenüber einer regulären Re-Zertifizierung.
Nein. Nur Standorte und Einheiten, die explizit im Geltungsbereich des Zertifikats aufgeführt sind, gelten als formell zertifiziert. Gerade bei Zukäufen und M&A-Transaktionen scheitern viele Unternehmen an dieser Abgrenzung, weil Zertifikate nicht automatisch auf neue juristische Personen übergehen. Unser Rat: Bei neuen Standorten oder Übernahmen frühzeitig eine Scope-Erweiterung mit der Zertifizierungsstelle abstimmen, in der Regel ist dafür ein Sonderaudit erforderlich.
Grundsätzlich ja, die Norm ist skalierbar. Allerdings greift ein Mindest-Auditaufwand, sodass das Kosten-Nutzen-Verhältnis für Freelancer und Kleinstunternehmen selten aufgeht – selbst schlanke Projekte starten bei rund 24.000 € Gesamtkosten, wie Kostenbeispiele für 25-MA-Startups zeigen. Als sinnvolle Alternativen bieten sich die Einführung eines ISMS ohne formale Zertifizierung oder der Einstieg über die BSI-IT-Grundschutz-Basis-Absicherung an, die deutlich niedrigere Einstiegshürden hat.
Fazit: Ihr nächster Schritt zur ISO 27001 Zertifizierung
Die ISO/IEC 27001:2022 ist 2026 der etablierte Nachweis für ein wirksames Informationssicherheits-Managementsystem und durch NIS-2 sowie DORA so stark nachgefragt wie nie. Verbindlich sind die 93 Controls des Annex A, gegliedert in organisatorische, personenbezogene, physische und technologische Maßnahmen. Realistisch sollten Sie 6 bis 18 Monate für den ISMS-Aufbau einplanen, je nach Komplexität und Reifegrad. Die Investition liegt zwischen 24.000 € für ein 25-Personen-Startup und rund 85.000 € für ein mittelständisches Unternehmen mit 250 Mitarbeitenden, wie eine Kostenanalyse von PCG belegt.
Ein Hinweis aus der Regulierungspraxis: Die ISO 27001 ist kein juristischer NIS-2-Nachweis. § 30 BSIG fordert Risikomanagement nach Stand der Technik, nicht ein konkretes Zertifikat. Wer beides parallel angeht, sollte die Meldepflicht nach § 32 BSIG, die BSI-Registrierung und die Geschäftsleitungs-Schulung nach § 38 separat aufsetzen.
Wie wir Sie unterstützen
Wir erstellen Ihre Gap-Analyse gegen ISO 27001:2022, begleiten die Auswahl einer DAkkS-akkreditierten Zertifizierungsstelle, strukturieren Ihr Statement of Applicability (SoA) entlang der 93 Controls und schulen Ihr Führungsteam gezielt auf das Audit-Interview. Bei NIS-2-Betroffenheit liefern wir zusätzlich die Abgrenzung zwischen Zertifizierungspflichten und gesetzlichen Verpflichtungen aus dem BSIG.
Vereinbaren Sie jetzt ein unverbindliches Erstgespräch und klären Sie in 30 Minuten, welcher Zeit- und Kostenrahmen für Ihren Geltungsbereich realistisch ist.
„Seit 1996 berate ich verschiedenste Kunden – von KMU bis zu Großkonzernen. Meine Beratungsschwerpunkte liegen im Bereich der Informationssicherheit und der Managementsysteme. Neben den Projekteinsätzen in unterschiedlichen Branchen bin ich als Dozent für verschiedene Bildungsträger tätig. Meine Devise ist einfache, praktikable und wirtschaftliche Lösungen für unsere Kund*innen zu finden.“