Informationssicherheit

ISO/IEC 27001: Warum die Zertifizierung eine Investition und kein einmaliges Projekt ist

Michael Mrak

Michael Mrak

5 Min. Lesezeit
ISO/IEC 27001: Warum die Zertifizierung eine Investition und kein einmaliges Projekt ist
Photo by Susan Q Yin / Unsplash

Die ISO/IEC 27001 ist seit Jahren der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). In den vergangenen Jahren ist die Nachfrage nach einer Zertifizierung spürbar gestiegen: ausgelöst durch Kundenanforderungen in Lieferketten, durch regulatorische Entwicklungen wie NIS2 und DORA, durch die zunehmende Bedrohungslage und durch den schlichten Umstand, dass ISO 27001 mittlerweile in vielen Ausschreibungen zum Hygienefaktor geworden ist.

Wer sich mit dem Thema ernsthaft auseinandersetzt, stellt schnell fest: Der Nutzen einer Zertifizierung reicht deutlich über das Zertifikat an der Wand hinaus. Ebenso schnell wird aber auch klar, dass der initiale Aufwand regelmäßig unterschätzt wird und dass ein ISMS nach der Erstzertifizierung keineswegs auf Autopilot läuft.

Warum sich die Investition lohnt

Eine ISO-27001-Zertifizierung ist primär ein Managementsystem-Nachweis. Der eigentliche Wert liegt in der Struktur, die das ISMS in die Organisation bringt. Informationssicherheit wird vom Bauchgefühl zur nachvollziehbaren, risikobasierten Entscheidungsgrundlage. Rollen, Verantwortlichkeiten und Prozesse werden dokumentiert, Risiken systematisch bewertet und Maßnahmen messbar. Das schafft Entlastung im Tagesgeschäft und reduziert die Abhängigkeit von einzelnen Wissensträgern.

Marktseitig wirkt das Zertifikat als Türöffner. In regulierten Branchen, im öffentlichen Sektor und bei internationalen Kunden ist ISO 27001 oft schlicht Voraussetzung für eine Geschäftsbeziehung.

Intern entsteht eine Sicherheitskultur, die über einzelne Projekte hinaus trägt.

Hinzu kommt der regulatorische Hebel. Ein funktionierendes ISMS nach ISO 27001 liefert einen großen Teil der Nachweise, die auch unter NIS2 (Artikel 21), DORA (insbesondere Kapitel II und V) oder im Rahmen von DSGVO-Artikel 32 verlangt werden. Wer ISO 27001 sauber umgesetzt hat, muss für diese Regime nicht bei Null beginnen, sondern ergänzt lediglich spezifische Anforderungen. Das spart Ressourcen und reduziert Prüfungsrisiken.

Die Umsetzung

Der Weg zur Erstzertifizierung ist aufwendig, und zwar typischerweise an Stellen, an denen man es zu Beginn nicht erwartet. Die häufigsten Stolpersteine aus meiner Beratungspraxis:

  • Scope-Definition. Der Anwendungsbereich ist die vielleicht wichtigste Entscheidung im gesamten Projekt. Zu weit gefasst, wird die Implementierung zur Mammutaufgabe. Zu eng gefasst, verliert das Zertifikat an Aussagekraft und muss bei der nächsten Ausschreibung erklärt werden. Die Definition nach ISO/IEC 27001 Abschnitt 4.3 verlangt eine nachvollziehbare Begründung, inklusive Schnittstellen und Abhängigkeiten.
  • Asset- und Risikomanagement. Eine belastbare Asset-Inventur ist in den meisten Organisationen nicht vorhanden. Ohne diese Grundlage ist aber kein tragfähiges Risikomanagement nach Abschnitt 6.1 möglich. Die Methodenwahl (qualitativ, quantitativ, hybrid), die Definition von Risikokriterien und die Verknüpfung mit den Controls aus Anhang A beziehungsweise ISO/IEC 27002 sind erfahrungsgemäß die größten Zeitfresser.
  • Dokumentation. Das ISMS verlangt dokumentierte Informationen, aber keine Dokumentenflut. Viele Projekte scheitern daran, dass Richtlinien zu abstrakt, zu ausführlich oder zu weit vom Tagesgeschäft entfernt formuliert werden. Dokumente, die niemand liest und niemand lebt, werden im Audit zum Problem.
  • Ressourcen und Rollen. Ein ISMS braucht einen Verantwortlichen mit Mandat, nicht nur einen Titel. In kleineren Organisationen übernimmt diese Rolle oft die Geschäftsführung oder eine IT-Leitung im Nebenamt. Das funktioniert selten dauerhaft. Ein CISO, intern oder als CISO-as-a-Service, zahlt sich regelmäßig schon vor der Zertifizierung aus.
  • Einbindung der Fachbereiche. Informationssicherheit ist kein reines IT-Thema. HR, Einkauf, Recht, Entwicklung und Facility Management müssen mitziehen. Die Controls zu Personalsicherheit (A.6), Lieferantenbeziehungen (A.5.19 bis A.5.23) und physischer Sicherheit (A.7) lassen sich ohne diese Einbindung nicht sauber umsetzen.
  • Statement of Applicability. Das SoA nach Abschnitt 6.1.3 d) ist das zentrale Dokument der Zertifizierung und wird trotzdem oft stiefmütterlich behandelt. Jedes der 93 Controls aus Anhang A (ISO/IEC 27001:2022) muss begründet sein, mit klarem Bezug zu den identifizierten Risiken und zum Implementierungsstatus.
  • Interne Audits und Management-Review. Abschnitte 9.2 und 9.3 verlangen, dass das ISMS vor der Zertifizierung bereits einen vollständigen Zyklus durchlaufen hat. Interne Audits müssen unabhängig durchgeführt werden, das Management-Review muss dokumentiert und mit Entscheidungen hinterlegt sein. Beides lässt sich nicht kurz vor dem Stage-2-Audit nachholen.
  • Technische Controls unter Zeitdruck. Logging, Monitoring, Kryptografie, Zugriffssteuerung und sichere Entwicklung (A.8) sind häufig dort, wo in den letzten Wochen vor dem Audit der größte Druck entsteht, weil man sich zu lange auf die Dokumentation konzentriert hat.

Typische Zeitleiste von Null zum Zertifikat

Die Dauer eines Erstzertifizierungsprojekts hängt stark von Größe, Reifegrad und Scope ab. Als Faustwert gilt: Für eine mittelgroße Organisation mit überschaubarem Scope und ohne bestehende Managementsysteme sollte man realistisch zwölf bis achtzehn Monate einplanen. Kleinere Unternehmen mit engem Scope schaffen es in neun bis zwölf Monaten, komplexere Umgebungen brauchen auch einmal zwei Jahre.

  • Monat 1 bis 2: Initialisierung und Scope. Projektauftrag, Budgetfreigabe, Stakeholder-Mapping, GAP-Analyse gegen ISO 27001:2022 und Anhang A, erste Scope-Definition. In dieser Phase fällt die Entscheidung, ob das Projekt mit eigenen Ressourcen oder mit externer Unterstützung umgesetzt wird.
  • Monat 2 bis 4: ISMS-Grundstruktur. Informationssicherheits-Policy, Rollendefinitionen, Kontext der Organisation (Abschnitt 4), Festlegung der Risikomanagement-Methodik. Erste Version des SoA. Auswahl der Zertifizierungsstelle, damit Akkreditierung und Terminfenster geklärt sind.
  • Monat 3 bis 6: Asset-Inventur und Risikobewertung. Erfassung der Informationswerte, Bewertung der Risiken, Definition von Risikobehandlungsplänen. Parallel Start der ersten Control-Implementierungen, insbesondere organisatorischer Controls.
  • Monat 5 bis 9: Control-Implementierung. Umsetzung der technischen und organisatorischen Maßnahmen aus dem SoA. In dieser Phase liegt der größte operative Aufwand. Schulungen, Awareness-Maßnahmen, Lieferantenbewertungen, Patch- und Vulnerability-Management, Incident-Prozesse, Business Continuity.
  • Monat 8 bis 10: Betrieb und erste Evidenzen. Das ISMS muss laufen, bevor es geprüft werden kann. Logs, Tickets, Protokolle, Awareness-Nachweise und Risikoreviews sammeln sich an. Empfehlung: mindestens drei Monate dokumentierten Betrieb vor dem internen Audit.
  • Monat 10 bis 11: Internes Audit und Management-Review. Unabhängiges internes Audit, Behandlung der Feststellungen, Management-Review mit dokumentierten Entscheidungen. Korrekturmaßnahmen abschließen.
  • Monat 11 bis 12: Stage-1-Audit. Die Zertifizierungsstelle prüft Dokumentation und Reife des ISMS. Ergebnis sind in der Regel Hinweise auf Schwachstellen, die bis zum Stage-2-Audit zu bearbeiten sind.
  • Monat 12 bis 14: Stage-2-Audit und Zertifizierung. Vor-Ort- oder Remote-Audit der tatsächlichen Umsetzung, Stichproben, Interviews. Nach erfolgreicher Auditierung und Abschluss etwaiger Nonconformities wird das Zertifikat ausgestellt. Es ist drei Jahre gültig.

Diese Zeitleiste ist bewusst großzügig gewählt. In der Praxis sehe ich häufig, dass Projekte zu ambitioniert starten und im Herbst das Audit nach hinten schieben müssen, weil die Evidenzlage nicht ausreicht.

Nach der Zertifizierung ist vor der Re-Zertifizierung

Das Missverständnis, das ich am häufigsten sehe: Die Zertifizierung wird als Projekt mit definiertem Ende geplant. Nach dem Stage-2-Audit werden Projektteams aufgelöst, externe Berater verabschiedet und das ISMS-Budget reduziert. Das funktioniert nicht.

Ein ISMS ist ein Managementsystem, kein Projekt. Die ISO 27001 verlangt in Abschnitt 10 kontinuierliche Verbesserung, und die Zertifizierungsstelle prüft dies jährlich im Überwachungsaudit und alle drei Jahre in der Rezertifizierung. Ohne laufenden Betrieb verliert man das Zertifikat, und zwar schneller, als man es aufgebaut hat.

Nach der Erstzertifizierung sind folgende Ressourcen dauerhaft einzuplanen:

  • Eine klar benannte Rolle für das ISMS, mit ausreichend Zeitbudget. In kleineren Organisationen sind das typischerweise 0,3 bis 0,5 Vollzeitäquivalente, in größeren entsprechend mehr.
  • Ein jährliches internes Audit-Programm, das alle Controls und Bereiche über drei Jahre abdeckt.
  • Mindestens ein dokumentiertes Management-Review pro Jahr.
  • Laufende Risikoreviews, insbesondere bei Veränderungen an Systemen, Prozessen, Lieferanten oder rechtlichen Anforderungen.
  • Awareness und Schulungen, verpflichtend und messbar.
  • Ein funktionierender Incident- und Lessons-Learned-Prozess, der Feststellungen tatsächlich in Verbesserungen überführt.
  • Budget für technische Maßnahmen, die über die Zeit altern und erneuert werden müssen.

Der gute Teil dieser Nachricht: Der laufende Aufwand ist deutlich geringer als die Erstzertifizierung. Wer die ISMS-Prozesse einmal etabliert hat, kommt mit einem Bruchteil der anfänglichen Ressourcen aus. Schlecht ist nur, wenn man den laufenden Bedarf mit Null ansetzt.

Mein Fazit aus der Praxis

ISO 27001 ist keine Trophäe, sondern ein Betriebssystem für Informationssicherheit. Die Zertifizierung ist ein relevanter Meilenstein, aber nicht das Ziel. Der eigentliche Nutzen entsteht durch das gelebte ISMS: bessere Entscheidungen, weniger Überraschungen, klarere Verantwortlichkeiten, stabilere Kundenbeziehungen und ein solides Fundament für NIS2, DORA und DSGVO.

Der initiale Aufwand ist hoch und wird regelmäßig unterschätzt. Er ist aber auch der größte Teil des Gesamtaufwands. Wer nach der Zertifizierung die richtigen Ressourcen bereitstellt, wird über die Jahre von genau der Struktur profitieren, die am Anfang so mühsam aufgebaut wurde.

Mrak Consulting e.U. unterstützt Organisationen in Österreich und im DACH-Raum bei ISO-27001-Implementierungen, als CISO-as-a-Service und in der Vorbereitung auf Zertifizierungsaudits.

Weiterlesen

Warum der Einsatz von Palantir aus Sicht von Datenschutz, Recht und digitaler Souveränität nicht zu rechtfertigen ist

Warum der Einsatz von Palantir aus Sicht von Datenschutz, Recht und digitaler Souveränität nicht zu rechtfertigen ist

Ein faktenbasierter Blick auf die rechtlichen, technischen und geopolitischen Risiken des Einsatzes von Palantir-Software in europäischen Behörden und Unternehmen. Ausgangslage Palantir Technologies Inc. mit Sitz in Denver (USA) ist mit seinen Plattformen Gotham, Foundry und der Artificial Intelligence Platform (AIP) auf dem europäischen Markt zunehmend präsent. In Deutschland setzen die

Von Michael Mrak
LinkedIn scannt bei jedem Besuch über 6.000 Browser-Extensions

LinkedIn scannt bei jedem Besuch über 6.000 Browser-Extensions

Microsofts Karrierenetzwerk betreibt verdeckte Überwachung im Browser – ohne Einwilligung, ohne Offenlegung, ohne Opt-out. Wer LinkedIn in einem Chromium-basierten Browser öffnet (also Chrome, Edge, Brave oder Opera), löst damit ein verstecktes JavaScript-Programm aus. Es durchsucht den Browser nach über 6.000 installierten Extensions, erstellt einen detaillierten Hardware-Fingerabdruck des Geräts, verschlüsselt die

Von Michael Mrak