Fernwartung Download starten

ISO 27001 für KMU: Ein realistischer Einstieg

ComplianceISO 27001ISMSBeratung
ISO 27001 für KMU: Ein realistischer Einstieg

“Wir müssen ISO 27001 machen — ein Großkunde verlangt es.” Mit dieser Aussage starten regelmäßig Beratungsgespräche bei DATAZONE. Manchmal kommt der Druck von außen (NIS2 mittelbar, Großkunden in Lieferketten, Versicherungs-Audits), manchmal von innen (eigene Reife, geplante Internationalisierung, M&A-Vorbereitung).

Die Reaktion in der IT-Abteilung ist dann oft zwiegespalten: Einerseits Erleichterung, dass das Thema endlich angegangen wird. Andererseits Sorge vor dem Aufwand — und vor erfundenen Statistiken aus dem Internet (“8 von 10 Projekten scheitern”, “durchschnittlich 500.000 EUR im ersten Jahr”), die in der Realität so nicht haltbar sind.

Dieser Artikel ist ein nüchterner Einstieg für mittelständische Unternehmen, die ISO/IEC 27001 ernsthaft angehen wollen. Wir nennen Größenordnungen, keine Punktwerte. Wir skizzieren eine pragmatische Reihenfolge. Und wir benennen Werkzeuge — Open-Source und kommerziell.

Was ist ISO/IEC 27001?

ISO/IEC 27001 ist die internationale Norm für Information Security Management Systems (ISMS). Sie beschreibt, wie eine Organisation Informationssicherheit systematisch managen sollte — nicht als Tool-Liste, sondern als laufenden Management-Prozess.

Die aktuelle Version ist ISO/IEC 27001:2022. Sie ersetzt die 2013er-Version, hat den Aufbau modernisiert und die zugehörige Control-Liste (Annex A) von 114 auf 93 Controls in 4 Themengruppen reduziert (Organisatorisch, Personell, Physisch, Technologisch).

Wichtig zu verstehen: ISO 27001 sagt nicht “ihr braucht eine Firewall vom Hersteller X” — sondern “ihr braucht ein dokumentiertes Risikomanagement, das Risiken angemessen behandelt, mit Belegen”. Die konkrete Umsetzung ist Sache der Organisation.

ISO 27001 vs. TISAX vs. NIS2 vs. C5

Häufige Verwechslung. Kurz zur Einordnung:

  • ISO 27001: International, breit, ISMS-Standard. Zertifizierbar.
  • TISAX: Branchenspezifisch (Automotive-Zulieferer), basiert auf VDA-ISA. Pseudo-Zertifikat über ENX-Plattform.
  • NIS2: EU-Gesetz, Cybersicherheits-Pflichten für kritische und wichtige Einrichtungen. Kein Zertifikat — gesetzliche Pflicht.
  • BSI C5: Cloud-Compliance-Katalog des BSI für Cloud-Provider.

Eine ISO-27001-Zertifizierung erleichtert NIS2 erheblich — die Maßnahmen überlappen zu großem Teil. Wer ISO 27001 hat, muss für NIS2 nicht von vorn anfangen.

Wie lange dauert es realistisch?

Aus DATAZONE-Erfahrungen mit mittelständischen Kunden: Eine 6–12-Monate-Vorbereitung ist realistisch — abhängig von:

  • Ausgangslage: Wer schon dokumentierte Prozesse, ein Asset-Inventory und ein Risikomanagement hat, beginnt nicht bei null
  • Größe: Ein 30-MA-Unternehmen ist schneller durch als ein 800-MA-Unternehmen
  • Kapazitäten: Interner ISMS-Beauftragter vs. externe Beratung vs. dedicated Projekt-Team
  • Reife der IT: Eine IT mit Patch-Management, Backup-Konzept und Monitoring liefert Belege schneller als eine, die zuerst Hausaufgaben machen muss

Zertifizierungs-Audit selbst: zweistufig (Stufe 1: Dokumenten-Audit, ca. 2–3 Tage; Stufe 2: Vor-Ort-Audit, ca. 3–5 Tage je nach Umfang). Anschließend jährliche Überwachungsaudits, alle drei Jahre Re-Zertifizierung.

Wie viel kostet es realistisch?

Hier sind wir bewusst vorsichtig — die Bandbreite ist riesig, und Pauschalaussagen führen in die Irre.

Externe Beratung: Tagessätze für ISO-27001-Berater bewegen sich im üblichen Beratungsrahmen — gehen Sie nicht von einer einzelnen Festpreis-Aussage aus, sondern holen Sie 2–3 Angebote ein.

Zertifizierungsaudit: Je nach Auditor und Umfang ein vier- bis fünfstelliger Euro-Betrag. Akkreditierte Zertifizierer (TÜV, DEKRA, DQS, BSI Group, etc.) haben publizierte Tagessätze, die Anzahl Audit-Tage richtet sich nach Mitarbeiterzahl und Scope.

Eigene Arbeitszeit: Der größte und meist unterschätzte Posten. Interner Aufwand für Dokumentation, Schulungen, Übungen, Audits — typisch 0,3–1,0 Vollzeitstellen-Äquivalente in der heißen Phase, danach 0,1–0,3 für den Dauerbetrieb.

Werkzeuge: Open-Source (verinice CE) sind kostenfrei in der Lizenz, brauchen aber Pflege. Kommerzielle Suites (HiScout, Datenschutzmanager, ISMS-Tools von SecurityScorecard, etc.) kosten je nach Modul vier- bis fünfstellig pro Jahr.

Wir nennen bewusst keinen Punktwert für die Gesamtinvestition — das wäre eine Pseudogenauigkeit. Wer ehrlich kalkulieren will, sollte mit den oben genannten Komponenten in das Gespräch gehen und realistische Annahmen pro Position machen.

Annex-A-Controls 2022 — Überblick

Die 93 Controls verteilen sich auf vier Themen:

A.5 Organizational Controls (37 Controls)

Information-Security-Policies, Rollen und Verantwortlichkeiten, Asset-Management, Klassifizierung von Informationen, Zugriffsregelung, Lieferanten-Management, Incident-Management, Business-Continuity, Compliance.

A.6 People Controls (8 Controls)

Personalauswahl, Sensibilisierung, Disziplinarverfahren, Remote-Working-Regelungen.

A.7 Physical Controls (14 Controls)

Sicherheitsbereiche, Zugangskontrolle, Schutz vor Umweltbedrohungen, Geräte-Sicherheit, Entsorgung, Cabling-Sicherheit.

A.8 Technological Controls (34 Controls)

Endpoint-Security, Privileged-Access, Identity-Management, Authentifizierung, Capacity-Management, Schutz vor Malware, Information-Backup, Logging-Monitoring, Network-Security, Web-Filtering, Kryptographie, Secure-Development, Cloud-Security, Information-Security-in-Project-Management.

Statement of Applicability (SoA)

Das Statement of Applicability ist das zentrale Dokument der ISO 27001. Es listet alle 93 Annex-A-Controls und für jedes:

  • Anwendbar / Nicht anwendbar (mit Begründung bei “nicht anwendbar”)
  • Status der Umsetzung
  • Verweis auf die konkrete Maßnahme / das Dokument

Das SoA ist im Audit ein Hauptdokument — sowohl in Stufe 1 (Dokumenten-Prüfung) als auch beim Vor-Ort-Audit, wo der Auditor stichprobenartig prüft, ob die im SoA dokumentierten Maßnahmen wirklich gelebt werden.

Risk Assessment

ISO 27001 ist risikobasiert. Das heißt: Sie identifizieren Ihre Informations-Assets (Daten, Systeme, Prozesse), bewerten deren Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit), identifizieren Bedrohungen und Schwachstellen — und behandeln das Ergebnis (mitigieren, akzeptieren, vermeiden, transferieren).

Methodisch hilfreich:

  • ISO/IEC 27005 als Risikomanagement-Standard
  • BSI-Standard 200-3 (deutsche Variante der Risikoanalyse, kompatibel mit BSI IT-Grundschutz)
  • NIST SP 800-30 für die US-amerikanisch geprägten Setups

In der Praxis arbeiten viele Mittelständler mit einer Risiko-Matrix (Eintrittswahrscheinlichkeit × Schadensauswirkung) und einer Risiko-Behandlungstabelle.

Pragmatischer Pfad für KMU

Aus DATAZONE-Sicht ist die häufigste Falle: alle 93 Controls gleichzeitig angehen. Das überfordert die Organisation und führt zu schlechten, halbfertigen Dokumenten.

Empfohlene Reihenfolge:

Phase 1 (Monate 1–2): Fundament

  1. Management-Commitment einholen. ISO 27001 ist eine Management-Entscheidung, nicht ein IT-Projekt.
  2. Scope definieren. Welche Standorte, welche Abteilungen, welche Datenkategorien fallen in den ISMS-Scope? Das SoA folgt daraus.
  3. ISMS-Beauftragten benennen. Eine Person mit Mandat — entweder intern qualifiziert oder mit externer Begleitung.
  4. Asset-Inventory aufbauen. Was an Daten, Systemen, Lieferanten ist relevant? Das ist die Grundlage für alles weitere.

Phase 2 (Monate 3–5): Risikomanagement

  1. Risk Assessment durchführen. Top-Risiken identifizieren, dokumentieren, Maßnahmen ableiten.
  2. Risiko-Behandlungsplan schreiben.
  3. Statement of Applicability erstellen (erste Version).

Phase 3 (Monate 4–7): Policies und Prozesse

  1. Information Security Policy als Top-Level-Dokument.
  2. Sub-Policies nach Bedarf (Zugriffsregelung, Mobile-Working, Cryptography, Lieferanten, Incident-Response, BCM, Klassifizierung).
  3. Prozesse dokumentieren — wie wird ein Asset onboarded? Wie wird ein Incident gemeldet? Wie wird ein Zugriffsrecht entzogen?

Phase 4 (Monate 5–9): Umsetzung & Belege

  1. Technische Controls umsetzen (Patch-Management, Backup, Logging, Hardening, MFA, etc.) — siehe Linux-Server-Hardening, SSH-Hardening, Backup-Strategien.
  2. Schulungen für alle Mitarbeiter (Phishing, Passwort-Hygiene, Datenklassifizierung).
  3. Sammeln von Belegen — Logs, Protokolle, Tickets, Schulungsnachweise. Das ist die Hauptarbeit vor dem Audit.

Phase 5 (Monate 8–10): Interne Audits & Vorbereitung

  1. Internes Audit durchführen (gerne mit externer Beratung als zweite Augen).
  2. Management-Review durch die Geschäftsführung.
  3. Korrekturmaßnahmen aus dem internen Audit umsetzen.

Phase 6 (Monate 10–12): Externe Zertifizierung

  1. Zertifizierer auswählen (akkreditiert nach ISO 17021).
  2. Stufe 1 Audit (Dokumenten-Prüfung).
  3. Stufe 2 Audit (Vor-Ort).
  4. Zertifikat erhalten — und sofort den Plan für die Überwachungs-Audits aufsetzen.

Tools für KMU

Open-Source / kostenfrei

  • verinice (Community Edition) — Klassiker im deutschsprachigen Raum, sehr stark im BSI-IT-Grundschutz, aber auch ISO 27001 abbildbar. Kostenfrei, kommerzieller Support optional.
  • Excel + Word: Für sehr kleine Setups funktioniert tatsächlich auch ein gut strukturierter Excel-Risikokatalog plus Word-Policies. Skaliert nicht, aber für 10-MA-Unternehmen ausreichend.

Kommerziell

  • verinice.PRO — Pro-Version mit zusätzlichen Features
  • HiScout — etabliert im DACH-Mittelstand, modulare ISMS-Suite
  • Datenschutzmanager — Schwerpunkt DSGVO, ISO-27001-Modul optional
  • Drata, Vanta, Tugboat Logic — internationale SaaS-Player, vor allem für SaaS-Startups beliebt
  • TenableSC + Audit-Module — wenn Sie schon Tenable im Einsatz haben
  • ServiceNow GRC — Enterprise-Player, ab gewisser Größe sinnvoll

Empfehlung für klassischen Mittelstand DACH: verinice (Community oder PRO) plus DSGVO-Tool. Internationale Setups: SaaS-Plattform mit Connectoren zu eigenen Systemen.

Wann lohnt sich ISO 27001 für KMU?

Klare Treiber:

  • Großkunden fordern es in der Lieferanten-Auswahl (Automotive, Banking, Pharma, kritische Infrastruktur)
  • NIS2-Pflicht macht es indirekt: Wer ISO 27001 hat, erfüllt einen Großteil der NIS2-Anforderungen
  • Cyber-Versicherung verlangt zunehmend strukturierte ISMS-Nachweise — auch ohne Zertifikat
  • Vertrauensgewinn am Markt — gerade bei B2B-Software-Anbietern erwarten Kunden zunehmend das Zertifikat
  • Eigene Reife — viele Unternehmen erkennen, dass das ISMS auch ohne Zertifikat sinnvoll ist und die Zertifizierung “nur” die Validierung

Nicht jeder braucht es. Wer ausschließlich B2C-Geschäft betreibt, in einer regulatorisch ruhigen Branche und ohne Cyber-Versicherungs-Druck, kann auch ohne ISO 27001 strukturierte Informationssicherheit betreiben. Aber: wer es plant, sollte früh anfangen — ein Audit, das in 6 Monaten ansteht, lässt sich nicht ad-hoc bestehen.

Häufige Fallen

  • Zu großer Scope. ISO 27001 erlaubt einen klar abgegrenzten Scope (z.B. nur ein Produkt-Geschäftsbereich, nur ein Standort). Wer im ersten Anlauf das gesamte Unternehmen zertifizieren will, scheitert oft.
  • Pflicht-Dokumente unterschätzt. Das ISMS lebt von Dokumentation. Wer das Sammeln von Belegen erst im Audit-Monat angeht, verliert Wochen.
  • Top-Management nicht einbezogen. Ohne Management-Commitment kein ISMS. Die “Management-Review”-Klausel ist im Audit kritisch.
  • Tool vor Prozess. Ein ISMS-Tool ersetzt keine durchdachte Policy. Erst Prozess, dann Tool.
  • Beratung statt Eigenverantwortung. Externe Beratung beschleunigt — aber das ISMS muss intern getragen werden. Sonst stirbt es nach der Zertifizierung.

Was hat DATAZONE damit zu tun?

Wir sind kein ISO-27001-Zertifizierer. Wir sind IT-Dienstleister. Aber wir liefern die technischen Belege für viele Annex-A-Controls — durch durchdachte Infrastruktur, Backup-Strategien, Hardening, Monitoring, Logging, Disaster-Recovery-Pläne.

Konkret: Wer mit uns eine Proxmox-TrueNAS-Umgebung mit dokumentierten Backup-Konzept, Snapshot-Schedules, DSGVO-konformer Protokollierung, Compliance-Berichten aus DATAZONE Control, SSH-Hardening und Linux-Server-Hardening betreibt, hat einen wesentlichen Teil der A.8-Controls bereits gelebt — und das ist genau das, was im Audit zählt: nicht ein Dokument, das niemand liest, sondern eine Realität, die der Auditor sieht.

Bei DSGVO und ISO-27001-Beratung selbst arbeiten wir mit spezialisierten Partnern. Für die technische Seite sind wir Ihr Ansprechpartner.

Fazit

ISO 27001 ist für KMU machbar — aber nicht in vier Wochen. Wer mit 6–12 Monaten Vorlauf, klarem Scope, Management-Commitment und realistischem Werkzeug-Einsatz arbeitet, schafft die Zertifizierung. Der Vorteil danach: ein gelebtes ISMS, das auch NIS2, Cyber-Versicherungs-Fragen und Kunden-Audits deutlich entspannter macht.

Wer mit dem Gedanken spielt und nicht weiß, wo anfangen: Beginnen Sie mit dem Asset-Inventory und dem Risk Assessment. Das ist die Basis für alles weitere — und auch ohne Zertifizierungs-Ziel ist es eine sinnvolle Übung.

Quellen und weiterführende Artikel

IT-Beratung gewünscht?

Kontaktieren Sie uns für eine unverbindliche Beratung zu Proxmox, OPNsense, TrueNAS und mehr.

Jetzt Kontakt aufnehmen