Zuletzt aktualisiert am 16. Juli 2026 von Wolff von Rechenberg

Hackerangriffe oder Softwareabstürze können ganze Unternehmen lahm legen. Und: Sie können sich wie die Grippe unter Geschäftspartnern oder entlang von Lieferketten ausbreiten. Aber wie kann ich meinen Partnern signalisieren, dass ich meine IT-Sicherheit wirklich ernst nehme?

Die internationale Norm ISO 27001 gilt weltweit als Gütesiegel für Informationssicherheit. Das Zertifikat nach ISO 27001 signalisiert: Dieses Unternehmen schützt sich systematisch vor Cyber-Angriffen und IT-Ausfällen. Zudem erfüllen Unternehmen quasi im Vorbeigehen die strengen Anforderungen der europäischen Richtlinie NIS2.

1. Was ist die ISO 27001?

Um die Anforderungen der ISO 27001 (korrekt: ISO/IEC 27001 Norm) zu erfüllen, müssen Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) einrichten. Sie müssen mögliche Risiken erkennen und Gegenmaßnahmen planen. Die Zertifizierung wird von zugelassenen Auditoren und Einrichtungen vorgenommen, etwa vom TÜV.

Die Norm verfolgt drei Ziele:

  • Vertraulichkeit: Nur befugte Personen haben Zugriff auf die Informationen.
  • Integrität: Daten sind sicher vor unbefugter Veränderung.
  • Verfügbarkeit: Systeme und Informationen bleiben stabil und stehen den berechtigten Nutzern jederzeit zur Verfügung.

Das ISMS muss einen PDCA-Zyklus vorsehen, bei dem Unternehmen planen (Plan), ausführen (Do), die Ergebnisse prüfen (Check) und daraus neue Ziele ableiten (Act). Als gelebter Kreislauf soll dieser Zyklus, die IT-Sicherheit im Unternehmen laufend verbessern.

Quelle: Wikipedia

Die Vorschriften der Norm finden sich in sechs Hauptkapiteln (4 bis 10). Außerdem formuliert die ISO 27001 im Anhang A 93 Controls, gruppiert nach acht Themenbereichen. Diese Controls bilden eine Checkliste. Wer sie abgearbeitet hat, verfügt über alle relevanten Dokumente und Richtlinien.

Wichtig: Die Zertifizierung nach ISO 27001 setzt voraus, dass IT-Sicherheit im Unternehmen tatsächlich gelebt wird.

2. Wer muss sich nach ISO 27001 zertifizieren lassen?

Die Notwendigkeit der Zertifizierung ergibt sich eher durch gesetzliche Anforderungen. So verpflichten die europäischen Richtlinien NIS2 Unternehmen zu einem systematischen Management von Informations- und Cybersicherheit. In Deutschland findet sich diese Anforderung in § 8 BSI-Gesetz (BSIG). 

Bestimmte Unternehmen sind durch diese Vorgaben verpflichtet, ein Informationssicherheits-Managementsystem (ISMS) auf dem Niveau der ISO 27001 (oder des BSI IT-Grundschutzes) zu betreiben und dies regelmäßig nachzuweisen.

Obwohl ISO 27001 eine Basis bietet, gibt es signifikante Unterschiede in der rechtlichen Verpflichtung und den Fristen.

BereichISO/IEC 27001:2022NIS2-RichtlinieKonsequenz für Unternehmen
GeltungsbereichSelbst definiert (Scope)Gesamte rechtliche EinheitISO-Scope deckt NIS2 oft nicht voll ab.
MeldewesenProzessorientiertFristgebunden (24h/72h)ISO-Prozesse müssen um gesetzliche Fristen ergänzt werden.
HaftungVertraglich / ImageGesetzlich / Persönlich (Vorstand)NIS2 erhöht den Druck auf das Top-Management massiv.
AufsichtGeplante AuditsJederzeit unangekündigt möglichKontinuierliche Compliance statt „Audit-Sprints“.
LieferketteFokus auf PartnerMehrstufige PrüfungspflichtSorgfaltspflicht reicht über direkte Partner hinaus.

Bei der Einrichtung des ISMS sollten Firmen also die zusätzlichen Anforderungen der NIS2 systematisch einarbeiten.

Folgende Unternehmen sind zur Einrichtung eines ISMS (Informationssicherheitsmanagementsystem) verpflichtet:

  • Betreiber Kritischer Infrastrukturen (KRITIS): Unternehmen aus den Sektoren Energie, Wasser, Ernährung, Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr, Informationstechnik und Telekommunikation sowie Medien und Kultur, die bestimmte Schwellenwerte überschreiten, müssen die Sicherheit ihrer IT nach dem BSI-Gesetz (§ 8a BSIG) nachweisen. Mit dem Zertifikat nach ISO 27001 gilt diese gesetzlichen Anforderung als erfüllt. Wichtig: Auf die Meldepflichten achten!
  • NIS2-betroffene Unternehmen: Die europäische NIS2-Richtlinie verpflichtet auch mittelständische Unternehmen (ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in kritischen Sektoren) zu strengen Sicherheitsmaßnahmen. Selbst wenn NIS2 nicht zwingend das physische Zertifikat vorschreibt: Mit einem ISMS nach ISO 27001 setzen betroffene Unternehmen die Compliance zu NIS2 rechtssicher um.
  • Automobilzulieferer (über TISAX®): Wer direkt oder indirekt für deutsche Automobilhersteller (OEMs) arbeitet, benötigt meist ein TISAX-Label. TISAX (Trusted Information Security Assessment Exchange) basiert inhaltlich direkt auf den Anforderungen der ISO 27001. Ohne dieses Label ist eine Zusammenarbeit vertraglich ausgeschlossen. Achtung! Für das TISAX-Label müssen Unternehmen außerdem nachweisen, dass sie DSGVO-konform arbeiten. Letzteres können Unternehmen durch eine Erweiterung um ISO 27701 belegen
  • Finanz- und Versicherungsdienstleister: EU-Vorgaben wie DORA (Digital Operational Resilience Act) und auch nationale Anforderungen der BaFin (MaRisk, BAIT, VAIT) verpflichten Finanzinstitute und deren IT-Dienstleister gesetzlich zu hochgradig standardisierten Sicherheitskontrollen, die direkt auf ISO 27001 aufbauen.

3. Warum sich ISO 27001 lohnt

Dein Unternehmen unterliegt keiner der genannten Verpflichtungen? Dennoch solltest du über eine Zertifizierung nach ISO 27001 nachdenken. So aufwändig und teuer dieser Schritt auch scheinen mag, er könnte sich lohnen. 

  • Das Ticket für Geschäfte mit KRITIS-Unternehmen: Selbst wenn ein kleinerer Maschinenbauer oder B2B-Dienstleister mit 100 Mitarbeitern nicht direkt unter NIS2 oder das KRITIS-Regime fällt. Seine Kunden tun es oft. Unternehmen der kritischen Infrastruktur müssen auch bei ihren Lieferanten auf höchste Standards in Sachen Cyber-Sicherheit achten. Mit gutem Grund: Wenn etwa ein Zulieferer von zentralen Bauteilen für einen Stromanbieter durch eine IT-Sicherheitslücke ausfällt, dann bringt das auch den Stromanbieter selbst in Gefahr. Deshalb MÜSSEN Unternehmen der kritischen Infrastruktur ihre Lieferketten prüfen (auditieren). Besitzt der Zulieferer das Zertifikat nach ISO 27001, dann gilt er automatisch als zuverlässig, was den KRITIS-Unternehmen den Aufwand für ein Audit spart.
  • Das Ticket für Big Business: Ähnliches gilt für große Unternehmenskunden (Enterprise-Kunden), selbst wenn sie nicht als KRITIS-relevant gelten, sowie für den öffentlichen Sektor: Diese Kunden verlangen in Ausschreibungen oft den Nachweis einer ISO 27001-Zertifizierung. Ohne das Zertifikat scheidest du als Anbieter dann schon in der ersten Auswahlrunde aus. Zudem verkürzt das Zertifikat die Verkaufszyklen (Sales Cycles) massiv, weil auch in diesem Fall langwierige, kundenspezifische Sicherheitsfragebögen und -audits entfallen.
  • Versicherungs-Rabatte: Cyber-Versicherungen fordern vor dem Abschluss oft strenge Sicherheitsvorkehrungen. Unternehmen mit einem zertifizierten ISMS erhalten bei den Prämien oft Preisnachlässe, da das Risiko eines erfolgreichen Angriffs nachweislich sinkt.
  • Geringeres Haftungsrisiko für Geschäftsführer: Kommt es zu einem schweren Hackerangriff oder Datenabfluss, nimmt die NIS2 den Geschäftsführer in persönliche Verantwortung. Die Justiz (oder auch die Aufsichtsbehörde im Rahmen der DSGVO) prüft, ob die Geschäftsführung ihre Sorgfaltspflicht verletzt hat. Ein zertifiziertes ISMS nach ISO 27001 gilt als starker Beweis, dass das Unternehmen angemessene Schutzmaßnahmen („Stand der Technik“) getroffen hat. Das senkt das persönliche Haftungsrisiko der Geschäftsführung drastisch.
  • Globales Gütesiegel: Im Gegensatz zum deutschen BSI IT-Grundschutz ist die ISO 27001 ein weltweit anerkannter und verstandener Standard. Wer international expandiert, Partner im Ausland sucht oder Investoren überzeugen möchte (z. B. im Rahmen einer Due-Diligence-Prüfung), nutzt das Zertifikat als globales Gütesiegel.

4. Zertifizierungsprozess nach ISO 27001

4.1. Interne Vorbereitung (Aufbau des ISMS)

Bevor ein externer Auditor ins Haus kommt, muss das Unternehmen ein Informationssicherheits-Managementsystem (ISMS) aufbauen:

  • Festlegung des Geltungsbereichs (Scope): Welcher Teil des Unternehmens soll zertifiziert werden?
  • Risikobewertung: Identifikation von Sicherheitsrisiken und Erstellung eines Risikobehandlungsplans.
  • Umsetzung von Sicherheitsmaßnahmen (Controls): Schreiben von Richtlinien, technischen Absicherungen und Schulung der Mitarbeiter.
  • Internes Audit: Das System wird vorab intern auf Herz und Nieren geprüft, gefolgt von einer Bewertung durch die Geschäftsführung (Management-Review).

4.2. Audit-Typen im Zertifizierungszyklus

Das eigentliche Audit durch eine akkreditierte Zertifizierungsstelle erfolgt in festen Stufen (Quelle: Secjur.com, EinfachISO.de):

  • Stufe 1 (Stage 1 – Dokumentenprüfung):
    Der Auditor prüft die formale Vollständigkeit und Konformität deiner Dokumentation (z. B. Sicherheitsrichtlinien, Risikoregister, Anwendbarkeitserklärung). Er sztellt fest, ob das ISMS grundsätzlich bereit für das Audit ist. Bei Mängeln bekommst du Zeit zum Nachbessern.
  • Stufe 2 (Stage 2 – Vor-Ort-Audit / Umsetzungsaudit):
    Der Auditor prüft vor Ort oder remote, ob das dokumentierte ISMS im täglichen Betrieb auch tatsächlich gelebt und wirksam umgesetzt wird. Dazu führt er Interviews mit Mitarbeitenden und kontrolliert stichprobenartig.
  • Nach erfolgreichem Abschluss beider Stufen bekommst du das ISO 27001-Zertifikat ausgestellt. Es bleibt drei Jahre lang gültig.
  • In den darauffolgenden zwei Jahren findet jeweils ein kleineres Überwachungsaudit statt. Nach drei Jahren erfolgt ein komplettes Rezertifizierungsaudit, um den Zyklus zu erneuern.

4.3. Audit-Stufen in der Übersicht

Audit-TypFokusBeweislast
Stage 1 (Dokumentenaudit)Ist das ISMS auf dem Papier bereit?Richtlinien, SoA, Risikoberichte.
Stage 2 (Systemaudit)Funktionieren die Prozesse in der Praxis?Interviews, technische Stichproben, Logfiles.
ÜberwachungsauditWird das System kontinuierlich verbessert?Nachweise über KVP, interne Audits, Management Reviews.
Re-ZertifizierungGanzheitliche Neuprüfung nach 3 JahrenAlle Aspekte der Norm inkl. PDCA-Historie.

5. Was kostet das ISO 27001-Zertifikat?

Die Kosten für eine Zertifizierung nach ISO/IEC 27001 lassen sich nicht mit einem Festpreis beziffern. Sie hängen von der Größe des Unternehmens, der Komplexität der IT-Infrastruktur, der Anzahl der Standorte und dem bereits vorhandenen Sicherheitsniveau (Reifegrad) ab.

Ein solides Budget teilt sich in drei wesentliche Phasen auf: den Aufbau des ISMS (Beratung/Software), das Zertifizierungsaudit selbst sowie die laufenden Folgekosten zur Aufrechterhaltung des Zertifikats.

5.1. Die Kostenblöcke im Überblick

A. Aufbau & Vorbereitung (Einführung des ISMS)

Bevor ein externer Auditor das Unternehmen prüft, muss das Managementsystem vollständig implementiert sein. Hier entstehen in der Regel die höchsten Kosten:

  • Gap-Analyse / Ist-Analyse: Eine Bestandsaufnahme, um bestehende Sicherheitslücken zu identifizieren. Kosten: ca. 1.500 € bis 8.000 €.
  • Externe Beratung: Die meisten Unternehmen ziehen spezialisierte Berater hinzu, da intern oft die Ressourcen oder das Fachwissen fehlen. Tagessätze für ISO-27001-Berater liegen in Deutschland meist zwischen 1.200 € und 2.500 €. Je nach Projektumfang kostet die Beratung zwischen 10.000 € und 80.000 €.
  • ISMS-Software-Plattformen: Um Beratungskosten und internen Aufwand zu minimieren, setzen viele Firmen auf digitale Compliance-Plattformen. Diese kosten je nach Anbieter und Funktionsumfang zwischen 2.000 € und 12.000 € pro Jahr.

B. Das Zertifizierungsaudit (Akkreditierte Stelle)

Das Audit wird von einer durch die DAkkS akkreditierten Stelle (z. B. TÜV, DEKRA, DQS) durchgeführt. Es gliedert sich in Stage 1 (Dokumentenprüfung) und Stage 2 (Vor-Ort-Systemprüfung):

  • Auditoren-Tagessatz: Die Tagessätze akkreditierter Auditoren bewegen sich zwischen 1.200 € und 2.400 € netto zzgl. Reisekosten.
  • Kosten für das Erstaudit (1. Jahr): Je nach Unternehmensgröße und Komplexität belaufen sich die reinen Auditgebühren auf 4.000 € bis 30.000 €.

C. Interne Ressourcen, Schulungen & Technik

  • Interne Personalkosten: Der zeitliche Aufwand für Projektleiter (meist der Informationssicherheitsbeauftragte, kurz ISB) und Fachbereiche wird oft unterschätzt. Dieser interne Aufwand kann, in Arbeitsstunden umgerechnet, leicht das Zwei- bis Dreifache der externen Beratungskosten betragen.
  • Mitarbeiter-Schulungen (Awareness): Da die ISO 27001 den Nachweis fordert, dass Mitarbeiter regelmäßig für Informationssicherheit sensibilisiert werden, schlagen E-Learning-Plattformen oder Schulungen mit ca. 5 € bis 40 € pro Mitarbeiter/Jahr zu Buche.
  • Penetrationstests: Obwohl nicht explizit zwingend vorgeschrieben, verlangen Auditoren für technische Systeme (z. B. SaaS-Anwendungen) meist einen unabhängigen Pentest als Nachweis wirksamer technischer Maßnahmen. Kosten: ca. 5.000 € bis 25.000 €.
  • Internes Audit: Vor dem eigentlichen Zertifizierungsaudit muss zwingend ein internes Audit durchgeführt werden. Externe Prüfer berechnen dafür ca. 1.000 € bis 12.000 €.

5.2. Gesamtkosten im ersten Jahr nach Unternehmensgröße

Die folgende Tabelle zeigt eine realistische Preisspanne für die Erstzertifizierung (inkl. externer Beratung/Software, Auditgebühren und kalkulierter interner Aufwände):

KostenblockKMU (10–50 MA)Mittelstand (50–250 MA)Konzern (250+ MA)
Externe Beratung / Software-Tools12.000–25.000 €25.000–80.000 €80.000–200.000 €
Zertifizierungsaudit (Stufe 1 & 2)4.000–15.000 €8.000–30.000 €22.000–80.000 €
Interne Ressourcen & Zusatztools5.000–15.000 €15.000–50.000 €50.000–150.000 €
Gesamtkosten im Erstjahr (ca.)15.000–60.000 €40.000–170.000 €170.000–450.000 €+

5.3. LaufendeFolgekosten (Überwachung & Rezertifizierung)

Ein ISO-27001-Zertifikat bleibt drei Jahrelang gültig. Um die Gültigkeit zu bestätigen, müssen jährliche Überwachungsaudits durchgeführt werden:

  • Überwachungsaudits (Jahr 2 & 3): Sie sind weniger umfangreich als das Erstaudit und kosten in der Regel etwa 50 % bis 70 % der Erstprüfungsgebühren (ca. 3.000 € bis 15.000 € pro Jahr je nach Unternehmensgröße).
  • Re-Zertifizierung (nach 3 Jahren): Im dritten Jahr erfolgt eine vollständige Re-Zertifizierung. Die Kosten liegen meist bei etwa 2/3 der Kosten des Erstaudits.

Verwendete Quellen zu den Kosten: