ISMS aufbauen nach ISO 27001: die sieben Schritte von Geltungsbereich bis Zertifizierung im Überblick
Beitrag teilen
HOME
/
blog
/
ISMS aufbauen: In 7 Schritten zum Informationssicherheits-Managementsystem

ISMS aufbauen: In 7 Schritten zum Informationssicherheits-Managementsystem

Amin Abbaszadeh

Informationssicherheitsexperte

21 Jun 2026

9 Minuten

Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 und TISAX® effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.

Key Takeaways

Ein ISMS aufzubauen heißt, Informationssicherheit systematisch zu steuern: mit Richtlinien, Prozessen und klaren Verantwortlichkeiten statt Einzelmaßnahmen.

Der Aufbau folgt sieben Schritten, von der Geltungsbereichs-Definition über Asset-Inventar und Risikoanalyse bis zur Zertifizierung.

Der PDCA-Zyklus macht das ISMS zum kontinuierlichen Prozess statt zum Einmalprojekt. Ohne Management-Commitment scheitert der Aufbau.

Mit einer Plattform lässt sich der interne Aufwand gegenüber dem klassischen Beratungsweg um bis zu 50 Prozent senken.

Ein ISMS aufzubauen bedeutet, die Informationssicherheit eines Unternehmens systematisch zu steuern: mit verbindlichen Richtlinien, klaren Prozessen und benannten Verantwortlichkeiten statt mit einzelnen technischen Maßnahmen. Der Aufbau folgt einem klaren Ablauf, der sich an der Norm ISO 27001 orientiert und in sieben Schritten umsetzen lässt.

Immer mehr Unternehmen brauchen ein ISMS, weil Kunden Sicherheitsnachweise verlangen und Vorgaben wie NIS2 ein strukturiertes Risikomanagement fordern. Dieser Beitrag zeigt, was ein ISMS ausmacht, welche Voraussetzungen es braucht, die sieben Schritte des Aufbaus, den PDCA-Zyklus dahinter, die Wahl des passenden Standards und die häufigsten Fehler. Stand: 2026.

Was ist ein ISMS und warum sollten Sie eines aufbauen?

Ein Informationssicherheits-Managementsystem (ISMS) ist ein Rahmenwerk aus Richtlinien, Prozessen und Verantwortlichkeiten, mit dem ein Unternehmen die Informationssicherheit steuert, kontrolliert und laufend verbessert. Es sorgt dafür, dass aus einzelnen Sicherheitsmaßnahmen ein System mit Methode wird. Das Ziel ist immer dasselbe: die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.

Der Aufbau lohnt sich aus drei Gründen. Erstens verlangen Kunden und Partner zunehmend einen Nachweis, dass ihre Daten sicher sind, gerade in Lieferketten und bei größeren Auftraggebern. Zweitens schreiben Regelwerke wie die NIS2-Anforderungen ein Risikomanagement vor, das praktisch auf ein ISMS hinausläuft. Drittens senkt ein funktionierendes ISMS das Risiko teurer Sicherheitsvorfälle und schützt die Geschäftsführung vor Haftung.

Ein ISMS umfasst dabei mehr als Technik. Es bündelt vier Bausteine: eine Informationssicherheitsleitlinie als Rahmen, ein Risikomanagement mit Asset-Inventar und Risikoanalyse, konkrete Sicherheitsmaßnahmen (die Controls aus Anhang A der ISO 27001) sowie regelmäßige Audits und Reviews. Diese Bausteine greifen über drei Ebenen ineinander: Technik, Organisation und Mensch. Gerade die menschliche Ebene, von der Geschäftsführung bis zur Security Awareness der Mitarbeiter, entscheidet in der Praxis über Erfolg oder Scheitern.

ISMS, ISO 27001 und Zertifizierung: der Zusammenhang

Ein ISMS ist das System. ISO 27001 ist die international anerkannte Norm, die die Anforderungen an dieses System definiert. Die Zertifizierung ist der externe Nachweis, dass das ISMS diese Anforderungen erfüllt. Man kann ein ISMS aufbauen, ohne es zu zertifizieren, aber der Zertifizierungsdruck ist meist der Auslöser, es überhaupt strukturiert anzugehen.

Voraussetzungen für den ISMS-Aufbau

Bevor der erste Schritt beginnt, müssen drei Dinge stehen. Fehlt eines davon, scheitert der Aufbau oder verläuft im Sand. Die wichtigste Voraussetzung ist keine technische, sondern eine organisatorische: das Commitment der Geschäftsführung.

Die drei Grundvoraussetzungen

  • Management-Commitment. Die Geschäftsführung gibt die Leitlinie vor, stellt Budget und Zeit bereit und lebt die Regeln vor. ISO 27001 verlangt diese Führungsverantwortung ausdrücklich.
  • Verantwortlichkeiten. Mindestens eine Person oder ein kleines Team steuert den Aufbau. Diese Rolle braucht Zeit und Fachwissen, nicht nur einen Titel.
  • Realistische Ressourcen. Der Aufbau bindet über Monate interne Kapazität. Wer das unterschätzt, produziert ein Papier-ISMS, das im Audit durchfällt.

Diese Voraussetzungen klingen selbstverständlich, sind aber der häufigste Stolperstein. Ein ISMS, das die Geschäftsführung als reines IT-Thema delegiert, bekommt weder die nötige Autorität noch die Ressourcen. Genau deshalb steht das Commitment am Anfang, nicht die Technik.

Wer im ISMS welche Rolle trägt, sollte von Anfang an klar sein. Fünf Rollen wiederholen sich in fast jedem Aufbau:

RolleAufgabe im ISMS
GeschäftsführungGibt die Leitlinie vor, stellt Ressourcen bereit und trägt die Gesamtverantwortung.
Informationssicherheitsbeauftragter (ISB/CISO)Steuert Aufbau und Betrieb des ISMS, koordiniert Maßnahmen, Risiken und Audits.
Asset OwnerVerantwortet einzelne Werte: Klassifizierung, Zugriffe und Aktualität.
Risk OwnerVerantwortet die Behandlung eines konkreten Risikos.
Alle MitarbeitendenSetzen die Regeln im Alltag um und melden Vorfälle und Verdachtsfälle.

ISMS aufbauen: Die 7 Schritte

Der eigentliche Aufbau folgt einer logischen Reihenfolge. Jeder Schritt baut auf dem vorherigen auf: Ohne definierten Geltungsbereich kein sinnvolles Asset-Inventar, ohne Inventar keine belastbare Risikoanalyse. Diese Reihenfolge einzuhalten spart später doppelte Arbeit.

1

Geltungsbereich festlegen

Bestimmen, welche Standorte, Prozesse und Systeme das ISMS abdeckt. Der Geltungsbereich (inklusive Cloud-Dienste) entscheidet über Aufwand und Aussagekraft der späteren Zertifizierung.

2

Werte erfassen

Ein Asset-Inventar aller schützenswerten Informationen, Systeme und Prozesse anlegen. Was nicht erfasst ist, kann nicht geschützt werden.

3

Risiken analysieren und behandeln

Bedrohungen und Schwachstellen je Asset bewerten und Maßnahmen festlegen. Das ISO-27001-Risikomanagement ist das Herzstück des ISMS.

4

Richtlinien und Maßnahmen definieren

Eine Informationssicherheitsleitlinie und konkrete Regeln aus dem Anhang A der ISO 27001 festlegen und dokumentieren.

5

Mitarbeiter schulen

Regeln wirken nur, wenn sie gelebt werden. Security-Awareness-Schulungen verankern die Vorgaben im Arbeitsalltag.

6

Internes Audit durchführen

Vor dem externen Audit prüfen, ob das ISMS wie dokumentiert funktioniert. Internes Audit und Management-Review sind Pflichtbestandteile.

7

Zertifizierung anstreben

Eine externe Stelle prüft das ISMS. Die ISO-27001-Zertifizierung ist drei Jahre gültig, mit jährlichen Überwachungsaudits.

Infografik: ISMS aufbauen in 7 Schritten von Geltungsbereich festlegen über Risiken analysieren bis zur Zertifizierung

Die sieben Schritte des ISMS-Aufbaus, von der Geltungsbereichs-Definition bis zur Zertifizierung.

Die Schritte 1 bis 5 bauen das ISMS auf, die Schritte 6 und 7 weisen seine Wirksamkeit nach. Wer ohne Zertifizierungsziel startet, kann bei Schritt 5 enden, sollte das interne Audit aber trotzdem einplanen: Es ist der einzige verlässliche Test, ob das System mehr ist als Papier.

Der PDCA-Zyklus: ISMS als kontinuierlicher Prozess

Ein ISMS ist kein Projekt mit Enddatum, sondern ein laufender Prozess. Das bewährte Modell dahinter ist der PDCA-Zyklus: Plan, Do, Check, Act. Er sorgt dafür, dass das ISMS sich an neue Bedrohungen, Systeme und Geschäftsanforderungen anpasst, statt nach der Zertifizierung zu veralten.

Kreislaufdiagramm: Der PDCA-Zyklus im ISMS mit den vier Phasen Plan, Do, Check und Act als kontinuierlicher Verbesserungsprozess

Der PDCA-Zyklus macht das ISMS zu einem kontinuierlichen Prozess: planen, umsetzen, prüfen, verbessern.

PhaseBedeutungTypische Aktivitäten
PlanPlanenGeltungsbereich, Ziele, Risikoanalyse und Maßnahmenplan festlegen.
DoUmsetzenMaßnahmen implementieren, Mitarbeiter schulen, Regeln kommunizieren.
CheckPrüfenWirksamkeit überwachen, interne Audits und Management-Review durchführen.
ActVerbessernAbweichungen beheben, Maßnahmen anpassen, ISMS aktuell halten.

Der entscheidende Punkt liegt in der Act-Phase. Viele Unternehmen durchlaufen Plan, Do und Check, lassen die Verbesserung aber schleifen. Dann staut sich ein Berg unbehandelter Abweichungen an, der im nächsten Überwachungsaudit zum Problem wird. Ein ISMS lebt von der konsequenten letzten Phase.

ISO 27001 oder TISAX: Welcher Standard passt?

Der Aufbau folgt immer einem Standard. Für die meisten Unternehmen ist ISO 27001 die richtige Wahl, weil sie branchenübergreifend anerkannt ist. Wer in der Automobilbranche tätig ist, kommt dagegen an TISAX kaum vorbei, weil die Hersteller dieses Label verlangen.

KriteriumISO 27001TISAX
AnwendungsbereichBranchenübergreifend, weltweitAutomobilbranche und deren Lieferkette
GrundlageISO/IEC 27001:2022VDA ISA, basiert auf ISO 27001
NachweisZertifikat einer akkreditierten StelleLabel über die ENX-Plattform
Typischer AnlassKundenanforderung, NIS2, allgemeine SicherheitAnforderung von OEMs und Zulieferern

Die gute Nachricht: Beide Standards teilen denselben Kern. Wer ein ISMS nach ISO 27001 aufbaut, hat den Großteil der TISAX-Anforderungen bereits erfüllt, weil TISAX auf ISO 27001 aufsetzt. Die Entscheidung ist also selten ein Entweder-oder, sondern eine Frage, welcher Nachweis am Markt verlangt wird.

Häufige Fehler beim ISMS-Aufbau

Die meisten gescheiterten ISMS-Projekte scheitern nicht an der Norm, sondern an vermeidbaren Fehlern in der Umsetzung. Wer sie kennt, umgeht die teuersten Sackgassen.

Die fünf häufigsten Stolpersteine

  • 1. ISMS als reines IT-Projekt. Ohne Rückhalt der Geschäftsführung fehlen Autorität und Ressourcen. Informationssicherheit ist Chefsache.
  • 2. Zu großer Geltungsbereich. Wer gleich das ganze Unternehmen abdecken will, verzettelt sich. Besser klein und sauber starten.
  • 3. Papier-ISMS. Richtlinien, die niemand kennt oder lebt, bestehen kein Audit. Dokumentation und gelebte Praxis müssen zusammenpassen.
  • 4. Risikoanalyse als Pflichtübung. Eine oberflächliche Analyse erzeugt Maßnahmen, die am echten Risiko vorbeigehen.
  • 5. Nach der Zertifizierung nichts mehr tun. Ohne kontinuierliche Pflege verliert das ISMS seine Wirkung und fällt im Überwachungsaudit auf.

"Der häufigste Fehler ist, mit den Dokumenten anzufangen statt mit dem Geltungsbereich. Wer zuerst Richtlinien schreibt und erst danach überlegt, was eigentlich geschützt werden soll, baut ein ISMS, das im Audit auseinanderfällt. Die Reihenfolge ist kein Detail, sie ist der halbe Erfolg."

Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR

ISMS-Aufbau beschleunigen: Aufwand realistisch einschätzen

Wie lange der Aufbau dauert, hängt vor allem von Größe und Geltungsbereich ab. Kleinere Unternehmen rechnen mit einigen Monaten bis zur Zertifizierungsreife, größere entsprechend länger. Der größte Hebel ist nicht die Norm, sondern wie effizient Dokumentation, Risikomanagement und Nachweise zusammenlaufen.

Genau hier setzt eine Plattform an. Mit dem Digital Compliance Office von SECJUR reduzieren viele Unternehmen den internen Aufwand um bis zu 50 Prozent gegenüber dem klassischen Beratungsweg, weil Asset-Inventar, Risikoanalyse, Richtlinien und Nachweise an einer Stelle zusammenlaufen und das interne Team durch den Prozess geführt wird. Wer eine fachliche Begleitung bevorzugt, findet in der ISMS-Beratung einen Überblick über die Optionen.

ISMS-Aufbau mit dem Digital Compliance Office

Das Digital Compliance Office führt das interne Team durch alle sieben Schritte: Geltungsbereich, Asset-Inventar, Risikoanalyse, Richtlinien, Schulung, internes Audit und Zertifizierungsvorbereitung laufen an einer Stelle zusammen. Dokumentation und Nachweise entstehen automatisch im Prozess statt in verstreuten Tabellen. So sinkt der interne Aufwand um bis zu 50 Prozent gegenüber dem klassischen Beratungsweg.

Unabhängig vom Weg gilt: Ein gut aufgebautes ISMS zahlt sich aus, lange bevor das Zertifikat an der Wand hängt. Es senkt das Risiko von Vorfällen, schafft Vertrauen bei Kunden und macht das Unternehmen fit für Anforderungen wie NIS2. Der Aufbau ist kein Kostenfaktor, sondern eine Investition in die Widerstandsfähigkeit des Betriebs.

Amin Abbaszadeh

Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 und TISAX® effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Häufig gestellte Fragen

Die häufigsten Fragen zum Thema

Was bedeutet es, ein ISMS aufzubauen?

Ein ISMS aufzubauen bedeutet, die Informationssicherheit systematisch zu steuern: mit verbindlichen Richtlinien, Prozessen und Verantwortlichkeiten statt mit einzelnen technischen Maßnahmen. Der Aufbau orientiert sich an der Norm ISO 27001.

Welche Schritte gehören zum ISMS-Aufbau?

Der Aufbau folgt sieben Schritten: Geltungsbereich festlegen, Werte erfassen, Risiken analysieren und behandeln, Richtlinien definieren, Mitarbeiter schulen, internes Audit durchführen und die Zertifizierung anstreben.

Wie lange dauert der Aufbau eines ISMS?

Das hängt von Größe und Geltungsbereich ab. Kleinere Unternehmen erreichen die Zertifizierungsreife in einigen Monaten, größere brauchen länger. Mit einer Plattform lässt sich der interne Aufwand um bis zu 50 Prozent senken.

Welcher Standard eignet sich für den ISMS-Aufbau?

Für die meisten Unternehmen ist ISO 27001 die richtige Wahl, weil sie branchenübergreifend anerkannt ist. In der Automobilbranche verlangen die Hersteller meist das TISAX-Label, das auf ISO 27001 aufbaut.

Was ist der PDCA-Zyklus beim ISMS?

PDCA steht für Plan, Do, Check, Act. Das Modell macht das ISMS zu einem kontinuierlichen Prozess: planen, umsetzen, Wirksamkeit prüfen und verbessern. So bleibt das ISMS auch nach der Zertifizierung aktuell.

Weiterlesen

November 20, 2025
5 Minuten
EU AI Act: Auswahl und Zusammenarbeit mit benannten Stellen

Der EU AI Act stellt Unternehmen vor neue Herausforderungen: Hochrisiko-KI darf nur mit einer benannten Stelle auf den Markt, doch vielen fehlt Klarheit über Auswahl, Ablauf und Zusammenarbeit. Dieser Leitfaden zeigt praxisnah, wie Sie Ihr KI-System korrekt einstufen, die richtige benannte Stelle finden und eine reibungslose Zertifizierung vorbereiten, von der Dokumentation bis zum Audit. So verwandeln Sie regulatorische Komplexität in einen strategischen Vorteil und beschleunigen Ihren Markteintritt in der EU.

Lesen
June 7, 2023
18 min
ISO 27001: Der Komplett-Guide zu ISMS, Zertifizierung und Kosten

ISO 27001 ist der internationale Standard für Informationssicherheit. Dieser Guide erklärt Anforderungen, Zertifizierung, Kosten und den Weg zum ISMS.

Lesen
March 19, 2026
7 min
TISAX Rezertifizierung: Ablauf, Timing und Kosten nach 3 Jahren

TISAX Rezertifizierung nach 3 Jahren: Re-Assessment-Ablauf, Timeline, Kosten und typische Fehler bei der Vorbereitung.

Lesen
TO TOP