Volljurist und Compliance-Experte
01 Apr 2026
11 min
.svg)
Eine ISO 27001 Zertifizierung bestätigt, dass ein Unternehmen ein ISMS nach internationalem Standard betreibt, und wird zunehmend zur Voraussetzung in Ausschreibungen und Lieferantenaudits.
Der Zertifizierungsprozess besteht aus zwei Stufen: Stage 1 (Dokumentenprüfung) und Stage 2 (Vor-Ort-Audit), jeweils durch einen akkreditierten Auditor.
Die Vorbereitungszeit variiert je nach Unternehmensgröße zwischen 3 und 18 Monaten. ISMS-Plattformen wie SECJUR können die Dauer um bis zu 50 % verkürzen.
Das Zertifikat gilt drei Jahre. In den Zwischenjahren finden Überwachungsaudits statt, die etwa ein Drittel des Erstaudits umfassen.
Die ISO 27001 Zertifizierung ist der international anerkannte Nachweis, dass ein Unternehmen seine Informationssicherheit systematisch steuert. Wer das Zertifikat trägt, zeigt Kunden, Partnern und Aufsichtsbehörden, dass ein Informationssicherheits-Managementsystem (ISMS) nach dem Standard ISO/IEC 27001 aufgebaut, betrieben und regelmäßig geprüft wird. In der Praxis bedeutet das: Ein unabhängiger Auditor hat bestätigt, dass Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im Unternehmen durch definierte Prozesse geschützt werden.
Für viele Unternehmen ist die Zertifizierung längst keine freiwillige Kür mehr. NIS2 verpflichtet betroffene Einrichtungen ab 2026 zu umfassenden Risikomanagement-Maßnahmen, die praktisch ein ISMS voraussetzen. Gleichzeitig fordern immer mehr Auftraggeber den Nachweis einer ISO 27001 Zertifizierung in Ausschreibungen und Lieferantenaudits. Wer nicht zertifiziert ist, fällt in vielen Branchen aus der Vorauswahl, bevor das eigentliche Angebot überhaupt gelesen wird.
Dieser Artikel zeigt, wie der Zertifizierungsprozess abläuft, welche Voraussetzungen erfüllt sein müssen und wie lange Unternehmen je nach Größe realistisch einplanen sollten. Außerdem klären wir, ob eine partielle Zertifizierung möglich ist und welchen Unterschied eine ISMS-Plattform bei der Vorbereitung macht.
Eine ISO 27001 Zertifizierung bestätigt, dass ein Unternehmen ein Informationssicherheits-Managementsystem (ISMS) nach dem internationalen Standard ISO/IEC 27001 betreibt. Ein akkreditierter Auditor prüft, ob das ISMS die Anforderungen der Norm erfüllt, ob es wirksam umgesetzt wird und ob es kontinuierlich verbessert wird. Ob ISO 27001, ISO/IEC 27001 oder DIN EN ISO/IEC 27001: Gemeint ist immer derselbe Standard, nur in unterschiedlichen Benennungskonventionen.
Das Zertifikat ist kein Selbstzweck. Es beantwortet eine Frage, die Geschäftspartner, Kunden und Regulatoren zunehmend stellen: Wie geht dieses Unternehmen mit sensiblen Informationen um? Ein ISO 27001 Zertifikat liefert eine unabhängig geprüfte Antwort, die international verstanden wird. Anders als ein internes Sicherheitskonzept oder eine Selbstauskunft wird die Zertifizierung durch einen externen Auditor vergeben, der an strenge Akkreditierungsregeln gebunden ist.
Die aktuelle Version ISO/IEC 27001:2022 hat den Annex A grundlegend überarbeitet. Statt 114 Controls in 14 Kategorien gibt es jetzt 93 Controls in vier Themenbereichen: organisatorisch, personenbezogen, physisch und technologisch. Die Norm definiert in den Klauseln 4 bis 10 die Anforderungen an das Managementsystem. Welche der 93 Controls umgesetzt werden müssen, hängt von der individuellen Risikobewertung ab. Nicht jedes Control ist für jedes Unternehmen relevant, aber jeder Ausschluss muss begründet und dokumentiert werden.
Die Zertifizierung prüft beides: das Managementsystem (Klauseln 4-10) und die Umsetzung der anwendbaren Controls (Annex A). Eine detaillierte Übersicht der ISO 27001 Anforderungen finden Sie im zugehörigen Artikel.
Warum sich Unternehmen zertifizieren lassen
Kundenanforderung: Großunternehmen und öffentliche Auftraggeber verlangen den Nachweis in Ausschreibungen. Ohne Zertifikat fällt das Angebot aus der Wertung.
Regulatorischer Druck: NIS2 fordert von betroffenen Einrichtungen Maßnahmen, die einem ISMS nach ISO 27001 entsprechen. Die Zertifizierung ist der sauberste Nachweis.
Vertrauensaufbau: In Branchen wie Finanzdienstleistung, Gesundheitswesen und IT-Services signalisiert das Zertifikat Professionalität gegenüber Endkunden.
Wettbewerbsvorteil: Zwei vergleichbare Anbieter, einer zertifiziert, einer nicht. Die Entscheidung fällt selten gegen das Zertifikat.
Bevor ein externer Auditor das Unternehmen prüft, muss das ISMS stehen und funktionieren. Die Norm definiert in den Klauseln 4 bis 10 klare Anforderungen, die vor dem Zertifizierungsaudit erfüllt sein müssen. Die folgende Checkliste zeigt, was vor dem Audit abgeschlossen sein sollte.
Management Commitment sichern
Die Geschäftsleitung muss das ISMS aktiv unterstützen, Ressourcen bereitstellen und die Informationssicherheitspolitik verabschieden (Klausel 5). Ohne dieses Commitment scheitert jedes ISMS.
Geltungsbereich (Scope) definieren
Welche Standorte, Abteilungen und IT-Systeme umfasst das ISMS? Der Scope muss intern konsistent sein und die Schnittstellen zu nicht einbezogenen Bereichen klar beschreiben (Klausel 4.3).
Risikobewertung durchführen
Assets identifizieren, Bedrohungen und Schwachstellen analysieren, Risiken bewerten und Behandlungsoptionen festlegen (Klausel 6.1). Das Risikomanagement ist das Herzstück jedes ISMS.
Statement of Applicability (SoA) erstellen
Die SoA dokumentiert, welche der 93 Annex-A-Controls anwendbar sind und welche nicht, jeweils mit Begründung. SECJUR Digital Compliance Office generiert die SoA automatisch, statt wochenlanger Excel-Arbeit.
Controls implementieren und dokumentieren
Die ausgewählten Controls müssen nicht nur auf dem Papier stehen, sondern im Alltag gelebt werden. Richtlinien, Prozesse und technische Maßnahmen brauchen eine nachweisbare Umsetzung.
Internes Audit durchführen
Vor dem externen Audit muss mindestens ein internes Audit gelaufen sein (Klausel 9.2). Es deckt Schwachstellen auf, die sich vor dem Zertifizierungsaudit noch beheben lassen.
Die Voraussetzungen sind bewusst auf Wirksamkeit ausgelegt, nicht auf Umfang. Es geht nicht darum, möglichst viele Dokumente zu produzieren, sondern darum, dass die dokumentierten Prozesse im Alltag funktionieren. Ein schlankes, gelebtes ISMS besteht die Prüfung eher als ein umfangreiches System, das nur auf dem Papier existiert.
Wie Sie ein ISMS in Ihrem Unternehmen systematisch aufbauen, erfahren Sie in unserem Leitfaden zum ISMS-Aufbau. Im Folgenden konzentrieren wir uns auf das, was danach kommt: den Weg zum Zertifikat.
Der Zertifizierungsprozess nach ISO 27001 besteht aus zwei Stufen, die ein akkreditierter Auditor (z. B. TÜV, DEKRA, Bureau Veritas) durchführt. Beide Stufen müssen bestanden werden, bevor das Zertifikat ausgestellt wird. Zwischen Stage 1 und Stage 2 liegen in der Regel 4 bis 12 Wochen, in denen das Unternehmen eventuelle Findings aus Stage 1 beheben kann.
Im Stage 1 Audit prüft der Auditor, ob das ISMS auf dem Papier die Anforderungen der Norm erfüllt. Der Fokus liegt auf der Dokumentation: Informationssicherheitspolitik, Scope-Definition, Risikobewertung, SoA, interne Audit-Berichte und Management-Review-Protokolle. Das Audit findet in der Regel remote oder vor Ort statt und dauert 1-2 Tage.
Typische Findings im Stage 1: Fehlende Dokumente, inkonsistenter Scope, Risikobewertung ohne klare Methodik, SoA ohne Begründung für ausgeschlossene Controls.
Das Ergebnis ist kein bestanden/nicht bestanden, sondern ein Bericht mit Empfehlungen und ggf. Feststellungen, die vor Stage 2 behoben werden müssen.
Das Stage 2 Audit findet immer vor Ort statt. Der Auditor prüft, ob das ISMS nicht nur dokumentiert, sondern tatsächlich umgesetzt und wirksam ist. Dafür führt er Interviews mit Mitarbeitenden, prüft Nachweise (Logs, Schulungsnachweise, Incident-Reports) und testet einzelne Prozesse stichprobenartig.
Typische Findings im Stage 2: Mitarbeitende kennen die Informationssicherheitspolitik nicht, Risikobewertung wurde seit dem letzten Review nicht aktualisiert, Zugangskontrollen sind dokumentiert, aber nicht durchgesetzt.
Dauer: 3-10 Tage, abhängig von der Unternehmensgröße und der Komplexität des Scopes. Wenn der Auditor keine schwerwiegenden Abweichungen (Major Nonconformities) feststellt, empfiehlt er die Zertifikatsausstellung. Bei Findings gibt es eine Frist zur Nachbesserung, typischerweise 90 Tage. Erst nach erfolgreicher Nachbesserung wird das Zertifikat ausgestellt.
Ein Punkt, den viele Unternehmen unterschätzen: Die Wahl der Zertifizierungsstelle ist frei. Unternehmen können zwischen verschiedenen akkreditierten Anbietern (TÜV Süd, TÜV Nord, TÜV Rheinland, DEKRA, Bureau Veritas, BSI Group u.a.) wählen und Angebote vergleichen. Die Kosten und die Audit-Methodik variieren, die Anforderungen der Norm sind jedoch identisch.
| Aspekt | Stage 1 Audit | Stage 2 Audit |
|---|---|---|
| Fokus | Dokumentation und ISMS-Design | Wirksamkeit und Umsetzung |
| Ort | Remote oder vor Ort | Immer vor Ort |
| Dauer | 1-2 Tage | 3-10 Tage |
| Typische Findings | Fehlende Dokumente, inkonsistenter Scope | Prozesse nicht gelebt, Nachweise unvollständig |
| Ergebnis | Bericht mit Empfehlungen | Zertifikat oder Nachbesserungsfrist |
Neben dem Zertifizierungsaudit spielen auch interne Audits eine zentrale Rolle im ISMS-Betrieb. Alles zu Audit-Arten, Fragenkatalogen und typischen Findings lesen Sie in unserem ISO 27001 Audit-Guide.
"Der häufigste Fehler bei der ISO 27001 Zertifizierung: Unternehmen starten das Audit, bevor das ISMS wirklich gelebt wird. Stage 2 Auditoren prüfen nicht nur Dokumente. Sie prüfen, ob Mitarbeitende die Prozesse kennen und anwenden. Wer hier nur Papier vorweisen kann, bekommt Findings."
Niklas Hanitsch, Gründer & Geschäftsführer bei SECJUR
Die Frage nach der Dauer ist die häufigste in unseren Erstgesprächen. Die ehrliche Antwort: Es kommt darauf an. Drei Faktoren bestimmen die Timeline: die Unternehmensgröße, der Reifegrad der bestehenden Sicherheitsmaßnahmen und die eingesetzten Werkzeuge.
Ein Startup mit 20 Mitarbeitenden, das bereits Cloud-First arbeitet und klare Prozesse hat, kann in drei Monaten zertifizierungsreif sein. Ein Mittelständler mit gewachsenen IT-Strukturen, fünf Standorten und 500 Beschäftigten braucht deutlich länger, weil allein die Scope-Definition und die Asset-Erfassung Wochen in Anspruch nehmen.
| Unternehmensgröße | Mit ISMS-Plattform | Mit Berater / manuell | Typische Verzögerungen |
|---|---|---|---|
| KMU (unter 50 MA) | 3-6 Monate | 6-12 Monate | Fehlendes Management Commitment, knappe Personalressourcen |
| Mittelstand (50-500 MA) | 6-9 Monate | 9-15 Monate | Komplexer Scope, viele Standorte, gewachsene IT-Landschaft |
| Enterprise (über 500 MA) | 9-14 Monate | 12-18 Monate | Abstimmung zwischen Abteilungen, internationale Standorte, M&A-Altlasten |
Statt 9-12 Monate mit einem Berater rechnen viele KMU mit einer ISMS-Plattform wie SECJUR mit 3-6 Monaten. Der Zeitvorteil entsteht, weil die Plattform Workflows, Vorlagen und Control-Mappings mitbringt, die bei manueller Umsetzung Wochen an Recherchearbeit kosten.
Die größten Zeitfresser in der Praxis sind selten technische Herausforderungen. Viel häufiger verzögern organisatorische Faktoren die Zertifizierung: fehlende Freigaben der Geschäftsleitung, knappe Personalressourcen im Projektteam oder Abstimmungsschleifen zwischen Abteilungen. Unternehmen, die von Anfang an einen Projektverantwortlichen benennen und feste wöchentliche Slots für ISMS-Arbeit blocken, kommen erfahrungsgemäß deutlich schneller voran.
Ein weiterer Faktor, den viele unterschätzen: die Auditorenkapazität. Akkreditierte Auditoren sind gefragt, Wartezeiten von 8 bis 12 Wochen zwischen Buchung und Audit-Termin sind keine Seltenheit. Wer im Q4 zertifizierungsreif sein will, sollte den Auditor spätestens im Q2 buchen. ISMS-Plattformen helfen hier nicht bei der Terminfindung, aber sie verkürzen die Vorbereitungszeit, sodass der gebuchte Termin auch tatsächlich eingehalten werden kann.
Die Kosten einer ISO 27001 Zertifizierung hängen von Unternehmensgröße und Komplexität ab. Eine detaillierte Kostenübersicht finden Sie in unserem Artikel zu den ISO 27001 Zertifizierungskosten.
Ein ISO 27001 Zertifikat ist drei Jahre gültig. Das heißt nicht, dass nach der Zertifizierung drei Jahre lang nichts passiert. In den Jahren zwischen Erst- und Rezertifizierung finden jährliche Überwachungsaudits statt, die sicherstellen, dass das ISMS weiterhin wirksam betrieben wird. Der Aufwand für ein Überwachungsaudit beträgt etwa ein Drittel des Erstaudits, also 1-3 Tage statt 3-10 Tage.
Jahr 1 (Erstaudit): Stage 1 + Stage 2 Audit, Zertifikatsausstellung. Der größte Aufwand liegt hier, weil das gesamte ISMS erstmalig geprüft wird.
Jahr 2 (Überwachungsaudit 1): Stichprobenartige Prüfung, ob das ISMS weiterhin funktioniert. Der Auditor fokussiert sich auf Bereiche, die im Erstaudit Findings hatten, und prüft, ob Korrekturmaßnahmen umgesetzt wurden.
Jahr 3 (Überwachungsaudit 2): Ähnlich wie Überwachungsaudit 1, aber mit erweitertem Prüfumfang. Bereiche, die im Jahr 2 nicht geprüft wurden, kommen jetzt dran.
Nach Jahr 3 (Rezertifizierung): Ein vollständiges Audit, vergleichbar mit dem Erstaudit. Bei Bestehen beginnt ein neuer 3-Jahres-Zyklus.
Wenn der Auditor während eines Überwachungsaudits schwerwiegende Abweichungen feststellt (Major Nonconformities), setzt die Zertifizierungsstelle eine Frist zur Nachbesserung. Wird die Frist nicht eingehalten, kann das Zertifikat ausgesetzt oder entzogen werden. In der Praxis kommt das selten vor, weil Unternehmen die Nachbesserungen ernst nehmen. Häufiger sind Minor Nonconformities, die beim nächsten Audit erneut geprüft werden.
Ein häufiger Irrtum: Das Überwachungsaudit ist keine Wiederholung des Erstaudits. Der Auditor prüft stichprobenartig, ob das ISMS weiterhin funktioniert und ob seit dem letzten Audit Verbesserungen umgesetzt wurden. Er konzentriert sich auf Bereiche mit früheren Findings und auf Veränderungen im Unternehmen (neue Standorte, geänderte IT-Infrastruktur, Personalwechsel in Schlüsselpositionen). Unternehmen, die ihr ISMS als lebendes System betreiben statt als Projekt mit Enddatum, bestehen Überwachungsaudits ohne größere Überraschungen.
Ja, eine partielle ISO 27001 Zertifizierung ist möglich. Unternehmen können den Geltungsbereich (Scope) nach Klausel 4.3 auf bestimmte Standorte, Abteilungen oder IT-Systeme einschränken. Das Zertifikat gilt dann nur für den definierten Scope, nicht für das gesamte Unternehmen.
Wann ist eine partielle Zertifizierung sinnvoll? Drei typische Szenarien:
Praxisbeispiel
SaaS-Startup: Ein Softwareunternehmen mit 30 Mitarbeitenden zertifiziert nur die Cloud-Infrastruktur und den Entwicklungsprozess. Die Verwaltung (HR, Finance) bleibt außerhalb des Scopes. Vorteil: Schnellere Zertifizierung, geringerer Aufwand. Nachteil: Das Zertifikat deckt nicht das gesamte Unternehmen ab, was bei manchen Ausschreibungen nicht ausreicht.
Pilotierung im Konzern: Ein Mittelständler mit 5 Standorten zertifiziert zunächst den Hauptsitz, um den Prozess zu erproben. Die anderen Standorte folgen in einem späteren Zyklus.
M&A-Situation: Nach einer Übernahme wird das ISMS des übernommenen Unternehmens separat zertifiziert, bevor die Integration in das bestehende System erfolgt.
Die Grenze der partiellen Zertifizierung: Der Scope muss intern konsistent sein. Es ist nicht möglich, einzelne Klauseln der Norm auszuschließen. Alle Anforderungen der Klauseln 4-10 gelten uneingeschränkt, nur der organisatorische Geltungsbereich kann eingeschränkt werden. Der Auditor prüft auch die Schnittstellen: Wenn der zertifizierte Bereich von nicht-zertifizierten Abteilungen abhängt (z. B. IT-Betrieb durch eine nicht im Scope befindliche IT-Abteilung), muss das ISMS diese Abhängigkeiten adressieren.
Strategisch empfiehlt sich ein enger Scope als Einstieg, der im nächsten Zertifizierungszyklus erweitert wird. So sammelt das Unternehmen Erfahrung mit dem Audit-Prozess, bevor es das gesamte Unternehmen einbezieht. Details zur Scope-Definition finden Sie im Artikel zum ISMS-Scope.
Der Weg zur ISO 27001 Zertifizierung bindet interne Ressourcen: Risikobewertungen erstellen, Controls dokumentieren, Nachweise sammeln, SoA pflegen. Mit dem SECJUR Digital Compliance Office lässt sich dieser Aufwand um bis zu 50 % reduzieren.
Automatisierte SoA und Control-Mapping
Die Plattform generiert die Statement of Applicability automatisch und mappt Controls über Standards hinweg. Wer ISO 27001 umsetzt, bekommt die TISAX- und NIS2-Zuordnung gleich mit.
Integriertes Risikomanagement
Risikoinventar, Bewertungsmatrix und Behandlungspläne auf einer Plattform. Kein Wechsel zwischen Excel-Tabellen, SharePoint-Ordnern und E-Mail-Threads.
Audit-Dashboard mit Nachweisführung
Alle Dokumente, Schulungsnachweise und Audit-Protokolle zentral. Wenn der Auditor fragt, ist der Nachweis einen Klick entfernt.
Ein Vorteil, der sich erst nach der Erstzertifizierung zeigt: Das ISMS bleibt im Unternehmen. Anders als bei einer Berater-Implementierung, bei der das Know-how beim Berater liegt, dokumentiert die Plattform alle Prozesse, Risikobewertungen und Control-Nachweise zentral. Wenn der Auditor zum Überwachungsaudit kommt, sind alle Nachweise verfügbar, ohne dass ein externer Berater reaktiviert werden muss.
SECJUR ist ab 10.000 Euro verfügbar. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 %, weil die Plattform Workflows, Vorlagen und Mappings mitbringt, die bei manueller Umsetzung Wochen kosten. Für Unternehmen, die neben ISO 27001 auch TISAX oder NIS2 umsetzen müssen, ist das Cross-Standard-Mapping besonders wertvoll: Überschneidungen zwischen den Standards werden automatisch erkannt, sodass Controls nicht doppelt implementiert werden. Wer heute mit dem ISMS-Aufbau beginnt, kann mit der richtigen Plattform innerhalb eines Quartals zertifizierungsreif sein.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Die häufigsten Fragen zum Thema
Ein ISO 27001 Zertifikat bestätigt, dass ein Unternehmen ein Informationssicherheits-Managementsystem (ISMS) nach dem internationalen Standard ISO/IEC 27001 betreibt. Es wird von einem akkreditierten Auditor nach einem zweistufigen Audit (Stage 1 und Stage 2) ausgestellt und ist drei Jahre gültig.
Die Zertifizierungskosten hängen von der Unternehmensgröße ab. Die reinen Auditkosten liegen im ersten Jahr typischerweise zwischen 9.000 und 25.000 Euro. Hinzu kommen interne Kosten für den ISMS-Aufbau. ISMS-Plattformen wie SECJUR sind ab 10.000 Euro verfügbar und können den internen Aufwand um bis zu 50 % senken.
Eine gesetzliche Pflicht zur ISO 27001 Zertifizierung gibt es in Deutschland nicht. Allerdings fordert NIS2 von betroffenen Einrichtungen Risikomanagement-Maßnahmen, die praktisch ein ISMS voraussetzen. Viele Unternehmen werden durch Kundenanforderungen, Ausschreibungen oder Branchenstandards wie TISAX zur Zertifizierung verpflichtet.
Die Dauer hängt von Unternehmensgröße und eingesetzten Werkzeugen ab. KMU mit einer ISMS-Plattform schaffen die Zertifizierung in 3-6 Monaten, mit klassischer Beratung in 6-12 Monaten. Mittelständler benötigen 6-15 Monate, Großunternehmen 9-18 Monate.
Die drei Grundprinzipien der ISO 27001 sind Vertraulichkeit (nur autorisierte Personen haben Zugriff auf Informationen), Integrität (Informationen sind vollständig und korrekt) und Verfügbarkeit (Informationen sind bei Bedarf zugänglich). Diese drei Schutzziele bilden die sogenannte CIA-Triade.
Dokumentenlenkung regelt, wie Dokumente erstellt, freigegeben, verteilt und archiviert werden. Ein großer Teil der Audit-Befunde dreht sich um ein einfaches Problem: Niemand weiß, welche Version gültig ist.
Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz.
Das NIS2UmsuCG verlangt Business Continuity Management. Dieser Artikel erklärt, wie Unternehmen BIA, Notfallpläne und Tabletop-Übungen aufbauen, die im Ernstfall und bei einer BSI-Prüfung bestehen.
.svg)
.svg)
.svg){kind=small}