ISO 27001: Der Komplett-Guide zu ISMS, Zertifizierung und Kosten

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Die Norm, herausgegeben von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC), definiert Anforderungen an Aufbau, Umsetzung, Betrieb und kontinuierliche Verbesserung eines ISMS. Die aktuelle Version ISO/IEC 27001:2022 löst die Vorgängerversion ISO 27001:2013 ab, die seit Oktober 2025 nicht mehr gültig ist.

Für Unternehmen, die sensible Daten verarbeiten, Kunden in regulierten Branchen bedienen oder gesetzliche Anforderungen wie die NIS2-Richtlinie erfüllen müssen, ist die ISO 27001 Zertifizierung oft der effizienteste Weg, Informationssicherheit systematisch aufzubauen und nachzuweisen. Dieser Guide erklärt, was der Standard fordert, wer ihn braucht, was er kostet und wie der Weg zur Zertifizierung aussieht.

Was ist ISO 27001?

ISO/IEC 27001 ist ein normatives Rahmenwerk, das festlegt, wie Organisationen ein Informationssicherheits-Managementsystem (ISMS) einrichten und betreiben sollen. Ein ISMS ist kein einzelnes Tool oder Dokument, sondern ein systematischer Ansatz: Es umfasst Richtlinien, Prozesse, Verantwortlichkeiten und technische Maßnahmen, die zusammen sicherstellen, dass Vertraulichkeit, Integrität und Verfügbarkeit von Informationen geschützt werden.

Der Standard folgt dem Plan-Do-Check-Act-Zyklus (PDCA). Unternehmen identifizieren Risiken (Plan), setzen Maßnahmen um (Do), prüfen deren Wirksamkeit (Check) und verbessern das System kontinuierlich (Act). Das klingt abstrakt, wird aber sehr konkret: Jede Organisation muss dokumentieren, welche Informationswerte sie schützt, welche Risiken bestehen und welche Maßnahmen sie ergreift. Der Norm liegt ein risikobasierter Ansatz zugrunde: Nicht jede Organisation muss die gleichen Maßnahmen umsetzen, sondern diejenigen, die zu ihrem spezifischen Risikoprofil passen.

ISO 27001 gehört zur ISO/IEC 27000-Familie, einer Sammlung von über 40 Standards rund um Informationssicherheit. Während ISO 27001 die Anforderungen definiert (das "Was"), liefert ISO 27002 den Umsetzungsleitfaden (das "Wie"). Weitere Standards der Familie decken branchenspezifische Anforderungen ab: ISO 27017 und 27018 für Cloud-Sicherheit, ISO 27701 für Datenschutz-Management. Für die Zertifizierung ist ausschließlich ISO 27001 relevant, die übrigen Standards dienen als Orientierungshilfe.

Ein zentrales Missverständnis: ISO 27001 ist kein technischer Katalog, der vorschreibt, welche Firewall oder Verschlüsselung ein Unternehmen einsetzen muss. Der Standard definiert ein Management-System. Er verlangt, dass Unternehmen ihre Informationssicherheitsrisiken systematisch identifizieren, bewerten und behandeln. Welche konkreten technischen Maßnahmen daraus folgen, hängt vom individuellen Risikoprofil ab. Ein SaaS-Startup mit 20 Mitarbeitern implementiert andere Controls als ein Krankenhaus mit 5.000 Beschäftigten. Genau diese Flexibilität macht den Standard branchenübergreifend anwendbar und erklärt, warum er sich weltweit als Referenzrahmen für Informationssicherheit durchgesetzt hat.

Die aktuelle Version ISO/IEC 27001:2022 wurde im Oktober 2022 veröffentlicht und löst die bis dahin gültige Fassung von 2013 ab. Die Übergangsfrist für bestehende Zertifikate nach 2013 endete am 31. Oktober 2025. Seitdem müssen alle Zertifizierungen auf der 2022er-Version basieren. Was sich mit dem Update auf ISO 27001:2022 konkret geändert hat und welche Auswirkungen das auf bestehende ISMS hat, erfahren Sie in unserem separaten Artikel.

In Deutschland ist ISO 27001 eng mit dem BSI IT-Grundschutz verknüpft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet eine eigene Zertifizierungsvariante an: ISO 27001 auf Basis von IT-Grundschutz. Diese Variante kombiniert die ISO-Norm mit dem BSI-Grundschutzkompendium und ist besonders bei Behörden und KRITIS-Betreibern verbreitet. Die internationale Zertifizierung durch akkreditierte Stellen wie TÜV, DEKRA oder DQS ist im privatwirtschaftlichen Umfeld der Regelfall. Beide Wege führen zu einem gültigen ISO 27001 Zertifikat, unterscheiden sich aber im methodischen Ansatz: IT-Grundschutz arbeitet mit vordefinierten Bausteinen und Gefährdungskatalogen, die internationale Variante mit einem offeneren Risikomanagement-Ansatz.

Aufbau und Struktur der ISO 27001

Die ISO 27001 gliedert sich in die Hauptkapitel 4 bis 10 (Anforderungen an das ISMS) und den normativen Anhang A mit 93 Sicherheitsmaßnahmen in vier Kategorien. Die Kapitel 4 bis 10 beschreiben, WAS ein ISMS leisten muss. Der Anhang A beschreibt, MIT WELCHEN Maßnahmen Risiken behandelt werden können.

Der Anhang A enthält 93 Maßnahmen (Controls), aufgeteilt in vier Kategorien: organisatorische Maßnahmen (37), personenbezogene Maßnahmen (8), physische Maßnahmen (14) und technologische Maßnahmen (34). Gegenüber der Vorgängerversion 2013 wurden die ehemals 114 Controls neu strukturiert und um 11 neue Maßnahmen ergänzt, unter anderem zu Threat Intelligence, Cloud-Sicherheit und Datenmaskierung. Was sich mit dem Update auf ISO 27001:2022 konkret geändert hat und welche Migrationsfristen gelten, erfahren Sie in unserem separaten Artikel.

Jede Organisation wählt die für sie relevanten Controls aus und dokumentiert diese Auswahl in der Statement of Applicability (SoA). Die SoA ist eines der zentralen Dokumente im Zertifizierungsaudit: Sie begründet, warum bestimmte Controls angewendet und warum andere ausgeschlossen werden. Eine detaillierte Übersicht aller 93 Controls des Anhang A mit Umsetzungstipps finden Sie in unserem Deep Dive.

Die Kapitel 4 bis 10 bilden den eigentlichen Kern des ISMS. Kapitel 4 verlangt, dass Unternehmen ihren Kontext verstehen: Welche externen und internen Themen beeinflussen die Informationssicherheit? Welche Erwartungen haben Stakeholder wie Kunden, Aufsichtsbehörden oder Geschäftspartner? In Kapitel 5 verpflichtet sich die Geschäftsleitung aktiv zur Informationssicherheit, indem sie eine Sicherheitspolitik festlegt und Rollen zuweist. Kapitel 6 regelt die Risikobeurteilung und Risikobehandlung, also den methodischen Kern des ISMS. Wie Unternehmen das Risikomanagement nach ISO 27001 strukturiert aufbauen, zeigt unser Praxisleitfaden. Die Kapitel 7 und 8 betreffen die operative Umsetzung: Ressourcen bereitstellen, Kompetenzen sicherstellen, dokumentierte Informationen lenken und die geplanten Maßnahmen im Tagesg eschäft umsetzen. Kapitel 9 verlangt Monitoring, interne Audits und ein Management Review, also die systematische Prüfung, ob das ISMS wie geplant funktioniert. Kapitel 10 schließt den Kreis mit Anforderungen an Korrekturmaßnahmen und kontinuierliche Verbesserung.

Der Zusammenhang zwischen den Kapiteln und dem Anhang A ist kritisch: Die Kapitel beschreiben das System, der Anhang A liefert den Maßnahmenkatalog. Unternehmen dürfen Controls aus dem Anhang A nur dann ausschließen, wenn sie nachweisen können, dass das damit adressierte Risiko nicht relevant ist oder anderweitig behandelt wird. In der Praxis wählen die meisten Organisationen 60 bis 80 der 93 Controls aus, die restlichen werden mit Begründung in der SoA als "nicht anwendbar" dokumentiert.

Wer braucht eine ISO 27001 Zertifizierung?

Eine ISO 27001 Zertifizierung ist grundsätzlich freiwillig. Kein Gesetz schreibt die Zertifizierung als solche vor (mit Ausnahme der KRITIS-Betreiber, die gemäß §8a BSIG ein ISMS nachweisen müssen). In der Praxis wird die Zertifizierung aber für immer mehr Unternehmen zur Voraussetzung: regulatorische Anforderungen, branchenspezifische Standards und vertragliche Vorgaben von Kunden und Partnern verlangen faktisch ein zertifiziertes ISMS. Die Frage ist heute weniger, ob sich die Zertifizierung lohnt, sondern wann sie unausweichlich wird.

Besonders relevant: Mit der NIS2-Umsetzung in deutsches Recht betrifft die Pflicht zu "geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen" (§30 NIS2UmsuCG) tausende Unternehmen, die bisher kein formales ISMS betrieben haben. Die zehn Maßnahmenbereiche aus §30 lesen sich wie das Inhaltsverzeichnis eines ISMS: Risikoanalyse, Incident Management, Business Continuity, Lieferkettensicherheit, Schulungen, Kryptographie. Wer das verstanden hat, baut nicht isoliert NIS2-Compliance auf, sondern ein ISMS und erfüllt NIS2 als strukturierte Konsequenz.

Ähnlich verhält es sich in der Automobilbranche: TISAX basiert auf dem VDA ISA-Katalog, der inhaltlich zu rund 70 bis 80 % mit ISO 27001 überlappt. Unternehmen, die ein ISO 27001-konformes ISMS betreiben, haben den Großteil der TISAX-Anforderungen bereits abgedeckt. Auch SOC 2, der im angloamerikanischen Raum verbreitete Standard, überschneidet sich in den Bereichen Security und Availability mit ISO 27001. Ein gut aufgebautes ISMS dient als gemeinsame Basis für mehrere Standards gleichzeitig.

Auch außerhalb regulierter Branchen steigt der Druck. Enterprise-Kunden verlangen von ihren Dienstleistern zunehmend ein ISO 27001 Zertifikat als Vertragsvoraussetzung. In Ausschreibungen öffentlicher Auftraggeber ist die Zertifizierung häufig ein Mindestkriterium, das nicht verhandelbar ist. Für Unternehmen, die international wachsen, kommt hinzu: ISO 27001 ist in über 160 Ländern anerkannt. Wer ein zertifiziertes ISMS betreibt, muss in neuen Märkten nicht bei null anfangen, sondern kann auf eine nachweisbare Sicherheitsstruktur verweisen. Gerade im B2B-Vertrieb verkürzt das die Vertrauensbildung erheblich, weil Security-Fragebögen und individuelle Audits durch den Verweis auf das Zertifikat ersetzt werden können.

Vorteile der ISO 27001 Zertifizierung

Die Zertifizierung nach ISO 27001 ist kein reines Compliance-Projekt. Sie verändert, wie ein Unternehmen mit Informationssicherheit umgeht, und bringt messbare geschäftliche Vorteile. Viele Unternehmen starten die Zertifizierung aus einem konkreten Anlass, etwa weil ein Großkunde das Zertifikat verlangt oder eine neue Regulierung greift. Langfristig profitieren sie aber von Effekten, die über den ursprünglichen Auslöser hinausgehen und sich auf die gesamte Geschäftsentwicklung auswirken.

Ein Aspekt, der häufig unterschätzt wird: Die Zertifizierung zwingt Unternehmen, Informationssicherheit als laufenden Prozess zu etablieren, nicht als einmaliges Projekt. Durch die jährlichen Überwachungsaudits und das verpflichtende Management Review bleibt das Thema auf der Agenda der Geschäftsleitung. Unternehmen, die diesen Zyklus ernsthaft betreiben, erkennen Schwachstellen früher, reagieren schneller auf neue Bedrohungen und reduzieren das Risiko kostspieliger Sicherheitsvorfälle. Die Investition in ein ISMS zahlt sich nicht nur durch externe Anerkennung aus, sondern auch durch eine nachweisbar bessere Sicherheitslage im operativen Betrieb. Für Geschäftsführer ist dabei relevant: Nach §43 GmbHG und §93 AktG haften sie persönlich für die Einrichtung angemessener Sicherheitsvorkehrungen. Ein zertifiziertes ISMS dokumentiert, dass diese Pflicht systematisch erfüllt wird.

"ISO 27001 ist kein Nice-to-have mehr. Durch NIS2, DORA und den zunehmenden Druck in Lieferketten wird die Zertifizierung für viele Unternehmen zur Voraussetzung, um am Markt bestehen zu können. Der Unterschied: Wer das ISMS als strategisches Werkzeug begreift und nicht als Pflichtübung, profitiert doppelt."

Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR

Der Weg zur Zertifizierung: 4 Phasen im Überblick

Der Weg zur ISO 27001 Zertifizierung gliedert sich in vier Phasen: ISMS-Aufbau (3 bis 6 Monate), Zertifizierungsaudit durch eine akkreditierte Stelle (1 bis 2 Monate), jährliche Überwachungsaudits und die Rezertifizierung nach drei Jahren. Die Gesamtdauer von der Entscheidung bis zum Zertifikat liegt typischerweise bei 6 bis 12 Monaten, abhängig vom bestehenden Reifegrad der IT-Sicherheit im Unternehmen.

Ein häufiger Fehler: Unternehmen unterschätzen den Aufwand für Phase 1 und überschätzen den Aufwand für Phase 2. Das Audit selbst dauert wenige Tage. Die Vorbereitung (Richtlinien erstellen, Risiken bewerten, Controls implementieren, Mitarbeiter schulen) ist der zeitintensive Teil. Wer diesen Aufwand strukturiert angeht, kommt schneller durch den gesamten Prozess.

Der Zeitbedarf hängt stark vom bestehenden Reifegrad ab. Unternehmen, die bereits Informationssicherheitsrichtlinien haben, regelmäßig Backups prüfen und ein Berechtigungskonzept pflegen, starten nicht bei null. In solchen Fällen besteht Phase 1 vor allem darin, bestehende Maßnahmen zu dokumentieren und Lücken zu schließen. Organisationen ohne formale Sicherheitsprozesse brauchen dagegen mehr Zeit für den Grundaufbau: Informationswerte identifizieren, Risiken erstmals systematisch bewerten, Verantwortlichkeiten zuweisen und Mitarbeiter für Informationssicherheit sensibilisieren. Eine Gap-Analyse zu Beginn zeigt, wo das Unternehmen steht und welche Maßnahmen Priorität haben.

Wie der Zertifizierungsprozess im Detail abläuft, welche Dokumente benötigt werden und wie Unternehmen sich auf das Audit vorbereiten, erklären wir im Guide zur ISO 27001 Zertifizierung. Die wichtigste Erkenntnis aus der Praxis: Unternehmen, die Phase 1 mit einer klaren Projektstruktur, einem verantwortlichen ISMS-Beauftragten und einer ISMS-Plattform angehen, erreichen die Zertifizierung im Schnitt drei bis vier Monate schneller als Organisationen, die das Projekt nebenbei betreiben. Der ISMS-Aufbau ist ein Vollzeitthema, auch wenn er nicht immer eine Vollzeitstelle erfordert.

Ein weiterer Punkt, den viele Unternehmen erst im Prozess lernen: Die Zertifizierung ist nicht das Ende, sondern der Anfang des ISMS-Lebenszyklus. Die Überwachungsaudits in den Jahren 2 und 3 prüfen, ob das ISMS aktiv gelebt wird. Auditor:innen erkennen schnell, ob ein System nur für das Zertifikat aufgebaut wurde oder tatsächlich im Tagesgeschäft verankert ist. Wer das ISMS von Anfang an als operatives Werkzeug statt als Dokumentationsübung begreift, hat bei den Folge-Audits deutlich weniger Aufwand.

Was kostet die ISO 27001 Zertifizierung?

Die Kosten für eine ISO 27001 Zertifizierung setzen sich aus vier Blöcken zusammen: dem ISMS-Aufbau (intern oder mit Beratung), einer ISMS-Plattform oder einem Tool, den Audit-Gebühren der Zertifizierungsstelle und dem internen Personalaufwand. Die Gesamtkosten variieren stark nach Unternehmensgröße und bestehender Reife der IT-Sicherheit.

Ein verbreiteter Irrtum: Viele Geschäftsführer kalkulieren nur die Audit-Gebühren und sind überrascht, dass der ISMS-Aufbau den Großteil der Kosten ausmacht. Die reinen Audit-Gebühren liegen im ersten Jahr typischerweise zwischen 9.000 und 25.000 Euro. Der Aufbau des ISMS (Beratung, Plattform, interne Ressourcen) kostet ein Vielfaches davon.

Nicht in der Tabelle enthalten ist der interne Personalaufwand. Ohne Plattform rechnen Unternehmen erfahrungsgemäß mit 0,5 bis 1,5 Vollzeitstellen über den Aufbauzeitraum. Der interne Aufwand sinkt erfahrungsgemäß um bis zu 50 %, wenn eine ISMS-Plattform Workflows, Vorlagen und Mappings mitbringt.

Bei der Wahl der Zertifizierungsstelle lohnt sich ein Vergleich. Die Audit-Gebühren variieren zwischen den Anbietern (TÜV Süd, TÜV Nord, DEKRA, DQS, BSI Group) um 20 bis 30 %, und nicht jede Stelle hat Erfahrung mit der jeweiligen Branche. Wichtig: Die Zertifizierungsstelle muss von einer nationalen Akkreditierungsstelle (in Deutschland die DAkkS) akkreditiert sein, damit das Zertifikat international anerkannt wird. Ein ISO 27001 Zertifikat ohne Akkreditierung hat auf dem Markt wenig Wert.

Wichtig bei der Kostenplanung: ISO 27001 ist kein einmaliges Projekt. Die Überwachungsaudits in den Folgejahren kosten etwa ein Drittel des Erstaudits, und das ISMS muss laufend gepflegt werden. Über den gesamten 3-Jahres-Zyklus sollten Unternehmen mit 15.000 bis 45.000 Euro an reinen Audit-Kosten rechnen, plus den laufenden Betriebsaufwand.

Die Kehrseite: Mit einem bestehenden ISMS entfallen häufig kundenspezifische Sicherheitsaudits, die ohne Zertifikat Wochen interner Vorbereitung kosten. Auch die Compliance mit weiteren Standards (NIS2, TISAX, DORA) wird deutlich günstiger, wenn das ISMS bereits steht. Ein ISMS nach ISO 27001 ist keine Kostenstelle, sondern eine Investition, die sich über vermiedene Audit-Kosten, niedrigere Versicherungsprämien und kürzere Vertriebszyklen amortisiert.

ISO 27001 mit SECJUR umsetzen

Der größte Aufwand bei der ISO 27001 Zertifizierung liegt nicht im Audit selbst, sondern im ISMS-Aufbau: Dokumente erstellen, Risiken bewerten, Controls auswählen, Nachweise sammeln, Schulungen organisieren. Genau hier setzt SECJUR mit dem Digital Compliance Office an. Die Plattform bildet den gesamten ISMS-Lebenszyklus ab: vom Asset-Management über die Risikoanalyse bis zur automatischen Generierung der Statement of Applicability. Statt Controls manuell in Excel zu pflegen, mappt SECJUR die Maßnahmen automatisch über Standards hinweg. Wer ISO 27001 umsetzt, bekommt die Zuordnung zu TISAX und NIS2 gleich mit.

Für Unternehmen ohne großes Beratungsbudget ist das der zentrale Unterschied: Statt 9 bis 12 Monate mit einem externen Berater rechnen KMU mit einer Plattform wie SECJUR mit 3 bis 6 Monaten. Die vordefinierten Workflows, integrierten Vorlagen und Control-Sets für ISO 27001:2022 reduzieren den internen Aufwand deutlich, ohne dass die Qualität des ISMS leidet. Die Plattform deckt den vollständigen Prozess ab: Risikomanagement, Control Mapping, SoA-Generator und Audit-Vorbereitung. Dadurch sparen KMU nicht nur Zeit, sondern auch 50 bis 70 Prozent der typischen Beratungskosten ein.

Der Einstieg ist ab 10.000 Euro jährlich möglich. Für Unternehmen, die parallel NIS2, TISAX oder DORA erfüllen müssen, ist der Hauptvorteil kristallklar: Eine einzige, zentrale Basis-Plattform statt mehrerer separater Dokumentationen und Tools. Die Zuordnungen zu verschiedenen Compliance-Frameworks erfolgen automatisch und lassen sich für unterschiedliche Audits parallel nutzen. Das reduziert nicht nur die initiale Einrichtungszeit erheblich, sondern auch die laufenden administrativen und Verwaltungskosten nachhaltig.

Was kostet die ISO 27001 Zertifizierung?

‍

Die Kosten für eine ISO 27001 Zertifizierung können erheblich variieren, abhängig von der Größe und Komplexität der Organisation, dem Standort, der Anzahl der zu zertifizierenden Geschäftseinheiten und den Gebühren der Zertifizierungsstelle. Generell lassen sich die Kosten in drei Hauptbereiche gliedern: Kosten für den Auditor/die Zertifizierungsstelle, interne Aufwände und Kosten für externe Expertise.
‍

1. Kosten für Auditor/Zertifizierungsstelle: Die Auditkosten umfassen die Gebühren der Zertifizierungsstelle für die Durchführung des Zertifizierungsaudits sowie der jährlichen Überwachungsaudits und der Rezertifizierung nach drei Jahren. Die Höhe dieser Gebühren variiert je nach Anbieter und Region. Für ein Unternehmen mit 50 Mitarbeitenden und mittlerer Komplexität kann grob von 10.000 Euro pro Jahr ausgegangen werden. Während die Kosten für das initiale Audit in der Regel am höchsten sind, fallen für die Überwachungsaudits und die Rezertifizierung ebenfalls nicht zu unterschätzende Kosten an.
   ‍
2. Interne Aufwände: Die internen Aufwände umfassen die Zeit und Ressourcen, die Ihre Organisation direkt in die Vorbereitung und Aufrechterhaltung des Informationssicherheitsmanagementsystems (ISMS) investiert. Dazu gehören die Zeit für die Schulung von Mitarbeitern, die Durchführung interner Audits, die Risikobewertung und -behandlung sowie die Implementierung von Sicherheitskontrollen. Diese Kosten können schwer zu quantifizieren sein, da sie stark von der bestehenden Ausgangslage und den internen Kapazitäten abhängen. Eine wesentliche Rolle spielen dabei die Mitarbeiterstunden, die für Planung, Implementierung und Management des ISMS aufgewendet werden. Erneut von 50 Mitarbeitenden in einer Organisation mittlerer Komplexität ausgehend, lässt sich sehr grob sagen, dass ein halber bis zwei Personentage an Aufwänden pro Woche entstehen.
   ‍
3. Kosten für externe Expertise: Viele Organisationen ziehen es vor, externe Berater oder Sicherheitsexperten hinzuzuziehen, um bei der Vorbereitung auf die ISO 27001 Zertifizierung zu unterstützen. Diese Experten können wertvolle Unterstützung bei der Erstellung der erforderlichen Dokumentation, der Implementierung von Sicherheitskontrollen und der Schulung von Mitarbeitern leisten. Die Kosten für externe Beratung variieren ebenfalls stark, je nach Bedarf und Dauer des Projekts, und können von einigen Zehntausenden bis hin zu Hunderttausenden Euro reichen.

‍

Schneller und günstiger zur ISO 27001 dank Automatisierung

‍

Wie wir in diesem Artikel dargestellt haben, ist das Erlangen und Halten der ISO 27001 Zertifizierung komplex und mit teilweise erheblichen Kosten verbunden. Mit unserer Automatisierungsplattform, dem SECJUR Digital Compliance Office (DCO), bauen und managen Unternehmen ihr zertifizierbares ISMS bequem, sparen sich einen Großteil der anfallenden Kosten und verkürzen ihre Zeit zur Zertifizierung signifikant. Dank unserer Expertinnen und Experten sind keine externen Berater notwendig, um Ihr Ziel zu erreichen.

‍

‍