ISO 27001 Berater: Worauf es bei Auswahl, Mandat und Nachweis ankommt
Ein ISO 27001-Berater beschleunigt die Zertifizierungsvorbereitung erheblich – wenn er mit dem richtigen Mandat, nachweisbarer Qualifikation und einer Plattform arbeitet, die auditfeste Dokumentation erzeugt.
ISO/IEC 27001:2022 ist seit Oktober 2022 die aktuelle Fassung des ISMS-Standards. Wer heute eine Zertifizierung anstrebt oder ein bestehendes Zertifikat auf den neuen Stand überführt, steht vor einem strukturierten Implementierungsaufwand: 93 Kontrollen, Risikoanalyse nach Klausel 6.1, Statement of Applicability und ein internes Audit-Programm.
Ein qualifizierter ISO 27001-Berater verkürzt diesen Weg erheblich. Er bringt Methodik, Vorlagen und Auditoren-Perspektive mit. Entscheidend ist jedoch die Auswahl: Nicht jeder Berater, der ISO 27001 auf seiner Website angibt, liefert die Tiefe, die ein Stage-2-Audit erfordert. Dieser Artikel beschreibt, worauf bei der Auswahl zu achten ist.
Auf einen Blick
- Ein ISO 27001-Berater liefert Methodik und Vorlagen für die Zertifizierungsvorbereitung – er ersetzt jedoch nicht die benannte ISB-Funktion, die regulatorisch verlangt wird.
- Qualifikationsnachweis (Lead Auditor oder Lead Implementer) und eine nachweisbare Referenzliste mit vergleichbaren Projekten sind Mindestanforderungen bei der Beraterauswahl.
- Ein Berater, der mit einer Compliance-Plattform arbeitet, erzeugt auditfeste Dokumentation im laufenden Prozess – statt Berichte zu liefern, die nach dem Projektenede veralten.
Berater vs. ISB: Zwei unterschiedliche Rollen
Ein ISO 27001-Berater erbringt projektbasierte Dienstleistungen: Gap-Assessment, Dokumentationserstellung, Schulung, Audit-Vorbereitung. Er trägt keine fortlaufende Verantwortung für das ISMS und wird nicht formal als Beauftragter bestellt. Nach Projektabschluss endet sein Mandat.
Ein Informationssicherheitsbeauftragter (ISB) ist eine dauerhaft bestellte Person mit Berichtslinie zur Geschäftsleitung und Verantwortung für den laufenden ISMS-Betrieb. § 30 BSIG und ISO/IEC 27001:2022 Klausel 5.3 verlangen diese fortlaufende Verantwortungszuweisung – eine projektbasierte Beratungsleistung allein erfüllt diese Anforderung nicht.
In der Praxis arbeiten Berater und ISB häufig zusammen: Der Berater baut das ISMS auf, der ISB pflegt es. Im CIVAC-Modell können beide Rollen aus einer Plattform bedient werden – mehr dazu unter Informationssicherheitsbeauftragter bei CIVAC.
Qualifikationsanforderungen: Was ein guter ISO 27001-Berater mitbringt
Mindestqualifikationen, die ein ISO 27001-Berater nachweisen sollte: Erstens, ISO/IEC 27001 Lead Auditor oder Lead Implementer (akkreditiert nach ISO/IEC 17024 oder von einer anerkannten Stelle wie IRCA, BSI-UK, TÜV). Zweitens, nachweisbare Projektreferenzen – mindestens zwei bis drei abgeschlossene Zertifizierungsprojekte in vergleichbaren Unternehmensgrößen.
Drittens, aktuelle Kenntnisse der ISO/IEC 27001:2022 (nicht der veralteten 2013-Fassung): Die 2022-Revision hat strukturelle Änderungen an Anhang A gebracht (von 114 auf 93 Kontrollen, neue Themenstruktur). Ein Berater, der noch mit der alten Kontrollstruktur arbeitet, erzeugt Dokumentation, die im Zertifizierungsaudit Nachfragen auslöst.
Zusatzqualifikationen, die je nach Scope relevant sind: BSI-Grundschutz-Praktiker oder -Auditor (für Behörden und KRITIS), CISSP oder CISM (für tiefere technische Kompetenz), ISO/IEC 27701 (Privacy Information Management, relevant bei DSB-Überschneidung).
Was ein ISO 27001-Beratungsmandat umfassen sollte
Ein vollständiges Beratungsmandat für eine Erstzertifizierung umfasst typischerweise: Gap-Assessment gegen ISO/IEC 27001:2022 Anhang A (alle 93 Kontrollen), Erstellung oder Review der ISMS-Basisdokumente (Scope, Policy, Risikomethodik, SoA, Risikoregister), Begleitung der Risikoanalyse und -behandlung nach Klausel 6.1, Durchführung oder Begleitung des internen Audits nach ISO 19011.
Außerdem: Vorbereitung der Managementbewertung nach Klausel 9.3, Begleitung des Stage-1- und Stage-2-Audits (als Ansprechpartner für den Zertifizierungsauditor), Nacharbeit von Nonkonformität-Befunden falls nötig. Optional: Schulung der Mitarbeitenden und Schulung der internen Auditoren.
Was ein Berater nicht leisten kann: die formale Bestellfunktion als ISB. Diese muss separat – intern oder über Officer-as-a-Service – geregelt werden.
Tagessätze und Gesamtkosten realistisch kalkulieren
ISO 27001-Berater berechnen in Deutschland Tagessätze zwischen 1.200 und 2.200 Euro (netto), abhängig von Qualifikation, Branchenfokus und geografischer Lage. Für eine vollständige Erstzertifizierungsbegleitung (Gap-Assessment bis Stage-2-Audit) sind typischerweise 15 bis 35 Beratertage anzusetzen.
Das ergibt Beratungskosten zwischen 18.000 und 77.000 Euro. Hinzu kommen Reisekosten, interne Aufwände und die Zertifizierungskosten bei der akkreditierten Stelle (5.000 bis 15.000 Euro für KMU). Pauschalprojekte werden von manchen Beratern angeboten und sind für KMU kalkulierbarer als reine Tagessatzmodelle.
Ein Berater, der mit einer strukturierten Compliance-Plattform arbeitet, kann den Dokumentationsaufwand erheblich reduzieren: Statt jedes Dokument von Grund auf zu erstellen, werden 37 einsatzbereite Audit-Vorlagen aus dem CIVAC-Workspace adaptiert. Das reduziert Beratertage und senkt den Gesamtpreis für den Kunden.
Typische Fehler bei der Beraterauswahl
Vier häufige Fehler bei der Auswahl eines ISO 27001-Beraters. Erstens: Qualifikation nicht geprüft. Ein Berater, der ISO 27001 auf seiner Website angibt, muss kein Lead Auditor sein. Fordern Sie die Zertifikatnummer und Ausstellungsdatum an. Zweitens: Keine Referenzprüfung. Sprechen Sie mit einem Referenzkunden aus einer vergleichbaren Branche und Unternehmensgröße.
Drittens: Zu breiter Scope im ersten Schritt. Ein Berater, der empfiehlt, das gesamte Unternehmen in Scope zu nehmen, ohne vorher den Aufwand zu analysieren, erzeugt eine Kostenüberschreitung. Ein guter Berater empfiehlt einen minimalen, aber vollständigen Scope für die Erstzertifizierung. Viertens: Dokumentation ohne Plattform. Berater, die Dokumente als Word-Dateien im E-Mail-Anhang liefern, erzeugen im laufenden ISMS-Betrieb einen Dokumentationsbruch.
Übergang von ISO 27001:2013 auf 2022: Was Berater leisten müssen
Die Übergangsfrist von ISO/IEC 27001:2013 auf ISO/IEC 27001:2022 endete im Oktober 2025. Unternehmen, die noch mit der alten Fassung zertifiziert sind, müssen bei der nächsten Rezertifizierung auf die neue Norm wechseln. Ein ISO 27001-Berater, der den Übergang begleitet, muss die strukturellen Unterschiede kennen: Anhang A wurde von 114 auf 93 Kontrollen konsolidiert, neue Kontrollen wurden hinzugefügt (u. a. Bedrohungsanalyse, Information Security für Cloud-Services, Datenmaskierung).
Das Statement of Applicability muss gegen die 93 neuen Kontrollen aktualisiert werden. Bestehende Dokumente, die auf die alte Kontrollstruktur verweisen, müssen angepasst werden. Ein erfahrener Berater führt zunächst einen Delta-Assessment durch, um den tatsächlichen Anpassungsaufwand zu ermitteln.
Im CIVAC-Workspace sind die Audit-Vorlagen auf ISO/IEC 27001:2022 ausgerichtet. Mehr zum Übergang unter ISO 27001:2022 Übergang bei CIVAC.
Interne vs. externe Durchführung des internen Audits
ISO/IEC 27001:2022 Klausel 9.2 verlangt ein internes Audit-Programm. Das interne Audit kann von internen Auditoren oder externen Beratern durchgeführt werden – entscheidend ist die Unparteilichkeit: Der Auditor darf nicht die eigene Arbeit prüfen.
Für KMU ohne interne Auditoren-Kapazität empfiehlt sich die externe Durchführung durch den ISO 27001-Berater, sofern dieser nicht derselbe ist, der die Dokumentation erstellt hat. Alternativ kann ein zweiter Berater oder ein spezialisierter Auditor das interne Audit durchführen.
Das interne Audit ist oft der entscheidende Qualitätspunkt vor dem Zertifizierungsaudit: Was hier nicht gefunden und behoben wird, findet der Zertifizierungsauditor im Stage-2-Audit – mit höheren Konsequenzen. Ein gutes internes Audit ist keine Formalität, sondern eine Systemprüfung mit echten Befunden.
Berater und Plattform: Wie beides zusammenwirkt
Ein ISO 27001-Berater, der mit einer Compliance-Plattform arbeitet, erzeugt auditfeste Dokumentation im laufenden Prozess: Risikoregister, SoA, Audit-Aufzeichnungen und Schulungsnachweise liegen im selben System, sind verknüpft und jederzeit exportierbar. Das ist strukturell überlegen gegenüber dem klassischen Modell mit Word-Dokumenten und E-Mail-Anhängen.
Im CIVAC-Workspace arbeiten Berater und interne ISB-Funktion in derselben Umgebung. Das Projekt-Modul führt durch die fünf Kernschritte: Scope, Uploads, Rückfragen, Risiken, Bericht. Der KI-Assistent mit Konfidenz-Score gibt zitierbare Antworten zu ISO 27001-Kontrollfragen – ohne Mehraufwand für manuelle Recherche.
Nach Projektabschluss bleibt die Dokumentation in der Plattform aktiv. Der ISB pflegt das ISMS weiter, ohne auf den Berater angewiesen zu sein. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.
ISO 27001-Beratung und Plattform kombinieren
Ein qualifizierter ISO 27001-Berater und eine strukturierte Compliance-Plattform sind keine Alternativen – sie ergänzen sich. Der Berater liefert Methodik und Auditoren-Perspektive, die Plattform erzeugt auditfeste Dokumentation im laufenden Betrieb. CIVAC verbindet beides: 37 Audit-Vorlagen, 93 Controls im Workspace und – optional – ein zertifizierter CIVAC-Partner als ISB oder Berater.
Lizenzieren Sie den Workspace für Ihre internen Beauftragten – oder lassen Sie einen zertifizierten CIVAC-Partner als ISB bestellen. Bestellurkunde in zwei Werktagen. Aus dem Lesen einen Auftrag machen: info@civac.de.
FAQ
Was ist der Unterschied zwischen einem ISO 27001-Berater und einem ISB?
Ein Berater erbringt projektbasierte Dienstleistungen (Gap-Assessment, Dokumentation, Audit-Vorbereitung) ohne dauerhafte ISMS-Verantwortung. Ein ISB ist dauerhaft bestellt und verantwortlich für den laufenden ISMS-Betrieb. ISO/IEC 27001:2022 verlangt beides: Beratungsleistung für den Aufbau und eine benannte ISB-Funktion für den Betrieb.
Wie erkenne ich einen qualifizierten ISO 27001-Berater?
Mindestens: akkreditiertes ISO/IEC 27001 Lead Auditor oder Lead Implementer-Zertifikat, Referenzliste mit vergleichbaren Projekten und Kenntnisse der 2022-Revision (nicht nur der alten 2013-Fassung). Fordern Sie Zertifikatnummer und Ausstellungsdatum an.
Wie viele Beratertage benötigt eine Erstzertifizierung?
Für KMU mit 100 bis 500 Mitarbeitenden sind typischerweise 15 bis 35 Beratertage anzusetzen, abhängig von Scope und Reife des bestehenden ISMS. Pauschalprojekte sind für KMU kalkulierbarer als reine Tagessatzmodelle.
Kann ein Berater auch das interne Audit durchführen?
Ja, sofern er nicht dieselbe Person ist, die die zu prüfende Dokumentation erstellt hat (Unparteilichkeit nach ISO/IEC 27001:2022 Klausel 9.2). Bei kleinen Projekten empfiehlt sich ein zweiter externer Auditor für das interne Audit.
Brauche ich für den ISO 27001-Übergang von 2013 auf 2022 einen neuen Berater?
Nicht zwingend, aber der Berater muss die strukturellen Unterschiede der 2022-Revision kennen. Ein Delta-Assessment sollte den tatsächlichen Anpassungsaufwand ermitteln, bevor die Überarbeitung beginnt.
Was kostet ein ISO 27001-Berater im Vergleich zur internen Lösung?
Tagessätze liegen zwischen 1.200 und 2.200 Euro. Für eine vollständige Erstzertifizierungsbegleitung entstehen 18.000 bis 77.000 Euro Beratungskosten. Eine interne Lösung erfordert eine qualifizierte Person mit ausreichend Zeit – das ist in vielen KMU wirtschaftlich nicht darstellbar.
Quellen
Aus dem Lesen einen Auftrag machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.
