ISMS-Berater im Vergleich: Externer Aufbau eines ISO/IEC 27001:2022 Systems

Ein ISMS-Berater führt das Informationssicherheits-Managementsystem (ISMS) eines Unternehmens von einer ersten Reifegradanalyse bis zur Zertifizierungsbereitschaft nach ISO/IEC 27001:2022. Die Norm verlangt einen risikobasierten Ansatz mit dokumentierten Prozessen für alle 93 Controls aus Anhang A, ein Statement of Applicability (SoA), eine Risikobewertung und Risikobehandlungsplaene, internes Audit und Management-Review. Der Aufbau dauert in der klassischen Beratung zwischen sechs und vierundzwanzig Monaten, abhaengig von Unternehmensgroesse, Vorbereitungsstand und Verfuegbarkeit interner Ressourcen. Der Erstzertifizierungsaufwand liegt bei mittelgrossen Unternehmen typischerweise zwischen 60.000 und 250.000 Euro Beratungshonorar zuzueglich Zertifizierungskosten der Prüfstelle. Diese Kosten sind ein Hauptgrund, warum sich Unternehmen die Frage stellen, welches Modell sich tatsaechlich rechnet.

Dieser Beitrag ordnet die Rolle des ISMS-Beraters ein, vergleicht klassische Beratung mit Plattform-gestuetzter Eigenleistung und Officer-as-a-Service und zeigt, wie CIVAC als Compliance-Plattform und Officer-as-a-Service den Aufbau auf einen prüfbaren Pfad bringt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle muenden in denselben Nachweis. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Wahl ist daher nicht nur eine Kosten-, sondern eine Steuerungsentscheidung, die die naechsten drei Auditzyklen praegt. Wer den Aufbau jetzt anstoesst, sichert sich Optionen auf Kundenbeziehungen, die ohne Zertifikat verloren gehen wuerden.

Ein ISMS-Berater begleitet typischerweise vier Phasen. Erstens eine Reifegradanalyse, in der der Status quo gegen die Normanforderungen abgeglichen wird, einschliesslich Bestandsaufnahme der vorhandenen Prozesse, Dokumente und Kontrollen. Zweitens den Aufbau, der das Statement of Applicability, die Informationssicherheitsleitlinie, die Risikobewertung und die Risikobehandlung umfasst, ergaenzt um Verfahrensanweisungen für alle 93 Controls aus Anhang A der ISO/IEC 27001:2022. Drittens den Probelauf mit internem Audit, Management-Review und Behebung der gefundenen Maengel. Viertens die Begleitung des externen Stage-1- und Stage-2-Audits durch eine akkreditierte Zertifizierungsstelle.

Die Norm verlangt mehrere konkrete Artefakte. Das Statement of Applicability begruendet für jedes der 93 Controls, ob es anwendbar ist und wie es umgesetzt wird. Die Risikobewertung identifiziert Bedrohungen und Schwachstellen, bewertet Auswirkungen und Eintrittswahrscheinlichkeiten und leitet Risikoeigentuemer ab. Die Risikobehandlung dokumentiert akzeptierte, vermiedene, verlagerte oder geminderte Risiken mit Maßnahmen, Verantwortlichen und Fristen. Hinzu treten Awareness-Trainings, Lieferantenbewertungen, Incident Response und kontinuierliche Verbesserung in einem Plan-Do-Check-Act-Zyklus.

Die Beratungsleistung ist erfolgreich, wenn das ISMS gelebt wird und nicht nur als Aktenstapel existiert. Aufsichtsbehoerden und Auditoren erkennen schnell, ob ein ISMS aufgesetzt oder verankert ist. Der CIVAC-Workspace führt jede Anforderung auf eine Audit-Vorlage und einen Verantwortlichen zurück, sodass Bestellungen, Schulungen und Reviews in einer Berichtslinie zusammenlaufen. Der Informationssicherheitsbeauftragte arbeitet damit nicht im Word-Dokument, sondern in einer prüfbaren Steuerungsumgebung mit Versionierung und Audit-Trail. Diese Verankerung ist der Unterschied zwischen einem Zertifikat und einem belastbaren Schutzniveau. Auch die Wechselwirkungen mit NIS-2 und der DSGVO gehoeren zum methodischen Kern, weil die Norm explizit auf integrierte Managementsysteme verweist und Doppelarbeiten zwischen Cyber-, Datenschutz- und Lieferantenrisiken vermeidet.

Externe Beratung ist sinnvoll, wenn intern weder methodische Erfahrung noch Kapazitaet vorhanden ist und das Unternehmen einen festen Zertifizierungstermin hat. Typische Anlaesse sind eine Kundenanforderung nach Zertifikat, eine Ausschreibung mit ISO/IEC 27001 als Mindestkriterium, eine NIS-2-Pflicht oder eine Konzernvorgabe. In diesen Faellen liefert ein erfahrener Berater eine strukturierte Roadmap, Erfahrung aus mehreren Projekten und einen externen Antreiber, der die Geschäftsleitung an Ergebnisse erinnert. Die Wirkung haengt entscheidend von der Verfuegbarkeit interner Ansprechpartner ab.

Weniger sinnvoll ist klassische Beratung, wenn interne Kompetenz vorhanden ist oder wenn die Beratung als Substitut für interne Verantwortung gedacht ist. ISMS-Beratung kann ein System aufbauen, aber nicht betreiben. Sobald der Berater geht, fehlt der Antreiber, und das System veraltet binnen Monaten. Ohne interne Verankerung verfaellt das Zertifikat in der Surveillance-Audit-Phase wieder, oft sichtbar an Maengellisten, die nicht abgearbeitet werden. Die Alternative ist ein Modell, in dem die Plattform die Steuerung übernimmt und der Berater die Methodikbeitraege liefert.

CIVAC bietet daher zwei Modelle als Alternative zur klassischen Stundensatzberatung. Erstens den Workspace für interne ISBs mit 490 Audit-Vorlagen, vorgefertigtem SoA-Geruest, Risikoregister und Auditmodus. Zweitens den Officer-as-a-Service, bei dem ein externer ISB bestellt wird, der das ISMS dauerhaft führt. Die Wahl haengt von der internen Personalstaerke und der Risikoexposition ab. In beiden Faellen wird die Beratungsleistung zur Steuerungsleistung, mit klarer Bestellurkunde und SLA. Bestellurkunde, unterschrieben, abgelegt, belegbar. Eine ehrliche Gegenueberstellung beider Modelle über drei Auditzyklen zeigt regelmäßig, dass die fortlaufenden Steuerungskosten über die Plattform niedriger sind als wiederkehrende Beratungshonorare bei jeder Rezertifizierung und beim Surveillance-Audit.

Die Auswahl eines ISMS-Beraters folgt drei Kriterienkomplexen. Erstens persoenliche Zertifikate wie ISO/IEC 27001 Lead Auditor, ISO/IEC 27001 Lead Implementer, CISSP oder CISM. Diese sind notwendige Bedingung, ersetzen aber keine Projekterfahrung. Zweitens Branchenerfahrung in vergleichbaren Sektoren, weil regulatorische Erwartungen je nach Branche stark variieren. Ein Berater mit Erfahrung in Finanzdienstleistung kennt MaRisk und DORA, ein Berater im Gesundheitswesen kennt KHZG und das medizinische Hygienerecht. Drittens Referenzen mit Zertifizierungserfolg, idealerweise mit Aussagen ehemaliger Kunden zur tatsaechlichen Verankerung des Systems nach Projektende.

Hilfreich ist eine Probesitzung mit einer konkreten Aufgabenstellung aus dem eigenen Unternehmen. In einer einstuendigen Sitzung sollte der Berater eine Risikobewertung für einen ausgewaehlten Geschäftsprozess durchsprechen, das Statement of Applicability anhand eines Beispielcontrols erlaeutern und einen pragmatischen Umgang mit einem Schwachstellenbefund vorschlagen koennen. Schwammige Antworten oder reine Verweise auf Standards sind ein Warnsignal. Der gute Berater liefert konkrete Empfehlungen mit Aufwandsabschaetzung und Risikohinweis.

Zu den weichen Kriterien gehoeren Kulturpassung, Kommunikationsstil und Verfuegbarkeit der konkret eingesetzten Personen. Beratungsfirmen verkaufen oft mit Senior-Profilen und liefern Junior-Profile, die nach drei Monaten wechseln. Dies ist im Vertrag mit namentlicher Benennung und Wechselrechten abzusichern. CIVAC adressiert dieses Risiko strukturell, weil die Berichtslinie an einen festen Beauftragten personell stabil bleibt und die Plattform die Wissensbasis traegt, nicht eine einzelne Beraterperson. So vermeiden Sie Wissensverlust bei Personalwechseln und sichern Kontinuitaet über Auditzyklen hinweg. Ergaenzend lohnt sich die Prüfung, ob der Berater Erfahrung mit der konkreten Akkreditierungsstelle Ihrer Prüfstelle hat, weil sich Prüfkulturen zwischen DAkkS-akkreditierten und international agierenden Stellen in Stichprobenwahl und Tiefe unterscheiden.

Die Erstzertifizierung nach ISO/IEC 27001:2022 verursacht in mittelgrossen Unternehmen typischerweise Aufwaende in drei Bloecken. Beratungshonorar zwischen 60.000 und 250.000 Euro, Zertifizierungskosten der Prüfstelle zwischen 8.000 und 30.000 Euro je nach Standortanzahl und Personenstunden, sowie interne Aufwaende von 200 bis 1.200 Personenstunden in der Linienorganisation. Diese internen Aufwaende werden in Beratungsangeboten oft nicht ausgewiesen, sind aber bilanziell relevant und führen in vielen Projekten zur tatsaechlichen Verdoppelung der Gesamtkosten.

Die wichtigsten Kostentreiber sind die Anzahl der Standorte, die Komplexitaet der IT-Landschaft, die Anzahl relevanter Geschäftsprozesse, das vorhandene Reifegradniveau und die Mitwirkungsbereitschaft der Fachbereiche. Ein Unternehmen mit drei Standorten, hybrider Cloud, vorhandener IT-Governance und engagierter Geschäftsleitung erreicht die Zertifizierung in neun bis zwoelf Monaten. Ein Unternehmen mit zehn Standorten, gewachsener IT, schwachem Lieferantenmanagement und konkurrierenden Prioritaeten benötigt achtzehn bis vierundzwanzig Monate und das obere Ende der Kostenspanne. Eine ehrliche Aufwandsschaetzung ist die Grundlage jeder Projektplanung.

Plattform-gestuetzte Modelle senken die Kosten typischerweise um 30 bis 50 Prozent, weil sie Dokumentationsaufwand, Wiederverwendung von Vorlagen und Audit-Vorbereitung automatisieren. Der CIVAC-Workspace bringt 490 Audit-Vorlagen und 93 Control-Datenkarten als Startpunkt und verkuerzt die Erstaufnahme auf zwei Werktage statt der klassischen vier bis acht Wochen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Prüfer ruft an, der Nachweis liegt bereit. Diese Beschleunigung wirkt nicht nur einmalig, sondern bei jedem jaehrlichen Surveillance-Audit und allen drei Jahren Rezertifizierungen erneut. Diese realistischen Zahlen sind in der Investitionsplanung der Geschäftsleitung sauber abzubilden, damit Budget, Personal und Zeit konsistent geplant werden und keine Lieferpflichten gegen knapp budgetierte Surveillance-Audits stossen.

CIVAC verbindet Compliance-Plattform und Officer-as-a-Service. Der Workspace bringt eine Normendatenbank für ISO/IEC 27001:2022 mit allen 93 Controls aus Anhang A, einem SoA-Geruest, einem Risikoregister mit Inherent- und Residual-Risiko, einem Maßnahmenregister, einem Lieferantenregister, einem internen Auditplan und einem Management-Review-Modus. Jede Anforderung ist mit einer Audit-Vorlage verknuepft, die als Ausgangspunkt für die unternehmensspezifische Auspraegung dient und mit Versionsfreigabe durch den ISB final wird.

Der Beauftragte ist entweder Ihr interner ISB, der den Workspace lizenziert, oder unser externer ISB, der über Officer-as-a-Service bestellt wird. In beiden Modellen ist die Berichtslinie an die Geschäftsleitung klar geregelt, die Bestellung schriftlich, die SLA dokumentiert. Der Workspace führt EU-Datenresidenz, Zugriffstrennung, Audit-Trail und Versionierung als Standard. Damit erfuellt das System die Anforderungen an die Dokumentation, die ein externer Auditor in der Prüfung erwartet, und reduziert die Vorbereitungsdauer der Audits erheblich.

Die Beratungsleistung wird zur Steuerungsleistung. Statt Stundensatzberatung mit Stundenzetteln laeuft die Arbeit als gefuehrter Workflow im Workspace ab. Aufgaben werden zugewiesen, Bearbeitungszeit gemessen, Freigaben dokumentiert. Bei einem Surveillance-Audit oder einer Rezertifizierung exportiert der ISB die relevanten Nachweise in unter zwei Werktagen statt der klassischen zwei bis sechs Wochen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle muenden in den gleichen Nachweis und beide Modelle überstehen die Hektik vor dem Audit gleichermassen sauber. Die Doppellizenzierung von Workspace und externem ISB ist im Markt der gefragteste Hybridmodus, weil sie das Wissen extern bewahrt und gleichzeitig die operative Verantwortlichkeit fest beim Unternehmen verankert.

ISO/IEC 27001:2022 verlangt in Kapitel 9 mindestens ein internes Audit pro Jahr und ein dokumentiertes Management-Review. Das interne Audit prüft das ISMS gegen die Norm und die eigenen Richtlinien. Der interne Auditor muss unabhängig vom auditierten Prozess sein, in kleinen Unternehmen wird diese Rolle oft extern besetzt. Der Auditbericht enthaelt Feststellungen, Maengel, Verbesserungsmoeglichkeiten und Empfehlungen. Maengel sind mit Maßnahmen, Verantwortlichen und Fristen zu behandeln und in Folgepruefungen zu verifizieren.

Das Management-Review nach Kapitel 9.3 ist ein periodisches Gespraech der obersten Leitung mit definierten Eingabewerten. Status der Sicherheitsziele, Veraenderungen interner und externer Themen, Ergebnisse interner und externer Audits, Erfuellung der Sicherheitsanforderungen, Status von Maßnahmen aus dem letzten Review, Lieferantenleistung, Vorfaelle und Kennzahlen. Aus dem Review folgen Entscheidungen über Ressourcen, Ziele und Verbesserungen. Ohne dokumentiertes Review gilt das ISMS als nicht gefuehrt und das Zertifikat ist gefaehrdet, weil die obere Leitung ihre Steuerungsverantwortung nicht erfuellt.

Der CIVAC-Workspace führt internes Audit und Management-Review als verzahnte Module mit Vorlagen für Auditplaene, Prüfchecklisten, Audit-Berichte und Review-Protokolle. Maengel werden ins Maßnahmenregister gespielt, Verantwortliche werden benachrichtigt, Fristen werden überwacht. Der externe ISB erstellt damit den Auditbericht und den Management-Review-Vorschlag in unter einer Woche statt der klassischen drei bis sechs Wochen. Diese Geschwindigkeit hebt das ISMS aus der Lieferpflicht in den Steuerungsmodus und verbessert die Qualität der Managementbeschluesse. Auch die Kennzahlen, die in das Review einfliessen, sind im Workspace als Dashboards konfiguriert, sodass die obere Leitung den Trend über mehrere Berichtsperioden sieht und Entscheidungen datenbasiert fallen. Damit verschiebt sich die Rolle des externen ISB von der Akten-pflege zur strategischen Beratung der Geschäftsleitung.

Die haeufigsten Audit-Befunde nach ISO/IEC 27001:2022 betreffen den Bereich Lieferanten und Schnittstellen. Anhang A enthaelt mit den Controls 5.19 bis 5.23 eigene Anforderungen an Lieferantenbeziehungen, die Risikobewertung pro Lieferant, die vertragliche Festlegung von Sicherheitsanforderungen und die fortlaufende Überwachung der Lieferantenleistung. In der Praxis fehlt haeufig die fortlaufende Überwachung, die über den initialen Vertragsabschluss hinaus dokumentierte Sicherheitsbeurteilungen erfordert.

Cloud-Anbieter sind ein Sonderfall. Sie liefern in der Regel SOC-2- oder ISO-27001-Berichte, die in das eigene Lieferantenregister einzubinden sind. Die Verantwortung im Shared-Responsibility-Modell muss klar getrennt werden, einschliesslich Identitaets- und Zugriffsmanagement, Verschluesselung, Patching und Loggings. Eine Bewertung der Konfiguration durch den Kunden ist Pflicht, weil der Anbieter nur die Plattform-Schicht zertifiziert. Wer dies versaeumt, riskiert in der Prüfung eine Maengelnote im Bereich Lieferantenmanagement, die in der Surveillance-Phase regelmäßig zur Aussetzung des Zertifikats führt.

Schnittstellen zu Auftragsverarbeitern nach Art. 28 DSGVO überlagern die Anforderungen. Der ISMS-Berater muss die zwei Sphaeren synchronisieren, damit Lieferantenliste, AVV-Register und Risikobewertung dieselben Daten zeigen. Der CIVAC-Workspace führt eine vereinigte Lieferantenkartei, die ISO-27001-Controls und DSGVO-Pflichten in einer Sicht zusammenfuehrt. Lizenzieren Sie den Workspace oder lassen Sie unsere Beauftragten bestellen. In beiden Faellen sehen ISB und DSB dieselbe Wahrheit, was die haeufigste Quelle widerspruechlicher Prüfaussagen schliesst und Konzern-Reportings kohaerent macht. Diese Synchronisation reduziert Aufwand bei Anfragen von Kunden, Aufsichtsbehoerden und Versicherungen, weil eine einzige Lieferantenliste die Basis für alle Sicht- und Berichtspflichten der Organisation bildet. Auch Subdienstleister Ihrer Lieferanten muessen in die Bewertung einfliessen, wenn sie Zugriff auf Ihre Daten oder Systeme haben, weil das ISMS die gesamte Kette abbildet.

Die Zertifizierung erfolgt durch eine akkreditierte Prüfstelle in zwei Stufen. Stage 1 ist eine Dokumentenpruefung mit Vor-Ort-Termin, in der der Auditor die Dokumentation auf Vollstaendigkeit und grundsaetzliche Geeignetheit prüft. Das Statement of Applicability, die Risikobewertung, die Informationssicherheitsleitlinie, der Auditplan und das Management-Review werden gegen die Norm verglichen. Stage 1 identifiziert Bereiche, die in Stage 2 vertieft geprueft werden, und gibt der Organisation eine letzte Gelegenheit zur Nachbesserung.

Stage 2 ist das eigentliche Zertifizierungsaudit. Der Auditor prüft die Wirksamkeit der Controls anhand von Stichproben in den Fachbereichen, führt Interviews mit Verantwortlichen, prüft Records und Belege und beobachtet Prozesse im Betrieb. Feststellungen werden in Kategorien klassifiziert. Major Nonconformities verhindern die Zertifizierung, bis sie geschlossen sind, Minor Nonconformities ermoeglichen die Zertifizierung mit Aufgaben, Observations sind Hinweise ohne Pflicht. Bei erfolgreichem Audit erteilt die Prüfstelle das Zertifikat für drei Jahre, mit jaehrlichen Surveillance-Audits zwischen den Rezertifizierungen.

Surveillance-Audits sind kleiner als die Erstzertifizierung, aber methodisch identisch. Sie prüfen die kontinuierliche Wirksamkeit des ISMS, die Behebung der Vorjahresfeststellungen und die Aktualitaet der Dokumentation. Ohne lebendes ISMS bestehen Organisationen die Surveillance-Phase nicht, das Zertifikat erlischt. Der CIVAC-Workspace führt für jeden Zertifizierungstermin einen Audit-Modus mit aufbereiteten Dossiers, Maengellisten und Beleg-Indizes. Audit-fest, dokumentiert, paragrafenfest. So gelingen Surveillance-Audits in der Regel ohne Major Nonconformities und mit reduzierter interner Vorlaufzeit. Die Vorbereitung umfasst auch das Briefing der Fachbereichsvertreter, die in Interviews stichhaltige Antworten geben muessen, weil der Auditor die Wirksamkeit nicht aus Dokumenten allein ableitet, sondern aus Aussage und Beleg gleichzeitig.

Wer ein ISMS aufbaut, steht vor der Wahl zwischen klassischem Beratungsprojekt und einem Modell, in dem Plattform und Beauftragter zusammenwirken. Die klassische Beratung liefert Methodik und Aufbau, hinterlaesst aber haeufig eine Dokumentation, die nach Projektende veraltet. CIVAC ersetzt diesen Pfad mit einer Compliance-Plattform und Officer-as-a-Service, in der ISMS-Aufbau, Betrieb und Auditvorbereitung in einer Berichtslinie ablaufen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Damit bleibt das System auch nach der Erstzertifizierung lebendig.

Sie haben zwei Wege. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, dann arbeitet Ihr Informationssicherheitsbeauftragter in einer Umgebung mit EU-Datenresidenz, 93 ISO/IEC 27001:2022 Controls, 490 Audit-Vorlagen und einem strukturierten Modus für interne Audits und Management-Reviews. Oder lassen Sie unsere Beauftragten bestellen. Dann übernimmt CIVAC die Funktion des externen ISB mit Bestellurkunde, Berichtslinie und SLA. Beide Modelle muenden in denselben Nachweis. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Wenn Sie eine Erstzertifizierung planen, ein Surveillance-Audit vorbereiten oder ein bestehendes ISMS aus der Verstaubung holen wollen, entscheidet die Qualität der Steuerung über den Prüfverlauf. CIVAC verkuerzt die Auditvorbereitung auf zwei Werktage statt der klassischen zwei bis sechs Wochen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de/faq, um eine Erstbewertung Ihres ISMS-Reifegrads zu starten. Sie erhalten innerhalb von 24 Stunden eine Rückmeldung mit den naechsten Schritten und einer Aufwandsschaetzung. Die Erstbewertung umfasst eine Lueckenanalyse gegen ISO/IEC 27001:2022, eine indikative Aufwandsschaetzung für beide Modelle und eine Roadmap mit drei Phasen, die mit Ihrer Geschäftsleitung in einer Stunde besprochen werden kann.