ISO 27001 Beratung in Deutschland 2026: Stundensätze, Tagessätze und realistische Projektkosten

Die ISO/IEC 27001:2022 ist seit dem 31. Oktober 2022 in Kraft und ersetzt mit einer dreijährigen Übergangsfrist die Vorgängerversion 27001:2013. Wer 2026 noch ohne Zertifizierungsplan unterwegs ist, steht unter realem Zeitdruck, denn die Übergangsfrist endet am 31. Oktober 2026. Die typische Reaktion ist die Suche nach externer Beratung, und die erste Frage lautet fast immer: Was kostet das pro Stunde? Die Antwort hängt von vier Hebeln ab: Senioritätsgrad des Beraters, Branchenfokus, Standort und Auftragsdauer. Im deutschen Markt bewegen sich die Stundensätze für ISO 27001 Beratung 2026 zwischen 140 und 320 Euro netto, Tagessätze zwischen 1.200 und 2.400 Euro netto.

Dieser Beitrag schlüsselt die Preisspannen nach Phasen auf, zeigt typische Projektgrößen für Mittelstand und Konzern und ordnet ein, in welchen Konstellationen ein Plattform-plus-Officer-Modell wirtschaftlich unter dem reinen Stundensatz bleibt. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit 93 Controls und 490 Audit-Vorlagen, die in über 200 ISO 27001-Projekten Stundenbudgets messbar reduziert hat. Wir kalkulieren nicht im Stundenraster, sondern liefern monatlich planbare Pauschalen mit klar definiertem Leistungsumfang. Der Vergleich lohnt sich vor jeder Auftragsvergabe, weil die Spannweite zwischen schlechtem und gutem Vertrag bei 50.000 Euro und mehr je Projekt liegen kann. Wir betrachten in diesem Artikel ausschließlich den deutschen Markt und ausschließlich akkreditierte Zertifizierungen nach ISO/IEC 27001:2022, nicht die freien Audit-Varianten ohne Akkreditierung.

Die Bandbreite der Stundensätze für ISO 27001 Beratung in Deutschland teilt sich in drei Segmente. Junior-Consultants mit unter drei Jahren ISMS-Erfahrung werden mit 140 bis 180 Euro netto pro Stunde abgerechnet. Senior-Consultants mit fünf bis zehn Jahren Erfahrung in mehreren Branchen liegen bei 200 bis 260 Euro netto. Lead-Auditoren und Partner mit eigener Zertifizierungserfahrung als TÜV-Auditor oder Akkreditierter Auditor von DEKRA, DQS oder BSI Group erreichen 280 bis 320 Euro netto, in Einzelfällen darüber. Die Standortprämie für München, Hamburg und Frankfurt liegt 10 bis 15 Prozent über dem Bundesdurchschnitt.

Tagessätze liegen typischerweise nicht beim Stundensatz mal acht, sondern darunter, weil Berater bei Tagesbuchungen sieben statt acht Stunden netto kalkulieren und Anfahrtsaufwände einrechnen. Eine Faustregel: Tagessatz = Stundensatz mal 7,2. Wer einen Senior-Consultant für einen GAP-Analyse-Tag bucht, bezahlt 1.600 bis 2.000 Euro netto, Lead-Auditoren erreichen 2.200 bis 2.400 Euro netto. Reisekosten sind in 80 Prozent der Verträge separat abzurechnen, üblich sind 0,42 Euro pro Kilometer, Übernachtungen nach Aufwand bis 180 Euro pro Nacht und Tagesspesen nach BRKG-Satz. Werkstoff- und Lizenzkosten für Tools wie Verinice, ISMS-Portal oder Audit-Vorlagen sind in den meisten Stundensätzen nicht enthalten und werden separat ausgewiesen. Wer eine vollständige Implementierung plant, sollte deshalb nicht nur den Stundensatz, sondern die Total-Cost-of-Compliance vergleichen, also alle Berater-, Tool-, Reise- und internen Personalaufwände über den vollen Projektzeitraum. Eine seriöse Angebotsanfrage trennt deshalb die Posten klar und fordert mindestens eine Phasenkalkulation mit Stundenkontingenten je Phase, eine separate Aufstellung der Reisekosten und einen Vorschlag für den Umgang mit Scope-Änderungen während des Projekts.

Ein ISO 27001-Erstprojekt teilt sich in fünf Phasen, jede mit eigenem Stundenprofil. Erstens: Initiierung und Scoping, 20 bis 40 Stunden. Hier definieren Berater und Geschäftsführung den Anwendungsbereich nach Klausel 4 der ISO/IEC 27001:2022, identifizieren interessierte Parteien nach Klausel 4.2 und legen die Risikobehandlungsstrategie fest. Zweitens: GAP-Analyse, 40 bis 80 Stunden. Berater prüfen die bestehende Organisation gegen die 93 Controls des Annex A und die 7 Klauseln des Normhauptteils. Ergebnis ist ein Maßnahmenkatalog mit Aufwandsschätzung pro Control.

Drittens: Dokumentationsaufbau, 80 bis 180 Stunden. ISMS-Politik, Risikobewertung, Statement of Applicability (SoA), Anweisungen und Aufzeichnungen werden erstellt oder aus Vorlagen angepasst. Diese Phase ist der größte Hebel, weil 490 standardisierte Audit-Vorlagen, wie sie CIVAC im Workspace mitliefert, den Aufwand auf 40 bis 80 Stunden reduzieren können. Viertens: Implementierung und Schulung, 60 bis 200 Stunden. Hier werden technische Controls in Active Directory, MDM, SIEM und Backup-Systemen verankert und Mitarbeitende geschult. Fünftens: interne Audits und Management-Review, 30 bis 80 Stunden. Berater begleiten den ersten internen Audit-Zyklus nach Klausel 9.2 und das Management-Review nach Klausel 9.3. Die Zertifizierungsaudits Stufe 1 und Stufe 2 sind nicht Teil der Beratungsstunden, sondern werden separat von der akkreditierten Zertifizierungsgesellschaft abgerechnet. Eine Übersicht der Beraterrolle finden Sie unter Informationssicherheitsbeauftragter. Die saubere Phasentrennung verhindert Kostensprünge im laufenden Projekt, weil jede Phase mit einem expliziten Übergang und einem Zwischenstatus endet, der vor Start der nächsten Phase abgenommen wird. Diese Übergänge sind die zentralen Steuerungspunkte für Auftraggeber und sollten im Vertrag mit Lieferterminen und Abnahmekriterien verankert sein.

Die Gesamtstunden eines ISO 27001-Erstprojekts skalieren mit Organisationsgröße, Komplexität und Anwendungsbereich. Ein Mittelständler mit 50 bis 150 Mitarbeitenden, einem Standort und einem klar umrissenen Scope (z. B. nur IT-Dienstleistungen) benötigt typischerweise 250 bis 350 Beraterstunden über 6 bis 9 Monate. Bei einem mittleren Stundensatz von 220 Euro netto liegt das Beraterbudget bei 55.000 bis 77.000 Euro netto, hinzu kommen Zertifizierungsgebühren von 8.000 bis 15.000 Euro netto für Stufe 1 und Stufe 2 sowie interne Personalaufwände, die in den meisten Fällen unterschätzt werden.

Ein gehobener Mittelständler mit 200 bis 800 Mitarbeitenden, zwei bis drei Standorten und kombiniertem Scope (IT plus Produktion oder IT plus Finance) liegt bei 400 bis 600 Beraterstunden über 9 bis 12 Monate. Das Budget bewegt sich zwischen 100.000 und 150.000 Euro netto. Konzerntochter oder Konzerneinheit mit eigenem ISMS, internationalem Scope und mehreren Tochtergesellschaften erreicht 600 bis 1.200 Stunden, häufig verteilt auf ein Beraterteam aus drei bis fünf Personen über 12 bis 18 Monate. Hier liegen Budgets zwischen 150.000 und 400.000 Euro netto, abhängig von Mehrsprachigkeit, Anzahl Tochtergesellschaften und Komplexität der Lieferantenanbindung nach Annex A 5.19 bis 5.21. Wer in dieser Größenklasse arbeitet, sollte vorab eine Make-or-Buy-Entscheidung treffen: interner ISB plus Plattform oder externer ISB mit voller operativer Verantwortung. Beide Wege führen zur Zertifizierung, der wirtschaftliche Unterschied ist erheblich. Bestellurkunde, unterschrieben, abgelegt, belegbar. In der Konzernpraxis empfehlen wir, mindestens zwei Angebote von akkreditierten Beratern einzuholen und parallel eine Plattform-Pauschale zu kalkulieren, um die Wirtschaftlichkeit zu validieren. Diese Dreiwege-Kalkulation kostet zwei bis vier Wochen Vorlauf und ist die belastbarste Grundlage für eine Vorstandsentscheidung.

Vier Faktoren treiben den Stundensatz nach oben. Erstens: Seniorität. Lead-Auditoren mit Akkreditierung verlangen den höchsten Stundensatz, weil sie nicht nur beraten, sondern auch eine Zertifizierungslogik vom Tag eins an einbringen können. Zweitens: Branche. Beratung für Kritische Infrastrukturen (KRITIS), Banken, Versicherungen, Healthcare und Verteidigung kostet 20 bis 40 Prozent mehr als für Standard-Mittelstand, weil sektorspezifische Sicherheitsanforderungen wie BSI-Grundschutz, BAIT, VAIT, KAIT oder IT-Sicherheitskatalog der BNetzA mitgedacht werden müssen.

Drittens: Spezialisierung. Berater mit kombinierter Expertise in ISO 27001 plus NIS-2, ISO 27001 plus TISAX oder ISO 27001 plus C5 erzielen Aufschläge von 15 bis 25 Prozent, weil sie Doppelarbeit vermeiden und Synergien zwischen den Normen erschließen. Viertens: Marktlage. Seit Inkrafttreten der NIS-2-Richtlinie im Oktober 2024 und dem Druck auf rund 29.500 NIS-2-betroffene Unternehmen in Deutschland sind Senior-Consultants 2026 stark ausgelastet, freie Kapazitäten häufig erst mit drei bis sechs Monaten Vorlauf verfügbar. Dies treibt die Preise zusätzlich. Wer 2026 einen Senior-Consultant mit kombinierter ISO 27001- und NIS-2-Erfahrung sucht, sollte mit Stundensätzen am oberen Ende der Skala rechnen. Verträge mit Festpreisanteilen reduzieren die Preisvolatilität, kombiniert mit klar abgegrenzten Stundenkontingenten pro Phase. Der Prüfer ruft an, der Nachweis liegt bereit, das gilt für die Zertifizierung wie für den Beratungsvertrag. Wer einen Beratervertrag schließt, sollte zwingend eine Klausel zur Aufzeichnungspflicht aufnehmen, die den Berater verpflichtet, alle Arbeitsergebnisse in einem definierten Format zu hinterlegen, damit das Wissen bei Ausscheiden des Beraters im Haus bleibt. Diese Klausel wird im Markt zunehmend Standard und ist ein wesentliches Differenzierungsmerkmal zwischen seriösen und unzuverlässigen Anbietern.

Vier Abrechnungsmodelle dominieren den deutschen ISO 27001 Beratungsmarkt. Erstens: Time and Material (T&M). Der Berater stellt Stunden nach Aufwand in Rechnung, üblich sind 14-täglich oder monatlich. Vorteil: hohe Flexibilität, Nachteil: Budgetrisiko trägt der Kunde. Dieses Modell dominiert bei kleineren Aufträgen und in der Initialphase, wo Scope und Aufwand noch unsicher sind. Zweitens: Festpreis. Der Berater garantiert ein Projektergebnis (z. B. Zertifizierungsreife) zu einem fixen Preis. Vorteil: Planungssicherheit, Nachteil: Festpreise enthalten in der Regel einen Risikoaufschlag von 15 bis 25 Prozent.

Drittens: Retainer. Der Kunde bucht ein monatliches Stundenkontingent (z. B. 20 oder 40 Stunden pro Monat) zu einem reduzierten Stundensatz. Dieses Modell eignet sich für laufende ISMS-Pflege nach erfolgter Zertifizierung. Üblich sind Mindestlaufzeiten von 12 Monaten. Viertens: Plattform-Pauschale mit Officer-as-a-Service, wie sie CIVAC anbietet. Hier zahlt der Kunde eine monatliche Pauschale für die Plattform plus die Bestellung eines externen Informationssicherheitsbeauftragten. Der Preis enthält Workspace-Lizenz, 490 Audit-Vorlagen, das ISO 27001:2022-zertifizierte ISMS, die EU-Datenresidenz und den ISB als Person. Effektive Stundensätze fallen damit unter 130 Euro netto, weil die Beraterzeit durch Plattformautomatisierung optimiert wird. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Welches Modell passt, hängt vom Reifegrad und der internen Kapazität ab. Wer ein erstes ISMS aufbaut und intern weniger als 0,5 FTE einbringen kann, fährt mit der Plattform-Pauschale am besten. Wer bereits ein zertifiziertes ISMS pflegt und nur Engpässe ausgleicht, wählt T&M oder Retainer.

Stundensätze sind transparenter geworden, die versteckten Kosten bleiben jedoch hoch. Vier Posten verdienen besondere Aufmerksamkeit. Erstens: interner Personalaufwand. Für jede Beraterstunde fallen 0,5 bis 1,5 interne Stunden für Workshops, Datenbereitstellung, Reviews und Entscheidungen an. Bei einem Projekt mit 400 Beraterstunden entstehen also 200 bis 600 interne Stunden, die nicht im Berater-Angebot stehen, aber kalkuliert werden müssen. Zweitens: Tool- und Lizenzkosten. Verinice-Lizenzen, Risk-Management-Tools, Schulungsplattformen und Audit-Software liegen je nach Anbieter bei 5.000 bis 25.000 Euro pro Jahr.

Drittens: Zertifizierungsgebühren. Akkreditierte Zertifizierungsgesellschaften berechnen für Stufe 1 und Stufe 2 zwischen 8.000 und 25.000 Euro netto, abhängig von Mitarbeitenden-Anzahl, Standorten und Scope. Die jährlichen Überwachungsaudits liegen bei 30 bis 50 Prozent der Erstzertifizierungsgebühr, das Rezertifizierungsaudit im dritten Jahr bei 70 bis 80 Prozent. Viertens: Folgekosten der Aufrechterhaltung. Wer das ISMS nach Zertifizierung mit weniger als 0,3 FTE intern besetzt, riskiert Beanstandungen im Überwachungsaudit. Die laufenden Personalkosten eines internen Informationssicherheitsbeauftragten in Vollzeit liegen 2026 bei 85.000 bis 130.000 Euro pro Jahr brutto plus Sozialabgaben. Ein externer Informationssicherheitsbeauftragter im Officer-as-a-Service-Modell liegt bei 1.800 bis 4.500 Euro pro Monat als Pauschale und enthält Plattform, Vorlagen und Berichtslinie. Über drei Jahre gerechnet erreicht das externe Modell häufig 50 bis 60 Prozent der internen Vollkosten. Diese Rechnung verschiebt sich erst ab etwa 800 Mitarbeitenden, weil dann der interne Auslastungsgrad eines Vollzeit-ISB ausreichend hoch ist, um die Vollkosten zu rechtfertigen. Wer in dieser Größenklasse zwei Standorte und einen breiteren Scope hat, bleibt häufig trotzdem beim Hybridmodell aus internem ISB plus Plattform.

Die Übergangsfrist von ISO/IEC 27001:2013 zu ISO/IEC 27001:2022 endet am 31. Oktober 2026. Wer bis dahin nicht auf die neue Version umgestellt ist, verliert die Zertifizierung. Die Akkreditierungsstellen DAkkS und UKAS haben die Frist mehrfach bestätigt, eine Verlängerung ist nicht zu erwarten. Der Aufwand für die Übergangszertifizierung liegt zwischen 80 und 200 Beraterstunden, abhängig vom Reifegrad. Im Mittelpunkt steht das neue Annex A mit 93 Controls in vier Themengruppen (organisatorisch, personenbezogen, physisch, technologisch) statt der 114 Controls in 14 Klauseln der Vorgängerversion.

Elf Controls sind vollständig neu, darunter Threat Intelligence (A 5.7), Information Security for Cloud Services (A 5.23), ICT Readiness for Business Continuity (A 5.30), Physical Security Monitoring (A 7.4), Configuration Management (A 8.9), Information Deletion (A 8.10), Data Masking (A 8.11), Data Leakage Prevention (A 8.12), Monitoring Activities (A 8.16), Web Filtering (A 8.23) und Secure Coding (A 8.28). Diese elf Controls erzeugen den Hauptaufwand der Übergangsprojekte, weil sie häufig neue technische Maßnahmen und neue Aufzeichnungen erfordern. Wer das ISMS heute nur dokumentiert betreibt, muss prüfen, ob die internen Audit- und Monitoring-Kapazitäten ausreichen. Audit-fest, dokumentiert, § ISO-fest. CIVAC liefert die 93 Controls als vorkonfigurierten Kontrollkatalog im Workspace, mit Verantwortlichen, Erinnerungen und Auditberichten. Eine vertiefte Übersicht finden Sie im Beitrag ISO 27001:2022 Übergang Oktober 2026. Übergangsprojekte 2026 sind kapazitätskritisch, weil die Zertifizierungsgesellschaften in den letzten Monaten vor dem Stichtag stark ausgelastet sind. Wer den Termin im Spätsommer 2026 nicht erhält, riskiert das Zertifikat und damit die Voraussetzung für Ausschreibungen, die ISO 27001:2022 verlangen.

Stundensätze sind im B2B-Beratungsmarkt verhandelbar, die Verhandlungsspielräume liegen typischerweise bei 8 bis 15 Prozent. Drei Hebel funktionieren besonders gut. Erstens: Volumenrabatt. Wer ein Stundenkontingent ab 200 Stunden pro Projekt bucht und im Vorhinein abruft, erreicht Rabatte von 8 bis 12 Prozent. Zweitens: Mehrjahresvertrag. Ein Retainer über 24 Monate mit fixiertem monatlichem Volumen rechtfertigt Stundensatz-Reduktionen von 10 bis 15 Prozent, weil der Berater Planbarkeit gewinnt. Drittens: Referenzklausel. Wer dem Berater erlaubt, das Projekt als Referenz zu nennen oder einen Case zu schreiben, erhält in der Regel 3 bis 5 Prozent Nachlass.

Zwei Hebel funktionieren schlecht. Erstens: Letzte-Minute-Verhandlungen kurz vor Vertragsunterzeichnung. Berater mit voller Auslastung sind 2026 nicht unter Druck und verzichten lieber auf das Projekt. Zweitens: Härteverhandlungen auf reine Stundensätze, ohne Gegenleistung im Scope oder in der Vertragslaufzeit. Ein realistischer Pfad ist die Kombination aus Festpreisanteil für die ersten drei Phasen und T&M für die letzten beiden, weil Scope und Aufwand mit Projektfortschritt klarer werden. Wer eine Plattform-plus-Officer-Lösung wie CIVAC einbezieht, verschiebt die Verhandlung weg vom Stundensatz hin zur Pauschale und gewinnt Planbarkeit. Die Bestellurkunde des externen Beauftragten liegt im CIVAC-SLA in 2 Werktagen vor, statt der klassischen 2 bis 6 Wochen, was die Projektstartphase deutlich verkürzt und damit indirekt Kosten spart, weil die GAP-Analyse mit dem zuständigen Beauftragten beginnen kann und nicht im Vakuum. Wer den Vertrag mit einer 90-tägigen Probephase und klar definierten Exit-Bedingungen abschließt, behält volle Steuerungsfähigkeit und reduziert das wirtschaftliche Risiko zusätzlich. Diese Probephase eignet sich auch, um die Reaktionszeiten des externen Beauftragten realistisch zu prüfen.

Der Stundensatz ist eine wichtige Vergleichszahl, aber die falsche Optimierungsgröße. Wer ein ISO 27001-Projekt erfolgreich abschließen will, sollte die Total-Cost-of-Compliance über 36 Monate vergleichen: Beraterstunden plus Tool-Lizenzen plus Zertifizierungsgebühren plus interner Aufwand plus Folgekosten der Aufrechterhaltung. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, die diese fünf Posten in einer monatlichen Pauschale zusammenführt. 93 Controls vorkonfiguriert, 490 Audit-Vorlagen, EU-Datenresidenz, ISO 27001:2022-zertifiziertes ISMS auf Plattformseite, plus die Bestellung eines externen Informationssicherheitsbeauftragten als Person.

Sie haben zwei Wege. Erstens: Sie lizenzieren den Workspace für Ihre internen Beauftragten und reduzieren Beraterstunden um 30 bis 50 Prozent, weil Dokumentation, Erinnerungen und Auditberichte automatisiert sind. Zweitens: Sie lassen unsere Beauftragten bestellen und delegieren die operative ISB-Funktion vollständig, einschließlich Berichtslinie, jährlichem Bericht an die Geschäftsführung und Begleitung des Zertifizierungsaudits. Wenn Sie wissen möchten, wo Ihr Projekt im Stundensatz-Markt steht und ob das Pauschalenmodell für Ihre Größenklasse günstiger ist, schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir erstellen eine Vergleichsrechnung über 36 Monate auf Basis Ihrer Mitarbeitenden-Anzahl, Ihres Scopes und Ihres Reifegrads. Diese Vergleichsrechnung trennt Berater-, Tool-, Zertifizierungs-, interne und Folgekosten und macht den Vergleich mit konkurrierenden Angeboten transparent. Sie ist als Entscheidungsgrundlage für die Geschäftsführung formatiert und kann direkt in eine Investitionsvorlage übernommen werden. Wir senden die Rechnung typischerweise innerhalb von fünf Werktagen nach dem ersten 30-Minuten-Gespräch und kennzeichnen alle Annahmen transparent, damit die Geschäftsführung jederzeit nachsteuern kann. Auf Wunsch nehmen wir auch zwei konkurrierende Angebote von akkreditierten Beratern als Vergleichsbasis in die Aufstellung auf, damit die Entscheidung dreidimensional fundiert ist. Aus dem Lesen einen Auftrag machen.