ISO 27001 Zertifizierung: Dauer, Vorbereitung, Aufwand

Die internationale Norm ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht und löst die Vorgängerfassung 2013/2017 ab. Bestehende Zertifikate nach ISO/IEC 27001:2013 verlieren am 31. Oktober 2025 ihre Gültigkeit, mit verlängerter Übergangsfrist je nach Akkreditierungsstelle bis zum 31. Oktober 2026 für Vor-Ort-Audits. Unternehmen, die heute ein Informationssicherheits-Managementsystem (ISMS) aufbauen, zertifizieren direkt nach der 2022er-Fassung mit 93 Controls in vier Themengruppen (Anhang A: Organisational, People, Physical, Technological). Die Übergangsfristen sind in IAF-MD 26 (International Accreditation Forum) verbindlich geregelt und durch die Deutsche Akkreditierungsstelle (DAkkS) in nationales Akkreditierungsrecht überführt.

Dieser Beitrag richtet sich an Geschäftsführungen, IT-Leitungen und Informationssicherheitsbeauftragte (ISB), die eine realistische Zeitplanung und Aufwandsabschätzung benötigen. Sie erfahren, welche fünf Phasen die ISMS-Einführung umfasst, welche Aufwände pro Phase im Mittelstand realistisch sind, was ein Stage-1- und Stage-2-Audit konkret prüft, welche Stolpersteine zu Nichtbestehen führen und wie sich die Vorbereitung mit einer Compliance-Plattform und Officer-as-a-Service-Modell verkürzen lässt. CIVAC stellt eine Workspace mit allen 93 Controls, 490 Audit-Vorlagen und Berichtslinien bereit. Bestellurkunde, unterschrieben, abgelegt, belegbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Die Inhalte basieren auf den Vorgaben der ISO/IEC 27001:2022, ISO/IEC 27002:2022 sowie der Auditierungs-Vorgaben nach ISO/IEC 27006.

Die Vorbereitungsphase legt die Grundlagen, ohne die kein ISMS funktioniert. Erstens: Festlegung des Geltungsbereichs (Scope) nach Klausel 4.3 der Norm. Der Scope definiert, welche Standorte, Geschäftsprozesse, Produkte und Dienstleistungen vom ISMS erfasst werden. Ein zu breit gewählter Scope erzeugt Aufwand ohne Mehrwert, ein zu enger Scope schließt geschäftskritische Bereiche aus und mindert den Marktwert des Zertifikats gegenüber Kunden. Die Wahl ist strategisch und mit der Geschäftsführung abzustimmen.

Zweitens: Stakeholder-Analyse nach Klausel 4.2. Interne und externe interessierte Parteien sind zu identifizieren, ihre Anforderungen und Erwartungen sind zu erheben. Typisch: Kunden mit Audit-Anfragen, Aufsichtsbehörden (BSI, BaFin, Landesdatenschutzbehörden), Konzernmuttergesellschaft, Versicherer, Lieferanten, gegebenenfalls Wirtschaftsprüfer. Drittens: Bestellung des Informationssicherheitsbeauftragten mit Bestellurkunde, Berichtslinie an die Geschäftsführung, freigestelltem Zeitkontingent.

Viertens: GAP-Analyse gegen die 93 Controls aus Anhang A. Die Analyse beantwortet pro Control: implementiert, teilweise implementiert, nicht implementiert, nicht anwendbar. Das Ergebnis ist die Statement of Applicability (SoA), das Pflichtdokument der Norm nach Klausel 6.1.3 d. Die SoA wird im Stage-1-Audit zentral geprüft und ist die Basis jeder Folgekonversation mit dem Auditor.

Fünftens: Projektplanung mit Meilensteinen, Ressourcen und Budget. Realistisch sind im Mittelstand 1,0 bis 2,5 Vollzeitäquivalente für 9 bis 12 Monate plus externer Berater oder Officer-as-a-Service. Der externe Informationssicherheitsbeauftragte übernimmt die Methodik, die operativen Schritte bleiben beim Unternehmen. Diese Phase dauert 1 bis 3 Monate, wenn sie diszipliniert geführt wird, sonst zieht sich Phase 1 schnell auf 6 Monate und blockiert alle Folgephasen. Eine typische Kickoff-Agenda umfasst Scope-Workshop, Stakeholder-Mapping, Bestellung des ISB, GAP-Analyse-Workshop sowie Festlegung des Risikoappetits durch die Geschäftsführung mit dokumentiertem Beschluss.

Klausel 6.1 der ISO/IEC 27001:2022 fordert ein dokumentiertes Verfahren zur Informationssicherheits-Risikobewertung und -behandlung. Die Methodik ist frei wählbar, in der Praxis bewährt sich ein asset-basierter oder szenarienbasierter Ansatz nach ISO/IEC 27005. Die Methode muss konsistent sein und reproduzierbare Ergebnisse liefern. Eine wechselnde Methodik zwischen Iterationen führt zu Audit-Beanstandungen.

Schritte: Inventarisierung der Informationswerte (Daten, Systeme, Anwendungen, Personen, Standorte), Bewertung nach Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit. Identifikation von Bedrohungen und Schwachstellen, Risikobewertung mit Eintrittswahrscheinlichkeit und Schadenshöhe, Festlegung der Risikoakzeptanzkriterien durch die Geschäftsführung. Risikobehandlung mit den vier Optionen Vermeidung, Reduktion, Übertragung, Akzeptanz, jeweils mit dokumentierter Begründung.

Das Ergebnis ist ein Risikoregister mit typischerweise 80 bis 250 Risiken im Mittelstand. Jedes Risiko wird mit Maßnahmen aus dem Anhang A oder eigenen Maßnahmen verknüpft. Die Statement of Applicability dokumentiert pro Control: Status (anwendbar oder nicht anwendbar mit Begründung), Implementierungsbeschreibung, Verweis auf Richtlinie oder technische Maßnahme. Die SoA ist mit der Geschäftsführung formal zu genehmigen.

Häufige Fehler: Risiken auf Asset-Ebene zu granular bewertet, mit Hunderten von Einzelbewertungen, die nicht steuerbar sind. Oder umgekehrt: zu pauschal mit zehn Sammelrisiken, die nichts konkretisieren. Aufsichtsbehörden und Auditoren erwarten ein Niveau, auf dem konkrete Maßnahmen ableitbar sind. Die Übergangsfristen zur 2022er-Fassung sind dabei einzuhalten. Die CIVAC-Plattform liefert eine Risikoregister-Vorlage mit ISO/IEC 27005-Logik und mappt automatisch zu den 93 Controls inklusive Verweisen auf konkrete Richtlinien. Phase 2 dauert 2 bis 4 Monate je nach Asset-Umfang und Reifegrad. Die Risikoakzeptanzkriterien werden in einem formalen Beschluss der Geschäftsführung festgehalten und bilden den objektiven Maßstab, anhand dessen jede Behandlung im weiteren Verlauf bewertet wird.

Die Umsetzung der Controls ist die größte Phase und bestimmt maßgeblich die Gesamtdauer des Projekts. Anhang A der ISO/IEC 27001:2022 enthält 93 Controls in vier Gruppen: 37 Organisational Controls (A.5), 8 People Controls (A.6), 14 Physical Controls (A.7), 34 Technological Controls (A.8). Die Reduktion von 114 Controls in der 2013er-Fassung auf 93 in 2022 erfolgte durch Zusammenlegung. Neue Controls betreffen unter anderem Threat Intelligence (A.5.7), Information Security for use of Cloud Services (A.5.23), Data Masking (A.8.11) und Web Filtering (A.8.23).

Organisational Controls umfassen Richtlinien, Rollen, Verantwortlichkeiten, Lieferantensteuerung, Incident Response, Business Continuity. People Controls betreffen Hintergrundprüfungen, Disziplinarverfahren, Schulungen, Verantwortlichkeiten nach Vertragsende. Physical Controls regeln Zutritt, sichere Bereiche, Verkabelung, Geräteentsorgung. Technological Controls adressieren Zugriffskontrolle, Kryptographie, Backup, Logging, Schwachstellenmanagement, sichere Entwicklung.

Operativ entsteht eine Richtlinienlandschaft mit typischerweise 15 bis 30 Hauptrichtlinien plus zugehörigen Arbeitsanweisungen. Wesentliche Richtlinien: Informationssicherheitspolitik (Top-Level), Zugriffskontrolle, Kryptographie, Backup und Restore, Schwachstellenmanagement, Incident Response, Lieferantensicherheit, Datenklassifikation, Mobile-Device-Management, Notfallmanagement, Awareness-Schulung, Schlüsselverwaltung, sichere Softwareentwicklung.

Häufigste Lücken: fehlende Wirksamkeitsnachweise. Eine Richtlinie reicht nicht, der Auditor erwartet den Beleg, dass die Richtlinie gelebt wird – Logfiles, Tickets, Schulungsnachweise, Begehungsprotokolle. Frist läuft ab Kenntnis: ein Vorfall ohne Eintrag im Incident-Register entlarvt das ISMS. Die CIVAC-Workspace verknüpft je Control die Richtlinie mit dem Wirksamkeitsnachweis und meldet fehlende Belege automatisch an die Berichtslinie, mit revisionssicherer Ablage und EU-Datenresidenz. Phase 3 dauert 3 bis 9 Monate, parallel laufen mehrere Workstreams. Eine Steering-Committee-Sitzung alle vier Wochen mit Geschäftsführung, ISB und Bereichsleitungen ist Standard, ergänzt durch wöchentliche Operative Reviews mit Workstream-Leads und transparenter Maßnahmenliste.

Klausel 9.2 fordert mindestens ein internes Audit über alle Klauseln und Controls des ISMS, bevor der externe Auditor kommt. Das interne Audit ist unabhängig durchzuführen, also nicht vom Verantwortlichen der zu prüfenden Bereiche. In kleineren Unternehmen ist ein externer Auditor für das interne Audit oft pragmatisch und reduziert das Risiko von Befangenheitsbeanstandungen.

Methodik: Audit-Programm mit Themen, Terminen und Auditoren, Audit-Checkliste je Control, Stichproben aus der Praxis (Tickets, Logfiles, Schulungsnachweise, Begehungen, Interviews mit Schlüsselrollen), schriftlicher Audit-Bericht mit Hauptabweichungen, Nebenabweichungen, Beobachtungen und Empfehlungen. Die Abweichungen werden im Maßnahmenplan nachverfolgt, jede Maßnahme mit Verantwortlichem und Frist.

Klausel 9.3 fordert das Management Review mindestens jährlich. Die Geschäftsführung bewertet die ISMS-Wirksamkeit anhand definierter Inputs: Audit-Ergebnisse, Korrekturmaßnahmen-Status, Kennzahlen, Risikolage, Vorfälle, Kundenrückmeldungen, Stand der Ziele aus Klausel 6.2. Output ist ein dokumentierter Beschluss zu Verbesserungen, Ressourcen und Strategie. Das Management Review ist eines der drei Pflichtartefakte, die ein Auditor in Stage 1 und Stage 2 immer sieht. Eine pauschale Protokollnotiz ohne Inhalt wird beanstandet.

Phase 4 dauert 1 bis 2 Monate. Der häufigste Fehler ist die Verwechslung von internem Audit mit Self-Assessment: das interne Audit muss methodisch nach ISO/IEC 19011 mit nachvollziehbaren Audit-Spuren laufen, sonst wird es im Stage-1-Audit beanstandet. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Die CIVAC-Plattform stellt Audit-Programm, Checklisten, Berichtsvorlagen und Management-Review-Templates bereit, alle versioniert und mit Audit-Trail, sodass die Pflichtartefakte unterschrieben, abgelegt, belegbar vorliegen. Das interne Audit wird typischerweise sechs bis acht Wochen vor Stage 1 abgeschlossen, damit ausreichend Zeit für Korrekturen bleibt.

Die externe Zertifizierung erfolgt in zwei Stages durch eine akkreditierte Zertifizierungsstelle (in Deutschland u.a. TÜV-Gesellschaften, DEKRA, DQS, BSI Group). Die Wahl der Zertifizierungsstelle hängt von Branche, Sprache und Konzernvorgaben ab. Akkreditierungen sind über die Deutsche Akkreditierungsstelle (DAkkS) prüfbar. Wer für internationale Kunden zertifiziert, wählt eine Stelle mit IAF-Akkreditierung.

Stage 1 ist das Dokumenten-Audit. Der Auditor sichtet ISMS-Politik, Risikomanagement-Methodik, SoA, Richtlinien, Verfahren, internes Audit, Management Review. Stage 1 dauert je nach Unternehmensgröße 1 bis 3 Audit-Tage und kann teils remote erfolgen. Ergebnis ist ein Audit-Bericht mit Hauptabweichungen, Nebenabweichungen oder „bereit für Stage 2“. Hauptabweichungen müssen vor Stage 2 behoben sein, sonst wird Stage 2 verschoben.

Stage 2 ist das Wirksamkeits-Audit. Der Auditor prüft vor Ort die Umsetzung in der Praxis, mit Interviews, Stichproben, technischen Tests, Begehungen. Stage 2 dauert je nach Unternehmensgröße 3 bis 10 Audit-Tage. Voraussetzung: das ISMS läuft mindestens 3 Monate produktiv, sodass Wirksamkeitsnachweise vorliegen. Ergebnis ist die Empfehlung zur Zertifizierung oder der Befund von Nichtbestehen mit Korrekturzeitraum.

Phase 5 dauert insgesamt 2 bis 4 Monate, inklusive Korrekturmaßnahmen zwischen Stage 1 und Stage 2. Das Zertifikat ist 3 Jahre gültig, mit jährlichen Überwachungsaudits und einer Re-Zertifizierung nach Ablauf. Die Kosten der Zertifizierungsstelle liegen typischerweise zwischen 15.000 und 60.000 Euro über drei Jahre, abhängig von Größe und Komplexität. Der Prüfer ruft an, der Nachweis liegt bereit – das ist die operative Vorgabe für jede Phase und jeden Termin im Zyklus. Die Audit-Mandate enthalten Vertraulichkeitsvereinbarungen, sodass Sicherheitsbedenken bei der Offenlegung sensibler Informationen wie Konfigurationsdaten oder Lieferantenverträgen rechtlich abgesichert sind.

Realistische Aufwandsschätzungen helfen bei der Projektplanung und der Budgetfreigabe. Die folgenden Werte gelten für ein mittelständisches Unternehmen mit 50 bis 250 Mitarbeitern und einem Scope von 1 bis 3 Standorten plus Cloud-Diensten. Bei Konzernscopes oder Multi-Site-Zertifizierungen skalieren die Werte überproportional.

Phase 1 (1 bis 3 Monate): 0,5 bis 1,0 VZÄ interner ISB plus 5 bis 15 Beratertage. Phase 2 (2 bis 4 Monate): 1,0 bis 1,5 VZÄ plus 10 bis 25 Beratertage. Phase 3 (3 bis 9 Monate): 1,5 bis 2,5 VZÄ über die gesamte Phase plus 15 bis 40 Beratertage plus Investitionen in Tools (SIEM, MDM, Schwachstellen-Scanner) typischerweise 50.000 bis 200.000 Euro. Phase 4 (1 bis 2 Monate): 1,0 VZÄ plus 5 bis 15 Auditortage. Phase 5 (2 bis 4 Monate): 1,0 VZÄ plus die Zertifizierungsstelle.

Insgesamt liegt der Personalaufwand bei 12 bis 25 Personenmonaten intern plus 35 bis 95 Beratertagen extern. Die Gesamtkosten inklusive Tooling, Beratung und Zertifizierungsstelle liegen im Mittelstand bei 150.000 bis 500.000 Euro über die ersten drei Jahre, mit jährlichen Folgekosten von 30.000 bis 90.000 Euro für Aufrechterhaltung und Überwachungsaudits.

Die Spanne ist groß, weil der Reifegrad zu Projektbeginn entscheidet. Unternehmen mit bestehender IT-Sicherheits-Funktion, dokumentierten Richtlinien und etabliertem Patch-Management starten schneller. Greenfield-Projekte ohne Vorarbeit benötigen 50 bis 100 Prozent mehr Zeit. Officer-as-a-Service-Modelle verkürzen Phase 1 auf 4 Wochen, weil Methodik und Vorlagen direkt verfügbar sind, statt erst aufgebaut zu werden. Die CIVAC-SLA: 2 Werktage statt 2 bis 6 Wochen klassisch für ISB-Verfügbarkeit. Bei Multi-Standort-Zertifizierungen kommen zudem Reise- und Site-Coverage-Kosten hinzu, die je nach geografischer Verteilung 10 bis 25 Prozent des Beratungsbudgets ausmachen können.

Auswertungen deutscher Zertifizierungsstellen zeigen wiederkehrende Befunde im Stage-2-Audit, die regelmäßig zu Hauptabweichungen führen. Wer diese fünf Punkte vorbereitet, reduziert das Nichtbestehensrisiko deutlich und verkürzt die Zeit zwischen Stage 1 und endgültiger Zertifikatserteilung.

Erstens: fehlende oder unklare Risikobewertung. Auditoren bemängeln eine unklare Methodik, fehlende Risikoakzeptanzkriterien oder eine SoA, die nicht zur Risikobewertung passt. Zweitens: Lieferantensteuerung (A.5.19 bis A.5.22). Verträge ohne Sicherheitsklauseln, fehlende Kategorisierung kritischer Lieferanten, keine periodische Bewertung. Drittens: Wirksamkeitsnachweise. Richtlinien existieren, aber keine Belege für gelebte Umsetzung. Logfiles werden nicht ausgewertet, Schulungsnachweise fehlen, Incident-Tickets werden ohne Lessons Learned geschlossen.

Viertens: Business Continuity und Notfallmanagement (A.5.29, A.5.30). Pläne existieren auf Papier, Übungen wurden nicht durchgeführt, Wiederanlaufzeiten nicht getestet. Fünftens: Schwachstellenmanagement und Patch-Management (A.8.8). Scans existieren, aber das Schließen der Findings ist nicht nachverfolgt, kritische Patches haben monatelange Wartezeiten ohne dokumentierte Risikoakzeptanz.

Operativ helfen vier Vorbereitungen: ein zentrales Wirksamkeits-Dashboard mit allen 93 Controls und Status; ein Lieferantenregister mit Kritikalität, Vertrag, letzter Bewertung; ein dokumentierter BCP-Test pro Geschäftsjahr; ein gepflegter Patch-Status mit Risikoakzeptanz für ausstehende Findings. Der CIVAC-Workspace bildet diese vier Dashboards standardisiert ab, mit Schwellenwert-Alarmen, die fehlende Belege automatisch an den ISB melden. Bestellurkunde, unterschrieben, abgelegt, belegbar – inklusive jährlicher Wirksamkeitsbewertung je Control. Im Stage-2-Audit zieht der Auditor Stichproben aus genau diesen Dashboards. Audit-fest, dokumentiert, Klausel-9.1-fest. Eine vollständige Lessons-Learned-Erfassung nach jedem internen Audit und nach jedem Vorfall schließt die Verbesserungs-Schleife der Klausel 10. In der Praxis zeigt sich, dass Unternehmen mit einer mittleren Reife typischerweise 40 bis 80 Korrekturmaßnahmen aus dem ersten Audit-Zyklus ableiten, die strukturiert und mit Verantwortlichen sowie Fristen nachzuverfolgen sind.

Drei Hebel verkürzen die Projektdauer und reduzieren das Risiko des Nichtbestehens. Erstens: vorkonfigurierte Vorlagen. Wer Richtlinien, SoA, Risikoregister und Audit-Programme aus dem Standardwerk zieht und auf den eigenen Kontext anpasst, spart 30 bis 50 Prozent Vorbereitungszeit. Eigene Greenfield-Erstellung erzeugt zusätzlichen Aufwand ohne Mehrwert, weil die Norm den Inhalt strukturell vorgibt und nur die Anpassung an Branche und Geschäftsmodell variiert.

Zweitens: integrierte Plattform statt SharePoint-Sammlung. Eine Compliance-Plattform mit ISMS-Modul bündelt Richtlinien, Controls, Risikoregister, Maßnahmen, Lieferanten, Incident-Tracking und Wirksamkeitsnachweise an einer Stelle. Versionierung, Zugriffsrechte, Audit-Trail und Berichtslinie sind eingebaut. Die Plattform produziert auf Knopfdruck die Stage-1-Dokumente und das Audit-Reporting für die Zertifizierungsstelle.

Drittens: externer ISB als Officer-as-a-Service. Die Funktion wird mit Bestellurkunde übertragen, der externe ISB übernimmt die methodische Führung, schult interne Multiplikatoren, leitet die Projekte und übernimmt die Schnittstelle zur Zertifizierungsstelle. Vorteile: branchenübergreifende Erfahrung mit anderen Zertifizierungen, keine Lernkurve, schnelle Reaktion auf Audit-Findings. CIVAC-SLA: 2 Werktage statt 2 bis 6 Wochen klassisch.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle teilen die identische Datengrundlage, sodass Mischformen jederzeit möglich sind: Die Funktion startet extern, die internen Mitarbeiter werden befähigt, die Funktion zieht im zweiten oder dritten Jahr nach intern. Das Zertifikat bleibt erhalten, die Plattform läuft weiter, die Berichtslinie bleibt revisionssicher. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Audit-fest, dokumentiert, ISO-27001-fest. Die Plattform integriert NIS-2-Meldepfade, DSGVO-Auskunfts-Workflows und ISO-27001-Wirksamkeitsnachweise in einer Aktenstruktur, sodass parallele Regulierungen mit derselben Datengrundlage bedient werden. Damit entfällt die übliche Doppelarbeit bei sich überlappenden Pflichten aus DSGVO, NIS-2 und ISO/IEC 27001.

Ein ISMS-Aufbau ist ein Projekt mit definiertem Ende, der Betrieb des ISMS ist ein Dauerlauf. CIVAC unterstützt beide Phasen als Compliance-Plattform und Officer-as-a-Service, mit identischer Datengrundlage zwischen Projekt und Betrieb.

Das erste Modell: Lizenzieren Sie den Workspace für Ihre internen Beauftragten. Der Workspace enthält die 93 Controls der ISO/IEC 27001:2022, vorkonfigurierte Risikoregister-Vorlagen, 490 Audit-Vorlagen, Richtlinien-Bibliothek, Lieferantenregister, Incident-Tracking, Schulungsmodule, Management-Review-Templates. EU-Datenresidenz und Mandantentrennung sind eingebaut. Die Plattform deckt 25 Beauftragtenrollen ab, sodass der ISB mit dem Datenschutzbeauftragten, dem NIS-2-Beauftragten und dem Compliance-Beauftragten integriert arbeitet.

Das zweite Modell: Lassen Sie unsere Beauftragten bestellen. Der externe ISB übernimmt die Funktion mit Bestellurkunde, Berichtslinie an die Geschäftsführung, methodischer Führung, Schulung interner Multiplikatoren, Audit-Vorbereitung und Begleitung der Zertifizierungsstelle. Die SLA: 2 Werktage statt 2 bis 6 Wochen klassisch. Für die Aufrechterhaltung übernimmt der externe ISB jährliche Audits und das Management Review.

Der Prüfer ruft an, der Nachweis liegt bereit. Die Plattform schickt Erinnerungen für jährliche Audits, Management Reviews, Schulungstermine und ablaufende Lieferantenbewertungen. Bei Vorfällen läuft der Incident-Workflow mit definierten Eskalationsstufen und Berichtspflichten parallel zu NIS-2-Meldepfaden (24 Stunden Frühwarnung, 72 Stunden Folgemeldung).

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Die Erstprüfung des Reifegrads gegen die 93 Controls dauert 90 Minuten, das Ergebnis ist eine konkrete Roadmap mit Phasen, Aufwänden und kritischen Pfaden. Innerhalb von 10 Werktagen liegen Scope-Definition, Bestellurkunde und initiales Risikoregister vor. Die Workspace ist mandantenfähig und erlaubt mehrere parallele Zertifizierungen, etwa bei Holding-Strukturen oder bei Erweiterung des Scopes um neue Standorte oder Geschäftsbereiche.