Eine ISO-Zertifizierung hat nicht allein den Zweck, (internationalen) Normen zu entsprechen – sie kann auch neues Kundenpotenzial erschließen. Im Verlaufe des Zertifizierungsprozesss gewinnt man außerdem Erfahrungen im Aufbau und der Pflege von Managementsystemen, die als Blaupause für ein unternehmensweites Risikomanagement genutzt werden können – über die Informationssicherheit hinaus.
Zur erfolgreichen ISO 27001-Zertifizierung gelangt man in sechs Schritten.
(Bild: WrightStudio - stock.adobe.com)
1. Schritt: Bevor es losgeht
Bevor das Projekt ISO 27001 startet, gilt es einige Grundpfeiler zu setzen: Alle für die Informationssicherheit relevanten Prozesse sind zu definieren, angefangen vom Anwendungsbereich des Information Security Management Systems (ISMS) über die Klassifizierung von Informationen bis hin zum Umgang mit Vorfällen, die den Geschäftsbetrieb nachhaltig unterbrechen können. Ein Projektteam muss zusammengestellt und anschließend die Struktur der Projektdokumentation und Archivierung festgelegt werden. Außerdem sollte man Vorlagen für die im ISMS zu erstellenden Dokumente vorbereiten.
2. Schritt: Informationssicherheitsleitlinie – die Grundlage für ein erfolgreiches ISMS
Die Informationssicherheitsleitlinie stellt den Rahmen des ISMS dar. Dessen erfolgreiche Umsetzung und ein hohes Maß an Informationssicherheit sind nur möglich, wenn die Leitlinie korrekt erstellt und eingehalten wird. Dafür muss sie gewissen formalen Prinzipien folgen, um der Norm zu entsprechen, etwa eine Verpflichtung der Geschäftsführung zur kontinuierlichen Verbesserung des ISMS enthalten. Am besten, man beginnt frühzeitig mit ihrer Ausarbeitung. Zu beachten ist dabei:
Das Führungsteam mit ins Boot holen
Die einzelnen internen und externen Themen sowie interessierten Parteien und ihre Anforderungen in Bezug auf die Informationssicherheit herausarbeiten
Die Management-Ziele beschreiben und daraus die Informationssicherheitsziele ableiten und festschreiben
Grundlegende Regeln im Umgang mit Risiken definieren
Die in der Leitlinie dokumentierte Selbstverpflichtung der Geschäftsführung zur kontinuierlichen Verbesserung einholen
3. Schritt: Anforderungen sammeln und strukturieren
Bei der Analyse der Anforderungen ist strukturiertes Vorgehen angeraten, denn hierbei müssen sämtliche Normkapitel der ISO 27001 und des Anhangs A durchgearbeitet werden. Oft treten dabei auch neue Anforderungen auf, die zu berücksichtigen sind. Für Anhang A heißt das: 114 nach Themenbereichen (so genannten Maßnahmenzielen) sortierte einzelne Maßnahmen (Control Statements) sind durchzuarbeiten. Es muss entschieden sowie dokumentiert werden, welche von ihnen relevant sind.
Im Resultat erhält man eine erste Arbeitsversion der so genannten „Erklärung zur Anwendbarkeit“ (engl. Statement of applicability oder kurz „SOA“). Sie ist ein Pflichtdokument und stellt darüber hinaus eine hervorragende Grundlage zur Steuerung und Fortschrittsdokumentation der Aktivitäten dar. Die Gruppieren der Anforderungen bildet im nächsten Schritt dann das Gerüst für die zu erstellenden Richtliniendokumente.
4. Schritt: Erstellung der Richtlinien
Die Richtlinien sollten in enger Abstimmung mit IT-Administration, Personalabteilung, Softwareentwicklung und den Fachabteilungen „bottom up“ erstellt werden, Lücken im Dialog mit der Geschäftsführung und den Fachabteilungen sind dabei zu schließen. Auf diese Weise ist sichergestellt, dass alle Beschäftigten rechtzeitig informiert und mit im Boot sind. Und das ISMS-Team erhält so einen guten Überblick darüber, welche Richtlinien bereits in Übereinstimmung mit der Norm funktionieren.
5. Schritt: Kritik und Anregung nutzen
Da einzelnen Richtlinien werden in der Regel nicht gleichzeitig, sondern nach und nach verabschiedet. Daher sollte das ISMS-Team alle Involvierten regelmäßig über den Projektstatus auf dem letzten Stand halten. Mit der Veröffentlichung der ersten Dokumente äußert sich regelmäßig auch erste Kritik, sei es wegen Unzufriedenheit mit einzelnen Prozessen oder weil tatsächliche Widersprüche aufgedeckt wurden. Diese Kritik sollte man aufnehmen, priorisieren und für den weiteren Verbesserungsprozess nutzen
Auch das ISMS-Team selbst wird beim Erstellen von Richtlinien immer wieder auf Redundanzen oder Widersprüchlichkeiten mit anderen Richtlinien stoßen. Hier hilft ein gut gepflegtes SOA-Dokument, um den Überblick zu behalten und es gar nicht so weit kommen zu lassen.
6. Schritt: Vorbereitung auf den Audit
Ob vor dem Erstzertifizierungsaudit ein interner Audit über das gesamte ISMS stattfinden, darüber herrschen geteilte Meinungen. Zumindest sollte man zunächst einen neutralen Auditor auf das ISMS schauen lassen, um zertifizierungsverhindernde „Hauptabweichungen“ gar nicht erst entstehen zu lassen. Zutage treten können dabei zum Beispiel das Nichterfüllen einer oder mehrerer Normenforderungen für das Managementsystem oder ein Sachverhalt, der erheblichen Zweifel an der Fähigkeit des Managementsystems aufkommen lässt (etwa ein nicht umgesetztes Risiko-Management).
Die definierten Prozesse sollten vor dem Zertifizierungsaudit außerdem bereits eine Weile gelebt worden sein und ihre Ergebnisse sollten dokumentiert sein. Das zeigt dem Auditor, dass das ISMS im Unternehmen verstanden und umgesetzt wird. Vor der ersten Rezertifizierung wäre dann sicherzustellen, dass die Ergebnisse des ersten Audits sowie ggf. neue Risiken, Vorfälle und Verbesserungspotentiale identifiziert und entsprechende Maßnahmen eingeleitet wurden. Wichtig ist, dass herauskommt: Wir sind nach der Erstzerfizierung mit unserem Optimierungsvorhaben weitergekommen!
Fazit
Wer eine ISO 27001-Zertifizierung erfolgreich absolviert hat, gelangt damit automatisch ins Blickfeld neuer Kunden. Denn es gibt sicherheitssensible Unternehmen, die Aufträge nur an solche Dienstleister vergeben, deren Geschäftsprozesse nachweislich höchsten Standards an die Informationssicherheit entsprechen. So wirkt sich das Zertifikat dann auch noch direkt positiv auf das eigene Geschäft aus. Zu einer erfolgreichen ISO 27001-Zertifizierung kommt man, wenn man schrittweise und geplant vorgeht.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Sebastian Welke ist Senior Consultant bei der handz.on GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/98/c29852ca70a005b2d5efe5a94f01cc75/0129257897v2.jpeg "Sophos Workspace Protection soll eine einfache Alternative zu herkömmlichen SASE-Ansätzen sein und hybrides Arbeiten absichern. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/12/721208d0cf7c674ebbd3ea17d71c8caa/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0f/77/0f775e6248afa32a926f895fb4afe903/0124981266v1.jpeg "Cybersecurity-Zertifizierungen wie ISO 27001 und branchenspezifische Standards bieten Unternehmen einen systematischen Ansatz zur Abwehr KI-gestützter Cyberangriffe, erfüllen regulatorische Anforderungen und stärken langfristig ihre Wettbewerbsfähigkeit. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a72262ba39fe4a5012b61c8869f4c0/0126746159v2.jpeg "Audits und Zertifizierungen sind für den Mittelstand keine Hürde, sondern eine Chance für bessere Prozesse und mehr Vertrauen. (Bild: © EDA - stock.adobe.com)")