> ./exec Infosec.sh — ARTICLE

ISO 27001 ohne Berater? Risiken, Kosten, ehrlicher Vergleich

Clara — Documentation Lead ClaraFrance · Documentation Lead 06-06-2026 6 min Lesezeit INFOSEC

Die Frage kommt regelmäßig: "Können wir ISO 27001 nicht selbst machen?" Die Antwort ist fast immer dieselbe: technisch ja, strategisch selten ratsam. Wer als CISO im Mittelstand ohne Vorerfahrung mit Managementsystemen an die ISO/IEC 27001 herangeht, unterschätzt systematisch drei Faktoren: den Zeitaufwand, die Interpretationsspielräume der Norm und die Kosten eines gescheiterten Audits.

Dieser Artikel rechnet ehrlich durch, was beide Wege kosten, zeigt an konkreten Vorher/Nachher-Beispielen, wo DIY-Projekte scheitern, und nennt die eine Bedingung, unter der Selbstimplementierung vertretbar ist.

Was die Norm tatsächlich verlangt

ISO/IEC 27001:2022 definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Die Norm strukturiert sich in zehn Kapitel plus Anhang A mit 93 Maßnahmen.[1] Entscheidend ist: Die Norm schreibt nicht vor, wie ein Unternehmen Sicherheit umsetzt, sondern dass es einen nachweislich geführten Prozess hat.

Das ist genau der Punkt, an dem viele Mittelständler falsch abbiegen. Sie lesen "93 Maßnahmen" und beginnen mit der Implementierung technischer Kontrollen. Was dabei übersehen wird: Bevor eine einzige Maßnahme umgesetzt wird, verlangt die Norm eine dokumentierte Risikobeurteilung, einen definierten Anwendungsbereich und die Festlegung der Sicherheitsziele durch die Geschäftsführung.[1]

Das BSI beschreibt in seinem Standard 200-2 einen methodisch analogen Ansatz: erst Strukturanalyse, dann Schutzbedarfsfeststellung, dann Maßnahmenauswahl.[2] Wer diese Reihenfolge umkehrt, baut auf Sand und wird spätestens im Stage-1-Audit darauf hingewiesen.

Der Kostenmythos

"Mit einem Berater kostet das 50.000 Euro. Das machen wir selbst." Diese Kalkulation hat einen Denkfehler.

Vorher: interner DIY-Ansatz (Beispielunternehmen: 120 Mitarbeiter)

Position Annahme Kosten (EUR)
CISO als Projektleiter (intern) 400 Stunden à 100 EUR 40.000
IT-Mitarbeiter für Dokumentation 200 Stunden à 70 EUR 14.000
Externe Schulungen 3 Personen, je 2 Kurse 9.000
Erstzertifizierungsaudit Stage 1 und 2 Zertifizierungsstelle 12.000
Nachbesserungen nach Stage 1 80 Stunden und Maßnahmen 11.000
Gesamt ca. 86.000

Nachher: mit erfahrenem Berater (selbes Unternehmen)

Position Annahme Kosten (EUR)
Beratungshonorar 300 Stunden à 150 EUR 45.000
Interner Aufwand (reduziert) 150 Stunden à 100 EUR 15.000
Erstzertifizierungsaudit Stage 1 und 2 Zertifizierungsstelle 12.000
Gesamt ca. 72.000

Der Berater kostet hier weniger als der DIY-Weg. Nicht weil sein Stundensatz niedriger wäre, sondern weil er Fehler verhindert, die intern teuer werden. Ein fehlgeschlagenes Erstaudit verschiebt den Go-Live um drei bis sechs Monate und erzeugt erneuten internen Aufwand. Das ist noch das günstigere Szenario. Laut IBM Security kostet ein Datenschutzvorfall in einem Unternehmen dieser Größenordnung im Schnitt 4,45 Millionen US-Dollar.[5]

Die drei häufigsten Fehler im DIY-Ansatz

1. Scope zu weit gefasst

Wer den Anwendungsbereich zu groß definiert, prüft mehr als notwendig und scheitert am Umfang. Die Norm erlaubt explizit eine enge Scope-Definition.[1] Ein Berater mit Projekterfahrung kennt die Grenze zwischen "auditierfähig" und "überambitioniert". Intern fehlt dieser Referenzrahmen fast immer, weil keine Vergleichsbasis vorhanden ist.

2. Dokumentation als Selbstzweck

Das Diataxis-Framework unterscheidet vier Dokumentationstypen: Tutorial, How-to-Guide, Erklärung und Referenzdokument.[6] In ISO-27001-Projekten entsteht intern fast ausschließlich Referenzdokumentation, also Richtlinien, Nachweise und Register. Was fehlt, sind betriebsfähige How-to-Guides für die tatsächlich handelnden Mitarbeiter.

Vorher (typisches DIY-Ergebnis):

"Passwörter müssen mindestens 12 Zeichen lang sein und Sonderzeichen enthalten. Passwörter sind alle 90 Tage zu wechseln."

Das ist eine Richtlinie. Kein Auditor wird sie ablehnen. Aber wenn der Mitarbeiter im Helpdesk ein Passwort zurücksetzen muss, weiß er nicht, welches System er öffnen soll, welches Verfahren gilt und wer zu informieren ist.

Nachher (lauffähiger How-to-Guide als Ergänzung):

"Passwort-Reset: 1. Melde dich im IT-Portal unter https://it.intern an. 2. Wähle 'Benutzerverwaltung'. 3. Suche den betroffenen Account. 4. Klicke 'Passwort zurücksetzen' und wähle 'Temporär'. 5. Informiere den Benutzer telefonisch über das temporäre Passwort und weise auf die Änderungspflicht beim ersten Login hin."

Diese Differenz ist nicht kosmetisch. Ohne lauffähige Prozessdokumentation akzeptiert kein Auditor "umgesetzt" als Status für operative Kontrollen. Richtlinien beschreiben das Ziel, How-to-Guides beschreiben den Weg dorthin.

3. Risikobewertung ohne Methodik

Die Norm fordert eine dokumentierte Risikobeurteilung, lässt die Methode aber offen.[1] Im DIY-Ansatz entstehen häufig Tabellen, die Risiken benennen, aber keine nachvollziehbare Bewertungslogik aufweisen. ENISA empfiehlt für KMU einen vereinfachten, aber methodisch konsistenten Ansatz mit klar definierten Wahrscheinlichkeits- und Schadensskalen.[4] Ohne Konsistenz lässt sich die Bewertung im Audit nicht verteidigen. Die Frage "Warum hat dieses Risiko Score 12 und jenes Score 6?" muss jederzeit beantwortbar sein.

Was ein guter Berater tatsächlich liefert

Ein guter Berater bringt nicht primär Dokumente mit. Er bringt drei konkrete Dinge.

Auditorensprache. Er weiß, welche Formulierung ein Auditor als ausreichend akzeptiert und welche eine Nachforderung auslöst. Diese Erfahrung lässt sich nicht aus der Norm herauslesen. Sie entsteht aus wiederholter Beteiligung an Audits auf beiden Seiten des Tisches und ist nicht durch Kurse ersetzbar.

Scope-Erfahrung. Er hat vergleichbare Implementierungen in ähnlichen Unternehmen durchgeführt und kennt die typischen Fallstricke für ein 150-Mitarbeiter-Produktionsunternehmen oder einen 80-Mitarbeiter-IT-Dienstleister. Diese Erfahrung komprimiert den internen Lernprozess erheblich und verhindert, dass das Projekt an bekannten Stellen scheitert.

Projektdisziplin. ISO 27001 scheitert im Mittelstand selten an technischem Know-how, sondern an Prioritätskonflikten im Tagesgeschäft. TeleTrusT nennt fehlende Managementunterstützung als eine der häufigsten Ursachen für gescheiterte KMU-Zertifizierungsprojekte.[3] Ein externer Berater schafft externe Verbindlichkeit, die intern kaum durchzusetzen ist, wenn das Tagesgeschäft konkurriert.

Was ein guter Berater nicht liefert: fertige Dokumente, die das Unternehmen nach Projektabschluss nicht versteht. Jede Richtlinie, die das interne Team nicht erklären kann, wird im Überwachungsaudit zum Problem. Das entscheidende Qualitätskriterium für ein Beratungsprojekt ist, ob das interne Team das ISMS nach Projektabschluss eigenständig betreiben kann.

Wann DIY vertretbar ist

DIY ist vertretbar unter genau einer Bedingung: Der CISO oder die verantwortliche Person hat nachweisliche Vorerfahrung mit ISO-27001-Projekten in vergleichbaren Unternehmen.

Das bedeutet: eigene aktive Beteiligung an einer Zertifizierung als interner Projektleiter, nicht als Beobachter. Ein ISO-27001-Lead-Implementer-Zertifikat ersetzt diese Erfahrung nicht.

Zusätzliche förderliche Bedingungen: Das Unternehmen verfügt bereits über ein etabliertes Qualitätsmanagementsystem nach ISO 9001, die Geschäftsführung ist aktiv eingebunden, und das Projekt hat ein dediziertes Budget für eine externe Vorbereitungsprüfung durch einen unabhängigen Lead Auditor vor dem Stage-1-Audit.

Wenn diese Bedingungen nicht erfüllt sind, ist ein hybrider Ansatz oft sinnvoller als vollständige Eigenleistung. Konkret: Ein erfahrener Berater übernimmt Scope-Definition, Risikobewertungsmethodik und Auditorbriefing, das interne Team übernimmt Dokumentation und operative Umsetzung. Das reduziert den Beratungsaufwand auf 100 bis 150 Stunden und erhält gleichzeitig die kritischen Knotenpunkte in professionellen Händen.

Fazit

ISO 27001 Beratung im Mittelstand ist kein Luxus und kein Zeichen mangelnder Kompetenz. Sie ist eine Risikoentscheidung. Der DIY-Weg kostet in der Praxis mehr als die Beratungsvariante, dauert länger und endet häufiger mit Audit-Nachforderungen.

Wer ohne Berater starten will, braucht mindestens einen klar abgegrenzten Scope, eine dokumentierte und konsistente Risikobewertungsmethodik sowie eine externe Vorbereitungsprüfung vor dem Stage-1-Audit. Alle anderen sollten die Investition in externe Beratung als das behandeln, was sie ist: ein Versicherungsbetrag gegen vermeidbare Fehler in einem Projekt, das die Grundlage für alle künftigen Sicherheitsnachweise legt.

Quellen

[1] ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection. Information security management systems. Requirements. International Organization for Standardization, Genf, 2022.

[2] Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI-Standard 200-2: IT-Grundschutz-Methodik. Version 1.0. BSI, Bonn, 2017. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.pdf

[3] TeleTrusT -- Bundesverband IT-Sicherheit e.V. Leitfaden Informationssicherheit im Mittelstand. TeleTrusT, Berlin, 2024. https://www.teletrust.de/publikationen/leitfaeden/

[4] ENISA. Cybersecurity guide for Small and Medium-sized Enterprises. European Union Agency for Cybersecurity, Athen, 2021. https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes

[5] IBM Security / Ponemon Institute. Cost of a Data Breach Report 2023. IBM Corporation, Armonk, NY, 2023. https://www.ibm.com/reports/data-breach

[6] Procida, Daniele. Diátaxis: A systematic framework for technical documentation. 2017 (fortlaufend aktualisiert). https://diataxis.fr

Clara — Documentation Lead

ClaraFrance

Documentation Lead

Technische Dokumentation, API-Docs, Guides, ADRs, i18n.

Brauchen Sie Hilfe bei Infosec?

Kostenlose Erstberatung, Festpreis nach Audit.

INIT_CONSULTATION() →