Wer braucht eine ISO-27001-Zertifizierung?

ISO 27001 ist sinnvoll für Unternehmen, die nachweisbar einen strukturierten Umgang mit Informationssicherheit dokumentieren müssen — sei es gegenüber Kunden in regulierten Branchen, NIS2-Auftraggebern, Versicherungen oder bei Ausschreibungen. Eine Zertifizierung ist nicht zwingend; viele Unternehmen bauen ein ISMS nach ISO 27001 auf, lassen sich aber nicht zertifizieren, weil ihnen die nachweisbare Umsetzung gegenüber Stakeholdern ausreicht.

Wie lange dauert eine ISO-27001-Zertifizierung?

Vom Projektstart bis zur Zertifizierung sind in mittelständischen Unternehmen 9 bis 18 Monate realistisch. Davon entfallen typischerweise 4 bis 8 Monate auf den ISMS-Aufbau (Scope, Risikoanalyse, Richtlinien, Maßnahmen), 2 bis 4 Monate auf den Probebetrieb mit interner Auditrunde sowie 1 bis 2 Monate auf die eigentliche Zertifizierung durch eine akkreditierte Stelle (Stage-1- und Stage-2-Audit).

Was sind die 93 Annex-A-Controls?

Annex A der ISO 27001:2022 enthält einen Katalog von 93 Kontrollen in vier Themengruppen — organisatorisch (37), personell (8), physisch (14) und technologisch (34). Anders als in der Vorgängerversion 27001:2013 mit 114 Controls in 14 Domänen wurde der Katalog gestrafft und auf moderne Themen wie Cloud Security, Threat Intelligence und Data Masking erweitert. Welche Controls für ein Unternehmen relevant sind, ergibt sich aus der eigenen Risikoanalyse.

Was kostet eine ISO-27001-Zertifizierung?

Die Kosten setzen sich aus drei Blöcken zusammen — Beratungs-/Implementierungs-Aufwand (typischerweise 30.000 bis 80.000 €), Auditkosten der Zertifizierungsstelle (ca. 10.000 bis 25.000 € für Stage-1- und Stage-2-Audit) sowie laufende Aufwände für interne Audits und Überwachungsaudits (Surveillance-Audits) in den Folgejahren. Für Klein- und Kleinstunternehmen ist eine ISO-Zertifizierung meist überdimensioniert; hier bieten DIN SPEC 27076 oder CISIS12 schlankere Alternativen.

Wie unterscheidet sich ISO 27001 von ISO 27002?

ISO 27001 ist die zertifizierungsfähige Norm und definiert die verbindlichen Anforderungen an ein ISMS — was ein Unternehmen tun muss. ISO 27002 ist hingegen ein begleitender Leitfaden mit detaillierten Empfehlungen zu jeder einzelnen Sicherheitskontrolle aus Annex A — wie diese Maßnahmen umgesetzt werden können. ISO 27001 ist „der Vertrag", ISO 27002 ist „die Bauanleitung".

GlossarDefinition

Was ist ISO/IEC 27001?

Zuletzt aktualisiert: 25. Mai 2026

Kurz erklärt: ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme. Er beschreibt einen risikobasierten Ansatz mit definierten Verantwortlichkeiten, dokumentierten Richtlinien und nachweisbar gelebten Kontrollen, der Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensinformationen systematisch absichert. Die aktuelle Fassung 27001:2022 enthält 93 Annex-A-Controls in vier Themengruppen (organisatorisch, personell, physisch, technologisch) und ist die Grundlage für die zertifizierte ISMS-Implementierung.

ISO/IEC 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Die Norm wurde gemeinsam von ISO (International Organization for Standardization) und IEC (International Electrotechnical Commission) entwickelt und liegt seit Oktober 2022 in der aktualisierten Fassung ISO/IEC 27001:2022 vor.

Foundational Facts

Aktuelle Fassung: ISO/IEC 27001:2022, veröffentlicht im Oktober 2022
Vorgänger: ISO/IEC 27001:2013 (Übergangsfrist bis 31. Oktober 2025)
Aufbau: Hauptnorm (Klauseln 4–10) + Annex A (93 Controls)
Zertifizierung: durch akkreditierte Stellen, dreijähriger Zertifizierungszyklus mit jährlichen Überwachungsaudits
Verwandte Normen: ISO 27002 (Implementierungs-Leitfaden), ISO 27005 (Risikomanagement), ISO 27017/27018 (Cloud)

Struktur des Standards

ISO 27001 folgt der einheitlichen High-Level-Struktur aller ISO-Management-System-Normen. Die Klauseln 4–10 definieren die verbindlichen Anforderungen:

Klausel 4 — Kontext der Organisation: Verständnis der Organisation, interessierte Parteien, Anwendungsbereich
Klausel 5 — Führung: Verpflichtung der Leitung, Informationssicherheitspolitik, Rollen und Verantwortlichkeiten
Klausel 6 — Planung: Risikobeurteilung und -behandlung, Informationssicherheitsziele
Klausel 7 — Unterstützung: Ressourcen, Kompetenz, Awareness, Kommunikation, dokumentierte Information
Klausel 8 — Betrieb: operative Planung, Risikobeurteilung und -behandlung in der Praxis
Klausel 9 — Bewertung der Leistung: Monitoring, Messung, interne Audits, Managementbewertung
Klausel 10 — Verbesserung: Nichtkonformitäten, Korrekturmaßnahmen, kontinuierliche Verbesserung

Die 93 Annex-A-Controls (4 Themengruppen)

Die aktuelle Fassung 27001:2022 strukturiert die Sicherheitsmaßnahmen in vier Themengruppen statt der bisherigen 14 Domänen:

Organisatorische Controls (37)

Richtlinien, Rollen, Asset-Management, Klassifizierung, Zugriffskontrolle (konzeptionell), Lieferanten-Beziehungen, Informationssicherheits-Vorfälle, Geschäftskontinuität, Compliance.

Personelle Controls (8)

Screening, Beschäftigungsbedingungen, Awareness/Schulung, disziplinarische Maßnahmen, Verantwortlichkeiten bei Beendigung des Beschäftigungsverhältnisses, Vertraulichkeitsvereinbarungen, Remote Working, Reporting von Sicherheitsereignissen.

Physische Controls (14)

Physische Sicherheitsbereiche, Zutrittskontrolle, Schutz vor Umweltrisiken, sichere Arbeitsumgebung, Clear-Desk-/Clear-Screen, Geräte-Schutz, Entsorgung.

Technologische Controls (34)

Authentifizierung, Verschlüsselung, sichere Konfiguration, Malware-Schutz, Schwachstellenmanagement, Backup, Logging, Netzwerksicherheit, sichere Entwicklung, Datentrennung, Datenmaskierung, Data Leakage Prevention, Cloud-Sicherheit (neu in 2022), Threat Intelligence (neu in 2022).

ISMS-Aufbau in der Praxis

Der typische Aufbau eines ISO-27001-ISMS folgt diesem Pfad:

Vorbereitung (4–8 Wochen): Scope, Stakeholder-Mapping, Leitlinien-Entwurf, Projekt-Setup
Risikomanagement (8–12 Wochen): Asset-Inventur, Risikoanalyse, Statement of Applicability (SoA), Risikobehandlungsplan
Maßnahmenumsetzung (4–8 Monate): Implementation der ausgewählten Controls aus Annex A, organisatorisch und technisch
Probebetrieb (2–4 Monate): Vollständiger PDCA-Zyklus, interne Audits, Managementbewertung
Zertifizierungs-Audit: Stage-1 (Dokumenten-Review) → Stage-2 (Vor-Ort-Audit) durch akkreditierte Stelle
Überwachung: jährliche Surveillance-Audits, alle 3 Jahre Re-Zertifizierung

Bedeutung für KMU im Compliance-Kontext

Für mittelständische Unternehmen ist ISO 27001 oft die strategisch wichtigste Säule des Compliance-Cluster:

Vorbereitung auf NIS2: ein bestehendes ISO-27001-ISMS deckt rund 80 % der NIS2-Anforderungen ab
TISAX-Voraussetzung: der ISA-Katalog hinter TISAX basiert auf ISO 27001/27002
DORA-Konformität: ISO 27001 ist die übliche Basis des IKT-Risikomanagement-Rahmenwerks im Finanzsektor
Versicherungs-Anforderung: viele Cyberversicherungen verlangen einen ISMS-Nachweis nach ISO 27001
Lieferketten-Anforderung: Konzerne und öffentliche Auftraggeber verlangen häufig ein ISMS-Zertifikat oder Gleichwertiges

Für Klein- und Kleinstunternehmen (unter 50 Mitarbeitende) ist eine ISO-Zertifizierung jedoch meist überdimensioniert. Hier bietet die DIN SPEC 27076 eine schlankere Alternative.

Weiterführende Links

Häufige Fragen

Wer braucht eine ISO-27001-Zertifizierung?: ISO 27001 ist sinnvoll für Unternehmen, die nachweisbar einen strukturierten Umgang mit Informationssicherheit dokumentieren müssen — sei es gegenüber Kunden in regulierten Branchen, NIS2-Auftraggebern, Versicherungen oder bei Ausschreibungen. Eine Zertifizierung ist nicht zwingend; viele Unternehmen bauen ein ISMS nach ISO 27001 auf, lassen sich aber nicht zertifizieren, weil ihnen die nachweisbare Umsetzung gegenüber Stakeholdern ausreicht.
Wie lange dauert eine ISO-27001-Zertifizierung?: Vom Projektstart bis zur Zertifizierung sind in mittelständischen Unternehmen 9 bis 18 Monate realistisch. Davon entfallen typischerweise 4 bis 8 Monate auf den ISMS-Aufbau (Scope, Risikoanalyse, Richtlinien, Maßnahmen), 2 bis 4 Monate auf den Probebetrieb mit interner Auditrunde sowie 1 bis 2 Monate auf die eigentliche Zertifizierung durch eine akkreditierte Stelle (Stage-1- und Stage-2-Audit).
Was sind die 93 Annex-A-Controls?: Annex A der ISO 27001:2022 enthält einen Katalog von 93 Kontrollen in vier Themengruppen — organisatorisch (37), personell (8), physisch (14) und technologisch (34). Anders als in der Vorgängerversion 27001:2013 mit 114 Controls in 14 Domänen wurde der Katalog gestrafft und auf moderne Themen wie Cloud Security, Threat Intelligence und Data Masking erweitert. Welche Controls für ein Unternehmen relevant sind, ergibt sich aus der eigenen Risikoanalyse.
Was kostet eine ISO-27001-Zertifizierung?: Die Kosten setzen sich aus drei Blöcken zusammen — Beratungs-/Implementierungs-Aufwand (typischerweise 30.000 bis 80.000 €), Auditkosten der Zertifizierungsstelle (ca. 10.000 bis 25.000 € für Stage-1- und Stage-2-Audit) sowie laufende Aufwände für interne Audits und Überwachungsaudits (Surveillance-Audits) in den Folgejahren. Für Klein- und Kleinstunternehmen ist eine ISO-Zertifizierung meist überdimensioniert; hier bieten DIN SPEC 27076 oder CISIS12 schlankere Alternativen.
Wie unterscheidet sich ISO 27001 von ISO 27002?: ISO 27001 ist die zertifizierungsfähige Norm und definiert die verbindlichen Anforderungen an ein ISMS — was ein Unternehmen tun muss. ISO 27002 ist hingegen ein begleitender Leitfaden mit detaillierten Empfehlungen zu jeder einzelnen Sicherheitskontrolle aus Annex A — wie diese Maßnahmen umgesetzt werden können. ISO 27001 ist „der Vertrag", ISO 27002 ist „die Bauanleitung".