Was ist eine ISO 27001 Checkliste?

Eine ISO 27001 Checkliste ist ein schrittweiser Leitfaden, der alle Anforderungen abdeckt, die vor einem Zertifizierungsaudit erfüllt werden müssen: ISMS-Geltungsbereich definieren, Risikobeurteilung durchführen, Annex-A-Maßnahmen auswählen, Pflichtdokumente erstellen, internes Audit durchführen und mehr. Die vollständige Implementierung umfasst typischerweise 14 Schritte.

Wie viele Maßnahmen enthält Annex A von ISO 27001:2022?

Annex A von ISO 27001:2022 enthält 93 Maßnahmen, die in vier Themen gegliedert sind: Organisatorisch (37 Maßnahmen), Personell (8 Maßnahmen), Physisch (14 Maßnahmen) und Technologisch (34 Maßnahmen). In ISO 27001:2013 waren es noch 114 Maßnahmen.

Welche Dokumente sind für die ISO 27001 Zertifizierung verpflichtend?

Pflichtdokumente umfassen: ISMS-Geltungsbereich, Informationssicherheitsleitlinie, Risikobeurteilungsmethodik, Risikobehandlungsplan, Erklärung zur Anwendbarkeit (SoA), Informationssicherheitsziele, Kompetenznachweise, Nachweise zur Überwachung, internes Auditprogramm und -ergebnisse, Managementbewertungsaufzeichnungen sowie Aufzeichnungen zu Nichtkonformitäten und Korrekturmaßnahmen.

Wie lange dauert die ISO 27001 Implementierung?

Die meisten Organisationen benötigen 6–12 Monate bis zur Zertifizierung. Kleine Unternehmen mit bereits reifen Sicherheitspraktiken können dies auf 3–6 Monate komprimieren. Compliance-Automatisierungssoftware reduziert die Implementierungsphase typischerweise um 40–60 % im Vergleich zu manuellen Ansätzen.

Was sind die häufigsten Gründe, warum Unternehmen das ISO 27001 Audit nicht bestehen?

Die häufigsten Auditversagensgründe sind: unvollständige oder veraltete Dokumentation, Diskrepanz zwischen schriftlichen Richtlinien und tatsächlicher Praxis, unzureichende Risikobeurteilung (kein aktuelles Risikoregister), fehlende Managementbewertungsnachweise und nicht getestete Business-Continuity-Pläne.

Was ist die Erklärung zur Anwendbarkeit bei ISO 27001?

Die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) ist ein Pflichtdokument, das alle 93 Annex-A-Maßnahmen auflistet, angibt ob jede Maßnahme anwendbar oder ausgeschlossen ist, und beide Entscheidungen begründet. Ihr Auditor nutzt die SoA als Prüfleitfaden — jede als anwendbar markierte Maßnahme muss mit Nachweisen der Umsetzung belegt sein.

ISO 27001 Checkliste: 14-Schritte-Implementierungsfahrplan für 2026

2026-03-17

By Orbiq Team

ISO 27001 Checkliste: 14-Schritte-Implementierungsfahrplan für 2026

Eine praxisnahe ISO 27001 Checkliste mit allen 14 Implementierungsschritten — von der Gap-Analyse bis zum Zertifizierungsaudit. Mit Annex-A-Kontrollen, Pflichtdokumenten und häufigen Fehlerquellen.

iso-27001

checkliste

compliance

isms

zertifizierung

ISO 27001 Checkliste: 14-Schritte-Implementierungsfahrplan für 2026

Eine ISO 27001 Zertifizierung ist kein einmaliges Ereignis. Es handelt sich um ein strukturiertes Programm, das Monate der Planung, Implementierung, Dokumentation und Auditierung umfasst. Organisationen, die scheitern — und viele tun es beim ersten Versuch — stolpern fast immer über dieselben vermeidbaren Probleme: unvollständige Dokumentation, fehlerhafte Richtlinien oder eine Risikobeurteilung, die seit ihrer Ersterstellung nicht aktualisiert wurde.

Diese Checkliste führt Sie durch jeden Schritt in der richtigen Reihenfolge. Befolgen Sie sie konsequent und Sie werden ohne Überraschungen in Ihr Zertifizierungsaudit gehen.

Was Sie vor dem Start benötigen

Bevor Sie mit der Implementierung beginnen, prüfen Sie drei Voraussetzungen:

Unterstützung der Unternehmensleitung ist gesichert. ISO 27001 Abschnitt 5.1 verlangt, dass das oberste Management Führung und Engagement demonstriert. Ohne aktive Führungsunterstützung — nicht nur eine Unterschrift — stagnieren die meisten ISMS-Projekte innerhalb von 60 Tagen, wenn konkurrierende Prioritäten auftauchen.
Ein Budget ist bereitgestellt. Die Gesamtkosten für ein mittelständisches Unternehmen liegen typischerweise zwischen 20.000 und 80.000 € über den dreijährigen Zertifizierungszyklus, einschließlich Beratergebühren, dem Zertifizierungsaudit selbst und jährlicher Überwachungsaudits. Die Kosten werden voraussichtlich um ca. 20 % im Jahr 2026 im Vergleich zu 2025 steigen [1].
Ein ISMS-Verantwortlicher ist benannt. Jemand muss dieses Programm täglich verantworten. Dies ist häufig ein CISO, Head of Information Security oder ein ernannter Informationssicherheitsbeauftragter.

In Deutschland führen akkreditierte Zertifizierungsstellen wie TÜV Rheinland, TÜV SÜD, DQS und DEKRA die ISO 27001 Zertifizierungsaudits durch. Die Akkreditierung dieser Stellen erfolgt durch die Deutsche Akkreditierungsstelle (DAkkS).

Die ISO 27001 Implementierungscheckliste

Schritt 1: ISMS-Geltungsbereich definieren

Was Sie erstellen müssen: Ein schriftliches Geltungsbereichsdokument für das ISMS.

Der Geltungsbereich legt fest, welche Teile Ihrer Organisation, welche Standorte, welche Informationswerte und welche Prozesse unter das ISMS fallen. Ein zu enger Geltungsbereich mag den Auditor zufriedenstellen, lässt aber wesentliche Risiken außerhalb des Programms. Ein zu breiter Geltungsbereich macht die Implementierung unüberschaubar.

Checkliste für Schritt 1:

Organisationseinheiten im ISMS-Geltungsbereich identifizieren
Produkte, Dienstleistungen oder Prozesse im Geltungsbereich definieren
Interne und externe Schnittstellen und Abhängigkeiten dokumentieren
Geltungsbereich mit dem Management abstimmen und Genehmigung festhalten

Häufiger Fehler: Cloud-Infrastruktur oder Drittanbieter aus dem Geltungsbereich herausnehmen, um die Implementierung zu vereinfachen. Auditoren fragen zunehmend explizit nach diesen Bereichen, insbesondere nach DORA und NIS2, wo die Rechenschaftspflicht in der Lieferkette obligatorisch ist.

Schritt 2: Gap-Analyse durchführen

Was Sie erstellen müssen: Ein Gap-Analysebericht, der Ihren aktuellen Zustand mit den Anforderungen der ISO 27001:2022 vergleicht.

Eine Gap-Analyse vergleicht Ihre bestehenden Sicherheitsmaßnahmen, Richtlinien und Prozesse mit jedem Abschnitt (Abschnitte 4–10) und jeder anwendbaren Annex-A-Maßnahme. Sie zeigt, wie viel Arbeit noch vor Ihnen liegt und wo Sie priorisieren müssen.

Checkliste für Schritt 2:

Alle 11 Abschnitte von ISO 27001:2022 überprüfen (Abschnitte 4–10 sind auditierbar)
Bestehende Maßnahmen den Annex-A-Kategorien zuordnen
Fehlende Pflichtdokumentationen identifizieren
Lücken nach Risikoniveau und Implementierungsaufwand priorisieren
Ressourcen- und Zeitbedarf abschätzen

Eine professionelle Gap-Analyse durch einen externen Berater kostet typischerweise 5.000–15.000 € [2]. Automatisierungsplattformen wie Orbiq können eine kontinuierliche Gap-Analyse als Teil der ISMS-Überwachungsfunktion durchführen, was dies von einer zeitpunktbezogenen zu einer fortlaufenden Übung macht.

Schritt 3: ISMS-Rahmenwerk etablieren

Was Sie erstellen müssen: ISMS-Leitliniendokumente und Governance-Struktur.

Bevor Sie mit dem Schreiben von Maßnahmen beginnen, etablieren Sie die Governance-Schicht:

Checkliste für Schritt 3:

Informationssicherheitsleitlinie schreiben (Anforderung aus Abschnitt 5.2)
Rollen und Verantwortlichkeiten für Informationssicherheit definieren
ISMS-Ausschuss oder Steuerungsgremium etablieren
Informationssicherheitsziele festlegen (messbar, Abschnitt 6.2)
ISMS-Projektplan mit Meilensteinen erstellen

Die Informationssicherheitsleitlinie muss vom obersten Management genehmigt, allen Mitarbeitenden kommuniziert und relevanten Interessenparteien zugänglich sein. Eine Seite ist ausreichend, wenn sie Zweck, Ziele, Grundsätze und das Bekenntnis zur kontinuierlichen Verbesserung abdeckt.

Schritt 4: Risikobeurteilung durchführen

Was Sie erstellen müssen: Dokument zur Risikobeurteilungsmethodik + ausgefülltes Risikoregister.

Dies ist der Motor Ihres ISMS. Alles Nachfolgende — welche Maßnahmen Sie implementieren, was Ihre Erklärung zur Anwendbarkeit aussagt, wie Sie Ressourcen priorisieren — ergibt sich aus der Risikobeurteilung.

ISO 27001:2022 Abschnitt 6.1.2 verlangt von Ihnen:

Kriterien für die Risikoakzeptanz definieren
Eine wiederholbare Methodik zur Identifizierung und Bewertung von Risiken etablieren
Risiken im Zusammenhang mit dem Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen identifizieren
Wahrscheinlichkeit und Auswirkung jedes Risikos bewerten
Risiken für die Behandlung priorisieren

Checkliste für Schritt 4:

Risikobeurteilungsmethodik und -kriterien dokumentieren
Informationswerte im Geltungsbereich identifizieren
Bedrohungen und Schwachstellen für jeden Wert identifizieren
Wahrscheinlichkeit und Auswirkung bewerten (konsistente Skala verwenden)
Risikoniveaus berechnen und einordnen
Risikoeigentümer für jedes bedeutende Risiko identifizieren
Risikoregister überprüfen und mit dem Management genehmigen lassen

Was die meisten Anleitungen verschweigen: Die Risikobeurteilung ist kein einmaliges Dokument. Auditoren prüfen, ob Ihr Risikoregister aktualisiert wurde, wenn sich das Unternehmen verändert — neue Produkte, neue Cloud-Dienste, M&A-Aktivitäten oder wesentliche regulatorische Änderungen. Ein Risikoregister, das seit der Erstzertifizierung nicht angerührt wurde, ist ein Warnsignal, das eine tiefere Prüfung auslöst.

Schritt 5: Risikobehandlungsplan erstellen

Was Sie erstellen müssen: Risikobehandlungsplan + Erklärung zur Anwendbarkeit (SoA).

Für jedes Risiko, das Ihren Akzeptanzschwellenwert überschreitet, müssen Sie eine Behandlungsoption wählen: mindern (Maßnahme implementieren), übertragen (Versicherung oder Vertrag), akzeptieren (Entscheidung dokumentieren) oder vermeiden (Aktivität entfernen).

Checkliste für Schritt 5:

Behandlungsoptionen für alle inakzeptablen Risiken auswählen
Behandlungsentscheidungen spezifischen Annex-A-Maßnahmen zuordnen
Begründungen für einbezogene und ausgeschlossene Maßnahmen dokumentieren
Erklärung zur Anwendbarkeit (SoA) erstellen — alle 93 Annex-A-Maßnahmen müssen erscheinen
Risikobehandlungsplan vom Management genehmigen lassen

Die SoA im Detail: Die Erklärung zur Anwendbarkeit ist wohl das wichtigste Dokument in Ihrem ISMS. Sie muss alle 93 Annex-A-Maßnahmen aus ISO 27001:2022 auflisten, angeben ob jede anwendbar oder ausgeschlossen ist, die Entscheidung in beide Richtungen begründen und — für anwendbare Maßnahmen — den Implementierungsstatus angeben. Ihr Zertifizierungsauditor verwendet dieses Dokument als primären Prüfleitfaden.

Schritt 6: Annex-A-Maßnahmen implementieren

Was Sie erstellen müssen: Nachweise implementierter Maßnahmen (Richtlinien, Verfahren, Konfigurationen, Aufzeichnungen).

ISO 27001:2022 Annex A enthält 93 Maßnahmen, die in vier Themen gegliedert sind [3]:

Thema	Maßnahmen	Beispiele
Organisatorisch	37	Informationssicherheitsleitlinien, Anlagenverwaltung, Zugangssteuerungsrichtlinie, Lieferantenbeziehungen
Personell	8	Überprüfung, Beschäftigungsbedingungen, Informationssicherheitsbewusstsein, Disziplinarverfahren
Physisch	14	Physische Sicherheitsbereiche, Clear-Desk-Richtlinie, sichere Entsorgung von Datenträgern
Technologisch	34	Benutzerendgeräte, privilegierter Zugang, Malwareschutz, Sicherung, Protokollierung, Verschlüsselung

Nicht alle 93 Maßnahmen gelten für Ihre Organisation. Die SoA dokumentiert, welche anwendbar sind und warum. Der Ausschluss einer Maßnahme erfordert jedoch eine dokumentierte Begründung — "Wir haben keine physischen Büros" ist für physische Perimetermaßnahmen gültig; "Es würde zu lange dauern, es zu implementieren" ist es nicht.

Checkliste für Schritt 6:

Alle in der SoA als anwendbar markierten Maßnahmen implementieren
Verfahren für jede implementierte Maßnahme schreiben
Implementierungsnachweise sammeln und aufbewahren (Screenshots, Konfigurationen, Aufzeichnungen)
Maßnahmeneigentümer für den laufenden Betrieb zuweisen
Neue Maßnahmen aus ISO 27001:2022 prüfen: Bedrohungsintelligenz (5.7), Cloud-Sicherheit (5.23), IKT-Kontinuität (5.30), Datenmaskierung (8.11), Datenleckverhinderung (8.12), Web-Filterung (8.23), sichere Programmierung (8.28)

Schritt 7: Pflichtdokumentation erstellen

Was Sie erstellen müssen: Ein vollständiger Satz erforderlicher dokumentierter Informationen.

ISO 27001:2022 spezifiziert Pflichtdokumente in mehreren Abschnitten. Das Fehlen eines dieser Dokumente ist eine automatische Nichtkonformität.

Pflichtdokumentenprüfliste:

Tipp: Die Qualität der Dokumentation ist genauso wichtig wie die Quantität. Auditoren erkennen schnell Dokumente, die nur für die Auditabnahme geschrieben und dann abgelegt wurden. Richtlinien sollten auf echte Prozesse verweisen; Verfahren sollten dem entsprechen, was Mitarbeitende tatsächlich tun.

Schritt 8: Sicherheitsbewusstseinsprogramm durchführen

Was Sie erstellen müssen: Schulungsnachweise und Dokumentation des Bewusstseinsprogramms.

ISO 27001:2022 Abschnitt 7.3 verlangt, dass alle Mitarbeitenden über die Informationssicherheitsleitlinie, ihren Beitrag zur ISMS-Wirksamkeit und die Folgen von Nichtkonformität informiert sind.

Checkliste für Schritt 8:

Sicherheitsbewusstseinsschulung für alle Mitarbeitenden entwerfen und durchführen
Rollenspezifische Schulungen für Hochrisikofunktionen durchführen (IT, Finanzen, HR)
Schulungsabschluss und Beurteilungsergebnisse aufzeichnen
Auffrischungsschulungen planen (mindestens jährlich)
Sicherheitsbewusstsein in das Onboarding neuer Mitarbeitender einbeziehen

Schritt 9: Überwachung und Messung implementieren

Was Sie erstellen müssen: Überwachungsmetriken, Messverfahren und Nachweise regelmäßiger Überprüfungen.

Abschnitt 9.1 verlangt, dass Sie festlegen, was überwacht werden muss, wie dies zu tun ist, wann und wer verantwortlich ist. Sie müssen eine kontinuierliche Maßnahmenwirksamkeit nachweisen können — nicht nur die Erstimplementierung.

Checkliste für Schritt 9:

KPIs und Metriken für wichtige Maßnahmen definieren (z. B. Patch-Abdeckung in %, Zugriffsüberprüfungsabschluss in %, Incident-Response-Zeit)
Technische Überwachung implementieren (SIEM, Schwachstellenscanning, Zugriffsprotokolle)
Messmethodik dokumentieren
Rhythmus für die Metriküberprüfung festlegen (monatlich empfohlen, vierteljährlich Minimum)
Management-Dashboards oder -berichte erstellen

Schritt 10: Internes Audit durchführen

Was Sie erstellen müssen: Internes Auditprogramm, einzelne Auditberichte und Korrekturmaßnahmenaufzeichnungen.

ISO 27001:2022 Abschnitt 9.2 verlangt interne Audits in geplanten Abständen. Die meisten Zertifizierungsstellen erwarten mindestens einen vollständigen internen Auditzyklus vor dem Stage-2-Zertifizierungsaudit.

Checkliste für Schritt 10:

Formelles internes Auditprogramm erstellen, das alle ISMS-Abschnitte abdeckt
Audithäufigkeit planen — Hochrisikobereiche häufiger auditieren
Interne Auditoren ernennen, die von den zu auditierenden Bereichen unabhängig sind
Audits gegen den Standard und eigene dokumentierte Verfahren durchführen
Alle Befunde dokumentieren, einschließlich Konformitäten und Nichtkonformitäten
Korrekturmaßnahmen für jede Nichtkonformität einleiten
Sicherstellen, dass Korrekturmaßnahmen vor dem Zertifizierungsaudit umgesetzt wurden

Zeitplan: Starten Sie interne Audits mindestens sechs Monate vor Ihrem geplanten Stage-2-Zertifizierungsaudit. Dies gibt Ihnen Zeit, Nichtkonformitäten zu identifizieren und zu beheben, bevor der externe Auditor eintrifft.

Schritt 11: Managementbewertung durchführen

Was Sie erstellen müssen: Protokolle der Managementbewertung und Maßnahmenaufzeichnungen.

Abschnitt 9.3 verlangt, dass das oberste Management das ISMS in geplanten Abständen überprüft. Dies ist keine Pro-forma-Übung — Auditoren lesen Ihre Managementbewertungsprotokolle sorgfältig durch, um echte Führungsbeteiligung zu verifizieren.

Pflichtinputs für die Managementbewertung umfassen:

Status von Maßnahmen aus vorangegangenen Bewertungen
Veränderungen in externen/internen Themen, die für das ISMS relevant sind
Rückmeldungen zur Sicherheitsleistung (Auditergebnisse, Nichtkonformitäten, Überwachungsmetriken)
Ergebnisse der Risikobeurteilung und Status des Risikobehandlungsplans
Möglichkeiten zur kontinuierlichen Verbesserung

Checkliste für Schritt 11:

Managementbewertung mindestens 8 Wochen vor dem Stage-2-Audit planen
Tagesordnung vorbereiten, die alle Pflichtinputs abdeckt (Abschnitt 9.3.2)
Besprechung mit ausreichenden Details protokollieren, um echte Überprüfung nachzuweisen
Outputs dokumentieren: Entscheidungen zu Verbesserungsmöglichkeiten, Ressourcenbedarf, ISMS-Änderungen
Maßnahmeneigentümer und Fertigstellungstermine zuweisen

Schritt 12: Alle Nichtkonformitäten beheben

Was Sie erstellen müssen: Korrekturmaßnahmenaufzeichnungen mit Ursachenanalyse und verifizierter Schließung.

Vor Stage 2 muss jede durch interne Audits identifizierte Nichtkonformität behoben sein. Dies bedeutet:

Die Ursache identifizieren (nicht nur das Symptom)
Eine Korrekturmaßnahme implementieren, die die Ursache behebt
Die Wirksamkeit der Maßnahme verifizieren
Den gesamten Prozess dokumentieren

Checkliste für Schritt 12:

Alle offenen internen Auditbefunde überprüfen
Ursachenanalyse für jede Nichtkonformität durchführen
Korrekturmaßnahmen implementieren und dokumentieren
Maßnahmen, die von Nichtkonformitäten betroffen sind, erneut testen
Schließung der Korrekturmaßnahmen vom zuständigen Maßnahmeneigentümer genehmigen lassen

Schritt 13: Stage-1-Audit — Dokumentenüberprüfung

Was passiert: Die Zertifizierungsstelle überprüft Ihre Dokumentation und bestätigt die Bereitschaft für Stage 2.

Stage 1 ist hauptsächlich eine Schreibtischüberprüfung. Der Auditor prüft:

Dass alle Pflichtdokumente vorhanden und aktuell sind
Dass Ihr ISMS-Geltungsbereich angemessen ist
Dass die Erklärung zur Anwendbarkeit vollständig ist
Dass interne Audits und Managementbewertungen durchgeführt wurden

Stage 1 dauert typischerweise 1–2 Tage und resultiert in einem von drei Ergebnissen: bereit zur Weiterführung, geringfügige Klärungen erforderlich oder wesentliche Lücken, die vor Stage 2 behoben werden müssen.

Checkliste für Schritt 13:

Sicherstellen, dass alle Pflichtdokumente vollständig und genehmigt sind
Sicherstellen, dass die SoA aktuell ist und den Risikobehandlungsplan widerspiegelt
Nachweise für interne Audits und Managementbewertungen verfügbar machen
Team über zu erwartende Auditoreninterviews informieren
Stage-1-Befunde vor Stage 2 beheben

Schritt 14: Stage-2-Audit — Zertifizierungsaudit

Was passiert: Der Auditor testet die Implementierungswirksamkeit durch Interviews, Tests und Stichproben.

Stage 2 ist das vollständige Zertifizierungsaudit. Der Auditor wird:

Mitarbeitende auf mehreren Ebenen befragen
Technische Maßnahmen testen (Screenshots, Konfigurationen, Protokolle anfordern)
Nachweise für betriebliche Prozesse stichprobenartig prüfen
Aufzeichnungen überprüfen, um den laufenden Betrieb und nicht nur die Ersteinrichtung zu bestätigen

Stage-2-Befunde fallen in drei Kategorien:

Wesentliche Nichtkonformität: Die Zertifizierung kann erst nach Behebung ausgestellt werden. Oft bedeutet dies ein Nachfolgeaudit.
Geringfügige Nichtkonformität: Die Zertifizierung kann mit einem Korrekturmaßnahmenplan ausgestellt werden, der innerhalb von 90 Tagen fällig ist.
Beobachtung: Beratungshinweis ohne obligatorische Maßnahmen.

Checkliste für Schritt 14:

Nachweispakete für alle anwendbaren Annex-A-Maßnahmen vorbereiten
Mitarbeitende briefen, die wahrscheinlich befragt werden (insbesondere IT, HR, Management)
Alle Dokumentationen leicht zugänglich halten — Papier und digital
Einen einzelnen Ansprechpartner für die Auditlogistik benennen
Nachaudit-Korrekturmaßnahmen in den Projektzeitplan einplanen

Nach der Zertifizierung: ISO 27001 aufrechterhalten

Die Zertifizierung ist nicht die Ziellinie. ISO 27001 arbeitet in einem dreijährigen Zertifizierungszyklus mit jährlichen Überwachungsaudits in den Jahren 1 und 2 und einem vollständigen Rezertifizierungsaudit in Jahr 3.

Laufende Verpflichtungen:

Jährliche Überwachungsaudits (typischerweise 1–2 Tage, Kosten 3.000–7.500 € pro Audit)
Jährliche Überprüfung der Risikobeurteilung und Aktualisierung des Risikoregisters
Jährlicher interner Auditzyklus
Jährliche Managementbewertung
Sofortige Benachrichtigung der Zertifizierungsstelle bei wesentlichen Änderungen des Geltungsbereichs oder der Sicherheitslage
Kontinuierliche Überwachung der Maßnahmen

Der häufigste Grund, warum Organisationen zwischen Überwachungsaudits ihre Zertifizierung verlieren, ist, dass sie das ISMS als Projekt statt als laufendes Programm behandeln. Die Maßnahmen werden nicht mehr betrieben, das Risikoregister wird nicht mehr aktualisiert, und die Lücke, die sich in 12 Monaten öffnet, braucht weitere 6 Monate zum Schließen.

ISO 27001 Kostenübersicht (2026)

Komponente	Kleines Unternehmen (<50 MA)	Mittelstand (50–500 MA)	Großunternehmen (500+ MA)
Gap-Analyse	3.000–8.000 €	8.000–20.000 €	20.000–50.000 €
Implementierung (Beratung)	5.000–15.000 €	15.000–40.000 €	40.000–100.000 €
Zertifizierungsaudit (Stage 1+2)	5.000–10.000 €	10.000–25.000 €	25.000–60.000 €
Jährliches Überwachungsaudit	3.000–5.000 €	5.000–7.500 €	7.500–20.000 €
3-Jahres-Gesamt (Plattform)	15.000–30.000 €	30.000–80.000 €	80.000–200.000 €

Die Kosten steigen voraussichtlich um etwa 20 % im Jahr 2026 im Vergleich zu 2025, getrieben durch erhöhte Nachfrage und begrenzte Verfügbarkeit akkreditierter Auditoren [1].

Die 7 häufigsten ISO 27001 Auditversagen

Zu wissen, warum Organisationen scheitern, hilft Ihnen, dieselben Fehler zu vermeiden:

Unvollständige Dokumentation. Wenn ein Dokument zum Auditzeitpunkt nicht existiert, existiert die Maßnahme nicht. Fehlende Pflichtdokumente — insbesondere die SoA, das Risikoregister oder der interne Auditbericht — können das Audit beenden, bevor es richtig begonnen hat [4].
Diskrepanz zwischen Richtlinie und Praxis. Die Zugangskontrollrichtlinie besagt, dass Konten vierteljährlich überprüft werden. Der Auditor ruft das Zugriffsüberprüfungsprotokoll ab und findet keine Überprüfungen in 18 Monaten. Dies ist eine wesentliche Nichtkonformität.
Veraltete Risikobeurteilung. Das Unternehmen hat drei neue Produkte eingeführt, ist zu einem neuen Cloud-Anbieter migriert und hat 40 Mitarbeitende eingestellt, seit die Risikobeurteilung zuletzt aktualisiert wurde. Das Risikoregister sollte das Unternehmen widerspiegeln, das Sie heute betreiben.
Unzureichende Managementbewertung. Ein zweizeiliger E-Mail-Thread stellt keine Managementbewertung dar. Auditoren erwarten dokumentierte Protokolle mit substanzieller Diskussion über Leistungsmetriken und Verbesserungsmaßnahmen.
Keine Nachverfolgung von Korrekturmaßnahmen. Interne Audits haben Nichtkonformitäten identifiziert, aber sie wurden protokolliert und nie geschlossen. Offene Korrekturmaßnahmen bei Stage 2 sind ein Warnsignal.
Nicht getestete Kontinuitätspläne. ISO 27001 verlangt, dass Business-Continuity-Pläne getestet werden. Ein Plan, der nie geübt wurde, kann nicht als wirksam nachgewiesen werden [5].
Implementierte, aber nicht betriebene Maßnahmen. Eine Protokollierungsrichtlinie existiert. Ein SIEM ist konfiguriert. Aber niemand hat die SIEM-Warnungen seit vier Monaten überprüft. Implementierung ohne laufenden Betrieb besteht den Wirksamkeitstest nicht.

ISO 27001 und das BSI IT-Grundschutz: Gemeinsamkeiten und Unterschiede

In Deutschland ist das BSI IT-Grundschutz-Kompendium ein weiterer relevanter Standard für Informationssicherheit. ISO 27001 und BSI IT-Grundschutz verfolgen ähnliche Ziele, unterscheiden sich jedoch in ihrem Ansatz:

ISO 27001 ist risikobasiert und international anerkannt. Die Auswahl der Maßnahmen basiert auf einer individuellen Risikobeurteilung.
BSI IT-Grundschutz bietet vordefinierte Bausteine und Maßnahmen, die einen strukturierteren, aber weniger flexiblen Implementierungsansatz bieten.

Beide Ansätze können kombiniert werden: BSI IT-Grundschutz kann als Methodik für die Risikobehandlung im Rahmen eines ISO 27001 ISMS verwendet werden. Das BSI bietet offizielle Zertifizierungen nach ISO 27001 auf Basis von IT-Grundschutz an.

Weiterführende Ressourcen

Für eine detaillierte Kostenaufschlüsselung lesen Sie unseren ISO 27001 Zertifizierungskosten-Leitfaden. Für den vollständigen technischen Überblick über den Standard lesen Sie ISO 27001 Zertifizierung: Der vollständige Leitfaden.

Wenn Sie Ihren Implementierungszeitplan verkürzen und die laufende Beweissammlung automatisieren möchten, automatisiert Orbiq's ISMS-Plattform 70 % der laufenden Compliance-Arbeit — von der Risikoregisterverwaltung bis zur Annex-A-Maßnahmenüberwachung.

ISO 27001 Checkliste: 14-Schritte-Implementierungsfahrplan für 2026

ISO 27001 Checkliste: 14-Schritte-Implementierungsfahrplan für 2026

Was Sie vor dem Start benötigen

Die ISO 27001 Implementierungscheckliste

Schritt 1: ISMS-Geltungsbereich definieren

Schritt 2: Gap-Analyse durchführen

Schritt 3: ISMS-Rahmenwerk etablieren

Schritt 4: Risikobeurteilung durchführen

Schritt 5: Risikobehandlungsplan erstellen

Schritt 6: Annex-A-Maßnahmen implementieren

Schritt 7: Pflichtdokumentation erstellen

Schritt 8: Sicherheitsbewusstseinsprogramm durchführen

Schritt 9: Überwachung und Messung implementieren

Schritt 10: Internes Audit durchführen

Schritt 11: Managementbewertung durchführen

Schritt 12: Alle Nichtkonformitäten beheben

Schritt 13: Stage-1-Audit — Dokumentenüberprüfung

Schritt 14: Stage-2-Audit — Zertifizierungsaudit

Nach der Zertifizierung: ISO 27001 aufrechterhalten

ISO 27001 Kostenübersicht (2026)

Die 7 häufigsten ISO 27001 Auditversagen

ISO 27001 und das BSI IT-Grundschutz: Gemeinsamkeiten und Unterschiede

Weiterführende Ressourcen

Quellen & Referenzen