Was ist ISO 27001? Der vollständige Leitfaden für 2026
ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme. Erfahren Sie, was sie abdeckt, warum 96.000+ Unternehmen zertifiziert sind und wie Sie beginnen.
Was ist ISO 27001? Der vollständige Leitfaden für 2026
Kurzantwort: ISO/IEC 27001 ist die internationale Norm, die festlegt, wie eine Organisation ein Informationssicherheits-Managementsystem (ISMS) aufbaut, betreibt und kontinuierlich verbessert. Die aktuelle Ausgabe ist ISO/IEC 27001:2022 mit Änderung 1:2024 (Klimaberücksichtigung). Eine akkreditierte Zertifizierungsstelle prüft die Konformität in einem zweistufigen Audit und stellt ein drei Jahre gültiges Zertifikat aus. Nach Ablauf der Übergangsfrist am 31. Oktober 2025 ist die Version 2022 die einzige gültige Ausgabe [³].
ISO 27001 ist die weltweit führende Norm für Informationssicherheits-Management. Im Jahr 2024 hat sich die Anzahl gültiger ISO-27001-Zertifikate nahezu verdoppelt — von 48.671 auf 96.709 zertifizierte Organisationen in über 150 Ländern [¹]. Dieses Wachstum ist kein Zufall. Unternehmenseinkäufer fordern sie. Regulierungsbehörden verweisen auf sie. Cyberversicherungen belohnen sie.
Dieser Leitfaden erklärt genau, was ISO 27001 ist, was sie abdeckt, wie sie funktioniert und warum sie für Ihre Organisation wichtig ist — unabhängig davon, ob Sie die Norm gerade kennenlernen oder sich auf die Zertifizierung vorbereiten.
Wichtigste Erkenntnisse
- ISO 27001 ist eine internationale Norm für den Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). Die aktuelle Version ist ISO/IEC 27001:2022.
- Die Norm zertifiziert Ihren gesamten Sicherheitsansatz — nicht nur einzelne Tools oder Maßnahmen. Sie umfasst Menschen, Prozesse und Technologie.
- 93 Annex-A-Maßnahmen sind in vier Kategorien unterteilt: Organisatorisch, Personenbezogen, Physisch und Technologisch.
- Die Zertifizierung erfordert ein Audit durch eine akkreditierte Drittpartei. Das Zertifikat ist drei Jahre gültig mit jährlichen Überwachungsaudits.
- 96.709 Organisationen waren 2024 zertifiziert, wobei der Markt jährlich um 15,2 % wächst [¹][²].
- ISO 27001 harmoniert mit NIS2, DORA und DSGVO, was es für EU-Unternehmen zu einer strategischen Investition macht — nicht nur zu einem Beschaffungs-Checkpunkt.
Was ist ISO 27001?
ISO 27001 (vollständiger Name: ISO/IEC 27001) ist eine internationale Norm, die gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wird. Sie legt die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS) fest.
In der Praxis bietet ISO 27001 einen strukturierten Rahmen für:
- Identifizierung schützenswerter Informationen — Informationsressourcen, Systeme, Prozesse und Mitarbeiter
- Bewertung der Risiken für diese Informationen — was schiefgehen könnte, wie wahrscheinlich es ist und welche Auswirkungen es hätte
- Implementierung von Maßnahmen zur Reduzierung dieser Risiken auf ein akzeptables Niveau
- Messung und Verbesserung der Wirksamkeit Ihres Sicherheitsprogramms im Zeitverlauf
Die Norm schreibt nicht genau vor, welche Technologien zu verwenden oder welche spezifischen Richtlinien zu schreiben sind. Stattdessen verfolgt sie einen risikobasierten Ansatz: Ihre Organisation identifiziert ihre eigenen Bedrohungen, bewertet deren Schwere und wählt geeignete Maßnahmen aus einem Referenzkatalog (Anhang A). Diese Risikobewertung stützt sich häufig auf etablierte Risikomanagement-Frameworks wie ISO/IEC 27005 oder das NIST Risk Management Framework.
Die Zertifizierung bedeutet, dass eine akkreditierte, unabhängige Zertifizierungsstelle überprüft hat, dass Ihr ISMS den Anforderungen der Norm entspricht. Diese unabhängige Überprüfung unterscheidet die ISO-27001-Zertifizierung von Selbstbewertungen, Fragebögen oder Lieferantenaussagen.
ISO 27001: Eine kurze Geschichte
Die ISO-27000-Familie hat ihre Wurzeln im britischen Standard BS 7799, der 1995 erstmals veröffentlicht wurde:
| Jahr | Entwicklung |
|---|---|
| 1995 | BS 7799 vom British Standards Institution veröffentlicht |
| 2000 | BS 7799 Teil 1 als ISO/IEC 17799 übernommen |
| 2005 | ISO/IEC 27001:2005 veröffentlicht — erste ISO-27001-Ausgabe |
| 2013 | ISO/IEC 27001:2013 veröffentlicht — wichtige Revision, global weit verbreitet |
| 2022 | ISO/IEC 27001:2022 veröffentlicht — aktuelle Version; Anhang A von 114 auf 93 Maßnahmen umstrukturiert |
| 2024 | Änderung 1 hinzugefügt — Klimaschutzanforderung in Abschnitt 4.1 |
| Okt. 2025 | Alle 2013-Zertifizierungen abgelaufen; 2022 ist jetzt die einzige gültige Ausgabe |
Die 2022er Revision war die bedeutendste Aktualisierung seit fast einem Jahrzehnt. Alle Organisationen, die nach der 2013er Version zertifiziert waren, mussten bis Oktober 2025 auf die neue Version migrieren. Ab 2026 werden alle ISO-27001-Zertifizierungsaudits gegen die 2022er Ausgabe durchgeführt [³].
ISO 27001:2022 vs. ISO 27001:2013 — Was sich konkret geändert hat
Für Organisationen, die zwischen 2022 und 2025 von der 2013er auf die 2022er Version migriert sind — und für Auditoren, die Vergleichsprüfungen durchführen — sind die folgenden Änderungen wesentlich [⁶]:
Annex-A-Strukturwandel im Überblick
| Aspekt | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Anzahl Maßnahmen | 114 | 93 |
| Kategorien | 14 Abschnitte (A.5 – A.18) | 4 Themen (Organisatorisch / Personenbezogen / Physisch / Technologisch) |
| Maßnahmenattribute | Keine | 5 Attribute pro Maßnahme (Kontroll-Typ, Sicherheitseigenschaften, Cybersecurity-Konzepte, Operative Fähigkeiten, Sicherheitsdomänen) |
| Klimaberücksichtigung | Nicht enthalten | Pflicht ab Änderung 1:2024 (Abschnitt 4.1 + 4.2) |
Mapping der Maßnahmen — die exakten Zahlen
Von den 114 ursprünglichen Maßnahmen aus 2013 wurden in der 2022er Version:
- 35 Maßnahmen unverändert übernommen
- 23 Maßnahmen umbenannt, behielten aber ihren Kerninhalt
- 57 Maßnahmen zu 24 konsolidierten Maßnahmen zusammengefasst
- 11 neue Maßnahmen ergänzt (siehe Tabelle unten)
Die High-Level-Struktur (Abschnitte 4 – 10) blieb funktionell identisch. Wenn Sie bereits ein ISMS nach der 2013er Version betreiben, bleibt die Managementsystem-Grundlage erhalten — die Hauptarbeit der Transition lag in der Neuzuordnung der Annex-A-Maßnahmen und der Aktualisierung der Konformitätserklärung (SoA).
Änderung 1:2024 — Klimaschutzanforderung
Im Februar 2024 veröffentlichte ISO die Änderung 1, die zwei Anpassungen einführt [⁷]:
- Abschnitt 4.1 (Verständnis der Organisation und ihres Kontextes): Ergänzungssatz "Die Organisation muss bestimmen, ob der Klimawandel ein relevantes Thema ist."
- Abschnitt 4.2 (Anforderungen interessierter Parteien): Neue Anmerkung "Relevante interessierte Parteien können Anforderungen im Zusammenhang mit dem Klimawandel haben."
Wichtig: Die Änderung verlangt nicht, dass Klimawandel für jede Organisation relevant ist — sie verlangt, dass die Frage dokumentiert geprüft wird. Für ein Rechenzentrum in einem überflutungsgefährdeten Gebiet oder eine SaaS-Plattform mit globalen Verfügbarkeitsanforderungen ist die Antwort offensichtlich "ja". Für eine reine Beratungsfirma ohne physische IT-Infrastruktur kann die Antwort "nein" lauten — aber die Begründung muss schriftlich vorliegen. Prüfer der Zertifizierungsstellen prüfen diese Dokumentation ab dem ersten Überwachungsaudit nach dem Veröffentlichungsdatum.
Das ISO-27001-Framework: Zwei Kernkomponenten
ISO 27001 besteht aus zwei Hauptteilen: den Anforderungen an das Managementsystem und den Annex-A-Referenzmaßnahmen.
Teil 1: Anforderungen an das Managementsystem (Abschnitte 4–10)
Diese sieben Abschnitte definieren, wie das ISMS strukturiert und betrieben werden muss. Sie gelten für jede Organisation unabhängig von Größe, Branche oder Technologie-Stack:
| Abschnitt | Thema | Kernanforderung |
|---|---|---|
| Abschnitt 4 | Kontext der Organisation | ISMS-Anwendungsbereich definieren; interne/externe Faktoren und interessierte Parteien identifizieren |
| Abschnitt 5 | Führung | Informationssicherheitsrichtlinie festlegen; Rollen zuweisen; Managementengagement demonstrieren |
| Abschnitt 6 | Planung | Risikobewertung durchführen; Risikobehandlungsplan festlegen; Sicherheitsziele definieren |
| Abschnitt 7 | Unterstützung | Ressourcen bereitstellen; Bewusstsein schaffen; Dokumentation verwalten |
| Abschnitt 8 | Betrieb | Risikobewertungs- und Risikobehandlungspläne umsetzen |
| Abschnitt 9 | Bewertung der Leistung | Wirksamkeit überwachen; interne Audits durchführen; Managementbewertungen abhalten |
| Abschnitt 10 | Verbesserung | Nichtkonformitäten beheben; kontinuierliche Verbesserung vorantreiben |
Die Managementsystem-Abschnitte folgen dem Plan-Do-Check-Act (PDCA)-Zyklus — einer universellen Qualitätsmanagement-Methodik: Planen (Abschnitte 4–6), Durchführen (Abschnitte 7–8), Prüfen (Abschnitt 9), Handeln (Abschnitt 10).
Teil 2: Annex-A-Referenzmaßnahmen
Anhang A enthält 93 Referenzmaßnahmen in vier Kategorien. Diese sind nicht vollständig verpflichtend — Ihre Risikobewertung bestimmt, welche Maßnahmen auf Ihre Situation zutreffen. Wenn Sie eine Maßnahme ausschließen, müssen Sie dies jedoch in der Konformitätserklärung (Statement of Applicability, SoA) begründen.
Organisatorische Maßnahmen (37 Maßnahmen)
Governance und Managementprozesse, darunter:
- Informationssicherheitsrichtlinien und -verfahren
- Ressourcenverwaltung und Informationsklassifizierung
- Zugangskontrollrichtlinien
- Lieferanten- und Drittanbietersicherheitsmanagement
- Incident-Management-Prozesse
- Business-Continuity und Notfallwiederherstellung
- Compliance- und gesetzliche Anforderungen
Personenbezogene Maßnahmen (8 Maßnahmen)
Die menschliche Dimension der Sicherheit:
- Überprüfung vor der Einstellung
- Beschäftigungsbedingungen (einschließlich Vertraulichkeit)
- Schulung und Sensibilisierung für Informationssicherheit
- Disziplinarverfahren
- Verantwortlichkeiten nach Beendigung des Beschäftigungsverhältnisses
- Richtlinien für Telearbeit
Physische Maßnahmen (14 Maßnahmen)
Physische Sicherheitsmaßnahmen:
- Physische Sicherheitsbereiche und Zugangskontrollen
- Absicherung von Büros, Räumen und Datenverarbeitungseinrichtungen
- Geräteschutz und -wartung
- Clear-Desk- und Clear-Screen-Richtlinien
- Sichere Handhabung und Entsorgung von Speichermedien
Technologische Maßnahmen (34 Maßnahmen)
Technische Sicherheitsimplementierung:
- Benutzerauthentifizierung, -autorisierung und Zugriffsrechte
- Verschlüsselung und Schlüsselmanagement
- Protokollierung und Überwachung von Sicherheitsereignissen
- Netzwerksicherheit und -segmentierung
- Sicherer Software-Entwicklungslebenszyklus (SDLC)
- Datenschutz, Datenmaskierung und Verhinderung von Datenverlust
- Schwachstellenmanagement und Patch-Management
- Backup und Redundanz
Die 11 neuen Maßnahmen aus 2022
Die ISO/IEC-27001:2022-Revision führte 11 neue Maßnahmen ein, die moderne Sicherheitsherausforderungen widerspiegeln:
| Maßnahme | Thema |
|---|---|
| A.5.7 | Bedrohungsintelligenz |
| A.5.23 | Informationssicherheit für Cloud-Dienste |
| A.5.30 | IKT-Bereitschaft für Business Continuity |
| A.7.4 | Überwachung der physischen Sicherheit |
| A.8.9 | Konfigurationsmanagement |
| A.8.10 | Löschung von Informationen |
| A.8.11 | Datenmaskierung |
| A.8.12 | Verhinderung von Datenverlust |
| A.8.16 | Überwachungsaktivitäten |
| A.8.23 | Webfilterung |
| A.8.28 | Sichere Programmierung |
Was ist ein ISMS?
ISO 27001 zertifiziert Ihr Informationssicherheits-Managementsystem (ISMS). Ein ISMS ist kein Softwareprodukt oder technisches Tool — es ist ein Managementsystem: eine Gesamtheit von Richtlinien, Prozessen, Rollen und Maßnahmen, die zusammenwirken, um Informationssicherheitsrisiken systematisch zu steuern.
Stellen Sie es sich wie ein Qualitätsmanagementsystem (ISO 9001) für die Sicherheit vor: So wie ein QMS durch dokumentierte Prozesse und kontinuierliche Verbesserung für gleichbleibende Produktqualität sorgt, gewährleistet ein ISMS durch strukturiertes Risikomanagement gleichbleibende Informationssicherheit.
Ein ISMS enthält:
- Anwendungsbereichsdefinition — welche Informationsressourcen, Systeme und Prozesse im Scope sind
- Risikobewertungsmethodik — wie Sie Risiken identifizieren und bewerten
- Risikobehandlungsplan — was Sie mit jedem Risiko tun (mindern, akzeptieren, transferieren, vermeiden)
- Konformitätserklärung (SoA) — welche Annex-A-Maßnahmen gelten und wie sie implementiert werden
- Richtlinien und Verfahren — die Regeln, nach denen Ihre Organisation handelt
- Maßnahmennachweise — Belege für die wirksame Funktionsweise der Maßnahmen
- Internes Auditprogramm — regelmäßige Überprüfungen, ob das ISMS funktioniert
- Managementbewertungsaufzeichnungen — Belege für das Engagement der Führungsebene
- Korrekturmaßnahmen-Tracking — wie Sie auf Probleme reagieren und daraus lernen
In Deutschland ergänzt das BSI IT-Grundschutz-Rahmenwerk ISO 27001 häufig als alternative oder zusätzliche Umsetzungsmethodik. Viele deutsche Behörden und öffentliche Einrichtungen nutzen IT-Grundschutz zusammen mit ISO 27001.
Einen detaillierten Leitfaden zum Aufbau eines ISMS finden Sie in unserem umfassenden ISMS-Leitfaden — Definition, 8-Schritte-Implementierung, Kosten und Auditfehler.
Die Konformitätserklärung (Statement of Applicability, SoA) — ein konkretes Beispiel
Die Konformitätserklärung ist das wichtigste Einzeldokument in jedem ISO-27001-Programm. Sie listet alle 93 Annex-A-Maßnahmen auf und dokumentiert für jede einzelne: ob sie anwendbar ist, ob sie umgesetzt wurde, und — falls sie ausgeschlossen wurde — die Begründung dafür. Prüfer beginnen ihre Stufe-2-Audits regelmäßig mit der SoA in der Hand.
Hier ist ein gekürzter Auszug aus einer realistischen SoA für ein deutsches B2B-SaaS-Unternehmen mit 80 Mitarbeitern:
| Maßnahme | Titel | Anwendbar? | Status | Begründung / Nachweis |
|---|---|---|---|---|
| A.5.1 | Informationssicherheitsrichtlinien | Ja | Umgesetzt | Vom CTO genehmigte Richtlinie, jährlich überprüft. Nachweis: Confluence-Dokument, Signatur-Audit-Log. |
| A.5.7 | Bedrohungsintelligenz (neu 2022) | Ja | Umgesetzt | Abonnement bei CERT-Bund-Warnungen + kommerziellem Threat-Feed. Monatliche Auswertung im Security-Review. |
| A.5.23 | Cloud-Dienste-Sicherheit (neu 2022) | Ja | Umgesetzt | AWS-Sicherheitsbasislinie, dokumentierter Cloud-Anbieter-Bewertungsprozess. Nachweis: AWS-Konfiguration, DPA-Akte. |
| A.7.4 | Überwachung physischer Sicherheit (neu 2022) | Nein | Ausgeschlossen | Kein eigenes Rechenzentrum. Sämtliche Produktion in AWS-Frankfurt — Zertifikate (SOC 2, ISO 27001) liegen vor. |
| A.8.1 | Endgerätesicherheit | Ja | Umgesetzt | MDM (Jamf für Mac, Intune für Windows). Festplattenverschlüsselung erzwungen. Nachweis: MDM-Compliance-Report. |
| A.8.28 | Sichere Programmierung (neu 2022) | Ja | Umgesetzt | OWASP-Secure-Coding-Schulung, SAST in CI/CD (SonarQube), Peer-Review-Pflicht. Nachweis: GitHub-PR-Historie. |
Wichtige Hinweise:
- Ausschlüsse sind erlaubt — aber begründungspflichtig. A.7.4 wird häufig von cloud-nativen Unternehmen ausgeschlossen. Der Prüfer akzeptiert dies, wenn die Begründung schlüssig ist und das Risiko durch die Anbietersicherheit abgedeckt wird.
- "Umgesetzt" reicht nicht — Sie brauchen Nachweise. Die SoA verweist auf konkrete Artefakte: Richtlinien, Konfigurationen, Logs, Tickets, Schulungsnachweise.
- Die SoA ist ein lebendes Dokument. Sie wird mindestens jährlich aktualisiert — bei jeder Risikoneubewertung, bei jeder Maßnahmenänderung und bei jedem Auditbefund.
Eine gute SoA ist gleichzeitig auch das beste Verkaufsdokument im B2B-Vertrieb: Sie zeigt Einkäufern auf einer Seite, welche Sicherheitsmaßnahmen Sie betreiben und wie sie nachgewiesen werden — viel effizienter als ein 200-Fragen-Fragebogen.
Warum ISO 27001 in 2026 wichtig ist
Unternehmenseinkäufer fordern sie
Der direkteste Geschäftsgrund für die Zertifizierung: Unternehmenseinkaufsprozesse verlangen ISO 27001 zunehmend als Basisanforderung. Dies gilt besonders für europäische Märkte, wo deutsche, niederländische, französische und nordische Einkäufer ISO 27001 vor dem Abschluss von B2B-Softwareverträgen erwarten.
Die Daten spiegeln dies wider: 81 % der Organisationen berichteten 2025 von aktuellen oder geplanten ISO-27001-Zertifizierungen, gegenüber 67 % im Jahr 2024 — ein Anstieg von 14 Prozentpunkten in einem einzigen Jahr [⁴].
NIS2 und DORA schaffen regulatorischen Rückenwind
Für Organisationen, die der NIS2-Richtlinie oder der DORA-Verordnung unterliegen, bietet ISO 27001 erhebliche Überschneidungen mit den regulatorischen Anforderungen:
- NIS2 Artikel 21 verlangt Risikoanalyse, Incident Handling, Business Continuity, Lieferkettensicherheit und andere Maßnahmen — alles, was auf ISO-27001-Maßnahmen abgebildet wird
- DORA verlangt IKT-Risikomanagement-Rahmenwerke für Finanzunternehmen, die der Managementsystemstruktur von ISO 27001 eng entsprechen
ISO 27001 allein garantiert keine NIS2- oder DORA-Konformität — beide Verordnungen haben zusätzliche spezifische Anforderungen, die über das ISMS hinausgehen. Dennoch bietet sie für NIS2 etwa 70 % des erforderlichen Fundaments.
In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ISO 27001 als relevanten Standard für den Nachweis der NIS2-Konformität anerkannt. DAkkS-akkreditierte Zertifizierungsstellen — wie TÜV SÜD, TÜV Rheinland und DEKRA — stellen in Deutschland die am häufigsten verwendeten ISO-27001-Zertifikate aus.
Wettbewerbsvorteil bei Sicherheitsüberprüfungen
Zertifizierte Organisationen können ihr ISO-27001-Zertifikat — zusammen mit Anwendungsbereich, Konformitätserklärung und Maßnahmennachweisen — über ein Trust Center teilen. Dies ermöglicht es Einkäufern, Sicherheits-Due-Diligence selbst durchzuführen, ohne Fragebögen zu senden. Für B2B-Vertriebsteams verkürzt dies Verkaufszyklen erheblich.
Cyberversicherungsvorteile
Cyberversicherer sind bei ihren Underwriting-Kriterien zunehmend strenger geworden. ISO-27001-zertifizierte Organisationen demonstrieren einen systematischen Ansatz zum Risikomanagement, was das Exposure des Versicherers direkt reduziert.
Multi-Framework-Effizienz
Die 93 Annex-A-Maßnahmen von ISO 27001 überlappen zu 70–80 % mit den SOC-2-Trust-Services-Kriterien. Organisationen, die ihr Compliance-Programm auf ISO 27001 aufbauen, schaffen ein Fundament, das sich über mehrere Rahmenwerke erstreckt [⁵].
ISO 27001 in der europäischen Compliance-Landschaft (EU, EWR, UK)
ISO 27001 ist eine internationale Norm — aber ihre Marktrelevanz in Europa wird durch die Kombination mit nationalen und supranationalen Vorschriften geprägt. Wer mit Kunden in Deutschland, dem EWR und dem Vereinigten Königreich arbeitet, sollte die folgenden parallelen Entwicklungen kennen [⁸][⁹]:
Deutschland (EU)
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) trat am 6. Dezember 2025 in Kraft und überträgt die EU-Richtlinie 2022/2555 in nationales Recht. Das BSI hat zur Beziehung zwischen ISO 27001 und NIS2 Informationsmaterial veröffentlicht und akzeptiert Zertifizierungen als eine mögliche Nachweisform nach § 30 NIS2UmsuCG (Audits, Inspektionen oder Zertifizierungen) — eine formale BSI-Anerkennung von ISO 27001 als ausreichender NIS2-Nachweis besteht jedoch nicht. Die Meldepflichten (24-Stunden-Frühwarnung, 72-Stunden-Bericht) und die persönliche Haftung der Geschäftsleitung sind ohnehin nicht Teil des Geltungsbereichs von ISO 27001 [⁸].
Norwegen (EWR)
Norwegen ist nicht EU-Mitglied, übernimmt die EU-Cybersicherheitsgesetzgebung jedoch über das EWR-Abkommen. Norwegens Digitalsikkerhetsloven (Digital-Sicherheitsgesetz) trat am 1. Oktober 2025 in Kraft und modernisiert den nationalen Rahmen für die Sicherheitspflichten digitaler Diensteanbieter [¹⁰]. Die vollständige NIS2-Umsetzung in Norwegen steht noch aus: Die Regierung hat angekündigt, NIS2 und die CER-Richtlinie als Teil eines breiteren Cybersicherheitspakets in norwegisches Recht zu überführen, der finale Geltungsbereich und die operativen Stichtage für die NIS2-spezifischen Pflichten sind in der Primärgesetzgebung jedoch noch nicht festgelegt. Die zentrale Aufsichtsbehörde ist die Nasjonale sikkerhetsmyndighet (NSM). Norwegische Organisationen nutzen ISO 27001 weit verbreitet als operative Bezugsgrundlage für ihre Informationssicherheits-Baseline, gerade wegen der Überschneidung mit den Risikomanagement-Maßnahmen nach NIS2-Artikel 21.
Vereinigtes Königreich (Post-Brexit)
Das Cyber Security and Resilience Bill wurde am 12. November 2025 zur ersten Lesung ins britische Parlament eingebracht, erhielt am 6. Januar 2026 die zweite Lesung und durchläuft derzeit den Committee Stage [¹¹]. Das Gesetzesvorhaben passt die NIS-Regulations 2018 an die NIS2-Anforderungen an, ohne diese vollständig zu übernehmen. Britische Aufsichtsbehörden verweisen auf das NCSC Cyber Assessment Framework (CAF) als bevorzugten Bezugsrahmen. Für britische Marktteilnehmer bleibt ISO 27001 das pragmatischste Mehrnormrahmen-Fundament, da die CAF-Prinzipien fast vollständig auf ISO-27001-Annex-A-Maßnahmen abgebildet werden können.
Praktische Konsequenz: Eine ISO-27001-Zertifizierung bietet die stärkste mehrjurisdiktionale Informationssicherheits-Baseline für Organisationen, die in den EU-Mitgliedstaaten, dem EWR und im post-Brexit-Vereinigten-Königreich tätig sind. Sie ersetzt jedoch keine jurisdiktionsspezifischen Pflichten — NIS2-Meldefristen, Geschäftsleiterhaftung und behördliche Registrierungspflichten erfordern jeweils zusätzliche Umsetzungsarbeit über das ISMS hinaus. ISO 27001 ist aber das Fundament, das EU-, EWR- und UK-Rahmenwerke einheitlich als relevanten Standard referenzieren oder akzeptieren.
Zertifizierungszeitplan und Kosten (in EUR, 2026)
Realistische Zahlen für deutsche Unternehmen, basierend auf öffentlich zugänglichen Daten von DAkkS-akkreditierten Zertifizierungsstellen wie TÜV SÜD, TÜV Rheinland, DEKRA, DQS und DNV [¹²]:
Externe Auditkosten nach Unternehmensgröße
| Unternehmensgröße | Erstaudit (Stufe 1 + 2) | Jährliches Überwachungsaudit | Rezertifizierung (Jahr 3) |
|---|---|---|---|
| 25 Mitarbeiter, 1 Standort | EUR 8.000 – 11.000 | EUR 3.000 – 5.000 | EUR 6.000 – 9.000 |
| 60 Mitarbeiter, 1 Standort | EUR 12.000 – 17.000 | EUR 4.500 – 7.000 | EUR 9.000 – 13.000 |
| 120 Mitarbeiter, 2 Standorte | EUR 18.000 – 24.000 | EUR 6.500 – 10.000 | EUR 13.000 – 18.000 |
| 300 + Mitarbeiter, mehrere Standorte | EUR 30.000 – 60.000 + | EUR 12.000 – 20.000 | EUR 22.000 – 40.000 |
Jährliche Überwachungsaudits liegen typischerweise bei 30 – 40 % der Erstauditkosten.
Gesamtinvestition im ersten Jahr (inklusive interner Aufwand)
Die externen Auditkosten sind nur ein Teil der Gesamtinvestition. Realistische Gesamtbudgets für das erste Jahr — inklusive interner Personalkosten, Beratung, Tools und Audit:
- Kleines SaaS-Unternehmen (15 – 30 Mitarbeiter): EUR 24.000 – 45.000
- Mittelständisches Unternehmen (60 – 120 Mitarbeiter): EUR 50.000 – 120.000
- Größeres Unternehmen mit Komplexität: EUR 150.000 +
Zeitplan
| Phase | Dauer |
|---|---|
| Gap-Analyse und Planung | 4 – 6 Wochen |
| ISMS-Implementierung (Richtlinien, Maßnahmen, Schulung) | 3 – 5 Monate |
| Betriebsphase zur Nachweissammlung | 3 – 6 Monate |
| Internes Audit und Managementbewertung | 2 – 4 Wochen |
| Stufe-1-Audit (Dokumentenprüfung) | 1 – 2 Wochen |
| Stufe-2-Audit (Implementierungsprüfung) | 2 – 4 Wochen |
| Zertifikatsausstellung | 4 – 8 Wochen nach Stufe 2 |
Gesamt: 6 – 12 Monate, abhängig vom Reifegrad des bestehenden Sicherheitsprogramms. Organisationen, die Compliance-Automatisierung nutzen, erreichen die Zertifizierung typischerweise in 4 – 6 Monaten statt 9 – 12 Monaten [⁴].
Eine detaillierte Aufschlüsselung pro Phase finden Sie im Leitfaden ISO-27001-Zertifizierung: Kosten 2026.
ISO 27001 vs. andere Sicherheits-Frameworks
ISO 27001 vs. SOC 2
| Dimension | ISO 27001 | SOC 2 |
|---|---|---|
| Ursprung | International (ISO/IEC) | USA (AICPA) |
| Ergebnis | Zertifikat einer akkreditierten Stelle | Bescheinigung einer Wirtschaftsprüfungsgesellschaft |
| Ansatz | Risikobasiert mit Annex-A-Maßnahmen | Kriterienbasiert (Trust Services Criteria) |
| Gültigkeit | 3-Jahres-Zertifikat mit Jahresüberwachung | Jahresbericht für Beobachtungszeitraum |
| Kosten | EUR 30.000–150.000 im ersten Jahr | USD 30.000–150.000 im ersten Jahr |
| Zeitplan | 6–12 Monate | Typ II: 9–12 Monate |
| Geografie | Dominant in Europa und international | Erwartet im US-Markt |
| Regulatorische Ausrichtung | Starke EU-Ausrichtung (NIS2, DORA, DSGVO) | Starke US-Ausrichtung |
| Maßnahmen-Überlappung | — | 70–80 % Überlappung mit ISO 27001 |
Welche sollten Sie wählen? Für europäische Unternehmen sollte ISO 27001 das Fundament sein. Für Unternehmen mit US-amerikanischen Unternehmenskunden sollten Sie SOC 2 hinzufügen. Aufgrund der 70–80 %igen Maßnahmen-Überlappung kostet die gleichzeitige Verfolgung beider Standards 30–40 % weniger als der getrennte Aufbau [⁵].
ISO 27001 vs. ISO 27002
Eine häufige Verwechslung: ISO 27001 ist die zertifizierungsfähige Norm; ISO 27002 bietet Umsetzungshinweise. Organisationen werden nach ISO 27001 zertifiziert. ISO 27002 bietet detaillierte, nicht verbindliche Hinweise zur Implementierung jeder der 93 Annex-A-Maßnahmen.
ISO 27001 vs. BSI IT-Grundschutz
Das BSI IT-Grundschutz-Kompendium ist ein deutsches Rahmenwerk des Bundesamts für Sicherheit in der Informationstechnik. Es bietet ein detailliertes, praxisorientiertes Vorgehen zur Informationssicherheit, das besonders für deutsche Behörden, öffentliche Einrichtungen und KRITIS-Betreiber relevant ist. ISO 27001 und IT-Grundschutz können kombiniert werden: Das BSI hat einen offiziellen Mapping-Leitfaden veröffentlicht. Organisationen können eine ISO-27001-Zertifizierung auf Basis von IT-Grundschutz anstreben.
Was ISO 27001 beweist — und was nicht
Was es beweist
Die ISO-27001-Zertifizierung beweist, dass zum Zeitpunkt des Audits:
- Ihre Organisation den Anwendungsbereich ihres ISMS definiert hat
- Sie eine gründliche, dokumentierte Risikobewertung durchgeführt hat
- Sie geeignete Maßnahmen basierend auf dieser Risikobewertung implementiert hat
- Ihre ISMS-Prozesse (internes Audit, Managementbewertung, Korrekturmaßnahmen) funktionieren
- Eine akkreditierte, unabhängige Zertifizierungsstelle all dies durch Dokumentenprüfung, Interviews und Nachweistests überprüft hat
Was es nicht beweist
- Es bedeutet nicht, dass Ihre Organisation noch nie angegriffen wurde. Es bedeutet, dass Sie einen systematischen Ansatz zur Risikoverwaltung haben.
- Es garantiert keine NIS2- oder DORA-Konformität. Beide Vorschriften haben spezifische Anforderungen, die über das ISMS hinausgehen — insbesondere bei Incident-Reporting-Fristen und Managementhaftung.
- Es deckt nicht standardmäßig Ihre gesamte Organisation ab. Der Zertifizierungsumfang wird von der Organisation definiert. Einkäufer sollten den Zertifikatsumfang sorgfältig prüfen.
Der ISO-27001-Zertifizierungsprozess: Überblick
- Gap-Analyse — Bewertung des aktuellen Sicherheitsstatus gegenüber ISO-27001-Anforderungen
- Anwendungsbereich definieren — Festlegen, was das ISMS abdecken soll
- Risikobewertung — Identifizierung und Bewertung von Risiken für die im Scope befindlichen Ressourcen
- Maßnahmen implementieren — Einführung der zur Risikobehandlung erforderlichen Maßnahmen
- ISMS dokumentieren — Schreiben von Richtlinien, Verfahren und Konformitätserklärung
- ISMS betreiben — Ausreichend lange betreiben, um Nachweise zu erzeugen (typischerweise 3–6 Monate)
- Internes Audit — Durchführen eines internen Audits vor dem Zertifizierungsaudit
- Managementbewertung — Formale Managementbewertung der ISMS-Leistung
- Stufe-1-Audit — Zertifizierungsstelle prüft Dokumentation
- Stufe-2-Audit — Zertifizierungsstelle überprüft Implementierung durch Interviews und Nachweistests
- Zertifizierung — Zertifikat ausgestellt, sofern keine schwerwiegenden Nichtkonformitäten vorliegen
- Aufrechterhaltung — Jährliche Überwachungsaudits; vollständige Rezertifizierung in Jahr 3
Den vollständigen Schritt-für-Schritt-Leitfaden einschließlich Kosten, Zeitplänen und häufigen Fehlern finden Sie unter ISO-27001-Zertifizierung: Der vollständige Leitfaden.
Häufige Fehler bei der ISO-27001-Zertifizierung
Diese fünf Fehler kommen am häufigsten vor. Jeder kann Ihren Zeitplan um Monate verlängern oder dazu führen, dass Sie das Zertifizierungsaudit nicht bestehen.
1. Zertifizierung als Einmalprojekt behandeln
ISO 27001 ist ein Managementsystem, kein Projekt. Organisationen, die ein ISMS ausschließlich zum Bestehen des Audits aufbauen, schaffen fragile Systeme, die zwischen Überwachungsaudits zusammenbrechen. Das ISMS muss kontinuierlich betrieben werden: Risiken neu bewertet, Maßnahmen überwacht, Vorfälle gemanagt, Verbesserungen umgesetzt.
2. Führungsebene nicht einbinden
ISO 27001 erfordert nachweisbares Managementengagement — nicht nur eine Unterschrift auf der Informationssicherheitsrichtlinie. Managementbewertungssitzungen müssen abgehalten, mit Ressourcen ausgestattet und mit klaren Entscheidungen dokumentiert werden. Prüfer werden die Führungsebene befragen. Wenn das Management die Risikobereitschaft der Organisation nicht artikulieren kann, ist das eine Nichtkonformität.
3. Risikobewertung unterschätzen
Die Risikobewertung treibt alles an: Ihre Maßnahmenauswahl, Ihre Konformitätserklärung und Ihren Auditumfang. Eine oberflächliche Risikobewertung — das Kopieren einer Vorlage ohne Anpassung an Ihre tatsächlichen Risiken — führt zu ungeeigneten Maßnahmen und Audit-Findings.
4. Dokumentation unterschätzen
ISO 27001 ist nachweisintensiv. Jede Maßnahme muss dokumentiert sein. Jeder Prozess muss Aufzeichnungen haben. Kontinuierliches Monitoring löst dieses Problem, indem es Nachweise automatisch und kontinuierlich sammelt, sodass sie immer bereit sind, wenn der Prüfer danach fragt.
5. Falsche Zertifizierungsstelle wählen
Stellen Sie sicher, dass die Zertifizierungsstelle von der DAkkS akkreditiert ist und Prüfer mit Erfahrung in Ihrer Branche hat. TÜV SÜD, TÜV Rheinland und DEKRA sind in Deutschland bekannte, vertrauenswürdige Optionen. Holen Sie mindestens drei Angebote ein.
Die ISO-27000-Familie
ISO 27001 ist der Kern einer breiteren ISO/IEC-27000-Familie von Informationssicherheitsnormen:
| Norm | Schwerpunkt |
|---|---|
| ISO/IEC 27001 | ISMS-Anforderungen (zertifizierungsfähig) |
| ISO/IEC 27002 | Umsetzungshinweise für Annex-A-Maßnahmen |
| ISO/IEC 27003 | ISMS-Implementierungshinweise |
| ISO/IEC 27004 | ISMS-Überwachung und -Messung |
| ISO/IEC 27005 | Informationssicherheits-Risikomanagement |
| ISO/IEC 27017 | Sicherheitsmaßnahmen für Cloud-Dienste |
| ISO/IEC 27018 | Schutz personenbezogener Daten in Cloud-Diensten |
| ISO/IEC 27701 | Datenschutz-Managementsystem — erweitert ISO 27001 für DSGVO-Konformität |
ISO/IEC 27701 ist für EU-Unternehmen besonders relevant. Es erweitert ISO 27001 um das Datenschutz-Informationsmanagement und bietet einen Rahmen für den Nachweis der DSGVO-Konformität als Erweiterung des ISMS.
Wer zertifiziert Organisationen nach ISO 27001?
In Deutschland sind die wichtigsten akkreditierten Zertifizierungsstellen:
| Zertifizierungsstelle | Akkreditierung |
|---|---|
| TÜV SÜD | DAkkS |
| TÜV Rheinland | DAkkS |
| DEKRA Certification | DAkkS |
| BSI Group (UK) | UKAS |
| Bureau Veritas | DAkkS / COFRAC |
| DNV | DAkkS |
Die DAkkS (Deutsche Akkreditierungsstelle) ist die nationale Akkreditierungsbehörde Deutschlands und Mitglied im Internationalen Akkreditierungsforum (IAF). Zertifikate von DAkkS-akkreditierten Stellen sind international anerkannt.
Was die meisten Leitfäden nicht über ISO 27001 sagen
1. Nachweisqualität ist 2026 wichtiger denn je
Prüfer werden bei Nachweisen anspruchsvoller. Screenshots und Tabellenkalkulationen reichen für viele Zertifizierungsstellen nicht mehr aus. Prüfer wollen Nachweise, die den kontinuierlichen Betrieb der Maßnahmen über das gesamte Beobachtungsfenster (typischerweise 6–12 Monate) belegen: zeitgestempelte Protokolle, Ticket-Historien, Besprechungsnotizen [³].
2. Die Risikobewertung ist sowohl der schwierigste als auch wertvollste Teil
Eine aussagekräftige Risikobewertung bedeutet, Ihre tatsächlichen Informationsressourcen, Bedrohungen und Schwachstellen zu verstehen — und schafft das dokumentierte Fundament für jede folgende Maßnahmenentscheidung.
3. Scope-Entscheidungen sind strategisch
Für die meisten B2B-SaaS-Unternehmen ist es am sinnvollsten, das Kernprodukt, seine Infrastruktur und die Teams, die es entwickeln und betreiben, in den Scope aufzunehmen.
4. Automatisierung hat die Wirtschaftlichkeit verändert
Compliance-Automatisierungsplattformen verbinden sich heute mit Ihren Cloud-Anbietern, Identitätsmanagement, Code-Repositories und Sicherheitstools, um Nachweise kontinuierlich zu sammeln. Organisationen, die Automatisierung nutzen, erreichen die Zertifizierung in 4–6 Monaten statt 9–12 Monaten [⁴].
Erste Schritte mit ISO 27001
Schritt 1: Verstehen Sie, was Sie schützen müssen. Dokumentieren Sie Ihre wichtigsten Informationsressourcen: Kundendaten, geistiges Eigentum, Infrastruktur.
Schritt 2: Führen Sie eine Gap-Analyse durch. Vergleichen Sie Ihre aktuellen Sicherheitsmaßnahmen mit den ISO-27001-Anforderungen.
Schritt 3: Schätzen Sie Umfang und Budget. Nutzen Sie unseren ISO-27001-Zertifizierungs-Kostenguide, um einen realistischen Projektplan zu erstellen.
Schritt 4: Bewerten Sie Tooling. Die Entscheidung zwischen Tabellenkalkulations-basierter Compliance und einer dedizierten ISMS-Plattform ist grundlegend eine Wirtschaftlichkeitsfrage.
Schritt 5: Wählen Sie frühzeitig eine Zertifizierungsstelle. Zertifizierungsstellen sind schnell ausgebucht. Kontaktieren Sie potenzielle DAkkS-akkreditierte Stellen 3–4 Monate vor dem geplanten Auditdatum.
Häufig gestellte Fragen
Was ist ISO 27001 in einfachen Worten?
ISO 27001 ist eine international anerkannte Norm, die Organisationen beschreibt, wie sie ein System zur Verwaltung von Informationssicherheitsrisiken aufbauen, betreiben und verbessern. Unabhängige Prüfer verifizieren die Konformität und stellen ein drei Jahre gültiges Zertifikat aus.
Wer braucht ISO 27001?
Alle Organisationen, die sensible Informationen verarbeiten, profitieren von ISO 27001. Besonders kritisch ist sie für B2B-Softwareunternehmen, Cloud-Dienstleister, Finanzinstitute und Gesundheitsorganisationen, die europäische Unternehmenskunden bedienen.
Was beweist die ISO-27001-Zertifizierung?
Sie beweist, dass eine akkreditierte, unabhängige Prüfstelle verifiziert hat, dass Ihre Organisation ihre Informationssicherheitsrisiken bewertet, geeignete Maßnahmen implementiert und Managementprozesse zur kontinuierlichen Aufrechterhaltung und Verbesserung des Sicherheitsprogramms etabliert hat.
Wie unterscheidet sich ISO 27001 von ISO 27002?
ISO 27001 ist die zertifizierungsfähige Norm, gegen die Organisationen geprüft werden. ISO 27002 bietet ergänzende Umsetzungshinweise für die Annex-A-Maßnahmen. Sie werden nach ISO 27001 zertifiziert; ISO 27002 hilft Ihnen, Maßnahmen effektiv umzusetzen.
Ist ISO 27001 in der EU verpflichtend?
ISO 27001 ist nicht gesetzlich vorgeschrieben, hat sich aber zur faktischen Marktanforderung für B2B-Unternehmen in Europa entwickelt. NIS2 verweist auf ISO-27001-Maßnahmen, und Unternehmenseinkaufsprozesse verlangen sie häufig explizit.
Weiterführende Informationen
- ISO-27001-Zertifizierung: Der vollständige Leitfaden — Schritt-für-Schritt-Zertifizierungsprozess, Kosten und Zeitplan
- Was ist ein ISMS? — Vollständiger Leitfaden — Das Managementsystem, das ISO 27001 zertifiziert
- SOC-2-Compliance — Vergleich von ISO 27001 mit SOC 2
- Compliance-Automatisierung — Automatisierung der ISO-27001-Nachweissammlung
- NIS2-Compliance — Die EU-Richtlinie, die auf ISO-27001-Maßnahmen verweist
- Beste ISMS-Software 2026 — Plattformen für ISO 27001, NIS2/DORA und EU-Datenspeicherung vergleichen
- ISO-27001-Software 2026 — Zertifizierungssoftware nach Annex-A-Abdeckung, SoA und EU-Hosting vergleichen
- ISMS-Software von Orbiq — Verwalten Sie Ihr ISO-27001-Programm
Quellen und Referenzen
[¹] HEIC — ISO 27001 Certifications Nearly Double in 2024: https://heic.eu/iso-27001-certifications-nearly-double-in-2024-as-global-organizations-prioritize-cybersecurity/
[²] Business Research Insights — ISO 27001 Certification Market Insights 2035: https://www.businessresearchinsights.com/market-reports/iso-27001-certification-market-120318
[³] Konfirmity — ISO 27001 What Changed in 2026: https://www.konfirmity.com/blog/iso-27001-what-changed-in-2026
[⁴] Secureframe — 130+ Compliance Statistics & Trends 2026: https://secureframe.com/blog/compliance-statistics
[⁵] SOC 2 Auditors — SOC 2 vs ISO 27001 (2026): https://soc2auditors.org/insights/soc-2-vs-iso-27001/
[⁶] ISO — ISO/IEC 27001:2022 (Originalnorm): https://www.iso.org/standard/27001
[⁷] ISO — ISO/IEC 27001:2022/Amd 1:2024 Climate Action Changes: https://www.iso.org/standard/88435.html
[⁸] BSI — ISO/IEC 27001 im Kontext NIS-2/BSIG: https://bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-ISO27001/NIS-2-ISO-27001_node.html
[⁹] ENISA — Cybersecurity standards reference: https://www.enisa.europa.eu/topics/certification-and-standards
[¹⁰] NSM — Ny digitalsikkerhetslov i Norge (Norwegens neues Digital-Sicherheitsgesetz): https://nsm.no/aktuelt/ny-digitalsikkerhetslov-i-norge
[¹¹] UK Parliament — Cyber Security and Resilience Bill 2024-26: https://bills.parliament.uk/bills/4035
[¹²] DEKRA — ISO 27001 Certification Costs Calculator: https://www.dekra.nl/en/iso-27001-certification-costs/
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Zuletzt aktualisiert: Mai 2026.