+49 152 03083 103 monka@vialevo.de

Was kostet eine ISO 27001 Zertifizierung?

von | Apr. 11, 2025 | Allgemein, IT-Sicherheit

iso 27001 zertifizierung kosten

ISO 27001: Aufwände und Kosten im Überblick

Stellen Sie sich vor, sie haben die Aufgabe, die ISO 27001 Zertifizierung in einem mittelständischen Unternehmen zu koordinieren. Am Anfang steht man da sicherlich vor einem Berg von Anforderungen. Die erste Frage, die das Management nach einer Orientierungsphase vermutlich stellt, wird folgende sein: „Wie hoch wird der Aufwand für die ISO 27001 Zertifizierung sein?“ Dahhinter verbirgt sich natürlich die Frage nach den Kosten. Eine Frage, auf die jeder Informationssicherheitsbeauftragte zu Beginn des Projekts vorbereitet sein sollte.

Im Folgenden wichtige Orientierungspunkte, die jeder ISB für sein Unternehmen genau spezifizieren sollte. Der Gesamtaufwand für eine ISO 27001 Zertifizierung setzt sich nämlich aus verschiedenen Komponenten zusammen. Die Erfahrung zeigt, dass der zeitliche Rahmen – unabhängig von den Kosten – zwischen mehreren Monaten und einem Jahr liegt.

 

Dieser Beitrag ist Teil einer Reihe von aufeinander aufbauenden und vernetzten Beiträgen - ausgehend von einer generellen "ISO 27001-Checkliste".
iso 27001 mindmap

In dieser Checkliste sind zu allen Themen der ISO 27001 die Fragen und Hinweise aufgeführt, die zur Umsetzung der Norm wesentlich sind. Der folgende Beitrag gibt Antworten auf die spezifien Aspekte aus der Checkliste.

Um wieder zur Checkliste zurück zu kehren, klicken Sie einfach auf das ICON

 

 

 

1. Vorbereitungsphase: Analyse und Planung

Die Vorbereitungsphase ist der Startpunkt für jede ISO 27001-Zertifizierung. Hier schaffen Sie eine solide Grundlage, indem Sie bestehende Prozesse, Systeme und Sicherheitsmaßnahmen bewerten und mit den Anforderungen der Norm abgleichen. Ziel ist es, klare Lücken (sogenannte „Gaps“) zu identifizieren und einen Plan zu erstellen, wie diese geschlossen werden können. Diese Phase legt den Grundstein für ein erfolgreiches Projekt.

 

1.1 Initiale Gap-Analyse

 

Aktivitäten:

  • Erstellung eines Verzeichnisses aller IT-Systeme, Datenflüsse und Prozesse.
  • Abgleich der bestehenden Sicherheitsmaßnahmen mit den Anforderungen von ISO 27001.
  • Identifikation von Gaps: Technische, organisatorische und prozessuale Schwächen.

 Zeitaufwand & externe Kosten

  • Intern: 40–80 Stunden für IT, Compliance und Management.
  • Extern: Ein Berater benötigt 4–10 Tage (1.000–2.000 € pro Tag).
  • Tools: Einsatz von ISMS-Tools wie HiScout, Contechnet oder RiskSense (Lizenzkosten 3.000–10.000 €/Jahr).

Kosten:

  • 5.000–20.000 €, je nach Beratungsintensität und Tool-Nutzung.

 

 

1.2 Projektmanagement und Stakeholder-Einbindung

 

Aktivitäten:

  • Bildung eines Projektteams (Projektleiter, IT-Verantwortlicher, ggf. Datenschutzbeauftragter).
  • Erstellung eines detaillierten Projektplans mit Meilensteinen.
  • Klärung von Verantwortlichkeiten: Wer ist Asset-Owner? Wer führt das Risikomanagement durch?

Zeitaufwand & externe Kosten

  • Intern: 20–40 Stunden für die Erstellung von Rollen und Planung.
  • Extern: Optional Unterstützung durch Berater (1.000–4.000 €).

 

2. Implementierungsphase: Aufbau des ISMS

In der Implementierungsphase setzen Sie die Anforderungen der ISO 27001 konkret um. Sie erstellen die notwendigen Richtlinien, entwickeln Prozesse und setzen technische Maßnahmen ein, um die Informationssicherheit in Ihrem Unternehmen zu verbessern. Gleichzeitig schulen Sie die Mitarbeiter, um ein Bewusstsein für Sicherheitsrisiken zu schaffen. Diese Phase ist der arbeitsintensivste Teil des gesamten Projekts, da hier Theorie in die Praxis umgesetzt wird.

 

2.1 Dokumentation des ISMS

Die Dokumentation ist das Herzstück des Informationssicherheits-Managementsystems (ISMS). Hier wird beschrieben, wie Ihr Unternehmen Informationssicherheit umsetzt – von der Leitlinie bis zu den konkreten Prozessen. Gut strukturierte und vollständige Dokumente sind entscheidend, um die Anforderungen der ISO 27001 zu erfüllen und sich auf das Audit vorzubereiten.

 

Erforderliche Dokumente:

  • Informationssicherheitsleitlinie: Vision und Ziele des ISMS.
  • 37 Richtlinien: Sieben spezielle Richtlinien für das ISMS. Etwa 30 Richtlinien zur Beschreibung der Controls (Anhang A)
  • Risikomanagementprozess: Detaillierte Beschreibung der Identifikation, Bewertung und Behandlung von Risiken.
  • Verfahrensanweisungen: Zugriffskontrolle, Change Management, Incident Management, Business Continuity.
  • Nachweisbare Aufzeichnungen: Protokolle zu Schulungen, Audits und Management-Reviews.

Zeitaufwand & externe Kosten

  • Intern: 200–300 Stunden für die Erstellung der Dokumente.
  • Extern: Ein Berater benötigt 10–20 Tage à 1.000–2.000 €.
  • Typische Stolpersteine: Fehlende oder inkonsistente Dokumentation kann zu Verzögerungen führen.

Kosten:

  • 10.000–20.000 €, abhängig vom internen Aufwand.

 

2.2 Risikomanagement

Das Risikomanagement ist der zentrale Baustein der ISO 27001. Es hilft Ihnen, potenzielle Gefahren für Ihre Informationen zu erkennen, zu bewerten und gezielt Maßnahmen zu ergreifen, um diese Risiken zu minimieren. In dieser Phase analysieren Sie, wie Sie systematisch und effizient mit Risiken umgehen.

 

Detaillierte Schritte:

  • Risikoidentifikation: Interviews mit Stakeholdern, IT-Analyse.
  • Risikobewertung: Einschätzung der Eintrittswahrscheinlichkeit und Schadensauswirkung.
  • Risikobehandlung: Implementierung von Sicherheitsmaßnahmen (z. B. Verschlüsselung, Monitoring).

Zeitaufwand & externe Kosten

  • Intern: 80–120 Stunden (Workshops, Dokumentation, Maßnahmenentwicklung).
  • Extern: Optional Unterstützung bei Methodik (4–10 Tage à 1.000–2.000 €).
  • Tools: Nutzung von Risikomanagement-Software oder Vorlagen (Lizenzkosten: 2.000–10.000 €).

Kosten:

  • 10.000–20.000 €, abhängig von der Komplexität der Organisation.

 

2.3 Technische Umsetzung

Technische Maßnahmen bilden die Schutzschicht Ihrer Informationssicherheit. Von Firewalls über Backup-Systeme bis hin zu Verschlüsselung: Diese Phase stellt sicher, dass Ihre IT-Infrastruktur sicher und widerstandsfähig gegen Bedrohungen ist. Hier wird ein starkes Fundament für Ihre IT-Sicherheit geschaffen.

 

Mögliche Maßnahmen:

  • Einführung/Optimierung von Firewalls, IDS/IPS, Endpoint-Security.
  • Aufbau eines Backup– und Wiederherstellungssystems.
  • Aktivierung von Protokollierung und Auditing.

Zeitaufwand:

  • Intern: 150–300 Stunden IT-Ressourcen.
  • Extern: Technische Berater (10–20 Tage à 1.000–2.000 €).
  • Hardware-/Software-Kosten:
    • Firewall: 5.000–20.000 €.
    • Backup-Systeme: 10.000–50.000 €.
    • Monitoring-Tools: 5.000–20.000 €/Jahr

Kosten Gesamt:

  • 30.000–100.000 €, je nach technischer Ausgangslage.

 

2.4 Schulungen und Sensibilisierung

Selbst die beste Technik hilft nicht, wenn die Mitarbeiter nicht wissen, wie sie damit sicher umgehen sollen. Schulungen und Sensibilisierung sorgen dafür, dass alle im Unternehmen – von der Geschäftsführung bis zur Sachbearbeitung – die Bedeutung von Informationssicherheit verstehen und aktiv mitwirken.

Aktivitäten:

  • Sicherheitsbewusstseinstraining für alle Mitarbeiter (Phishing, Passwortsicherheit).
  • Spezialschulungen für ISMS-relevante Rollen (z. B. IT-Administratoren, Management).

Zeitaufwand:

  • Intern: 10 Stunden je Schulung; multipliziert mit der Anzahl der Mitarbeiter.
  • Extern: Anbieter wie AwareGO oder SoSafe: Kosten von 20–100 € pro Mitarbeiter.

Kosten:

  • 5.000–15.000 €.

 

3. Zertifizierungsvorbereitung

Bevor Sie zur eigentlichen Zertifizierung schreiten, müssen Sie sicherstellen, dass alle Anforderungen vollständig erfüllt sind. Das interne Audit und das Management-Review helfen Ihnen dabei, Schwächen zu identifizieren und Verbesserungen vorzunehmen. Diese Phase ist wie die Generalprobe vor dem großen Auftritt.

 

3.1 Internes Audit

Das interne Audit ist ein systematischer Check Ihrer gesamten Informationssicherheitsmaßnahmen. Es hilft Ihnen, Fehler oder Lücken aufzudecken, bevor diese bei der Zertifizierung auffallen. So haben Sie genügend Zeit, um Nachbesserungen vorzunehmen.

Aktivitäten:

  • Prüfung aller Dokumente und Maßnahmen durch interne Auditoren.
  • Identifikation von Non-Conformities (Abweichungen).

Zeitaufwand:

  • Intern: 40–80 Stunden.
  • Extern: Berater-Unterstützung (2–5 Tage à 1.000–2.000 €).

Kosten:

  • 2.000–10.000 €.

 

3.2 Management-Review

Das Management-Review ist ein wichtiger Schritt, bei dem die oberste Führungsebene über den Status des ISMS informiert wird. Hier werden Entscheidungen getroffen, um das System weiter zu verbessern und strategisch auszurichten.

 

Aufgaben:

  • Berichterstattung an die Geschäftsführung über ISMS-Status.
  • Diskussion und Genehmigung von Verbesserungen.

Zeitaufwand:

  • Intern: 1–2 Tage mit dem Management.

 

 

4. Zertifizierungsaudit

Das Zertifizierungsaudit ist der Höhepunkt des Projekts. Eine unabhängige Stelle prüft, ob Ihr ISMS den Anforderungen der ISO 27001 entspricht und ob die Maßnahmen im Alltag umgesetzt werden. Mit einem erfolgreichen Audit erhalten Sie die begehrte ISO-Zertifizierung.

 

4.1 Zertifizierungsstellen und Dauer

 

Phasen:

  • Stufe 1 (Dokumentation): Prüfung aller ISMS-Dokumente (2–3 Tage).
  • Stufe 2 (Praktische Umsetzung): Vor-Ort-Prüfung von Maßnahmen und Prozessen (3–5 Tage).

Kosten:

  • Typischerweise 5.000–15.000 €, je nach Zertifizierungsstelle (z. B. TÜV, DEKRA).
  • Zusatzkosten: Reisen und Spesen der Auditoren.

 

 

5. Laufender Aufwand nach der Zertifizierung

Mit der Zertifizierung ist das Projekt nicht abgeschlossen. Informationssicherheit ist ein fortlaufender Prozess. Regelmäßige Überprüfungen und Aktualisierungen stellen sicher, dass Ihr Unternehmen auch langfristig sicher bleibt und die Anforderungen der ISO 27001 erfüllt.

 

5.1 Wartung des ISMS

Nach der Zertifizierung müssen Sie Ihr ISMS kontinuierlich pflegen und verbessern. Interne Audits, regelmäßige Schulungen und die Überwachung neuer Risiken stellen sicher, dass Ihre Informationssicherheit auf dem neuesten Stand bleibt.

 

Aufgaben:

  • Regelmäßige interne Audits.
  • Anpassung der Risikobewertung bei neuen Bedrohungen.
  • Aktualisierung von Richtlinien und Schulungen.

Zeitaufwand:

  • Intern: 50–100 Stunden pro Jahr.
  • Extern: Überwachungsaudits (2–3 Tage à 1.500–2.500 €).

Kosten:

  • 2.000–10.000 €/Jahr.

 

Fazit

Für beispielsweise eine KMU belaufen sich die initialen Gesamtkosten, sofern die Norm komplett intern aufgebaut und vorbereitet, wird zwischen 15.000 und 25.000 Euro.  Diese Schätzung variiert natürlich abhängig von Größe, Komplexität und technischer Ausgangslage.

Sofern externe Unterstützung hinzugezogen wird, sind ca. 10.000 bis 50.000 Euro hinzuzurechnen. Wer eine Zertifizierung nahezu komplett extern aufbauen möchte, wird mit mindestens 100.000 Euro an Kosten für Unternehmen mit einer Größe von mehr als 200 Mitarbeiter kalkulieren müssen.

Die laufenden Kosten liegen bei 10.000–30.000 €/Jahr. Je nach Branche (z. B. IT, Finanzen, Gesundheit) können zusätzliche branchenspezifische Anforderungen zu erhöhtem Aufwand führen. Eine sorgfältige Planung und der Einsatz von ISMS-Tools helfen, die Kosten besser zu kontrollieren.

 

 

 

Schauen Sie sich gerne unsere Musterlösungen zur ISO 27001 im Detail an,

mit der Sie die Norm vollständig implementieren können.

 

ISO 27001 Verfahrensanweisungen
ISO 27001-Haus Prozesse_Verfahren
Dr. Michael Monka ist externer Lead Auditor des TÜV Rheinland für die ISO 27001 und KRITIS.

Für weitere Informationen ...

6 + 13 =