ISO 27001 Roadmap: 12 Monate bis zur Zertifizierung

Eine ISO 27001-Einführung dauert je nach Reifegrad deines Unternehmens zwischen 8 und 14 Monate. Wer glaubt, in drei Monaten fertig zu sein, unterschätzt den Aufwand erheblich. Dieser Artikel zeigt dir den strukturierten 5-Phasen-Weg von der ersten Gap-Analyse bis zum Stage-2-Zertifikat, mit realistischen Zeithorizonten, Aufwandsschätzungen und den wichtigsten Meilensteinen pro Phase. Wenn du die Phasen kennst, kannst du sofort mit der richtigen Vorbereitung beginnen, statt Energie in die falsche Reihenfolge zu investieren.

Phase 1: Scope und Gap-Analyse (Monat 1-2)

Bevor du auch nur eine Policy schreibst, musst du wissen, was du zertifizieren willst. Der Scope definiert, welche Bereiche, Standorte und Systeme unter das ISMS fallen. Ein zu breiter Scope verzögert das Projekt erheblich, ein zu enger Scope gefährdet die Zertifizierbarkeit. Starte mit einem Stakeholder-Kick-Off: Geschäftsführung, IT-Leitung, Datenschutzbeauftragter und die Abteilungen mit dem höchsten Informationsschutzbedarf sollten von Beginn an eingebunden sein.

Anschließend folgt die externe Gap-Analyse. Typisch dauert diese 3 bis 5 Tage und liefert einen Maturity-Score für alle relevanten Kontrollbereiche sowie einen priorisierten Handlungsplan. Das Ergebnis zeigt dir genau, welche Controls heute schon erfüllt sind und wo der größte Aufwand liegt. Nutze den interaktiven Control-Explorer für eine erste Selbsteinschätzung, bevor du einen externen Berater beauftragst. So kommst du besser vorbereitet in die Gap-Analyse und sparst Beratertage.

Der Output aus Phase 1 ist die Grundlage für alle weiteren Phasen: ohne klaren Scope und realistisches Gap-Bild läufst du Gefahr, in Phase 2 auf die falsche Kontrolle zu setzen und dann in Phase 4 vom externen Auditor korrigiert zu werden.

• •Zeithorizont: 2 Monate
• •Outputs: Scope-Dokument, Maturity-Score, priorisierter Handlungsplan
• •Kopexa-Tool: Control-Explorer (Selbsteinschätzung)

Phase 2: ISMS-Aufbau (Monat 3-6)

Phase 2 ist die arbeitsintensivste Phase des gesamten Projekts. Hier baust du das Informationssicherheits-Managementsystem auf: von der Informationssicherheitspolitik über die Risikomethodologie bis zur eigentlichen Implementierung der technischen und organisatorischen Maßnahmen. Der wichtigste Grundsatz: Risikoanalyse vor Policies. Viele Unternehmen beginnen damit, Richtlinien zu schreiben, ohne zu wissen, welche Risiken diese adressieren sollen. Das ist Arbeit in der falschen Reihenfolge.

Die Risikomethodologie legt fest, wie du Risiken bewertest und priorisierst. Das Risikoregister dokumentiert alle identifizierten Risiken mit Wahrscheinlichkeit, Auswirkung und Maßnahmen. Auf dieser Basis werden dann technische Maßnahmen umgesetzt: Multi-Faktor- Authentifizierung, verschlüsselte Backups, Zugangskontrolle nach dem Need-to-know-Prinzip, Patch-Management. Parallel läuft der Awareness-Zyklus: Schulungen für alle Mitarbeitenden sind Pflicht, nicht Kür. Lieferantenaudits für kritische Dienstleister gehören ebenfalls in diese Phase.

Der zentrale Output aus Phase 2 ist das Statement of Applicability (SoA v1): eine Tabelle aller 93 Annex A Controls mit Begründung, ob und wie sie angewendet werden. Das SoA ist das wichtigste Dokument für den externen Auditor. Mehr dazu auf der SoA-Seite.

• •Zeithorizont: 4 Monate
• •Outputs: ISMS-Dokumentation, Risikoregister, Statement of Applicability v1, Schulungsnachweise
• •Kopexa-Module: Risiken, Policies, IT-Assets, Vendors

Phase 3: Internal Audit und Management Review (Monat 7-8)

ISO 27001 Klausel 9.2 schreibt interne Audits vor. Sie sind kein bürokratisches Anhängsel, sondern das Qualitätsgatter vor dem externen Auditor. Intern gefundene Lücken kannst du in Ruhe schließen, ohne dass es in den offiziellen Auditbericht fließt. Externe Lücken können dagegen zur Verschiebung des Zertifizierungstermins führen.

Der interne Audit prüft, ob das ISMS wie dokumentiert gelebt wird. Typische Findings: Policies vorhanden, aber nicht gelebt; Backups dokumentiert, aber nie getestet; MFA aktiviert, aber mit Ausnahmeliste, die ein Drittel der Accounts umfasst. Direkt im Anschluss folgt der Management Review nach Klausel 9.3: die Geschäftsführung bewertet die ISMS-Performance anhand von KPIs, Auditfeststellungen und Risikobericht. Das Management Review ist gleichzeitig der Beweis, dass Informationssicherheit Chefsache ist, denn genau das prüft der externe Auditor.

Korrekturmaßnahmen aus dem internen Audit werden im Nonconformity- Register dokumentiert. Offene Maßnahmen müssen vor dem Stage 1 Audit abgeschlossen oder zumindest mit klarem Umsetzungsplan versehen sein.

• •Zeithorizont: 2 Monate
• •Outputs: Interner Auditbericht, Nonconformity-Register, Management-Review-Protokoll
• •Kopexa-Modul: Audit-Workflow

Phase 4: Stage 1 Audit (Monat 9)

Der Stage 1 Audit ist ein Documentation Review durch den externen Zertifizierungsauditor (TÜV, DQS, Bureau Veritas oder ein anderes akkreditiertes Zertifizierungsunternehmen). Der Auditor prüft, ob die ISMS-Dokumentation den Anforderungen der Norm entspricht und ob das Unternehmen bereit ist, in den Stage 2 Audit zu gehen. Der Stage 1 findet typischerweise vor Ort oder remote über zwei bis drei Tage statt.

Auditfeststellungen werden in vier Kategorien eingeteilt: kritisch (Nonconformity, die eine Zertifizierung verhindert), major (wesentliche Abweichung, die vor Stage 2 behoben werden muss), minor (geringere Abweichung mit Korrekturfrist) und observation (Hinweis ohne Korrekturforderung). Bei kritischen oder major Findings folgst du einem Korrekturprozess: typisch bleiben dir vier bis sechs Wochen für Nachbesserungen, bevor der Stage 2 starten kann.

Der Auditor prüft im Stage 1 unter anderem das Statement of Applicability, den Scope, die Risikomethodik und die Vollständigkeit der Dokumentation. Ein gut vorbereitetes SoA ist der entscheidende Unterschied zwischen einem reibungslosen Stage 1 und einer kostspieligen Nachbesserungsrunde.

• •Zeithorizont: 1 Monat (inkl. Vorbereitung)
• •Outputs: Stage 1 Auditbericht, Findings-Liste, Go/No-Go für Stage 2
• •Kopexa-Tool: Statement of Applicability

Phase 5: Stage 2 Audit und Zertifizierung (Monat 11-12)

Der Stage 2 Audit ist das eigentliche Zertifizierungsaudit. Im Gegensatz zu Stage 1 prüft der Auditor hier die praktische Umsetzung des ISMS: er führt Interviews mit Rollenträgern (CISO, IT- Leitung, Fachbereiche), zieht Stichproben aus dem Risikoregister, prüft Logdateien, Schulungsnachweise, Änderungsmanagement-Protokolle und testet, ob das dokumentierte ISMS auch gelebt wird.

Ein häufiger Fehler ist, den Stage 2 als einmalige Hürde zu verstehen. Das Zertifikat ist drei Jahre gültig, aber nicht wartungsfrei. Jährliche Surveillance-Audits prüfen, ob das ISMS weiterhin wirksam ist. Nach drei Jahren folgt das Rezertifizierungsaudit. Wer nach Stage 2 aufhört, das ISMS zu pflegen, riskiert beim ersten Surveillance-Audit das Zertifikat zu verlieren.

Die Evidenz-Archivierung ist entscheidend: Alle Nachweise müssen jederzeit abrufbar sein. Ein zentrales Evidence-Archiv spart beim Surveillance-Audit Wochen an Vorbereitungszeit im Vergleich zu verstreuten SharePoint-Ordnern und E-Mail-Threads.

• •Zeithorizont: 2 Monate
• •Outputs: ISO 27001:2022 Zertifikat (3 Jahre gültig), Zertifizierungsbericht
• •Kopexa-Modul: Evidence-Archivierung, Audits

Zeitplan-Übersicht: Alle 5 Phasen im Vergleich

Die folgende Tabelle zeigt die typischen Zeithorizonte pro Phase und das jeweils passende Kopexa-Tool. Die Gesamtdauer von 12 Monaten gilt für Unternehmen mit mittlerem Reifegrad. Bei sehr niedrigem Ausgangsniveau (kein bestehendes ISMS) sind 14 bis 18 Monate realistischer.

Häufige Fehler bei der ISO 27001 Roadmap

Aus der Zusammenarbeit mit Unternehmen verschiedener Größen und Branchen kennen wir die typischen Roadmap-Fehler. Hier sind die fünf häufigsten:

1. 1."Wir fangen mit Policies an": Ohne abgeschlossene Risikoanalyse weißt du nicht, welche Risiken deine Policies adressieren sollen. Policies, die nicht aus dem Risikoregister abgeleitet sind, erfüllen den Normzweck nicht. Immer zuerst die Risikoanalyse.
2. 2."Der externe Auditor kann gleichzeitig beraten": Zertifizierungsauditoren dürfen aus Interessenkonfliktgründen keine Beratung für dasselbe Unternehmen übernehmen. Berater und Zertifizierungsauditor müssen immer verschiedene Personen oder Unternehmen sein.
3. 3."6 Monate reichen": Unterhalb von 50 Mitarbeitenden ist das in Ausnahmefällen möglich. Bei mittleren und großen Unternehmen ist es unrealistisch. Plane mindestens 12 Monate ein, außer du hast bereits ein gut dokumentiertes ISMS aus einem anderen Framework.
4. 4."Zertifikat gleich fertig": Das Zertifikat ist der Beginn des ISMS-Betriebs, nicht sein Ende. Surveillance-Audits, jährliche Risikoüberprüfungen und kontinuierliche Verbesserungsmaßnahmen sind normative Pflichten. Wer nach der Zertifizierung aufhört, verliert das Zertifikat.
5. 5."Eine Person reicht": ISMS-Rollen müssen diversifiziert sein. CISO, interne Auditoren und Risikobeauftragte dürfen nicht alle dieselbe Person sein. Auditoren prüfen explizit die Aufgabentrennung. Self-Service mit Kopexa oder mit Partner-Unterstützung: die Rollenverteilung ist in beiden Fällen essenziell.

Nächster Schritt: Jetzt mit dem Control-Explorer starten

Der einfachste Einstieg in die ISO 27001 Roadmap ist eine strukturierte Selbsteinschätzung gegen die 93 Controls. Der interaktive Control-Explorer zeigt dir alle Annex A Controls, Cross-Mappings zu NIS2, TISAX, DSGVO und BSI IT-Grundschutz und einen ersten Überblick über deinen Handlungsbedarf. In Kombination mit dem SoA-Template hast du die Grundlage für Phase 1 und 2 in Händen.