ISMS in 12 Monaten aufbauen — realistischer Fahrplan

Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Voraussetzungen vor Projektstart

Bevor die 12-Monats-Uhr losläuft, müssen drei Dinge stehen:

1. Management-Entscheidung mit Budget: Geschäftsführung bekennt sich, Budget für interne Ressourcen + externe Beratung + Zertifizierung ist freigegeben
2. Scope-Hypothese: grobe Vorstellung, welcher Teil des Unternehmens zertifiziert werden soll (gesamtes Unternehmen / einzelner Standort / einzelne Geschäftseinheit / spezifische Services)
3. Verantwortlicher mit Mandat: ein interner Lead (oft ISB / CISO) mit klarer Berichtslinie an die Geschäftsführung und mindestens 50 % Zeit-Anteil für das Projekt

Ohne diese drei Punkte ziehen Projekte sich erfahrungsgemäß auf 18-24 Monate, weil immer wieder Stillstands-Phasen entstehen.

Phase 1 — Vorbereitung (Monate 1-3)

Monat 1: Setup und Scope-Definition

• Projekt-Charter mit Zielen, Budget, Verantwortlichkeiten erstellen
• ISMS-Scope (auch "Anwendungsbereich") definieren — welche Standorte, Prozesse, Services?
• Kontext der Organisation analysieren (ISO 27001 Klausel 4): interne und externe Stakeholder, ihre Erwartungen
• erste Stakeholder-Map mit deren Anforderungen an Informationssicherheit

Monat 2: Asset-Inventarisierung und Risikomethodik

• Asset-Inventar: alle informationsverarbeitenden Werte erfassen (Daten, Systeme, Personen, Prozesse, physische Geräte)
• pro Asset: Eigentümer, Klassifizierungsstufe, Bezug zu Geschäftsfunktionen
• Risiko-Methodik festlegen: qualitativ (3×3 / 5×5) oder semi-quantitativ
• Akzeptanzkriterien für Risiken definieren

Monat 3: Risiko-Analyse und Gap-Analyse

• Risiko-Analyse durchführen anhand der definierten Methodik: Bedrohungen × Schwachstellen × Auswirkungen pro Asset
• Top-Risiken identifizieren und priorisieren
• Gap-Analyse gegen Annex A: Welche der 93 Controls sind bereits umgesetzt, welche fehlen?
• Statement of Applicability als Entwurf aufsetzen

Meilenstein Phase 1: Scope, Risiko-Register, Annex-A-Gap-Analyse, SoA-Entwurf liegen vor.

Phase 2 — Implementierung (Monate 4-9)

Monat 4: Pflicht-Dokumentation

• Informationssicherheits-Politik (Annex A.5.1) — Top-Level-Dokument der Geschäftsführung
• Rollenkonzept: ISB, IT-Sicherheitsbeauftragter, Datenschutzbeauftragter, IT-Leitung
• Klassifizierungs-Schema für Informationen (öffentlich / intern / vertraulich / streng vertraulich)
• Pflichten-Verteilung zu Annex-A-Controls — wer ist für welches Control zuständig?

Monate 5-6: Governance und People

• Awareness-Schulungs-Konzept (A.6.3): Pflichtschulung für alle Mitarbeitenden, Wiederholung jährlich
• Beschäftigungs-Verträge mit Sicherheits-Klauseln (A.6.2)
• Lieferanten-Sicherheits-Programm (A.5.19-A.5.22): Klassifizierung, Vertragsklauseln, Audits
• Incident-Response-Plan (A.5.24-A.5.27) mit Meldewegen und Rollen

Monate 6-7: Technische Controls

• Zugriffssteuerung vollständig umsetzen (A.5.15-A.5.18, A.8.2-A.8.5): rolle-basierte Berechtigungen, MFA für kritische Systeme, Privileged Access Management
• Logging und Monitoring (A.8.15-A.8.16): zentrales Log-Management, definierte Aufbewahrungs-Fristen, Alerting für sicherheitsrelevante Ereignisse
• Vulnerability Management (A.8.8): regelmäßiges Patching, Vulnerability-Scans
• Backup-Konzept (A.8.13): Schutz vor Datenverlust, dokumentierte RPO/RTO
• Verschlüsselung (A.8.24): Daten in Ruhe und in Transport

Monat 8: Business-Continuity

• Business-Impact-Analyse für kritische Prozesse
• Notfallpläne mit Wiederanlauf-Szenarien
• ICT-Readiness (A.5.30): Tests der Wiederherstellbarkeit
• mindestens eine Übung durchführen und dokumentieren

Monat 9: Internes Audit und Management-Review

• Internes Audit (ISO 19011): Stichproben durch unabhängige interne Auditoren
• Audit-Findings dokumentieren und Korrekturmaßnahmen einleiten
• Management-Review mit Vorstand/Geschäftsführung: Wirksamkeit des ISMS, Risiko-Status, Verbesserungsbedarf
• Statement of Applicability finalisieren

Meilenstein Phase 2: Alle anwendbaren Controls umgesetzt, Wirksamkeitsnachweise gesammelt, internes Audit bestanden, Management-Review durchgeführt.

Phase 3 — Externes Audit (Monate 10-12)

Monat 10: Zertifizierungsstelle auswählen und Stage-1-Audit

• Zertifizierungsstelle auswählen (akkreditiert durch DAkkS oder vergleichbare nationale Akkreditierungsstelle)
• Angebot einholen, Vertrag schließen, Audit-Plan abstimmen
• Stage-1-Audit (Dokumenten-Review, oft remote): Auditor prüft, ob alle Pflicht-Dokumente vorhanden sind
• Stage-1-Findings beheben

Monat 11: Stage-2-Audit (Vor-Ort-Audit)

• Stage-2-Audit vor Ort (oder hybrid): Auditor prüft die Wirksamkeit der Controls in der Praxis
• Stichproben in allen Annex-A-Bereichen
• Interviews mit Mitarbeitenden aus verschiedenen Bereichen
• typische Auditdauer: 3-10 Tage je nach Unternehmensgröße

Monat 12: Korrekturmaßnahmen und Zertifikatserteilung

• Audit-Findings systematisch beheben
• Major Non-Conformities müssen vor Zertifikatserteilung behoben sein, Minor Non-Conformities im Korrektur-Plan adressiert werden
• Akkreditierte Zertifizierungsstelle stellt das ISO-27001-Zertifikat aus — gültig in der Regel drei Jahre mit jährlichen Überwachungs-Audits

Personal-Aufwand realistisch

Für ein KMU mit 50-250 Mitarbeitenden ergibt sich typischerweise:

Der externe Berater ist nicht zwingend — bei vorhandener interner Expertise lässt sich ein ISMS auch ohne externe Begleitung aufbauen. In der Praxis spart externe Begleitung jedoch 2-4 Monate Projektzeit durch Vorlagen, Methodik und Audit-Vorbereitung.

Typische Stolpersteine

Zu großer Scope am Anfang: Wer das gesamte Unternehmen sofort zertifizieren will, scheitert oft an der Komplexität. Sinnvoll: Erst-Zertifizierung mit reduziertem Scope (z. B. ein Geschäftsbereich), spätere Scope-Erweiterung.

Dokumentations-Marathon ohne Wirksamkeit: Viele ISMS bestehen aus 200+ Seiten Politiken und Verfahren, die niemand liest. Auditoren prüfen Wirksamkeit, nicht Volumen — schlanke, gelebte Dokumentation schlägt umfangreiche Schubladen-Ordner.

Fehlende Risiko-Methodik: Risiko-Analysen ohne dokumentierte Methodik sind häufige Audit-Findings. Die Methodik muss vor der Risiko-Analyse stehen und reproduzierbar sein.

Internes Audit vergessen: ISO 27001 verlangt ein vorbereitendes internes Audit. Wer das überspringt, geht ungeprüft ins Stage-2-Audit — mit entsprechend hohem Risiko von Major Non-Conformities.

FAQ

Geht ISMS-Aufbau auch schneller als 12 Monate?

Theoretisch ja — Marktbeispiele mit 6-9 Monaten existieren. In der Praxis ist das nur realistisch, wenn ein Großteil der Annex-A-Controls bereits informell umgesetzt ist und nur dokumentiert werden muss. Für Greenfield-Aufbau gilt 12 Monate als realistisch, 18 Monate als komfortabel.

Brauche ich einen externen Berater?

Nicht zwingend, aber meist wirtschaftlich. Externe Berater bringen Vorlagen, Methodik und Audit-Erfahrung mit. Die Beratungskosten zwischen €500 und €2.000 pro Tag rechnen sich oft durch eingesparte interne Zeit. Wichtiger als die Beratung: ein interner Lead mit Mandat und Zeit.

Was kostet ein ISO-27001-Zertifizierungs-Audit?

Marktübliche Bandbreite für ein KMU mit 50-250 Mitarbeitenden: €10.000-€30.000 für das Erst-Zertifizierungs-Audit (Stage 1 + Stage 2). Hinzu kommen jährliche Überwachungs-Audits (typischerweise je €4.000-€10.000) und alle 3 Jahre ein Re-Zertifizierungs-Audit (vergleichbar mit Erst-Zertifizierung).

Wann ist der beste Zeitpunkt für das interne Audit?

In Monat 9, also etwa 1-2 Monate vor Stage-1-Audit. So bleibt genug Zeit, identifizierte Mängel zu beheben, bevor der externe Auditor kommt. Internes Audit zu früh (Monat 6) führt zu Audit-Findings, die Sie noch nicht beheben konnten — internes Audit zu spät (Monat 11) lässt keine Zeit für Korrekturmaßnahmen.

Was, wenn ich das Audit nicht bestehe?

"Nicht bestehen" gibt es bei ISO 27001 in zwei Stufen: Major Non-Conformities müssen vor Zertifikatserteilung behoben sein. Minor Non-Conformities dürfen mit Korrektur-Plan im Zertifikat bestehen. Im schlimmsten Fall verschiebt sich die Zertifizierung um 2-6 Monate. Komplettes Scheitern ist selten — bei guter Vorbereitung ist die Quote sehr hoch.