ISO 27001 & TISAX® – Wir implementieren Informationssicherheit, die Audits besteht und im Alltag funktioniert.

Kontakt
OHNE ZERTIFIKATSDRUCK

ISMS-Light als Einstieg

Für KMU ohne akuten Zertifikatsdruck: ein schlankes Informationssicherheits-Management auf Basis bewährter Standards — risikobasiert, budgetbewusst und später ausbaubar.
Einstieg klären
Quick-Check (10 Min)
Screenshot 2026 06 06 102231
OHNE ZERTIFIKATSDRUCK

ISMS-Light als Einstieg

Für KMU ohne akuten Zertifikatsdruck: ein schlankes Informationssicherheits-Management auf Basis bewährter Standards — risikobasiert, budgetbewusst und später ausbaubar.

Einstieg klären
Quick-Check (10 Min)

ISO-27001-Lead-Auditoren · 40+ KMU-Mandate · TISAX® & NIS2-Erfahrung · seit 2018

ISMS-Light in 3 Punkten

1

Schlank starten

Risiken, Zugriffe, Backup, Incident-Prozess, Awareness und Lieferanten-Basics fokussiert aufbauen.

2

Nachvollziehbar bleiben

Entscheidungen, Massnahmen und Verantwortlichkeiten dokumentieren — ohne Vollprojekt.

3

Später ausbaubar

Wenn Kundendruck entsteht, kann ISMS-Light Richtung ISO 27001, TISAX® oder NIS2 erweitert werden.

schlank · risikobasiert · budgetbewusst · ausbaubar

WARUM JETZT

Informationssicherheit: von der Kür zur Pflicht.

Der smarte Einstieg in die Resilienz

Externer Druck als Treiber

Versicherer, Kunden und das revDSG fordern nachweisbare Sicherheit. Gleichzeitig nehmen Cyber-Bedrohungen für alle Unternehmen zu.

Vom Reagieren zum Agieren

Statt nur auf Vorfälle zu reagieren, steuern Sie Risiken proaktiv. Ein pragmatisches ISMS macht Ihre Compliance nachvollziehbar – ohne den Aufwand einer Voll-Zertifizierung.

Heute erfüllen, für morgen

Sie erfüllen nicht nur die aktuellen Anforderungen, sondern schaffen auch das Fundament.
ISMS-Light: Pragmatische Sicherheit mit System – Ihr Sprungbrett für Zertifizierungen wie ISO 27001 oder TISAX
IST DAS IHR WEG

ISMS-Light für KMU — passt das zu Ihnen?

Drei Fragen ehrlich beantworten — und Sie wissen, ob ISMS-Light die richtige Stufe für Ihr Unternehmen ist.

1

KEIN ZERTIFIKATSDRUCK

Strukturiert, nicht zertifiziert

Sie haben (noch) keinen OEM- oder Konzern-Druck zu ISO 27001 oder TISAX — aber Versicherer, revDSG oder Eigeninteresse drängen auf Struktur?

2

BEGRENZTER AUFWAND

10–15 statt 50 PT

Sie haben nicht 30–50 Personentage internen Aufwand für eine Zertifizierung — aber wollen ein gelebtes Sicherheits-System statt loser Massnahmen?

3

OPTIONALER UPGRADE

Heute Light, später ISO?

ISO 27001 als spätere Option realistisch — aber jetzt zu früh? Sie wollen die Basis legen, ohne sich auf Zertifizierung festzulegen?

Dreimal Ja? Dann ist ISMS-Light die richtige Stufe — strukturiert, schlank, später ausbaubar.

WAS IST ISMS-LIGHT

Auf einem Standard aufsetzen — selbst entscheiden, was greift.

Das ist gelebtes ISMS in seiner ursprünglichen Form: Anerkannter Standard als Anker, risikobasierte Auswahl der Anforderungen, keine externe Audit-Pflicht.
STANDARD-ANKER

Auf Bewährtem aufsetzen

Anerkannter Standard (ISA, ISO 27001, BSI Grundschutz) als methodische Grundlage. Sie folgen einem System mit nachgewiesenen Vorteilen — kein Selbstgebasteltes.
GELEBT

Wie ein „echtes" ISMS

Risikomanagement, Schulungen, Reviews, kontinuierliche Verbesserung. Die ISMS-Substanz bleibt — ohne formale Audit-Pflicht und Dokumentations-Vollkost.
SELBSTBESTIMMT

Freie Wahl der Anforderungen

Sie entscheiden risikobasiert, welche Anforderungen greifen — und dokumentieren die Auswahl. Schlank, aber methodisch sauber. Keine Vollkost-Vorgabe.
TRADE-OFF : Vorteil: Schlankheit, Schnelligkeit, kein Audit-Druck. Nachteil: Nicht zertifizierbar — Kunden mit Zertifikats-Anforderung akzeptieren es nicht.
ANKER : ISMS-Light orientiert sich an anerkannten Standards (ISA seit V6, ISO 27001, BSI Grundschutz) — bleibt aber bewusst schlank und kann später zu einer Zertifizierung ausgebaut werden.
EINORDNUNG

ISMS-Light vs. ISO 27001 — beide fahren, andere Strecke.

Beides sind vollwertige Sicherheitssysteme. Die Frage ist nicht, was ‚besser‘ ist, sondern was für Ihr Ziel und Ihr Budget passt
INTERNE EFFIZIENZ & COMPLIANCE

ISMS-Light

Der zuverlässige Geschäftswagen für den Alltag.

PASST ZU
  • 30–200 MA ohne externen Zertifizierungs-Druck
  • Versicherer / revDSG als Haupttreiber
  • 10–15 PT Budget über 3 Monate
  • Offen für späteren ISO-Upgrade
EHER NICHT
Wenn OEM, Konzern oder regulierte Branche das Zertifikat fordert.
KUNDEN-NACHWEIS

ISO 27001

Der repräsentative Dienstwagen für das internationale Geschäft.

PASST ZU

  • Ausschreibungen mit Zertifikats-Pflicht
  • OEM, Konzern oder Großkunde fordert ISO 27001
  • Finanzsektor, Gesundheit, KRITIS
  • 30–50 PT Budget über 6 Monate

EHER NICHT

Wenn kein externer Druck — Overhead ohne klaren Mehrwert.
Der Geschäftswagen bringt Sie sicher durch den Alltag – der repräsentative Dienstwagen sichert oder verschafft Ihnen Zugang zu sicherheitsbewuusten Märkten.
NUTZEN

Sicher im Alltag: Drei Vorteile, die sich direkt auszahlen

Was ISMS-Light für Ihr Unternehmen konkret bewirkt — mit indikativen Grössenordnungen aus der Praxis. Werte streuen je nach Reife, Branche und Komplexität.
Versicherung

Bessere Konditionen

Cyber-Versicherer honorieren ein gelebtes ISMS mit deutlich besseren Konditionen. Sie reduzieren nicht nur die Prämie, sondern auch kritische Ausschlüsse.
Prämie −5 bis −20 %
Compliance-Grundlagen

Weniger Angriffsflàche

Sie erfüllen zentrale Pflichten (z.B. revDSG, Kunden-/ NIS2-Vorbereitung) und reduzieren proaktiv Ihre Haftungs- und Angriffsfläche. Das schafft eine solide Compliance-Grundlage.
3–5 Pflichten abgedeckt
Steuerungsfähigkeit

Steuerungsfähigkeit

Sie steuern Risiken und Maßnahmen aktiv, statt im Blindflug zu agieren. Das Management kennt den Status, Mitarbeiter ihre Rolle. Das Ergebnis: Weniger Vorfälle, weniger Kosten.
Vorfälle −30 bis −60 %
Die Rendite von ISMS-Light ist kein Zertifikat an der Wand, sondern echtes Geld auf dem Konto.
INHALT

Acht Bausteine für ein KMU-ISMS — pragmatisch verdichtet.

Die Themen, die jedes KMU strukturiert haben sollte. Schlanker als ISO 27001 Annex A — aber strukturell anschlussfähig.
  • 1 VERSTEHEN Risiko · Lieferanten · Awareness
  • 2 SCHÜTZEN Zugang · Patches · Backup
  • 3 VERBESSERN Incident · Reviews

1

Risiko-Inventur

Was ist schützenswert? Wo brennt es? Eine kompakte Risiko-Übersicht statt formales Risikoregister.

2

Patches & Schwachstellen

Updates, Vulnerability-Basics, Asset-Inventar. Was nicht aktuell ist, wird verwaltet.

3

Lieferanten-Basics

NDA, Sicherheits-Anforderungen, Datenschutz-Vertrag (AVV). Externe absichern.

4

Backup & Wiederanlauf

Was passiert bei Ausfall? Pragmatische BCM-Grundlage — regelmäßig getestet, nicht nur dokumentiert.

6

Awareness

Phishing-Schulungen, Sensibilisierung, klare Verhaltensregeln für Mitarbeitende.

7

Incident-Prozess

Vorfall erkennen, melden, dokumentieren. Eskalationspfade definiert — nicht improvisiert.

8

Zugang & Berechtigungen

Wer darf was? MFA für kritische Systeme, rollenbasierte Rechte, Austritts-Prozess.

9

Reviews & Verbesserung

Mindestens jährlich: Was hat funktioniert? Wo nachjustieren? Dokumentierte Schleife.

VERHÄLTNIS ZU ISO 27001 : Diese acht Bausteine decken ca. 60–70 % der ISO-27001-Annex-A-Themen ab — ohne den vollen Management-System-Overhead.

STANDARD-ANKER

ISA-Modul Informationssicherheit — fokussiert statt offen.

Das Informationssicherheits-Modul des ISA-Katalogs (seit V6 ohne VDA-Präfix) folgt strukturell ISO 27001 Annex A — branchenneutral nutzbar. Drei Eigenschaften machen es zum fokussierten Einstieg.
ENGERE GUIDANCE

Klare Schutzziele pro Control

Jedes Control hat ein explizites Schutzziel — kein offener Annex-A-Satz. Sie wissen sofort, *wozu* die Massnahme dient. Die „Brauchen wir das?”-Diskussion entfällt.
VORSELEKTION

Muss-Spalte schneidet Diskussion ab

Pro Control sind die Pflicht-Anforderungen ausgewiesen. Das ist der Mindeststandard — nicht verhandelbar, optional steigerbar. Fokus statt Endlos-Auswahl.
SCHNELLER START

Fokussiert aufsetzen, später steigern

Mit Muss-Anforderungen sofort umsetzbar — kein Reifegrad-Diskussions-Marathon vor dem ersten Schritt. Steigerung folgt im Reifegrad-Zyklus, wenn die Basis steht.
BEISPIELE : Authentifizierung: „MFA für privilegierte Konten” statt „angemessene Authentifizierung”. Backup: „3-2-1-Regel mit getestetem Restore” statt „angemessene Datensicherung”.
WICHTIG : ISMS-Light nutzt das Modul Informationssicherheit als Vorlage. Das offizielle TISAX®-Label setzt eine externe Prüfung (AL2/AL3) plus ggf. Zusatzmodule voraus.
WEG ZUM ISMS-LIGHT

Drei Phasen — typisch 3 Monate, 10–15 PT intern.

Von der ersten Risikoinventur zum gelebten ISMS-Light. Schlanker Pfad — kein Audit-Stress, dafür schnell wirksam.

1

PHASE

Standortbestimmung

  • Schützenswerte Assets erfassen
  • Risiko-Inventur (10–15 Top-Risiken)
  • ISA-AL1 Self-Check als Gap-Analyse
  • Priorisierte Massnahmen-Liste
3–4 Wochen

2

PHASE

Aufbau

  • Kernmassnahmen umsetzen (MFA, Backup, Notfall-Reaktion)
  • Pragmatische Dokumentation (10–15 Seiten)
  • Awareness-Kick-off mit Mitarbeitenden
  • Verantwortlichkeiten und Reviews etablieren
4–6 Wochen

3

PHASE

Heute Light, später ISO?

  • Vierteljährliche Status-Reviews
  • Incident-Erfassung im Alltag
  • Jährliche Risiko-Aktualisierung
  • Bei Bedarf: Upgrade-Pfad ISO 27001
laufend

INVESTITION

Intern 10–15 Personentage über 3 Monate · Externe Begleitung 3–5 Tage · typisch CHF 12'000–25'000 bei KMU bis 100 Mitarbeitenden — abhängig von Reife und Komplexität.

WENN ZERTIFIZIERUNG KOMMT

ISMS-Light ist keine Sackgasse — sondern Stufe 1.

Wenn später Zertifizierung gewünscht oder gefordert wird, baut ISO 27001 auf den ISMS-Light-Bausteinen auf. Keine Doppelarbeit, klarer Pfad.

STUFE 1

ISMS-Light

Was Sie bereits aufgebaut haben
  • Risiko-Inventur und Massnahmen-Logik
  • Zugang, Backup, Patches, Incidents — gelebt
  • Awareness und Lieferanten-Basics
  • Dokumentation und Review-Zyklus
  • Geschäftsleitung kennt Sicherheits-Status
  •  
STUFE 2

ISO 27001

Was zusätzlich kommt
  • Formales Management-System (Norm-Kap. 4–10)
  • Anwendbarkeits-Erklärung (Statement of Applicability)
  • Alle 93 Sicherheits-Massnahmen bewertet — auch ausgeschlossene
  • Internes Audit und Management-Review
  • Externes Audit durch akkreditierte Zertifizierungsstelle
ÜBERGANG
Typisch 3–4 Monate. Die ISMS-Light-Basis bleibt — ergänzt um formale Dokumentation und externes Audit. Keine Doppelarbeit.
HÄUFIGE FRAGEN

FAQ: Kosten, Dauer, Abgrenzung — kompakt beantwortet.

Sechs Fragen, die im Erstgespräch zu ISMS-Light immer wieder auftauchen — kompakt beantwortet, ohne Beratungsfloskeln.

Was ist der Unterschied zwischen ISMS-Light und ISO 27001?

ISMS-Light hat die Substanz (Risiken, Massnahmen, Reviews) — ohne formales Management-System, SoA und Audit-Druck. Schlanker, schneller, nicht zertifizierbar.

Kann ich später auf ISO 27001 wechseln?

Ja, ohne Doppelarbeit. ISMS-Light-Bausteine bleiben. Ergänzt werden formale Dokumentation und externes Audit. Übergang typisch 3–4 Monate.

Akzeptieren Versicherer ein ISMS-Light?

Die meisten Cyber-Versicherer akzeptieren strukturierte ISMS als Risiko-Nachweis — auch ohne Zertifikat. Konditionen und Ausschlüsse fallen typisch günstiger aus.

Wie viele Personentage brauche ich intern?

Typisch 10–15 Personentage bei KMU bis 100 Mitarbeitenden über 3 Monate. Verteilt auf Geschäftsleitung, IT-Verantwortliche und Schlüssel-Personen aus den Fachbereichen.

Was kostet ISMS-Light mit externer Begleitung?

Typisch CHF 12’000–25’000 bei KMU bis 100 Mitarbeitenden — abhängig von Reife und Komplexität. Faktor 4–6 günstiger als ISO 27001 mit Zertifizierung.

Brauche ich für ISMS-Light einen externen Auditor?

Nein. ISMS-Light ist nicht zertifizierungspflichtig. Wer Validierung wünscht, kann freiwillig eine TISAX-AL1-Self-Assessment durchführen — branchenneutral nutzbar.

ISMS-Light – informationssicher ohne Zertifikat

Das Wesentliche geregelt, Risiken im Griff

Unknown 2

ISMS-Light ist ein schlanker, strukturierter Ansatz, um Informationssicherheit im Unternehmen wirksam und praxisnah zu organisieren – ohne formale Zertifizierung. Er richtet sich an Organisationen, für die Informationssicherheit geschäftskritisch ist, die jedoch aktuell kein Zertifikat benötigen oder bewusst auf den Aufwand einer formalen Zertifizierung verzichten möchten.

Der Ansatz orientiert sich inhaltlich an etablierten Standards wie ISO 27001 und TISAX®, verzichtet jedoch gezielt auf formale Audit-, Registrierungs- und Zertifizierungspflichten. Statt „Standard um jeden Preis“ steht der reale Schutzbedarf Ihres Unternehmens im Mittelpunkt. Sie definieren, welche Anforderungen sinnvoll umgesetzt werden – risikobasiert, verhältnismäßig und angepasst an Ihre Organisation.

Mit ISMS-Light schaffen Sie klare Regeln, Rollen und Verantwortlichkeiten für den Umgang mit Informationen und IT-Systemen. Zentrale Prozesse wie Risikoanalyse, Maßnahmenplanung, Incident-Behandlung und Awareness-Schulungen werden strukturiert eingeführt und im Alltag gelebt. Ergänzt wird dies durch angemessene technische und organisatorische Schutzmaßnahmen.

ISMS-Light ist pflegeleicht, verständlich und wirksam – kein Papier-ISMS. Gleichzeitig bleibt der Ansatz anschlussfähig: Bei steigenden Kundenanforderungen, neuen regulatorischen Erwartungen oder wachsendem Reifegrad kann das System jederzeit schrittweise in Richtung ISO 27001TISAX® oder NIS2-relevanter Anforderungenweiterentwickelt werden. 

👉 Jetzt unverbindlich Kontakt aufnehmen – wir freuen uns auf das Gespräch

Warum Informationssicherheit gerade für KMU wichtig ist

Gerade kleinere und mittlere Unternehmen sehen sich heute zunehmend den gleichen Bedrohungen ausgesetzt wie große Konzerne. Drei Risiken sollten Sie mindestens aktiv steuern:

  • Technische Angriffe: Ransomware, Malware oder ungesicherte Systeme können Abläufe, Daten und Kundenbeziehungen massiv gefährden.
  • Menschliche Fehler: Phishing, Social Engineering oder versehentlich versandte Daten gehören zu den häufigsten Ursachen für Sicherheitsvorfälle.
  • Unklare Zuständigkeiten: Ohne klare Verantwortungen, Backups und Notfallprozesse entstehen stille Risiken – oft unbemerkt, bis es zu spät ist.

Diese Risiken lassen sich nicht vollständig vermeiden, aber mit einem strukturierten System wirtschaftlich beherrschen.

 

Was ist ISMS Light
ISMS Light Nutzen

Ihr Nutzen – konkret und relevant

  • Transparenz über Risiken: Sie erkennen, wo die echten Gefahren liegen, und können gezielt handeln.
  • Sicherheit ohne Overhead: Nur das, was wirklich nötig ist – keine leeren Formalitäten.
  • Kalkulierbare Kosten: Kein Audit‑ oder Zertifizierungszwang; die Lösung ist budgetierbar und skalierbar.
  • Anschlussfähig für Kunden und NIS2: Methodisch sauber und nachvollziehbar – und bei Bedarf erweiterbar.
  • Besser vorbereitet im Ernstfall: Backups, Zuständigkeiten und Notfallpläne sind dokumentiert, geübt und abrufbar.
  • Gestärktes Sicherheitsbewusstsein: Durch gezielte Schulungen und gelebtes Management entsteht eine echte Sicherheitskultur.

So läuft die Einführung – schlank, praxisnah, wirksam

1. Quick-Check & Erstgespräch (Kontext & Scope)
Ermittlung des organisatorischen und technischen Kontexts, relevanter Stakeholder, Geschäftsprozesse sowie externer Anforderungen (z. B. Kunden, Branche, Regulierung).

2. Risiko- & Gap-Analyse
Identifikation relevanter Informationswerte, Bedrohungen, Schwachstellen und bestehender Maßnahmen; Abgleich mit ISO-27001-/TISAX®-Anforderungen.

3. Festlegung der relevanten Controls
Festlegung, welche ISO-27001-/TISAX®-Controls angewendet werden und welche begründet nicht – dokumentiert, nachvollziehbar und risikobasiert.

4. Maßnahmen & Dokumentation
Definition und Dokumentation angemessener technischer und organisatorischer Maßnahmen – kompakt und praxisnah.

5. Umsetzung & Schulung
Umsetzung der Maßnahmen sowie Sensibilisierung und Schulung von Geschäftsleitung und Mitarbeitende

ISMS light Einführung
Fragezeichen

Häufige Fragen von KMU-Entscheidern

FAQ

Initial wenige Tage, danach ca. 2–4 Stunden pro Monat. Der Aufwand hängt von Grösse und Risikoprofil ab.

Nein. ISMS-Light funktioniert ohne ISO-Zertifikat. Es reicht, wenn Kunden keine formale Zertifizierung verlangen.

Weniger Formalität, kein externer Audit – aber anschlussfähig, falls später z. B. NIS2 oder TISAX gefordert wird.

Risikobewertung, Richtlinien, Zugriffskonzept, Backup, Notfallplan, Schulungen, Managementeinbindung – alles kompakt und dokumentiert.

Jetzt. Vor dem Vorfall – nicht danach. Prävention spart Kosten, Zeit und Reputationsschäden.

Fazit: Sicherheit, die wirkt – ohne Zertifikatszwang

Ein ISMS-Light bringt Klarheit, Struktur und Sicherheit ins Unternehmen – ohne unnötigen Aufwand.
Auch als konkrete Vorbereitung auf NIS2 und Kundenanforderungen geeignet.

Jetzt Erstgespräch vereinbaren