Executive Summary
Viele KMU starten die Einführung von ISO/IEC 27001 oder TISAX® intern, um Beratungskosten zu sparen. In der Praxis zeigt sich: „Selber machen“ scheint auf den ersten Blick günstiger – verursacht aber häufig höhere Gesamtkosten.
Versteckte Kosten entstehen durch:
- Fehlinterpretationen der Norm
- Projektverzögerungen (typisch: mehrere Monate)
- Doppelarbeit an Dokumenten und Prozessen
- Opportunitätskosten, weil IT-Ressourcen im Kerngeschäft fehlen
- Vermeidbare Audit-Risiken mit Nachbesserungsaufwand
Was als Sparmassnahme beginnt, endet oft in Mehrkosten.
Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 ist kein Dokumentenordner, sondern ein steuerbares Managementsystem mit klarer Governance, belastbarer Risikoanalyse und auditfähigen Nachweisen.
1. Die Start-Blockade: warum die Norm allein kein Bauplan ist
ISO/IEC 27001 definiert verbindlich, was ein Informationssicherheits-Managementsystem erfüllen muss. Sie sagt jedoch nicht konkret, wie Ihr Unternehmen diese Anforderungen praktisch umsetzen soll.
Ergänzend existiert ISO/IEC 27002 – ein Leitfaden, der die Controls ausführlicher erläutert. Er hilft beim Verständnis, liefert aber kein Projektvorgehen, keine Priorisierung und keine unternehmensspezifische Umsetzung.
Die Norm definiert das „Was“. Die operative Übersetzung in ein funktionierendes „Wie“ bleibt Ihre Aufgabe. Genau hier geraten viele Projekte ins Stocken.
Aus Auditorensicht
Im Audit entscheidet nicht, ob Sie die Norm kennen – sondern ob Sie sie für Ihr Unternehmen konkret, prüfbar und nachweisbar umgesetzt haben.
2. Drei typische Beispiele – wo Theorie auf Realität trifft
Die Norm formuliert ihre Anforderungen abstrakt und systematisch – oft nicht auf Anhieb greifbar. Drei konkrete Beispiele aus Annex A zeigen, wie Theorie und Praxis zusammenfinden.
A.8.9 Konfigurationen (technisch-operativ)
Anforderung: Konfigurationen, einschliesslich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken müssen festgelegt, dokumentiert, umgesetzt, überwacht und überprüft werden.
Das bedeutet: Verbindliche, dokumentierte und objektbezogene Sicherheitsstandards – sowie regelmässige Kontrollen gegen diesen definierten Soll-Zustand.
Herausforderung: Aufbau oder gezielte Einbindung von fundiertem Fachwissen, klar definierten Prozessen und geeigneten Verfahren – bei gleichzeitig wirtschaftlich tragfähiger Umsetzung.
Typischer Irrtum: „Die IT läuft stabil. Damit ist doch alles getan.“ – Nein: Ohne definierten Standard gibt es keine Steuerung, sondern nur Zufall.
Aus Auditorensicht
Der Auditor fragt nicht „Funktioniert es?“, sondern „Auf welchen dokumentierten Soll-Zustand können Sie sich berufen – und wie prüfen Sie die Einhaltung?“
A.6.3 Informationssicherheits-Sensibilisierung und -Schulung (personell)
Anforderung: Mitarbeitende und relevante interessierte Parteien müssen eine angemessene Sensibilisierung, Schulung und regelmässige Auffrischung zur Informationssicherheit erhalten – abgestimmt auf ihre Rolle und auf die Richtlinien des Unternehmens.
Das bedeutet: Ein strukturiertes Schulungsprogramm, nachvollziehbare Teilnahmenachweise und eine Wirksamkeitsmessung – nicht eine einmalige PowerPoint-Folie beim Onboarding.
Herausforderung: Inhalte rollenspezifisch halten, Teilnahme und Verständnis dokumentieren, ohne die Organisation mit Pflichtschulungen zu überlasten.
Typischer Irrtum: „Wir haben ein Awareness-Video versendet. Punkt erledigt.“ – Der Auditor sucht Nachweise über Zielgruppen, Durchführungen, Wirksamkeit und Wiederholung.
Aus Auditorensicht
Ein häufig unterschätzter Control. Wir sehen hier in Audits regelmässig Abweichungen, weil Teilnahmenachweise fehlen oder nicht rollenspezifisch differenziert wird.
Die Norm ist für alle gleich. Der Unterschied entsteht in der Umsetzung:
- Reaktive IT vs. gesteuerte Sicherheit
- Gewohnheit vs. dokumentierte Systematik
- Gefühlte Sicherheit vs. prüfbare Wirksamkeit
An dieser Schnittstelle entscheidet sich, ob ISO 27001 zum Papiertiger wird – oder zu einem belastbaren, steuerbaren Managementsystem.
3. Typische methodische Fallstricke im Alleingang
Fehlt die strukturierte Übersetzung der Norm, entstehen drei wiederkehrende Fehlentwicklungen:
Interpretationsfehler
Die Norm wird wie eine Checkliste behandelt. Das Ergebnis: zu viel Papier und trotzdem Lücken in den Nachweisen.
Vorlagen-Falle
Gekaufte Dokumentensets ersetzen kein Verständnis. Im Audit brechen kopierte Prozesse schnell auf, weil sie nicht zur Realität des Unternehmens passen.
Lyrik statt Evidenz
Richtlinien ohne prüfbare Nachweise sind wertlos. Auditoren prüfen Belege – nicht Prosa. Ein wohlformulierter Text ohne Log, Bericht oder Nachweis besteht kein Audit.
Aus Auditorensicht
Der häufigste Einzelbefund in Audits von Eigenprojekten: Richtlinie vorhanden, gelebte Praxis fehlt oder lässt sich nicht belegen.
4. Die finanziellen Folgen des Alleingangs
Wer ISO 27001 ohne Erfahrung umsetzt, zahlt auf vier Ebenen:
- Zeitverlust: Verzögerungen von 3 bis 6 Monaten sind keine Ausnahme – häufig sogar länger, wenn das Projekt im Tagesgeschäft versandet.
- Doppelarbeit: Dokumente werden neu erstellt, Umsetzungen revidiert oder ganz sistiert.
- Opportunitätskosten: IT-Ressourcen fehlen im Kerngeschäft. Projekte im eigentlichen Leistungsbereich werden verschoben.
- Audit-Risiko: Signifikante Nichtkonformitäten im Stage-2-Audit führen zu Nachbesserungsfristen, erneuten Auditbesuchen und Frust im Team.
👉 Nicht die Norm kostet – die Fehlsteuerung kostet.
Vergleich: Eigenprojekt vs. strukturiert begleitetes Projekt
Die folgende Übersicht basiert auf Erfahrungswerten aus Beratungs- und Auditmandaten bei Schweizer KMU (Richtwerte, Einzelfälle weichen ab):
| Dimension | Eigenprojekt ohne Begleitung | Strukturiert begleitetes Projekt |
| Projektdauer | häufig 9 – 15 Monate mit Verzögerungen | typisch 4 – 6 Monate planbar |
| Interner Aufwand | oft 50 – 100 % höher durch Doppelarbeit | fokussiert, 70 – 180 Personentage |
| Dokumentation | zu viel Papier, inhaltliche Lücken | schlank, auf Nachweisbarkeit ausgerichtet |
| Audit-Risiko | Nichtkonformitäten, Nachbesserungsphasen | minimiert durch Audit-Perspektive |
| Nacharbeiten | teilweise grundlegende Korrekturen vor Zertifizierung | punktuelle Anpassungen |
| Nach dem Zertifikat | häufig Rückfall in Ad-hoc-Betrieb | gelebtes System, das im Alltag funktioniert |
Unsicher, wo Ihr Projekt gerade steht?
Viele KMU erkennen erst im Audit, wo die entscheidenden Lücken liegen.
👉 Das lässt sich vermeiden.
In einem 30-minütigen Gespräch klären wir:
- Wo Sie heute stehen
- Wo typische Risiken und Aufwände entstehen
- Wie ein realistischer Weg zur Zertifizierung aussieht
→ Kostenlos und unverbindlich.
In 30 Minuten Klarheit zum ISO-Projekt: wollconsulting.ch/kontakt
5. Warum externe Begleitung ein Kostensenker ist
Erfahrene ISO-Begleitung bedeutet konkret:
- Klare Roadmap statt Trial-and-Error – mit priorisierten Arbeitspaketen pro Phase.
- Normgerechte, aber schlanke Umsetzung – nicht mehr Dokumente als nötig, aber ausreichend Nachweise.
- Dokumentation aus Auditor-Perspektive – jede Richtlinie wird danach beurteilt, ob sie im Audit Bestand hat.
- Entlastung interner Schlüsselpersonen – weniger Grundsatzdiskussionen, mehr Umsetzung.
Erfahrungsgemäss reduziert eine strukturierte Begleitung den internen Aufwand deutlich gegenüber unkoordinierten Eigenprojekten – und erhöht die Wahrscheinlichkeit einer reibungslosen Erstzertifizierung.
Aus Auditorensicht
Als Auditor erkennt man innerhalb weniger Minuten, ob ein ISMS strukturiert aufgebaut oder aus Vorlagen zusammengesetzt wurde. Die Nachweislage entscheidet.
6. Fazit für Entscheider
Die entscheidende Frage lautet nicht:
„Was kostet ein Berater?“
Sondern:
„Was kostet uns ein unstrukturiertes ISO-Projekt?“
ISO 27001 ist ein Strukturprojekt. Wer die Norm nicht sauber übersetzt, zahlt mit Zeit, Ressourcen und Nacharbeit.
Externe Begleitung ist daher nicht der Kostentreiber – sondern der Hebel für ein effizientes, planbares und erfolgreiches Projekt.
👉 Eine letzte Frage – die über den Projekterfolg entscheidet:
Können Sie heute für jedes relevante Control klar benennen, welcher Nachweis im Audit vorliegt?
Wenn nicht, lohnt sich ein strukturierter Blick von aussen.
→ In 30 Minuten Klarheit zum ISO-Projekt: wollconsulting.ch/kontakt
Dieser Artikel basiert auf ISO/IEC 27001:2022 sowie auf Erfahrungswerten aus Beratungs-, Auditoren- und ISB-Mandaten in Schweizer KMU. Die genannten Spannen und Vergleichswerte sind Richtwerte für ein typisches KMU-Profil und können im Einzelfall abweichen.
