ISO 27001 & TISAX® – Wir implementieren Informationssicherheit, die Audits besteht und im Alltag funktioniert.

Kontakt
SERVICES • ISO 27001 / TISAX® / NIS2

Vom Druck zur klaren Entscheidung

Informationssicherheit wird relevant, wenn Kunden, Gesetzgebung oder Vorfälle Handlungsbedarf auslösen. Wir helfen Schweizer KMU, Lage, Aufwand und nächsten Schritt strukturiert zu klären.

Erstgespräch buchen
Quick-Check (10 Min)
Screenshot 2026 06 06 090205
SERVICES • ISO 27001 / TISAX® / NIS2

Vom Druck zur klaren Entscheidung

Informationssicherheit wird relevant, wenn Kunden, Gesetzgebung oder Vorfälle Handlungsbedarf auslösen. Wir helfen Schweizer KMU, Lage, Aufwand und nächsten Schritt strukturiert zu klären.

Erstgespräch buchen
Quick-Check (10 Min)

ISO-27001-Lead-Auditoren · 40+ KMU-Mandate · TISAX® & NIS2-Erfahrung · seit 2018

Vier Wege je nach Ausgangslage

1

Standort-Check

Wo Sie heute stehen — Lagebild in 2–4 Wochen.

2

Beratung & Begleitung

Strukturiert bis zum Zertifizierungsaudit.

3

Coaching

Fachlicher Rückhalt für interne Verantwortliche.

4

Externes ISB-Mandat

Die ISB-Funktion ohne Vollzeitstelle.

Zertifizierungsorientiert · schlank dokumentiert · im Alltag nutzbar

AUSGANGSLAGE

Informationssicherheit ist KMU-Sache — auch in der Schweiz

„Das trifft doch nur die Grossen.“ Vier Belege widerlegen den Mythos.

1 / 25

KMU ist Hauptziel, nicht Nebenschauplatz

Jedes 25. Schweizer Unternehmen war in 3 Jahren betroffen (~26'000). Akira allein: ~200 Opfer in kurzer Zeit.

KMU-Cybersicherheit 2025 · BACS/NCSC

24 h

Auch Schweizer Recht trifft KMU

ISG-Meldepflicht seit 1.4.2025. revDSG gilt grössenunabhängig. EU-Kunden geben NIS2-Pflichten in die Lieferkette weiter.

ISG · revDSG · NIS2 Art. 21

73 %

Schäden entstehen schnell

73% der betroffenen KMU mit finanziellem Schaden, 27% mit Kundendatenverlust. Ransomware, BEC und Ausfälle treffen direkt.

Mobiliar/FHNW/SATW · BACS

42 %

Selbsteinschätzung trügt

Nur 42% fühlen sich gut vorbereitet, 28% priorisieren Sicherheit nicht. Notfallplan, Schulung und Audit bleiben lückenhaft.

BACS Halbjahresbericht 2025/2
. Wer glaubt „das trifft mich nicht“, verwechselt Unsichtbarkeit mit Sicherheit.

Anstoss

Es muss etwas passieren

Ob aus Druck, Schmerz oder Überzeugung — am Ende zählt nur eins: Handlungsfähigkeit.

Warum?

GEZWUNGEN

Druck von aussen

Kunden, OEMs und Gesetzgeber fordern Nachweise – ohne sie kein Auftrag

GEBRANNT

Prävention nach Schaden

Ein Angriff hat gesessen. Das darf kein zweites Mal passieren.

ÜBERZEUGT

Prävention aus Einsicht

Daten und Kundenvertrauen sind zu wertvoll – lieber vorsorgen als reagieren.

Wodurch?

1

Im Lastenheft steht: ISO 27001

2

NIS2 wird zur Pflicht

3

Der Wirtschaftsprüfer drängt

4

Ein Vorfall legt die Lücken offen

5

Die Leitung will nicht warten

Wohin?

AB HIER GEHT ES NICHT MEHR UM IT-THEORIE,

sondern um Handlungsfähigkeit und Aktion.

Die Frage ist nicht „Sind wir sicher?“- sondern: „Bleiben wir handlungsfähig, wenn es ernst wird?“

Wenn bei Ihnen bereits vieles greift: Glückwunsch — bei Bedarf sind wir da

Einordnung

Von Druck zu Klarheit — in vier Schritten

Drei Aspekte führen vom ersten Druck zu einem begründeten Ja, Später oder Nein.

1

Druck

Warum jetzt?

Kunde, OEM, Gesetz, Vorfall oder Prävention. 

2

Tragweite

Was steht auf dem Spiel?

Auftragseingang, Gewinn/ Ertrag, Haftung, Reputation.

3

Dringlichkeit

Wieviel Zeit bleibt?

Kunden-/ Ausschreibungsfrist, gesetzliche Frist oder interne Frist.

4

Entscheidung

Was tun wir?

Vertagen, Verwerfen oder Angehen

. Kein Verkaufstrichter — eine Entscheidungshilfe.

Leitfragen

Das richtige Vorgehen beginnt mit den richtigen Fragen

Die Fragen sind unter Berücksichtigung des Auslösers zu beantworten

AUSLÖSER

Kunde fordert Nachweis

Regulator/ Gesetz

Intern/ Prävention

Screenshot 2026 06 03 104756

WICHTIGE FRAGEN

  • Was müssen wir schützen?
  • Was trägt davon bereits?
  • Was fehlt oder ist unzureichend ausgeprägt?

Ohne klares Lagebild wird aus gutem Willen schnell Aktionismus.

Standort

Nicht jedes Unternehmen startet bei null

Erst muss klar sein, in welcher Lage Sie stehen — dann der Weg.

1

Einstieg

Wir haben noch kein belastbares ISMS.

2

Nachschärfung

Wir haben Ansätze, aber Lücken, Unsicherheit oder Kundendruck.

3

Rezertifizierung

Wir sind zertifiziert oder bewertet — und müssen zeigen, dass das System weiter trägt.

4

Betrieb

Das ISMS läuft — Governance, Reporting und Massnahmen müssen geführt werden.

. Erst die Lage klären. Dann den richtigen Weg wählen.

HANDLUNGSMODUS

Aus dem Lagebild wird ein Handlungsmodus

Die Aufgabe ist nicht immer dieselbe — die Unterstützung darf es auch nicht sein.

1

AUFBAUEN

wenn Grundlagen fehlen

Scope · Risiken · SoA · Richtlinien · Prozesse · Nachweise

2

NACHSCHÄRFEN

wenn ein ISMS vorhanden ist

Lücken · Auditrisiken · Kundennachweise · Reifegrad · Massnahmen nach Vorfall

3

BETREIBEN

wenn Sicherheit dauerhaft geführt wird

Governance · Reporting · Massnahmen · Review · Verbesserung
. Aufbauen, nachschärfen oder betreiben — der Modus ergibt sich aus der Lage.

MACHBARKEIT

Schaffen wir das alleine?

Jetzt wird Informationssicherheit zur Ressourcen- und Verantwortungsfrage.

01

Kompetenz

Verstehen wir Risiken, Schutzmassnahmen und Nachweise — inkl. SoA und Annex A?

02

Kapazität

Haben wir Zeit neben dem Tagesgeschäft?

03

Verantwortung

Ist klar, wer entscheidet, priorisiert und nachhält?

04

Tempo

Reicht unser Tempo für Kunden, Audit, Gesetzgeber oder Vorfallnachbereitung?
Bleibt eine Frage offen: externe Unterstützung prüfen. Keine Schwäche — sondern Risikosteuerung.

SELBSTTEST

Brauche ich einen Berater?

Vier ehrliche Fragen. Jedes „Ja“ spricht für interne Umsetzung — jedes „Nein“ zeigt, wo Unterstützung sinnvoll ist.

1

Kapazität

Gibt es intern qualifizierte Personen mit ausreichender Kapazität, um das Thema verbindlich zu führen?

Ja

Nein

2

ERFAHRUNG

Hat diese Person Erfahrung mit ISMS, ISO 27001/TISAX® oder vergleichbaren Systemen?

Ja

Nein

3

AUTORITÄT

Kann sie Prioritäten, Regeln und Entscheidungen intern durchsetzen — auch bei Widerstand?

Ja

Nein

4

SICHERHEIT

Versteht sie Risiken, Schutzmassnahmen und Nachweise — nicht nur Organisation?

Ja

Nein

Screenshot 2026 06 03 110820

. Entscheidend ist nicht Motivation — sondern ob freie Kapazität, Erfahrung, Autorität und Kompetenz zusammenkommen.
.

 

ENTSCHEIDUNG

Aus dem Selbsttest wird eine Entscheidung

Sicherheit verbessert sich nicht durch Erkenntnis allein. Es muss feststehen, was passiert — und wer es trägt.

01

Vertagen — aber bewusst

„Eigentlich sollten wir … aber.“

Risiko nicht verdrängen: Entscheidung dokumentieren, Verantwortliche benennen, Wiedervorlage setzen.

02

Intern angehen

„Wir haben Zeit, Erfahrung, Autorität und Kompetenz.“

Roadmap festlegen, Umsetzung starten und Fortschritt regelmässig in der Geschäftsleitung nachhalten.

03

Unterstützung suchen

„Eine Voraussetzung fehlt — oder Druck/Risiko sind kritisch.“

Passenden Servicepfad wählen: Standort-Check, Beratung, Coaching oder externes ISB-Mandat.

. Keine Entscheidung ist auch eine — dann das Risiko bewusst akzeptieren und dokumentieren.

.

 

Fahrplan

Jetzt festlegen

Vier Punkte, die nach dem Selbsttest auf dem Tisch liegen sollten.

01

Ziel & Lage

Was wollen wir erreichen — und wo stehen wir?

02

Verantwortung

Wer führt und entscheidet?

03

Nächste 30 Tage

Was wird konkret gestartet?

04

Unterstützungs
modell

Intern, Sparring, Beratung oder Mandat?
. Endpunkt = Handlungsentscheidung. Keine Entscheidung ist auch eine. .  

Servicepfad

Wenn Begleitung sinnvoll ist: welcher Servicepfad passt?

Sicherheit verbessert sich nicht durch Erkenntnis allein. Es muss feststehen, was passiert — und wer es trägt.

1

Standort-Check

Gap-Analyse

ca. 2–4 Wochen

„Wir wissen nicht, wo wir stehen — und welcher Aufwand realistisch ist.“

Ist-Zustand gegen ISO 27001 / TISAX®, Lücken, Prioritäten und ein Fahrplan mit Aufwandsschätzung.

Einstieg prüfen →

2

Beratung & Begleitung

ISMS-Aufbau

Projekt 4–9 Monate

„Wir brauchen ISO 27001 oder ein TISAX®-Label.“

ISMS-Aufbau, Projektsteuerung und fachliche Umsetzung — vorbereitet für Zertifizierung bzw. Assessment.
Auditpfad klären →

3

Coaching

Sparring für Ihren ISB

ca. 1–4 Tage / Monat

„Wir haben einen Verantwortlichen — aber er steht allein.“

Erfahrene zweite Stimme: Priorisierung, interne Audits, Norm-Updates und Management-Reviews.
Coaching planen →

4

Externes ISB-Mandat

ISB-Funktion extern

2–4 Tage / Monat

„Niemand im Haus kann oder will die ISB-Rolle übernehmen.“

ISB-Aufgaben fachlich & dokumentiert: Governance, Nachweisfragen, Audit- und Assessmentvorbereitung.
ISB-Rolle klären →

FAQ

Häufige Fragen

Vier Fragen, die vor dem nächsten Schritt fast immer kommen.

F 1 Trifft uns das als KMU überhaupt?

Ja, wenn ein Vorfall Ihr Geschäft spürbar träfe. Jedes 25. ist betroffen, 73% mit Schaden, nur 42% vorbereitet. Es geht um Handlungsfähigkeit, nicht Bürokratie.

F2 Berater — oder schaffen wir das intern?

Intern geht es, wenn Zeit, Erfahrung, Autorität und Kompetenz zusammenkommen. Fehlt eine — oder sind Druck, Audit, Vorfall, Tempo kritisch — extern prüfen.

F 3 Erster Schritt, wenn die Lage unklar ist?

Zuerst die Lage klären: Reifegrad, Lücken, Prioritäten, Aufwand, Verantwortung. Erst danach entscheidet die Geschäftsleitung.

F4 Welche Unterstützung passt?

Unklare Lage → Standort-Check. Aufbau/Nachschärfung → Beratung. ISB allein → Coaching. Dauerbetrieb ohne ISB → externes Mandat.

. Wer glaubt „das trifft mich nicht“, verwechselt Unsichtbarkeit mit Sicherheit.