Informationssicherheits-Managementsystem nach ISO 27001 und BSI IT-Grundschutz.

Ein ISMS ist kein Dokument, das man einmal erstellt und in den Schrank legt. Es ist das Betriebssystem, mit dem ein Unternehmen seine Informationssicherheit beherrscht — und das gegenüber Kunden, Auditoren und Aufsichtsbehörden belegen kann.

8 Minuten Lesezeit · Themen: ISO 27001, BSI IT-Grundschutz, ISB-Funktion
Inhalt
7 Abschnitte · 8 Minuten Lesezeit
  1. 01Was ist ein Informationssicherheits-Managementsystem?2 min
  2. 02ISO 27001 oder BSI IT-Grundschutz — welche Norm passt?3 min
  3. 03Wann sich ein ISMS lohnt — und wann nicht1 min
  4. 04Wie ein ISMS aufgebaut wird2 min
  5. 05Was den Aufwand bestimmt1 min
  6. 06Häufige Fehler beim Aufbau2 min
  7. 07Häufig gestellte Fragen3 min

Was ist ein Informationssicherheits-Managementsystem?

Ein Informationssicherheits-Managementsystem — kurz ISMS — ist die Summe aus Regeln, Rollen, Prozessen und Nachweisen, mit denen eine Organisation den Umgang mit ihren Informationen steuert. Es definiert, wer wofür zuständig ist, wie Risiken bewertet werden, welche Schutzmaßnahmen gelten und wie deren Wirksamkeit nachgewiesen wird.

Wichtig ist die Abgrenzung: Ein ISMS ist kein IT-System. Es ist auch keine Software, kein Tool und keine Sammlung technischer Schutzmaßnahmen. Eine Firewall, ein Antivirus-Programm oder eine Multi-Faktor-Authentifizierung sind Bestandteile der Informationssicherheit — aber sie ersetzen kein Managementsystem. Das ISMS ist die organisatorische Ebene darüber: Es stellt sicher, dass diese technischen Maßnahmen aus einer Risiko-Bewertung folgen, dokumentiert und überprüft werden.

Typische Bestandteile eines ISMS:

  • Informationssicherheits-Leitlinie (Grundsatzdokument der Geschäftsführung)
  • Richtlinien und Verfahrensanweisungen für einzelne Themen (Passwörter, Zugriff, mobile Geräte, Cloud-Nutzung)
  • Risikoregister mit identifizierten, bewerteten und behandelten Risiken
  • Schutzbedarfsanalyse für Informationen, Anwendungen und IT-Systeme
  • Vorfallsmanagement-Prozess für Sicherheits-Ereignisse
  • Schulungs- und Awareness-Konzept
  • Interne Audits und Management-Review-Strukturen

ISO 27001 oder BSI IT-Grundschutz — welche Norm passt?

Im deutschsprachigen Raum sind zwei Normen für ein ISMS etabliert: die internationale ISO/IEC 27001 und der BSI IT-Grundschutz. Beide ermöglichen eine Zertifizierung — aber sie sind in Umfang, Tiefe und Schwerpunkt sehr unterschiedlich.

Norm 01

ISO/IEC 27001:2022

Herkunft
International (ISO)
Umfang
Hauptnorm rund 30 Seiten + Annex A mit ~93 Maßnahmen
Charakter
Schlank, prozessorientiert, risikobasiert
Typische Anwender
Mittelstand, Konzerne, IT- und Technologie-Branche, international tätige Unternehmen
Internationale Anerkennung
Weltweit anerkannt
Norm 02

BSI IT-Grundschutz

Herkunft
Deutschland (Bundesamt für Sicherheit in der Informationstechnik)
Umfang
Kompendium mit über 100 Bausteinen, mehrere tausend Seiten
Charakter
Sehr ausführlich, methodisch detailliert, bausteinbasiert
Typische Anwender
Behörden, KRITIS-Betreiber, Unternehmen mit deutscher Aufsicht
Internationale Anerkennung
Hauptsächlich Deutschland und DACH-Raum

Eine dritte Variante ist die Zertifizierung nach ISO 27001 auf Basis IT-Grundschutz. Hier wird das ISMS nach BSI-Methodik aufgebaut, das Zertifikat ist aber international gültig. Diese Kombination ist beliebt bei deutschen Großunternehmen, die international tätig sind und gleichzeitig die methodische Tiefe des Grundschutzes nutzen möchten.

Welche Norm im Einzelfall passt, hängt von drei Faktoren ab: Wer fordert den Nachweis (Kunde, Aufsicht, intern)? Welche Aufsichtsbehörden sind beteiligt? Wie ausgeprägt ist die deutsche Verwaltungs- und Dokumentationskultur im Unternehmen? Für die Mehrheit der Mittelständler ohne starken Behörden-Bezug ist ISO 27001 die pragmatischere Wahl.

Wann sich ein ISMS lohnt — und wann nicht

Ein ISMS ist kein Selbstzweck. Der Aufbau bindet personelle Kapazität, kostet Geld und erzeugt laufenden Pflegeaufwand. Sinnvoll wird der Aufwand, wenn mindestens einer von drei Auslösern vorliegt:

  1. Kundenanforderung. Ein wichtiger Kunde verlangt eine ISO-27001-Zertifizierung oder ein gleichwertiges Sicherheitsniveau als Vertragsvoraussetzung. Im Mittelstand kommt das zunehmend über Lieferanten-Audits, Fragebögen oder direkte Auflagen in Rahmenverträgen.
  2. Regulatorische Pflicht. NIS-2, KRITIS, DORA, TISAX oder branchenspezifische Vorgaben verlangen ein dokumentiertes Managementsystem als Nachweis-Grundlage. Diese Pflichten sind in den letzten Jahren stark ausgeweitet worden — allein NIS-2 betrifft in Deutschland geschätzt 30.000 Unternehmen.
  3. Eigene Risiko-Lage. Ein Sicherheits-Vorfall, eine Versicherungs-Anfrage, eine M&A-Transaktion oder ein neues Geschäftsfeld machen den Reife-Stand der eigenen Informationssicherheit zur Geschäftsführungs-Frage.

Umgekehrt gilt: Bei kleineren Unternehmen ohne externen Druck ist ein formales ISMS oft Overkill. Vor dem ISMS-Aufbau sollten dann zunächst die pragmatischen Sicherheits-Hausaufgaben erledigt werden — Patchmanagement, Backup-Strategie, Berechtigungs-Konzept, Awareness. Das schafft eine substanzielle Sicherheits-Basis, ohne dass eine Norm im Hintergrund läuft.

Wie ein ISMS aufgebaut wird

Der Aufbau eines ISMS folgt typischerweise vier Phasen. Für ein mittelständisches Unternehmen mit 50 bis 500 Mitarbeitenden liegt der realistische Zeitrahmen zwischen 6 und 12 Monaten — je nach Ausgangslage, Komplexität und gewünschter Tiefe.

01

Bestandsaufnahme

Gap-Analyse gegen die gewählte Norm. Welche Strukturen sind vorhanden? Welche Dokumente fehlen? Welche Prozesse müssen neu aufgebaut werden?

Dauer: 4–6 Wochen
02

Aufbau

Erstellung der Pflichtdokumente: Leitlinie, Richtlinien, Verfahrensanweisungen, Risikoregister, Schutzbedarfsanalyse. Iterativ, mit den fachlich Verantwortlichen.

Dauer: 3–6 Monate
03

Einführung

Schulung der Mitarbeitenden, erster interner Audit, Korrekturen, Management-Review. Das ISMS wird vom Papier zum gelebten System.

Dauer: 1–2 Monate
04

Zertifizierung oder Betrieb

Auf Wunsch: Zertifizierungsaudit durch eine akkreditierte Stelle. Andernfalls: Übergang in den laufenden Betrieb, intern oder mit externer ISB-Begleitung.

Dauer: 1–2 Monate

Wichtig: Nach der Zertifizierung beginnt die eigentliche Arbeit. Ein ISMS lebt von kontinuierlicher Pflege — Aktualisierung des Risikoregisters, jährliche Audits, Management-Reviews, Reaktion auf neue Bedrohungslagen. Wer ein ISMS aufbaut und es dann ablegt, hat Aufwand für ein Stück Papier betrieben.

Was den Aufwand bestimmt

Eine pauschale Kostenangabe für einen ISMS-Aufbau ist seriös nicht möglich — die Spannbreite ist zu groß. Was den Aufwand treibt, lässt sich aber klar benennen:

  • Unternehmensgröße. Anzahl der Mitarbeitenden, Standorte, Tochterunternehmen
  • IT-Komplexität. Eigene Entwicklung vs. Standard-Software, Cloud-Anteil, Anzahl kritischer Anwendungen
  • Vorhandene Dokumentation. Wer schon Richtlinien, Prozessdokumentation und Berechtigungs-Konzepte hat, startet nicht bei null
  • Internes Know-how. Gibt es einen internen Verantwortlichen mit Vorkenntnissen, oder muss alles extern getrieben werden?
  • Tiefe des Vorhabens. Nur ISMS-Aufbau, oder gleich Zertifizierung? Mit oder ohne Re-Zertifizierungs-Begleitung?
  • Spezialthemen. Cloud-Sicherheit, Lieferanten-Bewertung, internationale Verbindungen, KI-Einsatz — jedes Spezialthema bringt zusätzliche Anforderungen

Der Aufbau-Aufwand richtet sich nach Ausgangslage, Reifegrad und Größe des Unternehmens, dazu kommen die laufenden Kosten für die ISB-Funktion. Belastbare Zahlen ergeben sich erst aus der Bestandsaufnahme — auf dieser Grundlage kalkulieren wir mandatsspezifisch und aufwandsbasiert.

Häufige Fehler beim Aufbau

Aus Sicht der Beratungspraxis wiederholen sich beim ISMS-Aufbau bestimmte Muster, die ein Projekt teuer oder unwirksam machen:

  • Dokumente werden zu kompliziert. Eine 80-seitige Sicherheits-Leitlinie, die niemand liest, schützt nichts. ISMS-Dokumente sollten so kurz wie möglich, so lang wie nötig sein.
  • Das ISMS wird als IT-Thema verstanden. Wenn die Geschäftsführung nicht aktiv eingebunden ist und das ISMS allein in der IT-Abteilung lebt, fehlt die Durchschlagskraft. Informationssicherheit ist eine Management-Aufgabe.
  • Die Risiko-Bewertung bleibt halbherzig. Wer „mittel“ für alle Risiken einträgt, hat keine Steuerung. Risikobewertung verlangt Differenzierung und regelmäßige Aktualisierung.
  • Zertifizierung wird als Endpunkt verstanden. Das Zertifikat ist nicht das Ziel — es ist die Bestätigung eines funktionierenden Systems. Wer nach dem Audit das ISMS einschlafen lässt, verliert Geld und Glaubwürdigkeit beim Re-Audit.
  • Awareness wird unterschätzt. Die beste Richtlinie nützt nichts, wenn Mitarbeitende nicht wissen, warum sie existiert. Schulung und Sensibilisierung sind kein Anhängsel, sondern Kern.

Häufig gestellte Fragen

Sieben Punkte, die in fast jedem Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Wie lange dauert ein ISMS-Aufbau bis zur Zertifizierung?

Für ein mittelständisches Unternehmen typischerweise 9 bis 15 Monate, abhängig von Ausgangslage und Kapazität der internen Verantwortlichen. Die schnellste sinnvolle Variante liegt bei 6 Monaten, wenn vorhandene Dokumentation und ein interner Treiber gegeben sind.

Brauchen wir das, auch wenn niemand uns dazu zwingt?

Nicht automatisch. Wenn weder Kunden noch Aufsicht noch eigene Risiko-Lage einen Auslöser geben, ist ein formales ISMS oft Overkill. In diesem Fall empfehlen sich zunächst pragmatische Sicherheits-Hausaufgaben (Backup, Patch-Management, Berechtigungen, Awareness) — ein ISMS-Aufbau lohnt sich erst, wenn der externe Druck oder das interne Risiko-Profil es rechtfertigen.

Können wir ein ISMS selbst aufbauen, ohne Berater?

Grundsätzlich ja, wenn intern entsprechende Kapazität und Norm-Kenntnis vorhanden sind. In der Praxis scheitert das oft an drei Punkten: Zeitkapazität der Verantwortlichen, methodische Sicherheit bei der Norm-Auslegung und die nötige Distanz für eine ehrliche Risikobewertung. Externe Begleitung beschleunigt den Aufbau erheblich und reduziert das Risiko teurer Umwege.

Was unterscheidet ein ISMS vom Datenschutz-Management?

Datenschutz (DSGVO) schützt personenbezogene Daten. Ein ISMS schützt alle schutzwürdigen Informationen, auch nicht-personenbezogene (Geschäftsgeheimnisse, Konstruktionsdaten, Vertragsinhalte). Beide Systeme haben Überschneidungen und sollten integriert betrachtet werden — ein ISMS umfasst den Datenschutz, ersetzt aber nicht die spezifischen DSGVO-Pflichten.

Reicht ein externer Informationssicherheitsbeauftragter, oder brauchen wir eine interne Verantwortung?

Beides hat seinen Platz. Ein externer ISB bringt Methodik, Erfahrung aus anderen Mandaten und die nötige Distanz. Eine interne Verantwortung — oft auf Bereichsleiter-Ebene — ist nötig, damit das ISMS im Alltag getragen wird. In den meisten Mittelstands-Mandaten besteht die Lösung aus einem externen ISB plus internem Ansprechpartner.

Was kostet die Zertifizierung selbst, also der Auditor?

Die Zertifizierung selbst läuft über eine akkreditierte Zertifizierungsstelle (TÜV, DEKRA, DQS, Bureau Veritas und andere); diese Kosten fallen separat an und richten sich nach Unternehmensgröße und Audit-Tagen. Neben dem Erst-Audit kommen jährliche Überwachungsaudits hinzu. Unser eigener Beratungs-Aufwand wird mandatsspezifisch und aufwandsbasiert kalkuliert.

Unser Ansatz

Wie wir Sie beim ISMS-Aufbau unterstützen.

Wir begleiten mittelständische Unternehmen beim Aufbau von Informationssicherheits-Managementsystemen nach ISO 27001 und BSI IT-Grundschutz — von der ersten Bestandsaufnahme über die Erstellung aller Pflichtdokumente bis zur Begleitung der Zertifizierung. Auf Wunsch stellen wir nach dem Aufbau einen externen Informationssicherheitsbeauftragten und begleiten den laufenden Betrieb — damit das ISMS gelebt wird statt im Schrank zu liegen.

Unser Ansatz ist pragmatisch: Wir bauen ISMS-Strukturen, die zur Größe und Realität Ihres Unternehmens passen — nicht zu viel, nicht zu wenig. Im Erstgespräch klären wir, ob ein Mandat zu Ihrer Situation passt. Auch wenn die ehrliche Antwort „noch nicht“ lautet.

Erstgespräch zum ISMS-Aufbau.

30 Minuten. Wir klären, welche Norm zu Ihrer Situation passt, wie umfangreich ein Aufbau realistisch wäre, und ob ein Mandat für Sie sinnvoll ist.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

Ein ISMS ist oft die Basis — nicht das ganze Bild.

Wenn regulatorische Pflichten dazukommen, baut die Spezial-Disziplin auf einem funktionierenden ISMS auf:

NIS-2-Umsetzung EU-weite Cybersicherheits-Pflichten für rund 30.000 deutsche Unternehmen KRITIS-Beratung Pflichten nach §8a BSIG für Betreiber kritischer Infrastrukturen TISAX-Beratung Branchen-Standard der Automobilindustrie nach VDA-ISA