ISO 27001 für kleine Unternehmen

Viele KMU glauben, ISO 27001 sei ausschließlich für Konzerne gemacht. Das ist ein Irrtum – und zunehmend ein teurer. Die Norm definiert keinen Mindestumfang und stellt keine Anforderungen an Unternehmensgröße oder Mitarbeiterzahl. Was sie fordert, ist ein funktionierendes Informationssicherheitsmanagementsystem (ISMS) – und das kann genauso in einem 15-köpfigen Unternehmen existieren wie in einem 15.000-köpfigen Konzern.

Der Treiber ist häufig extern: Kunden, Auftraggeber und Ausschreibungen fordern ISO 27001 zunehmend als Zulassungsvoraussetzung – auch von kleinen Lieferanten und IT-Dienstleistern. Die NIS2-Richtlinie verstärkt diesen Druck über Lieferkettenpflichten: Unternehmen, die selbst unter NIS2 fallen, müssen auch ihre Dienstleister auf Sicherheitsstandards verpflichten.

Kleinen Unternehmen kommt ein struktureller Vorteil zugute: kürzere Entscheidungswege, weniger Abteilungssilos, direkter Zugang zur Führungsebene. Ein KMU, das ISO 27001 konsequent umsetzen möchte, kann das in deutlich kürzerer Zeit schaffen als ein Konzern mit 50 Standorten – wenn der Scope klar definiert und das Projektvorgehen realistisch ist.

Die wichtigste Entscheidung zu Projektbeginn ist die Scope-Definition: Welche Bereiche, Prozesse und Standorte umfasst das ISMS? Kleine Unternehmen haben hier einen erheblichen Vorteil: Wer nur einen Standort, eine überschaubare IT-Landschaft und klar abgegrenzte Geschäftsprozesse hat, kann einen eng gefassten Scope wählen – und damit Aufwand und Auditkosten erheblich reduzieren.

Ein typischer Scope für ein kleines IT-Dienstleistungsunternehmen mit 20 Mitarbeitenden könnte beispielsweise die Erbringung von Managed Services inklusive der eingesetzten Systeme und Kundendaten umfassen – ohne die gesamte Unternehmensorganisation. Dieser schlanke Scope lässt sich in 6–9 Monaten zertifizierungsfähig aufbauen und ist für Kunden und Auditoren vollständig nachvollziehbar.

Blackfort unterstützt kleine Unternehmen bei der Scope-Definition mit einem strukturierten Workshop: Welche Informationswerte sind kritisch? Welche Prozesse müssen abgesichert werden? Wo liegt der Scope, der Zertifizierbarkeit und wirtschaftliche Umsetzbarkeit verbindet? Das Ergebnis ist ein Scoping-Dokument, das als Grundlage für Gap-Assessment und Projektplanung dient.

Wir empfehlen kleinen Unternehmen einen klar strukturierten Vier-Phasen-Ansatz, der auf verfügbare Ressourcen Rücksicht nimmt und gleichzeitig auf ein konkretes Zertifizierungsziel ausgerichtet ist.

Phase 1 – Gap-Assessment (4–6 Wochen): Bestandsaufnahme der aktuellen Sicherheitslage, Bewertung des Reifegrads, priorisierter Umsetzungsplan. Phase 2 – ISMS-Aufbau (3–5 Monate): Kernrichtlinien erstellen (Informationssicherheitsleitlinie, Risikobehandlungsplan, Statement of Applicability), technische Grundmaßnahmen einführen, Mitarbeitende sensibilisieren. Phase 3 – Reifung & internes Audit (1–2 Monate): Das ISMS läuft im Betrieb, erste interne Audits liefern Korrekturbedarf, offene Punkte werden geschlossen. Phase 4 – Zertifizierungsaudit: Stage-1-Audit (Dokumentenprüfung) und Stage-2-Audit (On-Site) durch die akkreditierte Zertifizierungsstelle.

Realistischer Gesamtzeitraum für ein kleines Unternehmen mit 20–50 Mitarbeitenden: 7–10 Monate bei ca. 20–30 % interner Kapazität für den ISMS-Verantwortlichen. Wer diesen Aufwand intern nicht stemmen kann, ist mit einem externen Informationssicherheitsbeauftragten (ext. ISB) gut beraten – einer Person, die das ISMS fachlich betreut, ohne dass eine eigene Vollzeitstelle erforderlich ist.

Ressourcenplanung ist der kritischste Faktor. Viele KMU unterschätzen, dass ISO 27001 kein rein technisches Projekt ist – es erfordert Beiträge aus der Geschäftsführung, der IT und den Fachabteilungen. Wer zu Beginn nicht klärt, wer intern verantwortlich ist und welche Kapazitäten realistisch verfügbar sind, riskiert ein Projekt, das auf halbem Weg stagniert.

Dokumentation sollte minimal, aber gelebt sein. Die häufigste Falle für kleine Unternehmen: umfangreiche Richtlinien, die in der Schublade verschwinden. ISO 27001 bewertet nicht die Menge der Dokumentation, sondern wie gut sie verstanden und umgesetzt wird. Wenige, klare Richtlinien, die im Alltag tatsächlich befolgt werden, sind besser als ein voluminöses Handbuch ohne Akzeptanz.

Die Auswahl des Zertifizierers hat Konsequenzen. Nicht jede Zertifizierungsstelle ist für kleine Unternehmen gleich gut geeignet. Manche sind auf Konzernstrukturen ausgerichtet und haben aufwändigere Auditprozesse. Blackfort hat langjährige Erfahrung mit der Zertifizierungsvorbereitung kleiner Unternehmen und berät bei der Auswahl einer zur Unternehmensgröße passenden Zertifizierungsstelle.

Für kleine Unternehmen mit bis zu 50 Mitarbeitenden und klar abgegrenztem Scope sind Gesamtkosten von 25.000 bis 60.000 Euro für die Erstzertifizierung realistisch – verteilt auf Gap-Assessment, externe Beratung, Zertifizierungsaudit und interne Ressourcen. Die jährlichen Folgekosten für Überwachungsaudits liegen bei 4.000 bis 7.000 Euro.

Der größte Hebel zur Kostensenkung liegt in einem klar definierten Scope, ausreichender interner Kapazität und einer guten Ausgangssituation (z. B. vorhandene IT-Dokumentation, bereits genutzte Sicherheitstools). Unternehmen, die bereits ein TISAX-Assessment oder ein gut dokumentiertes IT-Sicherheitskonzept haben, können erhebliche Synergien nutzen.

Eine detaillierte Aufschlüsselung aller Kostenblöcke – inklusive einer Vergleichstabelle für verschiedene Unternehmensgrößen – finden Sie auf unserer ISO 27001 Kostenseite.