ISO 27001 Zertifizierungskosten

Es gibt deutliche Unterschiede bei der ISO 27001 Zertifizierung bei Konzernen gegenüber kleinen Unternehmen. Der Zeitaufwand für die Erstellung der Dokumentation ist deutlich geringer. Auch die Auditoren benötigen viel weniger Tage, um das Informationssicherheits-Managementsystem zu prüfen und den Vorort-Audit durchzuführen. Ein solches Information Security Management System (ISMS) kann man nicht einfach mal in 2 Stunden erstellt werden.  Wo ein Konzern schnell mehrere Millionen Euro  verbrennt, kann ein KMU Dokumentation und Audit zu deutlich geringeren Kosten durchführen.

Was kostet eine ISO 27001 Zertifizierung für kleine Unternehmen?

Kleine Unternehmen haben meist nicht die Zeit, um eigenständig das ISO 27001 Informationssicherheits-Managementsystem zu erstellen. Folglich braucht man hier eine wirtschaftliche Lösung, die aber dennoch eine individuelle Version des Managementsystems ermöglicht. Erfahrene Auditoren erkennen schnell 08/15 Vorlagen, die keinen realen Bezug zum geprüften Unternehmen haben. Das kann teuer werden, wenn man nochmals zum Audit antreten muss.

Folgendes Beispiel zeigt was ein KMU mit ca. 1-10 Mitarbeiter rechnen kann:

  • Erstellung von Managementsystemdokumenten (4.000-12.000 EUR)
  • IT Audit durch unsere Experten (1.200-8.000 EUR)
  • Awareness Training für Mitarbeiter (100-500 EUR)
  • Audit der Unterlagen (3.000-12.000 EUR)
  • Vorortaudit inkl. Anfahrtskosten (1.500-3.500 EUR)
  • Ausstellung des ISO 27001 Zertifikat (500-1.000 EUR)

Folglich können KMUs schon ab 8.000 EUR ein individuelles Managementsystem (ISMS) und die ISO/IEC 27001 Zertifizierung erhalten.

Je komplexer die IT Landschaft und das Geschäftsmodel, desto gefährdeter sind die Daten eines Unternehmen. Durch die Einführung eines ISMS Management Systems sollen diese kritischen Daten besser geschützt werden.

Warum ist die Einführung von ISO 27001 so kostenintensiv?

Wenn Sie schon mal die ISO 9001 im Unternehmen eingeführt und die 9001 Zertifizierung durchgeführt haben, kennen Sie die in etwa zu erwartenden Kosten der Einführung der ISO 9001. Die Einführung eines Informationssicherheitsmanagementsystems ist deutlich aufwendiger. Wenn Sie unsere Erläuterungen zum Ablauf eines ISO 27001 Projekts anschauen, werden Sie erkennen, dass da deutlich mehr dahinter steckt. Auch das Audit ist deutlich aufwendiger. Die DAkkS akkreditierten Zertifizierungsstellen (z.B. TÜV, DEKRA, DQS) setzen in der Regel mindestens 4 Tage für die Erstzertifizierung an. 

Damit man nicht völlig planlos Monate lang Dokumente erstellt und dann beim Audit das Zertifikat verwehrt bekommt, haben wir mehrere Checklisten um sowohl das interne Audit als auch das externe Audit gut zu überstehen. Eines darf man aber trotzdem nicht ignorieren: ein ISO 27001 Projekt muss sich für das betreffende Unternehmen rentieren. Es muss Sinn machen ISO 27001 einzuführen.

Warum dauert die Schwachstellenanalyse oftmals länger?

Für den Aufbau eines ISMS muss man eine Liste der Vermögenswerte aufbauen. Dabei geht es nicht um den Picasso im Chefzimmer, sondern um die Objekte in denen sich gefährdet Daten befinden. Die ISO 27001 fordert ein Risikomanagement, dass die Gefahren für diese Vermögenswerte identifiziert, bewertet und behandelt. Allein die Aufstellung der Vermögenswerte kostet häufig viel Zeit, denn in einen kleinen mit mittleren Kapitalgesellschaft existieren viele Werte. Da gehören unter anderen folgende mögliche Objekte:

  • Server und Datenbanken
  • Mobile Geräte (Notebooks, Tablets, Smartphones, USB Sticks)
  • Kopierer mit eingebauter Festplatte
  • Systeme in der Cloud (z.B. CRM, Buchhaltung, Vorkontierungssystem, Backup Speicher, …)
  • Archivraum mit Papierakten
  • Netzwerke, Firewall, Backupsysteme, 
  • usw.

Sobald alle Vermögenswerte in einer Liste stehen, muss man ihnen eine Gefahrenquelle, Ausfallwahrscheinlichkeit und mögliche Schadenshöhe zuordnen. Man kann so etwas in einer Excel Tabelle oder in einem cloud-basierten System erfassen.  Anschließend überlegen Sie wie dieses Risiko abgewehrt werden kann. Nachdem Sie das Risiko behandelt haben, betrachten Sie die nach der Behandlung verbleibende Ausfallwahrscheinlichkeit und mögliche Schadenshöhe. Sie werden merken, dass ihnen verschiedene Risikoquellen und Folgen für einen einzelnen Vermögenswert einfällt. Jedes Risiko hat einen etwas anderen Charakter. Somit braucht jedes Risiko vielleicht auch eine andere Art der Risikobehandlung. 

Wenn wir nun zur Schwachstellenanalyse übergehen, kommen wir in eine tiefere Ebene des Risikomanagement. Auch hier fordert die ISO 27001 Norm ein Schwachstellenmanagement. Unsere digitale Infrastruktur (z.B. Firewall, Software, Betriebssysteme, Webserver) sind niemals frei von Schwachstellen und Programmierfehlern. Daher müssen wir fortlaufend neue Meldungen zu Schwachstellen in IT Systemen prüfen, bewerten und ggf. Schutzmaßnahmen durchführen. Wie Sie nun unschwer erkennen, kostet so eine Risikobewertung und Schwachstellenanalyse viel Zeit. Das kann ein ISMS Projekt unnötig in die Länge ziehen und hohe Beraterkosten verursachen. ein pragmatischer Ansatz ist da nachhaltiger für alle Beteiligten.

Was gehört zu einer ISO 27001 Zertifizierung bei KMUs?

Damit ein KMU die ISO 27001:2022 erfolgreich durchführen kann, muss es folgende Schritte durchlaufen:
  • Vorbesprechung des ISO 27001 Vorhabens
  • Erstellung der ISO 27001:2022 Dokumentation
  • Erkennung von notwendigen Verbesserungsmaßnahmen
  • Vorbereitung der Audit Unterlagen
  • Schulung von Mitarbeitern
  • Einreichung des ISMS-Managementkonzept beim Auditor
  • Durchführung des Vorort-Audits
  • Abarbeitung von eventuellen Nachbesserungsanforderungen
  • Aktualisierung von ISO 27001 Unterlagen
In einem kleinen Unternehmen lassen sich diese Arbeitsschritte aber sehr schlank gestalten. Bei einer guten Vorbereitung, erhält man in der Regel nach dem Audit meist nur wenige oder keine Nachbesserungsaufforderungen.
ISO 27001 Regelwerke können komplex oder schlank gestaltet werden

Wie kann die Auswahl einer Zertifizierungsstelle die Kosten in die Höhe treiben?

Viele Unternehmen glauben, dass externe Auditoren von den Zertifizierern mit Gold überhäuft werden. In der Realität sind die Honorare der externen Auditoren nur ein Bruchteil der dem Unternehmen in Rechnung gestellten Zertifizierungskosten. Namhafte Zertifizierungsorganisationen bezahlen ihren freien Mitarbeitern einen kleinen (teilweise unattraktiven) Tagessatz. Das hat jedoch Folgen für die Unternehmen in der Warteliste. 

Gerade in speziellen Fachgebieten existieren in den Zertifizierungsorganisationen und auf dem freien Market wenige Fachkräfte, die ein Audit normkonform auditieren können und dürfen. Das führt zu einem Engpass. Zertifizierungsstellen versuchen bestmöglich die begrenzten Personalressourcen einzusetzen und zu erweitern. Die Berufung eines Auditors ist jedoch an eine sehr lange und komplizierte Prozesskette gebunden. Dadurch brauchen neue Auditoren fast ein Jahr bis sie eigenständig auch als Lead Auditor aktiv werden können. Infolgedessen teilen sich mehrere Zertifizierungsstellen ihre freiberuflichen Auditoren, da nicht jedes ihrer Kunden immer zeitgleich auditiert werden muss.

Die Kosten einer Zertifizierung kann aber in die Höhe getrieben werden, wenn die Abstände zwischen den Audits und Korrekturmaßnahmen unverhältnismäßig ausufern. Dabei spielen auch die Akkreditierungsstellen eine gravierende Rolle da nicht jede Aufsichtsstelle die gleichen Anforderungen an Zertifizierer stellen. Die DAkkS ist eine sehr strenge und anspruchsvolle Akkreditierungsstelle. Dadurch müssen häufig deutsche Zertifizierer einen höheren Aufwand treiben, der letztendlich auch die Kosten für ihre Kunden steigen lässt. Die Zertifizierungsstellen sind aufgrund ihres Einblicks in die betriebliche Praxis ihrer Kunden sehr bedacht wirtschaftlich, effizient und maßvoll zu handeln. 

Daher ist nicht jede Zertifizierungsstelle vergleichbar und kann interessante Vorteile bieten. Da diese Auswahl recht komplex werden kann, begleiten wir unsere Kunden durch den gesamten Zertifizierungsprozess.

Welche Förderprogramme des Staates sponsern ein ISMS Projekt?

Der Bund und die Länder fördern mit unterschiedlichen Programmen die Verbesserung der IT Sicherheit in kleinen bis mittelgroßen Betrieben. Dadurch können unter Umständen ein teil der förderfähigen Beratungskosten durch die jeweilige Landesregierung erstattet werden. Wir stellen fortlaufend die neuesten Informationen zu diesen Förderprojekten der Bundesländer für Sie zusammen. Die nachfolgende Aufstellung führt Sie jeweils zu unserer Informationsseite, in der wir alle erforderlichen Antragsformulare sowie Informationen zu den Förderkriterien und den Ablauf des Förderantrags zusammen gestellt haben:

Start-up-Förderung für den Aufbau eines ISMS

Verschiedene Stiftungen in Europa fördern innovative Startups beim Schutz von Erfindungen, Ideen, Gebrauchsmustern und Marken. Folgende Stiftungen fördern den Aufbau eines ISMS nach ISO 27001, um die Informationssicherheit in jungen Unternehmen zu verbessern:
  • WSH Stiftung

Wie unterscheiden sich die Kosten der ISO 9001 zur ISO 27001?

Die Vorbereitung und die Zertifizierung nach ISO 9001 ist deutlich kostengünstiger als die ISO 27001. Das liegt zum Teil an den Anforderungen an die Audittage als auch an die Qualifikation der Auditoren. Bei der ISO 9001 Audit werden meist bei KMUs 1-2 Tage angesetzt. Bei der ISO 27001 sind in Deutschland meist 4 oder mehr Tage von der Zertifizierungsstelle vorgeschrieben. Wenn man das ISO 27001 Auditverfahren in 2 Tagen erledigen will, müssen 2 Auditoren das Unternehmen gemeinsam prüfen. Man darf dabei nicht ignorieren, dass größere Geschäftskunden mehr Aufträge an Unternehmen vergeben, die eine ISO 27001 Zertifizierung erfolgreich überstanden haben.