ISO 27001 Zertifikat billiger kaufen

In den meisten Fällen suchen Unternehmen nach einem Weg die ISO 27001 Zertifizierung zu deutlich geringeren Kosten einzukaufen. Das ist in anderen Einkaufssituationen auch völlig normal. Leider haben die in Europa ansässigen Akkreditierungsstellen, den Aufwand zur Erstellung eines Angebots erheblich kompliziert gemacht und hohe Anforderungen gesetzt, bevor eine Zertifizierungsstelle ein Angebot machen darf. Deutschland ist bekannt dafür bürokratische Hemmnisse zu erfinden und zu verschärfen anstatt einen Bürokratieabbau umzusetzen. Zunächst möchten wir in diesem Artikel erklären, warum man nicht so einfach mal ein ISO 27001 Zertifikat kaufen kann.

Wie sucht man eine Zertifizierungsstelle aus?

Wenn man Angebote einholt, hört man manchmal so allerlei Argumente gegen einen bestimmten Anbieter. Dieser Mitbewerber sei schlecht, weil er alles digitalisiert hat und nicht mehr mit Word Dateien bzw. Excel Makros arbeitet, wie es die alten Platzhirsche tun. Vielleicht ist dieser weniger bekannte Anbieter sogar im Ausland ebenfalls ansässig. Deutsche Anbieter sind auch im Ausland tätig. Wo ist das Problem? Ist die Zertifizierungsstelle vielleicht beim Wettbewerb weniger beliebt, weil er durch Innovation den verstaubten Wettbewerb ignoriert und auf die Kundenwünsche zeitnah reagiert? Es ist schon immer wieder interessant zu sehen, wie große Goliaths sich nicht von den kleinen Davids beindruckt zeigen und doch hinter vorgehaltener Hand über ihre eigene mangelnde Innovationskraft klagen.

Bevor wir tiefer in die Materie wie man ein ISO 27001 Zertifikat erwirbt, müssen wir uns aber mit der essentiellen Frage auseinander setzen: Bei welcher Zertifizierungsstelle wollen wir das Management System unseres Unternehmen zertifizieren lassen? Zunächst müssen wir ein Kriterienkatalog oder eine Checkliste erstellen, was wir von einer Zertifizierungsstelle erwarten und was für uns ein Ausschlusskriterium ist. Zudem sollen wir uns im Klaren werden, was wir überhaut mit einer solchen ISO 27001 Zertifizierung erreichen wollen.

Ausschlusskriterien bei der Wahl der ISO 27001 Zertifizierungsstelle

Folgende Kriterien sind grundsätzlich sinnvolle Schwächen auf die man eine potentielle Zertifizierungsstelle prüfen könnte:

  • Markenbekanntheit
  • Mangelnde Glaubwürdigkeit
  • Unzureichende Qualität
  • Mangelnde Sorgfalt

Gehen wir auf die einzelnen Punkte ein:

Ausschlusskriterium - Markenbekanntheit

Gerne spricht man bei kleineren Zertifizierungsstelle deren Bekanntheitsgrad an. Wer unbedingt ein weltweit bekanntes Logo auf seinem Zertifikat haben möchte, sollte nicht in Deutschland suchen. In manchen Regionen der Welt lösen einige alt eingesessene Marken eine unerwünschte Abwehrreaktion aus. Wenn ihre Kunden ihr ISO Zertifikat betrachten, bewerten diese ein Zertifikat nicht höher weil es eine bekannte deutsche Marke schmückt. Markenbekanntheit hat einen hohen Preis, den nicht jeder braucht. Nur weil das Zertifikat das dreifache kostet, können Lieferanten ihre Preise nicht verdoppeln. Sie ein ISO 27001 Zertifikat, um sich mit einer bekannten deutschen Marke zu schmücken. Ist das nicht eigentlich unlauterer Wettbewerb? Niemand möchte bezichtigt werden, dass man mit einer bekannten Zertifizierungsstelle Greenwashing betreibt.

Ausschlusskriterium - Mangelnde Glaubwürdigkeit

Ein ISO 27001 Zertifikat ist weltweit anerkannt und respektiert. Wird ein Zertifikat ohne die Durchführung eines Audits ausgestellt, ist das Zertifikat eine Selbsttäuschung. Wird das Zertifikat zu einem Bruchteil des üblichen Preises erworben, ist es nicht automatisch ein gefälschtes Zertifikat. Es ist immer eine Frage was ein Bruchteil darstellt. Die Glaubwürdigkeit eines Unternehmens ist dann gering, wenn das Zertifikat ohne ein qualifiziertes Audit ausgestellt wurde. Natürlich können große Anbieter mit hoher Markenbekanntheit das 4fache für ihre Audits verlangen, aber die beauftragten freiberuflichen Auditoren werden nur ein Bruchteil dessen bezahlt bekommen. Ein kleiner oder ausländischer Anbieter ist nicht Tarifgebunden und muss keinen riesigen Verwaltungsapparat finanzieren.Folglich können kleinere Zertifizierungsstellen wirtschaftlicher als schwerfällige Konzerne agieren. Sie sind flexibler in ihrer Preiskalkulation und entscheiden durch sehr kurze Dienstwege, wie sie mit einer bestimmten Auditsituation umgehen. Fortfolgernd, müssen sie keine überzogenen Auditgebühren berechnen. Dennoch sollten Sie nicht eine Zertifizierung zu einem Preis verkaufen, der selbst einen Audittag nicht finanzieren würde. Spottbillige Angebote sollten als Warnzeichen genommen werden.

Ausschlusskriterium - Unzureichende Qualität

Ein beliebtes Argument gegen kleinere oder ausländische Zertifizierungsstellen ist mangelnde Erfahrung und ein Mangel an ausreichenden Ressourcen. Wie bereits in anderen Artikeln erwähnt, sind viele große Zertifizierer mit einer dünnen Personaldecke unterwegs und kaufen sich bei Bedarf bis zu 90% ihrer Auditoren als freie Mitarbeiter ein. Kann ein kleiner Zertifizierer nicht den hohen Qualitätsstandards entsprechen, nur weil er nicht Teil eines Konzerns ist? Die Größe oder der Geschäftssitz einer Zertifizierungsstelle disqualifiziert nicht weniger bekannte ZertifiziererWann kann ein Zertifizierer den hohen Qualitätsstandards nicht entsprechen? Eine akkreditierte Zertifizierungsstelle sollte nicht ISO 27001 Zertifikate verkaufen. Da die Zertifizierer ihre Auditoren einkaufen, müssen sie bei der Berufung ihrer Auditoren die Standards befolgen. Wer unqualifizierte Personen als Auditoren zum Kunden entsendet, wird Schiffbruch erleiden. Berufene Auditoren müssen durch ihre Qualifikation und Berufserfahrung den Qualitätsstandards der ISO Organisation entsprechen.

Natürlich gibt es ausländische Zertifizierer mit Akkreditierung und Erfahrung, die trotzdem Zertifikate gegen einen Aufpreis auch ohne Audit verkaufen. Daher kann man recht schlecht argumentieren, ein ausländische Zertifizierer sei ungeeignet, um den europäischen Standards zu entsprechen. Übung macht den Meister. Das gilt auch bei Auditoren. Die Zertifizierungsstelle auditiert nicht das Management System des Unternehmens, sondern die entsandten Auditteams der Zertifizierungsstelle überprüfen die Dokumentation der Organisation. Häufig verwechseln Berater die Informationssicherheit mit Cybersicherheit. Sie behaupten durch ISO 27001 Zertifikat würde die Cybersicherheit nachgewiesen werden. Diese Behauptungen kommen aus einem mangelnder Erfahrung seitens der Berater, weil sie auch als Auditoren nicht tätig sind.
Die ISO-Organisation stellt sicher, dass durch die Organisationshierarchie der Akkreditierer, Zertifizierungsstellen und Auditoren weltweit die gesetzten Qualitätsstandards aufrechterhalten werden.

Das Zertifikat einer akkreditierten Fachstelle kann niemals garantieren, dass das Unternehmen tatsächlich die erforderlichen Sicherheitsmaßnahmen implementiert hat. Ein Audit ist immer Stichprobenbasierend und somit eine Momentaufnahme.

Ausschlusskriterium - Mangelnde Sorgfalt

Das Zertifikat eines unbekannten ausländischen Zertifizierer ist nicht automatisch ein Zeichen von mangelnder Qualität. Auch E&Y hat eine Zertifizierungsstelle mit Akkreditierung in Singapore. Es gibt genügend Menschen, die nichts mit der Marke E&Y (= Ernst & Young) anfangen können. Wer in der Konzernwelt unterwegs ist kennt E&Y sehr gut. Auch SGS ist namhaft und dennoch kennen manche Deutsche die Schweizer überhaupt nicht. Das macht deren Zertifikat nicht schlechter als das der bekannten TÜV Gesellschaften.

Eine nicht akkreditierte Zertifizierungsstelle mit Sitz in Deutschland oder im Ausland (z.B. Indien, England, Türkei) kann kein gültiges ISO 27001 Zertifikat ausstellen. Dennoch gibt es auch weltweit Zertifizierer, die mit Blankoscheinen ihren Kunden Zertifikate ausstellen. Diese Zertifizierungsstellen führen kein ordentliches Audit durch und verkaufen tatsächlich überteuerte oder spotbillige ISO 27001 Zertifikate. Manche davon gehen sogar so weit, dass sie in Europa Niederlassungen ohne lokale Mitarbeiter errichten.

 

Folglich kann man hier tatsächlich von einem Mangel an Sorgfalt ausgehen. Wer schon mal als Auditor in Europa bei Zertifizierungsstellen unterwegs war, kennt wie ein Audit tatsächlich abläuft. Bei gefälschten Audits erfolgen die erforderlichen Kontrollen nicht wie von der Norm gefordert. So zertifizierte Unternehmen glauben, dass sie über eine gute Sicherheit verfügen. Leider schützt ein Stück überteuertes Papier nicht vor einem Sicherheitsvorfall. Die Organisation muss sich selbst schützen und durch ein ordentliches jährliches Audit dazu treiben lassen, die eigene Sicherheitsniveau kontinuierlich zu verbessern. Wer so fahrlässig handelt, in dem er ein ISO 27001 kauft, der wird seine möglichen Schwachstellen im System nicht erkennen. 

Der Datenschutz wird für Betriebe immer komplexer, so dass die Anforderungen ohne fremde Hilfe kaum einzuhalten sind

Welche Probleme können nicht akkreditierte Zertifizierungsstellen hervorrufen?

Für Laien ist es oft schwierig zu erkennen, welche Zertifizierungsstelle berechtigt ist ein ISO Zertifikat auszustellen und wie ein ordnungsgemäßes Audit stattfindet.

Hier möchten wir folgende Schreckensszenarien betrachten, weil sie manchmal zutreffen und manchmal auch nur als Mittel um Mitbewerber schlecht zu reden dienen:

  • Haftungsrisiko
  • Unlauterer Wettbewerb

Vorwürfe des unlauteren Wettbewerb

Wenn man an eine nicht akkreditierte Zertifizierungsstelle gerät, läuft man Gefahr, dass man den Vorwurf „Unlauterer Wettbewerb“ zu hören bekommt. Wenn man mit einem Zertifikat, dass von einer nicht akkreditierten Organisation ausgestellt wurde ist das eine Art Manipulation des Adressaten. Häufig werden Sie auch zu hören bekommen, dass es ein gefälschtes Zertifikat ist. Die Ursache des Problems ist, dass der Aussteller des Zertifikats eine Akkreditierung benötigt. Ist der Zertifizierer nicht akkreditiert, so kann man nicht damit werben ISO zertifiziert zu sein. Nur die von ISO Organisation zugelassenen Akkreditierungsstellen dürfen eine Zertifizierungsstelle bevollmächtigen ISO Zertifikate auszustellen.

Ein ISO Zertifikat ist nicht automatisch gefälscht, weil die Zertifizierungsstelle nicht in Deutschland von der DAkkS akkreditiert ist. Auch die 4 größten Wirtschaftsprüfungsgesellschaften (KPMG, PwC, E&V, Deloitte) haben Tochtergesellschaften, die weltweit als Zertifizierungsstellen aktiv sind. Sie sind in Deutschland als Zertifizierungsstelle  weniger bekannt. Manche davon sich nicht in Deutschland akkreditiert und dennoch können sie mit ihren Akkreditierungen weltweit anerkannte ISO 27001 Zertifikate ausstellen. 

Haftungsrisiko als Angstmacher

Wenn Unternehmen mit einem „wertlosen“ Zertifikat werben, haben sie meistens ihre Hausaufgaben in Bezug auf die Anforderungen der ISO 27001 Norm nicht erledigt. Sie haben im wahrsten Sinn des Wortes ihr ISO 27001 Zertifikat billig gekauft. Sollte mal doch ein Sicherheitsvorfall sich ereignen, können Geschäftsführer und Gesellschafter ein böses Erwachen erleben. Da greift das ISO 27001 Zertifikat nicht als Nachweis, dass man sich verantwortungsvoll um eine zeitgemäße Informationssicherheit bemüht hat. Das Haftungsrisiko lastet auf den Eigentümern und Betriebsleitern, denn Sie haben eine ISO 27001 Zertifizierung vorgetäuscht. Großkunden können sogar einen Schadensersatz gerichtlich geltend machen und erfolgreich durchsetzen. Hinzukommen die staatlichen Sanktionen und die strafrechtlichen Konsequenzen für die Hauptpersonen im Unternehmen. Die Anbieter solcher gefälschter ISO Zertifikate tragen keinen Haftungsrisiko, da sie in ihren AGBs sich von Schuld freisprechen.

Wer sich von akkreditierten Zertifizierern auditieren und zertifizieren lässt, sollte keine Angst von einem Haftungsrisiko haben. Das Schreckgespenst „Unlauterer Wettbewerb“ wird Sie nicht im Schlaf wecken.

Das interne Audit ist ein wichtiger Teil der Management System Dokumentation

Wie wählt man eine seriösen Zertifizierer aus?

Es gibt sehr viele Anbieter in Europa und Nordamerika denen man beim Zertifizierungsaudit vertrauen kann. Das liegt daran, dass die meisten Zertifizierungsstellen nur über wenige eigene angestellte Auditoren verfügen. Diese arbeiten zusammen mit vielen freiberuflichen Auditoren. So kann eine spanische Auditorin in Madrid ein Unternehmen in Kalifornien auditieren, denn es ist egal ob ihr Auftraggeber eine Zertifizierungsstelle in USA (z.B. Cetecom Inc in California) oder in Deutschland (z.B. TÜV Nord). Genauso arbeiten österreichische Auditoren mit Sitz in Wien für deutsche TÜV Gesellschaften, um deutsche Unternehmen in Deutschland zu auditieren.

Somit müssen wir erkennen, dass nur der Geschäftssitz eines Zertifizierers uns kein automatischer Filterkriterium darstellt, um unsere Kandidatenliste zu verkleinern. 

Zusammenfassung

Lasen Sie das Management Systems ihres Unternehmens von einer akkreditierten Zertifizierungsstelle auditieren. Kaufen Sie keine ISO 27001 Zertifikate ohne ein Audit – auch wenn es so unfassbar billig ist! Wir haben für Sie eine Liste mit Zertifizierungsstellen zusammen gestellt und helfen Ihnen gerne daraus die für Sie wirklich passende Zertifizierer herauszusuchen, so dass sie Angebote einholen können.