Brauche ich unbedingt eine ISO 27001 Zertifizierung?

Kreativ denken schafft Innovation aber nicht ohne Sicherheit

Die am häufigsten genannten Gründe für eine ISO 27001 Zertifizierung sind ganz offensichtlich: Schutz von wertvollen Daten und Verbesserung der Vertrauenswürdigkeit eines Unternehmens. Dennoch stehen die Kosten eines ISO27001 Projekts manchmal nicht im gesunden Verhältnis zu den erzielbaren Gewinnen. So fragt sich jeder Geschäftsführer zurecht: brauche ich eine ISO 27001 Zertifizierung?

Vorteile einer Zertifizierung nach ISO 27001

Organisationen profitieren von einer ISO 27001 Zertifizierung: 

  • Reduzierung von Haftungs- und Geschäftsrisiken 
  • Versicherungsprämien sinken durch weniger Schadensfälle
  • Wettbewerbsfähigkeit steigt durch verbesserten Kundenvertrauen
  • Mehr Vertrauen führt zu profitableren Aufträgen
  • Attraktivität als Arbeitgeber steigt
  • Zulassung zu mehr Behördenaufträgen

Risikominderung senkt Betriebskosten

Durch ein besseres Risiko Management im Bereich Informationssicherheit, entstehen weniger Störfaktoren im betrieblichen Alltag. Viren, Trojaner, Ransomware und Hacker können weniger oft Arbeitsrechner und Server lahmlegen. Gehen Daten durch Cyberattacken verloren, müssen oft Buchhaltungsvorgänge mehrerer Monate erneut erfasst und bearbeitet werden. Die verlorene Arbeitszeit durch Arbeitsausfälle kosten Unternehmen sehr viel Kapital. Zudem sinkt das Vertrauen der Kunden in den Lieferanten bzw. Dienstleister.

Mangelnde Informationssicherheit führt zu Erpressung, Lösegeld und Geldstrafen

Hat der Unternehmer, Geschäftsführer oder die verantwortliche Führungsperson seine Pflichten vernachlässigt, so kann der Gesetzgeber sowohl dem Unternehmen als auch den verantwortlichen Personen eine empfindliche Geldstrafe auferlegen. Besonders problematisch wird es, wenn das Unternehmen den Hackern bzw. Cyberkriminellen ein Lösegeld zahlen. Dadurch kann man sich auch strafbar machen, sollte die Justiz es als eine Unterstützung von kriminellen Vereinigungen nach §129 Abs. 1 S.2 StGB werten. Das Strafgesetzbuch hat in § 129 StGB klar und dennoch problematisch definiert, wie man sich hier strafbar machen könnte (Hier verkürzt wiedergegeben): Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer eine Vereinigung unterstützt, deren Zweck oder Tätigkeit auf die Begehung von Straftaten gerichtet ist. Wer seine Informationssicherheit ordentlich aufbaut und zertifizieren lässt, verringert die Gefahr von Datenpannen, die zu Geldstrafen führen könnten.

Mangelnde Informationssicherheit führt zu Datenpannen und Umweltschäden

Die Attraktivität als Lieferant und Arbeitgeber steigt

Studien haben gezeigt, dass Unternehmen mit zertifizierten Management Systemen deutlich mehr Wachstumspotential aufweisen. Das liegt zum einen, dass Geschäftskunden beim Aufbau einer neuen Geschäftsbeziehung auf langfristige Indikatoren achten. ISO 27001 Zertifikate stärken die Vorteile einer Geschäftsbeziehung mit den potentiellen Lieferanten. Hinweise auf eine Zertifizierung können auf der Firmenhomepage, in Marketingunterlagen als auch in den sozialen Medien präsentiert werden. Gerade für kleinere Unternehmen mit Wachstumspotential ist eine Zertifizierung ein Zeugnis für Professionalität und die Verpflichtung zur Qualität.

Hochqualifizierte Bewerber betrachten sich potentielle Arbeitgeber sehr genau. Sie kennen ihren Marktwert und den potentiellen Schaden für ihre Karriere, sollten sie sich auf einen unzuverlässigen Arbeitsumfeld einlassen. Eine Unternehmenswebsite mit einem ISO 9001 und ISO 27001 Zertifikat verbessern die Chancen des Arbeitgebers auf einen erfolgreiches Recruiting einer neuen Fachkraft.

Welche Vorteile bieten ISO Zertifizierungen für den produzierenden Mittelstand?

Eine ISO Zertifizierung hat für mittelständische Unternehmen besondere Vorteile, die wir hier kurz erwähnen wollen. Jeden einzelnen Vorteil werden wir zusätzlich in weiteren Artikel aus der Perspektive einzelner Branchen näher betrachten.
  • Kostenreduktion in Produktion oder auch Dienstleistungsbereichen
  • Verbesserte Qualität der eigenen Waren oder Leistungen
  • Bessere Übereinstimmung zwischen den anvisierten und den erreichten Zielen
  • Verringerter Ausschuss und damit einhergehende Kosten
  • höhere Kundenzufriedenheit und weniger Aufwand für Haftung, Wartung und Kundendienst
  • mehr Absatz durch bessere Qualitätsversprechen
  • mehr Konkurrenzfähigkeit
  • Erschließung neuer Kunden und Partner
  • Erschließung neuer Märkte und Kundenzielgruppen
  • stärkere Identifizierung der Angestellten mit den eigenen Produkten und Förderung von Eigeninitiative für Verbesserungen
  • Vorteile in Haftungsfragen (z.B. gegenüber Versicherungen)

Was sind die Nachteile einer Zertifizierung?

Folgende Nachteile kann eine ISO Zertifizierung mit sich bringen:
  • Hohe Beratungskosten sowie Initialkosten
  • Hohe Zertifizierungskosten
  • Hohe Aufwände zur Pflege von Dokumentation und Prozessen
  • Demotivierende Aspekte („Qualitätsdiktatur“, „Qualitätsbürokratie“)
  • Qualitätsmanagement und Zertifizierung als „Selbstläufer“
Wie in vielen Dingen des Lebens, gibt es kein Schwarz oder Weiß. Viele Situationen führen bei ISO Zertifizierungen zu hohen Kosten, Wettbewerbsnachteilen und hoher Personalfluktuation. Wer einseitig handelt, wird auch solche unvorteilhafte Situationen hervorrufen. Man muss zuerst verstehen, wie solche Nachteile entstehen können. Erst dann kann man rechtzeitig gegensteuern. Klassische überbordende Bürokratie und Überregulierung führen in Unternehmen zu Frustration in der Belegschaft. Das löst einen Trend zum Jobwechsel aus.Häufig haben aber auch übereifrige Berater eine Mitschuld an der Kündigungswelle. Berater können in einen  Interessenskonflikt geraten: Durch das Aufblähen und Verkomplizieren von ISO 27001 Projekten, steigt die Gewinnbeteiligung des Corporate Beraters. Das ist nicht im Interesse des Auftraggebers. Diese Situation treibt Fachkräfte zur Kündigung, da sie nicht länger beim Auftraggeber tätig sein wollen.
Startups und IT Admins brauchen Hilfe bei IT Sicherheitsthemen

Wer braucht eine ISO 27001 Zertifizierung?

KRITIS verpflichtet Organisationen verantwortlich für kritische Infrastrukturen seit dem 31. Januar 2018 das von ihnen betriebene ISMS nach DIN ISO/IEC 27001 zu zertifizieren. Diese kritischen Betreiber müssen nachzuweisen, dass die Anforderungen zur Aufrechterhaltung der Informationssicherheit erfüllt werden. Die Geschäftsführung ist verantwortlich für die Umsetzung und Aufrechterhaltung.

Folgende Sektoren zählen zu KRITIS:

  • Informationstechnik und Telekommunikation
  • Medien und Kultur
  • Finanz- und Versicherungswesen
  • Energie
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Rüstung und Sicherheit
  • Siedlungsabfallentsorgung (nach BSIG)
  • Staat und Verwaltung

Warum ist eine Zertifizierung wichtig?

Mit der Zertifizierung einer unabhängigen Stelle gewinnen die zertifizierten Unternehmen signifikante Wettbewerbsvorteile gegenüber der Konkurrenz. Eine Zertifizierung setzt Qualität voraus. Mit einer gültigen Zertifizierung bestätigen die Organisation die Qualität der Informationssicherheit nach außen.

Wie wichtig ist ein ISMS System nach ISO 27001 für Lieferanten großer Auftraggeber?

Großkunden führen häufig Lieferantenaudits durch. Wer im Unternehmen bereits nach ISO 9001 und ISO 27001 zertifizierte Management Systeme betreibt, hat bessere Chancen ein solches externes Audit erfolgreich zu überstehen. Größe Auftraggeber erwarten von ihren Lieferanten einen Nachweis, dass sie angemessene Maßnahmen zum Schutz von Informationen und personenbezogenen Daten implementiert haben. Konzerne fordern bereits eine ISO 27001 Zertifizierung als Mindesterfordernis von ihren systemrelevanten Lieferanten.

Üblicherweise hat das keinen unmittelbaren Einfluss auf laufende Verträge. Dennoch führen immer mehr Großkunden Vorgespräche mit ihren bestehenden Lieferanten über das Thema ISO 27001 Zertifizierung.  In naher Zukunft wird ein ISO 27001 Zertifikat ebenfalls für Lieferanten verpflichtend sein. Das ISO 9001 Zertifizierung ist bereits Grundvoraussetzung für Sondierungsgespräche über neue Geschäftsbeziehungen. Da ein ISO 27001 Projekt mehrere Monate erfordert, sollten Unternehmen sich frühzeitig mit einer ISMS Umsetzung beginnen. Die ISO 27001 Dokumentation erfordert Fachwissen, Zeit und Energie.

Der gehobene Mittelstand und Konzerne haben signifikante Vorteile erkannt, wenn sie sich nur auf zertifizierte Unternehmen einlassen. Hier sind die Vorteile in der Forderung einer 27001 Zertifizierung Ihrer Lieferanten:

  • Anwendung der Zertifizierung als Garantie im Sinne der DSGVO Artikel 28 (siehe Auftragsverarbeiter)
  • Erhöhung der Vertrauenswürdigkeit des Lieferanten bei der Verarbeitung von sensiblen Informationen eines Auftraggebers
  • Reduzierung des Aufwandes im Vendor Management: Es müssen keine individuellen Sicherheitsvorgaben mit dem Lieferanten mehr verhandelt werden 
  • Reduzierung der Aufwände bei Lieferantenaudits bezüglich  Informationssicherheit
  • Höheres Rating hilft bei der Lieferantenauswahl für zertifizierte Unternehmen

Was spricht gegen eine Zertifizierung?

Wenn Unternehmen eigene Regeln missachten, führt es zu Stagnation und Umsatzverlusten. Wer widersprüchliche Regeln beim Aufbau eines Qualitätsmanagementsystems oder Informationssicherheitsmanagementsystems einführt, generiert ein vorprogrammiertes Konfliktpotential. Die ISO 9001 und ISO 27001 erwarten, dass die Anforderungen der Norm wie auch die eigenen Standards befolgt werden.