Warum der Zeitpunkt richtig war

Als BI- und Analytics-Beratung arbeiten wir täglich mit den Daten unserer Kunden. Wir implementieren Tableau-Umgebungen, bauen Datenpipelines mit Alteryx, beraten bei der Snowflake-Architektur. Das heißt: Wir sehen Umsatzzahlen, HR-Daten, operative Kennzahlen. Das Vertrauen unserer Kunden ist nicht nur irgendein Wert in unserem Leitbild – es ist buchstäblich unser Geschäftsmodell.

Gleichzeitig hat sich die Erwartungshaltung verändert. Informationssicherheit wird in Vergabeprozessen nicht mehr als Bonus behandelt, sondern als Voraussetzung. Finanzdienstleister, öffentliche Auftraggeber, größere Mittelständler – sie alle wollen eine belastbare Antwort auf die Frage: Wie geht ihr mit unseren Daten um? Eine ISO-27001-Zertifizierung liefert genau diese Antwort – unabhängig geprüft, nach internationalem Standard.

Der Weg zur ISO 27001 Zertifizierung

Anfang 2025 haben wir ernsthaft angefangen. Kein vorkonfiguriertes Paket von externen Beratern, sondern ein internes Projekt, das ich als Head of IT & Information Security geleitet habe – zusammen mit einem kleinen Kernteam aus Operations, People und Datenschutz.

Der erste Schritt war eine ehrliche Bestandsaufnahme: Was haben wir bereits? Was fehlt? Und vor allem – was ist für ein Unternehmen unserer Größe verhältnismäßig? Wir sind rund 80 Mitarbeitende, vollständig remote-first mit einem Büro in Hamburg. ISO 27001:2022 schreibt keine konkreten technischen Maßnahmen vor. Die Norm verlangt ein systematisches Management von Informationssicherheitsrisiken – und wie das konkret aussieht, hängt stark vom eigenen Unternehmensprofil ab.

Wir haben uns bewusst gegen eine überdimensionierte Enterprise-Lösung entschieden. Stattdessen: ein schlankes, operativ realistisches System. 22 Richtlinien, ein Risikoregister, ein Lieferantenverzeichnis, ein internes Audit-Programm, ein Governance-Gremium. Klingt nach viel Papier – ist im Alltag aber überraschend praktikabel. Als GRC-Plattform hat uns Secfix dabei unterstützt, die ISO-Anforderungen strukturiert umzusetzen und den Überblick zu behalten.

Was ein ISMS im Alltag wirklich bedeutet

Ein ISMS ist kein Ordner voller PDFs, der einmal erstellt und dann vergessen wird. Es muss im Arbeitsalltag funktionieren. Ein paar Bereiche, die bei uns zentral waren:

Zugriffssteuerung und Identitätsmanagement. Wer darf auf welche Systeme zugreifen – und unter welchen Bedingungen? Wir haben klare Richtlinien eingeführt, die sicherstellen, dass nur verwaltete, bekannte Geräte Zugang zu Unternehmensdaten erhalten. Das klingt selbstverständlich, war aber in der Praxis ein spürbarer Reifesprung.

Lieferantenmanagement. Ehrlich gesagt der Bereich, den wir am meisten unterschätzt haben. Wir nutzen viele SaaS-Tools – von der HR-Software über das Buchhaltungssystem bis zur Projektmanagement-Plattform. Für jeden Anbieter mussten wir sauber dokumentieren: Welche Daten werden verarbeitet? Wo liegen die Server? Gibt es einen Auftragsverarbeitungsvertrag? Das war aufwändig. Aber es hat uns gezwungen, unser eigenes Tool-Inventar kritisch zu hinterfragen – und das war überfällig.

Vorfallsmanagement und Business Continuity. Was passiert, wenn ein System ausfällt? Wer wird informiert, in welcher Reihenfolge? Was sind die kritischsten Prozesse, die zuerst wieder laufen müssen? Diese Fragen klingen abstrakt – bis sie es plötzlich nicht mehr sind.

Das Audit: Zwei Stufen, ein Ergebnis

Im Januar 2026 folgte das Stage-I-Audit durch Proks Certification GmbH – eine Dokumentenprüfung, bei der unsere Richtlinien, Prozesse und der ISMS-Scope gegen die Norm bewertet wurden. Das lief gut und hat uns das Vertrauen gegeben, direkt in die nächste Phase zu gehen.

Das Stage-II-Audit im Februar 2026 war dann das eigentliche Herzstück: ein mehrtägiges Assessment, bei dem nicht nur Dokumente geprüft werden, sondern die tatsächliche Umsetzung. Interviews mit Mitarbeitenden aus verschiedenen Teams, Stichproben in unseren Systemen, Nachweise für konkrete Kontrollmaßnahmen. Das Ergebnis: Zertifizierung nach ISO 27001:2022.

Haben wir ein perfektes Audit hingelegt? Nein. Wir haben Minor Non-Conformities mitgenommen – kleinere Abweichungen, die wir in einem definierten Zeitfenster beheben. Das ist normal und zeigt, dass das Audit ehrlich und gründlich war. Ein Audit komplett ohne Beanstandung wäre eher verdächtig.

Was mich überrascht hat

Aufwand. Er war größer als geplant. Nicht weil die Norm übermäßig komplex wäre, sondern weil ein ISMS-Aufbau unweigerlich Fragen aufwirft, die man lieber noch nicht beantwortet hätte. Wie lange behalten wir Projektdaten? Wer hat eigentlich noch Zugriff auf welches System? Diese Fragen sind unangenehm, aber sie zu stellen ist genau der Punkt.

Die Akzeptanz im Team. Deutlich höher als befürchtet. Kolleginnen und Kollegen haben die Maßnahmen mehrheitlich nachvollziehbar gefunden, sobald klar war, warum sie eingeführt werden. „Security Theater“ – Maßnahmen, die aufwändig wirken, aber nichts bringen – haben wir bewusst vermieden. Jede Richtlinie musste einen erkennbaren Zweck haben.

Der Wert des Governance Councils. Ein kleines Gremium aus Operations, People, Datenschutz und IT, das regelmäßig zusammenkommt, um ISMS-relevante Entscheidungen zu treffen. Das hat verhindert, dass Informationssicherheit zur Ein-Person-Show wird und hat die Qualität der Entscheidungen spürbar verbessert.

Was unsere ISO 27001 Zertifizierung für Sie bedeutet

Unsere Zertifizierung ist kein Feigenblatt. Konkret heißt das: Es gibt dokumentierte, auditierte Prozesse dafür, wie wir mit Ihren Daten umgehen – von der Zugriffsvergabe bis zur sicheren Löschung am Projektende. Wenn etwas Unvorhergesehenes passiert, greifen definierte Abläufe – und Sie sind in diesem Prozess berücksichtigt. Die Tools und Services, die wir einsetzen, sind auf Sicherheitsniveau, Datenstandort und vertragliche Anforderungen bewertet. Und wir unterziehen uns jährlichen Überwachungsaudits – die Zertifizierung muss kontinuierlich aufrechterhalten werden.

Für Ausschreibungen, Lieferantenbewertungen oder Ihre eigenen Compliance-Anforderungen stellen wir das Zertifikat jederzeit gerne zur Verfügung.

KONTAKT AUFNEHMEN