Home/ Wissensdatenbank/ ISO 27001/ Wie läuft eine ISO-27001-Zertifizierung ab?
ISO 27001

Wie läuft eine ISO-27001-Zertifizierung ab?

Eine ISO-27001-Zertifizierung ist das externe Gütesiegel für ein funktionierendes ISMS. Der Weg dorthin ist strukturiert, aber anspruchsvoll. Wer die Phasen kennt, kann sich gezielt vorbereiten und vermeidet häufige Fehler, die zu Verzögerungen oder Nichtkonformitäten führen.

⏱ Lesedauer: ca. 10 Min. 📅 Aktualisiert: Juni 2026 ✍️ APASEC Consulting

Voraussetzungen für die ISO-27001-Zertifizierung

Bevor die Zertifizierung beginnt, müssen bestimmte Voraussetzungen erfüllt sein:

  • Vollständig dokumentiertes ISMS nach ISO 27001:2022
  • Risikobewertung und Risikobehandlungsplan (RTP) vorhanden
  • Statement of Applicability (SoA) erstellt und genehmigt
  • Mindestens ein Durchlauf interner Audits abgeschlossen
  • Management-Review dokumentiert
  • Alle Pflichtdokumente nach Annex A vorhanden

Häufiger Fehler: Unternehmen beginnen die Zertifizierung, bevor das ISMS tatsächlich operativ läuft. Auditoren prüfen im Stage-2-Audit Nachweise aus dem Betrieb — Dokumente allein reichen nicht.

Stage-1-Audit: Dokumentenprüfung

Das Stage-1-Audit ist eine Prüfung der Dokumentation und des Reifegrads. Der Auditor prüft:

  • Vollständigkeit und Qualität der ISMS-Dokumentation
  • Scope-Definition und Kontextanalyse
  • Statement of Applicability (SoA)
  • Risikobewertungsmethodik
  • Ob das Unternehmen bereit für das Stage-2-Audit ist

Das Stage-1-Audit findet meist vor Ort oder remote statt und dauert 1–2 Audittage. Am Ende erhalten Sie einen Befundbericht mit offenen Punkten, die vor Stage 2 zu adressieren sind.

Stage-2-Audit: Implementierungsprüfung

Das Stage-2-Audit ist die eigentliche Hauptprüfung. Der Auditor prüft, ob die im SoA definierten Controls tatsächlich implementiert sind und wirken. Methoden:

  • Interviews mit Mitarbeitern (ISB, IT, Management, Fachabteilungen)
  • Sichtung von Betriebsnachweisen (Logs, Protokolle, Schulungsnachweise)
  • Technische Überprüfung ausgewählter Controls
  • Begehungen (physische Sicherheit, Serverräume)

Stage-2-Audits dauern je nach Scope 2–5 Audittage. Am Ende erteilt der Auditor Nicht-Konformitäten (Major/Minor) oder empfiehlt die Zertifizierung.

Zeitplan: Von der Vorbereitung zur Urkunde

PhaseDauerInhalt
ISMS-Einführung6–18 MonateAufbau des ISMS, Dokumentation, Controls
Voraudit (optional)1–2 TageFreiwillige Prüfung vor der Zertifizierung
Stage-1-Audit1–2 TageDokumentenprüfung durch Zertifizierungsstelle
Korrekturphase4–8 WochenAdressierung offener Punkte aus Stage 1
Stage-2-Audit2–5 TageImplementierungsprüfung
Zertifikatserteilung4–6 WochenNach Freigabe durch Zertifizierungsstelle

Nach der Zertifizierung: Überwachungsaudits

Ein ISO-27001-Zertifikat gilt 3 Jahre. In dieser Zeit finden jährliche Überwachungsaudits (Surveillance Audits) statt, die prüfen, ob das ISMS weiterhin wirksam betrieben wird. Nach 3 Jahren ist ein Rezertifizierungsaudit erforderlich, das ähnlich wie Stage 2 abläuft.

Typische Nichtkonformitäten und wie man sie vermeidet

Die häufigsten Nichtkonformitäten in ISO-27001-Audits:

  • Unvollständiges oder veraltetes SoA
  • Fehlende Nachweise für interne Audits
  • Management-Review nicht dokumentiert
  • Risikoregister nicht aktuell gepflegt
  • Controls im SoA als anwendbar markiert, aber nicht implementiert
  • Fehlende Schulungsnachweise

Fazit: Strukturierte Vorbereitung ist der Schlüssel

Eine ISO-27001-Zertifizierung ist kein Sprint, sondern ein Marathon. Unternehmen, die ihr ISMS konsequent aufbauen, es tatsächlich leben und sich mit einem erfahrenen Berater vorbereiten, erreichen die Zertifizierung ohne überraschende Nichtkonformitäten. Das Zertifikat selbst ist dann nur die formale Bestätigung einer bereits gelebten Sicherheitskultur.

Checkliste: Wie läuft eine ISO-27001-Zertifizierung ab?

  • Statement of Applicability (SoA) vollständig erstellen
  • Alle Pflichtdokumente nach ISO 27001:2022 prüfen
  • Internes Voraudit mindestens 3 Monate vor Zertifizierung durchführen
  • Management-Review vor Stage-1-Audit abhalten
  • Zertifizierungsstelle 6 Monate im Voraus auswählen und beauftragen
  • Auditprogramm für Überwachungsaudits planen
  • Mitarbeiter auf Auditor-Interviews vorbereiten
  • Alle Control-Nachweise vollständig und aktuell halten
  • Korrekturmaßnahmen aus Stage 1 vollständig adressieren
  • Rezertifizierungsaudit 6 Monate im Voraus einplanen

Häufig gestellte Fragen

Stage 1 prüft die Dokumentation und den Reifegrad des ISMS — ob die Grundlagen vorhanden sind. Stage 2 prüft die tatsächliche Implementierung und Wirksamkeit der Controls durch Interviews, Nachweise und Begehungen.

In Deutschland sind u.a. TÜV SÜD, TÜV Rheinland, DQS, DEKRA, Bureau Veritas und BSI akkreditiert. Entscheidend ist die DAkkS-Akkreditierung (Deutsche Akkreditierungsstelle).

Eine Major Non-Conformity ist eine schwerwiegende Nichtkonformität, die die Wirksamkeit des ISMS grundlegend in Frage stellt. Sie verhindert die Zertifizierung und muss vor Zertifikatserteilung vollständig behoben werden.

Stage-1-Audits sind vollständig remote möglich. Stage-2-Audits können teilweise remote durchgeführt werden, erfordern aber in der Regel mindestens eine Vor-Ort-Prüfung physischer Controls (Serverräume, Gebäudezugang).

Die Gesamtkosten für Stage-1 und Stage-2-Audit liegen bei 10.000–35.000 € netto, abhängig von Scope-Größe und Zertifizierungsstelle. Jährliche Überwachungsaudits kosten zusätzlich 3.000–12.000 €.

Verwandte Themen

ISO 27001Was ist ISO 27001?ISO 27001ISO 27001 AnforderungenISO 27001Was ist ein ISMS?ISO 27001ISMS-KostenISO 27001Internes Audit ISMS

Verwandte Begriffe

ISO 27001 ZertifizierungISO 27001 AuditISMS Zertifizierung AblaufStage 1 Stage 2 AuditISO 27001 akkreditiertZertifizierungsstelle ISO 27001ISO 27001 NichtkonformitätISMS ZertifikatISO 27001 Kosten ZertifizierungÜberwachungsaudit ISO 27001