Wer eine ISO-27001-Zertifizierung ins Auge fasst, stößt schnell auf dieselbe Frage: Was kostet das eigentlich — und wie lange dauert es? Pauschalantworten sind dabei wenig hilfreich, denn die Spanne ist enorm. Ein Kleinbetrieb mit 25 Mitarbeitenden hat einen völlig anderen Aufwand als ein Mittelständler mit 300 Beschäftigten an mehreren Standorten. Genau deshalb lohnt sich ein strukturierter Blick auf die einzelnen Kostenblöcke, statt auf eine vermeintliche Pauschalsumme zu vertrauen.
Dieser Leitfaden zeigt, aus welchen Bestandteilen sich die ISO-27001-Zertifizierungskosten zusammensetzen, welche Beträge für den Mittelstand realistisch sind, wie der zeitliche Ablauf vom Projektstart bis zum Zertifikat aussieht und an welchen Stellen Sie sinnvoll sparen können — und an welchen besser nicht. Bezugsrahmen ist durchgehend die aktuelle Normfassung ISO/IEC 27001:2022 mit ihren 93 Controls in vier Kategorien.
ISO 27001:2022 kurz eingeordnet
ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS) und die einzige der 27000er-Familie, gegen die man sich zertifizieren lassen kann. Die 2022er-Revision hat den Maßnahmenkatalog im Anhang A modernisiert: Aus den vormals 114 Controls wurden 93 Controls in vier Kategorien — 37 organisatorische, 8 personenbezogene, 14 physische und 34 technologische Maßnahmen. Elf Controls sind neu hinzugekommen, darunter Threat Intelligence, Cloud-Sicherheit und Data Leakage Prevention.
Für die Kostenbetrachtung ist wichtig zu verstehen: Das Zertifikat selbst ist nur ein Bruchteil der Gesamtkosten. Den Löwenanteil verursachen der Aufbau des ISMS und die internen Aufwände. Die reine Zertifizierung durch die Zertifizierungsstelle ist vergleichsweise überschaubar.
Die Kostenblöcke im Detail
Die Gesamtkosten einer ISO-27001-Zertifizierung lassen sich in vier Blöcke aufteilen. Wer alle vier realistisch kalkuliert, vermeidet böse Überraschungen.
1. Externe Beratung (ISMS-Aufbau)
Die meisten mittelständischen Unternehmen verfügen nicht über das interne Know-how, um ein normkonformes ISMS aus dem Stand aufzubauen. Externe Beratung deckt typischerweise Gap-Analyse, Risikomanagement-Methodik, Erstellung der Pflichtdokumente, Begleitung der Control-Umsetzung und die Audit-Vorbereitung ab.
Realistische Größenordnung: Je nach Reifegrad und Unterstützungstiefe bewegen sich die Beratungskosten für ein KMU zwischen 15.000 und 50.000 EUR. Bei sehr kleinen Unternehmen mit gutem Vorwissen und schlankem Scope kann es darunter liegen, bei komplexen Mehr-Standort-Organisationen auch darüber. Der Aufwand richtet sich vor allem danach, wie viel das Unternehmen selbst leistet und wie weit der Ausgangszustand vom Soll entfernt ist.
2. Interne Aufwände
Der am häufigsten unterschätzte Block. Ein ISMS baut sich nicht von allein — die Organisation muss erheblichen eigenen Aufwand einbringen: ein Informationssicherheitsbeauftragter (ISB) oder ein Projektteam, die Mitwirkung der Fachabteilungen bei Risikobewertung und Maßnahmenumsetzung, Schulungen, interne Audits und Management-Reviews.
Rechnen Sie konservativ mit einem internen Personalaufwand, der den Beratungskosten mindestens entspricht — oft sogar darüber liegt. Ein ISB bindet im Projektjahr je nach Unternehmensgröße einen erheblichen Teil seiner Arbeitszeit. Wer diesen Posten ignoriert, plant das Projekt von Anfang an unrealistisch.
3. Zertifizierungsstelle und Audit-Tage
Die eigentliche Zertifizierung führt eine akkreditierte Zertifizierungsstelle durch. Deren Kosten bemessen sich primär nach der Zahl der Audit-Tage, die wiederum stark von der Mitarbeiterzahl abhängen. Ein Audit-Tag wird je nach Stelle mit rund 1.200 bis 1.800 EUR angesetzt.
Die Zahl der Audit-Tage über den gesamten Drei-Jahres-Zyklus (Stufe 1, Stufe 2 und zwei Überwachungsaudits) richtet sich grob nach der Unternehmensgröße:
- bis ca. 25 Mitarbeitende: in Summe etwa 5–7 Audit-Tage
- ca. 50–100 Mitarbeitende: in Summe etwa 8–11 Audit-Tage
- ca. 200–300 Mitarbeitende: in Summe etwa 12–16 Audit-Tage
Daraus ergeben sich für ein typisches KMU Zertifizierungskosten von grob 8.000 bis 20.000 EUR über drei Jahre — verteilt auf Erstzertifizierung und die beiden Überwachungsaudits. Mehrere Standorte, ein breiter Scope oder ein komplexes IT-Umfeld erhöhen die Audit-Tage und damit die Kosten.
4. Technische und organisatorische Maßnahmen
Schließlich verursacht die Umsetzung der Controls selbst Kosten — sehr unterschiedlich, je nach Ausgangslage. Das kann von kleineren Investitionen (z.B. eine MFA-Lösung, ein Berechtigungskonzept) bis zu größeren Projekten reichen (z.B. ein SIEM, Netzsegmentierung, ein professionelles Backup-Konzept). Häufig sind viele Controls bereits teilweise umgesetzt, sodass nur Lücken zu schließen sind. Dieser Block lässt sich erst nach der Gap-Analyse seriös beziffern.
Praxis-Tipp
Die größten Kostentreiber sind selten das Zertifikat, sondern der interne Aufwand und ungeklärte Scope-Grenzen. Eine saubere Gap-Analyse zu Projektbeginn ist die beste Investition, um die Gesamtkosten realistisch zu planen und Überraschungen zu vermeiden.
Was kostet die ISO 27001 Zertifizierung unterm Strich?
Fasst man die Blöcke zusammen, ergibt sich für ein mittelständisches Unternehmen über den ersten Zertifizierungszyklus eine realistische Gesamtgröße. Für einen typischen Betrieb mit 50 bis 150 Mitarbeitenden und durchschnittlichem Ausgangsreifegrad liegen die Gesamtkosten der ISO-27001-Zertifizierung — externe Beratung, interne Aufwände, Zertifizierungsstelle und Maßnahmenumsetzung zusammengenommen — häufig im mittleren fünfstelligen Bereich für das erste Jahr, plus laufende Kosten für die Folgejahre.
Wichtig ist die Unterscheidung zwischen einmaligen Aufbaukosten (Beratung, Erstzertifizierung, initiale Maßnahmen) und laufenden Kosten (Überwachungsaudits, ISB-Zeit, Pflege des ISMS, Folge-Investitionen). Wer nur die Erstzertifizierung budgetiert und die laufende Pflege vergisst, gerät spätestens beim ersten Überwachungsaudit unter Druck.
Dauer: 6 bis 12 Monate bis zur Zertifizierungsreife
Die realistische Spanne von der Entscheidung bis zum Zertifikat beträgt sechs bis zwölf Monate. Sehr kleine, gut vorbereitete Organisationen schaffen es schneller; größere oder weniger reife Unternehmen brauchen länger. Drei Faktoren bestimmen das Tempo:
- Ausgangsreifegrad: Wer schon viele Maßnahmen umgesetzt hat (z.B. aus einem laufenden Microsoft-365-Betrieb oder einem ISO-9001-System), ist schneller.
- Ressourcen: Steht ein ISB mit ausreichend Zeit zur Verfügung, oder läuft das Projekt nebenher?
- Nachweiszeitraum: Auditoren erwarten, dass das ISMS vor dem Audit nachweislich „gelebt" wurde. Aufzeichnungen über mehrere Monate (interne Audits, Management-Review, Risikobehandlung) sind Pflicht. Das setzt eine natürliche Untergrenze — ein ISMS in vier Wochen ist nicht auditfähig.
Merksatz
Nicht die Geschwindigkeit entscheidet über den Erfolg, sondern der Nachweis, dass das ISMS tatsächlich funktioniert. Ein durchdachtes ISMS in neun Monaten schlägt ein hektisch zusammengeschriebenes in drei.
Der Ablauf: Stufe-1- und Stufe-2-Audit
Die eigentliche Zertifizierung läuft in zwei Stufen ab und wird von einer akkreditierten Zertifizierungsstelle durchgeführt.
Stufe-1-Audit (Dokumentenprüfung)
Im Stufe-1-Audit prüfen die Auditoren die Dokumentation und die grundsätzliche Reife des ISMS: Sind die Pflichtdokumente vorhanden? Ist der Scope sinnvoll abgegrenzt? Existiert ein Statement of Applicability? Ziel ist festzustellen, ob das Unternehmen reif für das Stufe-2-Audit ist. Häufig ergeben sich hier erste Hinweise auf Lücken, die vor Stufe 2 zu schließen sind.
Stufe-2-Audit (Wirksamkeitsprüfung)
Im Stufe-2-Audit prüfen die Auditoren vor Ort, ob das ISMS in der Praxis tatsächlich wirksam umgesetzt ist. Sie führen Interviews, sichten Aufzeichnungen und stichprobenartig die Umsetzung der Controls. Festgestellte Abweichungen werden als Nonconformities klassifiziert — kleinere (minor) lassen sich meist mit einem Korrekturmaßnahmenplan ausräumen, größere (major) müssen vor der Zertifikatserteilung behoben werden. Bei erfolgreichem Abschluss wird das Zertifikat ausgestellt.
Der 3-Jahres-Zyklus mit Überwachungsaudits
Ein ISO-27001-Zertifikat ist drei Jahre gültig — aber nicht ohne weitere Prüfungen. Der Zyklus sieht so aus:
- Jahr 0: Stufe-1- und Stufe-2-Audit, Ausstellung des Zertifikats.
- Jahr 1: erstes Überwachungsaudit (Surveillance Audit) — kürzer als die Erstzertifizierung, prüft die kontinuierliche Wirksamkeit.
- Jahr 2: zweites Überwachungsaudit.
- Jahr 3: Rezertifizierungsaudit — umfassender, faktisch eine Neubewertung des gesamten ISMS, und Start des nächsten Drei-Jahres-Zyklus.
Diese Struktur macht deutlich: ISO 27001 ist kein einmaliges Projekt mit Enddatum, sondern ein Dauerlauf. Die Kosten und Aufwände der Folgejahre gehören von Anfang an in die Planung.
Kostentreiber und Spartipps
Ob ein Projekt am unteren oder oberen Ende der Kostenspanne landet, entscheiden einige wenige Faktoren. Wer sie kennt, kann gezielt gegensteuern.
Die größten Kostentreiber:
- Zu breiter Scope: Je mehr Standorte, Prozesse und Systeme im Geltungsbereich liegen, desto mehr Audit-Tage und Umsetzungsaufwand.
- Niedriger Ausgangsreifegrad: Wer bei null startet, muss mehr Controls aufbauen und mehr Dokumentation erstellen.
- Fehlende interne Ressourcen: Ohne dedizierten ISB verzögert sich das Projekt — und Verzögerung kostet.
- Nachbesserungen im Audit: Nicht behobene major Nonconformities führen zu Nachaudits mit zusätzlichen Audit-Tagen.
Wo Sie sinnvoll sparen:
- Scope klug schneiden: Beginnen Sie mit einem fokussierten Geltungsbereich und erweitern Sie später. Ein schlanker, glaubwürdiger Scope ist günstiger und auditierbarer als ein überdehnter.
- Vorhandenes nutzen: Integrieren Sie ein bestehendes ISO-9001-System, vorhandene Microsoft-365-Sicherheitsfunktionen oder bereits gelebte Prozesse, statt Parallelstrukturen aufzubauen.
- Dokumentation mit Augenmaß: Erstellen Sie nur die Dokumente, die Sie wirklich brauchen und pflegen können — keine aufgeblähte Bürokratie.
- Förderungen prüfen: Je nach Bundesland und Programm gibt es Beratungsförderungen, die einen Teil der externen Beratungskosten abdecken können.
Wo Sie nicht sparen sollten: an der Qualität der Risikobewertung, an der internen Schulung und an einer realistischen Zeitplanung. Wer hier kürzt, zahlt im Audit drauf.
Wie welabs Sie zur ISO-27001-Zertifizierung begleitet
Eine ISO-27001-Zertifizierung ist für den Mittelstand gut machbar — wenn Kosten und Aufwand von Anfang an realistisch geplant werden. welabs übersetzt Konzern-Erfahrung in pragmatische, budgetgerechte Projekte:
- Aufwandsschätzung & Gap-Analyse: Wir ermitteln Ihren Reifegrad und geben Ihnen eine belastbare Kosten- und Zeitschätzung, bevor Sie Budget binden.
- Scope-Beratung: Wir helfen, den Geltungsbereich so zu schneiden, dass er glaubwürdig, auditfähig und bezahlbar ist.
- ISMS-Aufbau: Von der Risikomethodik über das Statement of Applicability bis zur schlanken, auditfähigen Dokumentation begleiten wir den gesamten ISMS-Aufbau nach ISO 27001.
- Audit-Vorbereitung: Mit internem Audit und Pre-Audit sorgen wir dafür, dass Sie das Stufe-2-Audit ohne böse Überraschungen bestehen.
- Strategic Security Advisor (SSA): Auf Wunsch begleiten wir Sie als externe Sparringspartner dauerhaft durch den Drei-Jahres-Zyklus.
Mehr zu unserem Leistungsangebot finden Sie auf der Seite Compliance & ISMS. Für eine erste, unverbindliche Aufwandseinschätzung vereinbaren Sie ein Erstgespräch.
Fazit
Die Kosten einer ISO-27001-Zertifizierung lassen sich nicht in eine einzige Pauschalsumme pressen — aber sie sind planbar, wenn man die vier Blöcke (Beratung, interne Aufwände, Zertifizierungsstelle, Maßnahmen) sauber kalkuliert. Für den typischen Mittelständler liegt der Aufwand im ersten Zyklus im mittleren fünfstelligen Bereich, mit überschaubaren laufenden Kosten in den Folgejahren. Die Dauer beträgt realistisch sechs bis zwölf Monate bis zur Zertifizierungsreife.
Entscheidend für ein wirtschaftliches Projekt sind ein klug geschnittener Scope, eine ehrliche Gap-Analyse zu Beginn und ausreichende interne Ressourcen. Wer diese drei Hebel beherrscht, hält die Kosten im Rahmen — und erhält am Ende nicht nur ein Zertifikat an der Wand, sondern ein ISMS, das die Organisation tatsächlich sicherer macht.