ISO 27001 ist kein Papiertiger — aber viele Implementierungsprojekte scheitern daran, dass sie wie einer behandelt werden. Nach zahlreichen begleiteten Zertifizierungsprojekten sehen wir immer wieder dieselben Muster, die entweder zum Scheitern beim Audit führen oder — schlimmer — zu einem Zertifikat, das keine echte Sicherheit bringt. Hier sind die fünf häufigsten Fehler.
Fehler 1: Der Scope ist zu eng — oder zu weit
Die Definition des ISMS-Scopes ist eine der wichtigsten Entscheidungen im Projekt. Zu eng gewählt (z. B. nur eine Abteilung), verliert das Zertifikat bei Kunden und Auditoren an Glaubwürdigkeit. Zu weit gewählt, explodiert der Aufwand und das Projekt wird unbeherrschbar.
Folge: Entweder ein wertloses Zertifikat oder ein Projekt, das nach sechs Monaten einschläft.
Lösung: Den Scope risikobasiert definieren — ausgehend von den kritischen Geschäftsprozessen und den damit verbundenen Informationswerten. Die Scope-Erklärung muss Grenzen, Schnittstellen und Ausnahmen klar dokumentieren.
Fehler 2: Risikoassessment ohne nachvollziehbare Methodik
Klausel 6.1.2 ISO 27001 fordert einen definierten Prozess zur Risikoidentifikation und -bewertung. Viele Unternehmen erstellen eine Excel-Liste mit Risiken, ohne eine reproduzierbare Methodik zu dokumentieren. Das fällt beim Audit auf.
Folge: Der Auditor kann die Risikobewertung nicht nachvollziehen. Nichtkonformität (NC) ist vorprogrammiert.
Lösung: Eine einfache, aber dokumentierte Methodik festlegen: Wahrscheinlichkeit × Auswirkung, Risikoakzeptanzschwelle definieren, Verantwortliche benennen. Die Methodik muss vor dem Assessment schriftlich festgelegt sein.
Fehler 3: Richtlinien kopieren statt leben
Das Internet ist voll mit ISO-27001-Richtlinienvorlagen. Viele Unternehmen laden diese herunter, passen Firmennamen und Logo an — und nennen das Implementierung. Auditoren durchschauen das sofort: Wenn niemand im Unternehmen die Richtlinien kennt oder danach handelt, sind sie wertlos.
Folge: Beim Interview fragen Auditoren Mitarbeiter nach Sicherheitsrichtlinien. Wenn niemand eine konsistente Antwort geben kann, gibt es eine NC.
Lösung: Richtlinien gemeinsam mit den betroffenen Teams entwickeln. Sprache und Prozesse müssen zur Unternehmensrealität passen. Schulung und Awareness-Maßnahmen (Annex A 6.3) sind kein Add-on — sie sind Pflicht.
Fehler 4: Evidenzsammlung auf den letzten Drücker
ISO 27001 ist ein managementorientierter Standard — Klausel 7.5 fordert dokumentierte Informationen als Nachweis der Systemfunktion. Viele Unternehmen sammeln Evidenzen erst in den Wochen vor dem Audit zusammen. Ergebnis: lückenhafte Aufzeichnungen, fehlende Datumsangaben, nicht plausible Zeitstempel.
Folge: Auditoren bewerten nicht nur ob, sondern auch wann und wie konsistent Kontrollen angewendet wurden. Lücken über Monate lassen sich nicht nachträglich kitten.
Lösung: Von Beginn an eine strukturierte Evidenzablage aufsetzen — idealerweise in einer ISMS-Plattform. Regelmäßige Aufzeichnungen (Logs, Meeting-Protokolle, Schulungsnachweise) müssen Teil des operativen Alltags werden.
Fehler 5: Management-Commitment nur auf dem Papier
Klausel 5 ISO 27001 fordert demonstrierbares Engagement der Geschäftsführung. Das bedeutet nicht nur eine unterschriebene Informationssicherheitspolitik — es bedeutet aktive Beteiligung an Management-Reviews, Bereitstellung von Ressourcen und erkennbare Priorisierung von Sicherheitsthemen.
Folge: Ohne echtes Management-Commitment stockt die Umsetzung, Ressourcen fehlen, und das ISMS verkommt zur Compliance-Übung ohne Substanz.
Lösung: Die Geschäftsführung muss von Anfang an eingebunden sein — nicht als Empfänger von Status-E-Mails, sondern als aktiver Sponsor. Regelmäßige Management-Reviews mit dokumentierten Entscheidungen sind kein bürokratisches Ritual, sondern ein aussagekräftiger Nachweis.
