ISO-27001-Vorbereitung für einen mittelständischen Online-Händler.

Irgendwann steht die Frage im Raum, und sie kommt fast immer von außen: „Können Sie uns Ihre Informationssicherheit nachweisen?" Für einen mittelständischen Online-Händler mit rund 150 Mitarbeitenden war es genau diese Anforderung der B2B-Kunden, die das Thema ISO 27001 auf die Tagesordnung brachte. Gemeinsam haben wir in sechs Monaten ein ISMS (Informationssicherheits-Managementsystem) aufgebaut – mit Risikoinventur, einem vollständigen Richtlinien-Set und Mitarbeiterschulungen. Die Audit-Vorbereitung wurde ohne einen einzigen Major-Finding abgeschlossen.

Die Ausgangslage: Anforderung ohne Struktur

Das Unternehmen war erfolgreich gewachsen, technisch solide aufgestellt – aber Informationssicherheit war nie systematisch organisiert worden. Es gab einzelne gute Maßnahmen, jedoch kein Managementsystem, das Risiken erfasst, Verantwortlichkeiten festlegt und Maßnahmen nachverfolgt. Als mehrere größere B2B-Kunden begannen, Nachweise zur Informationssicherheit einzufordern und ISO 27001 als Voraussetzung in Ausschreibungen auftauchte, wurde aus einem „irgendwann" ein „jetzt". Ohne belastbares ISMS drohte der Verlust von Aufträgen.

Was ein ISMS wirklich ist – und was nicht

Ein verbreitetes Missverständnis: ISO 27001 sei vor allem eine technische Übung. Tatsächlich ist ein Informationssicherheits-Managementsystem in erster Linie ein organisatorischer Rahmen. Es beantwortet die Fragen: Welche Werte müssen wir schützen? Welche Risiken bestehen? Wer ist verantwortlich? Wie messen und verbessern wir kontinuierlich? Technik ist ein Mittel, nicht der Zweck. Genau deshalb begleiten wir solche Projekte aus der Doppelrolle als Compliance-Berater und technischer Dienstleister für IT-Sicherheit – die Brücke zwischen Anforderung und Umsetzung ist der eigentliche Mehrwert.

Unser Vorgehen in sechs Monaten

Wir haben den ISMS-Aufbau in nachvollziehbare Etappen gegliedert:

1. Geltungsbereich und Organisation. Zuerst die Grundlagen: Was umfasst das ISMS, wer trägt welche Verantwortung, wie ist die Informationssicherheit in der Organisation verankert?
2. Risikoinventur. Systematische Erfassung der schützenswerten Werte und der zugehörigen Risiken – mit einer einheitlichen Methode zur Bewertung, damit Maßnahmen dort ansetzen, wo das Risiko am größten ist.
3. Richtlinien-Set. Aufbau von 27 aufeinander abgestimmten Richtlinien und Verfahren – von Zugriffskontrolle über Umgang mit Lieferanten bis zum Vorgehen bei Sicherheitsvorfällen. Praxistauglich formuliert, damit sie im Alltag auch gelebt werden.
4. Schulungen und Awareness. Das beste Regelwerk nützt nichts, wenn es niemand kennt. Mitarbeiterschulungen haben die Belegschaft mitgenommen und Sicherheit zum gemeinsamen Anliegen gemacht.
5. Audit-Vorbereitung. Interne Prüfung und Management-Review, um vor dem externen Auditor selbst zu wissen, wo man steht.

27 Richtlinien, 0 Major-Findings

Die Eckdaten fassen das Ergebnis zusammen: In sechs Monaten Vorbereitung entstanden 27 Richtlinien, und die Audit-Vorbereitung wurde mit null Major-Findings abgeschlossen. Letzteres ist der entscheidende Punkt – ein Major-Finding bedeutet eine wesentliche Abweichung, die einer Zertifizierung im Weg steht. Dass es keine gab, ist kein Zufall, sondern Ergebnis der strukturierten Vorbereitung und der ehrlichen internen Prüfung im Vorfeld.

Das Ergebnis: aus einer Hürde wurde ein Verkaufsargument

Heute hat das Unternehmen nicht nur ein dokumentiertes ISMS, sondern eine gelebte Sicherheitsorganisation. Die ursprüngliche Hürde – „die Kunden verlangen Nachweise" – ist zum Vertriebsvorteil geworden: Informationssicherheit lässt sich jetzt belegen statt behaupten. Und das System wirkt über ISO 27001 hinaus: Die geschaffene Struktur ist zugleich die beste Vorbereitung auf weitergehende regulatorische Anforderungen wie die NIS2-Umsetzung, die viele Unternehmen aktuell beschäftigt.

Was dieses Projekt zeigt

ISO 27001 wirkt aus der Ferne wie ein bürokratisches Großprojekt – mit einem methodischen Vorgehen ist es in überschaubarer Zeit und ohne Major-Findings machbar. Der Schlüssel liegt darin, Informationssicherheit als Managementaufgabe zu verstehen und Technik, Organisation und Menschen gemeinsam mitzunehmen. Verlangen Ihre Kunden Nachweise zur Informationssicherheit, oder bereiten Sie sich auf NIS2 vor? Sprechen Sie uns über unser Kontaktformular an oder sehen Sie sich weitere Referenzen an.