50.000 € für ISO 27001: Lohnt sich das?

KMU investieren ihr Budget in die Zertifizierung, bevor sie die Grundlagen schaffen, die das Risiko tatsächlich reduzieren. Hier erfahren Sie, warum Mathematik selten funktioniert — und was Sie stattdessen tun sollten.

Alle paar Monate stellt ein CTO oder IT-Leiter eine Version derselben Frage: „Wir werden zur ISO27001 gedrängt — unser Unternehmenskunde will es, unser Versicherer fragt danach, unser Vorstand hat es in einem Board gesehen. Sollen wir es einfach tun?“

Meine Antwort ist fast immer dieselbe: Es hängt ganz davon ab, ob Sie Wertpapiere oder ein Zertifikat kaufen.

Das ist nicht dasselbe. Und bei 50.000 bis 80.000€ für ein mittelständisches KMU, das mit einem Beratungsunternehmen eine vollständige ISO27001-Implementierung durchläuft, sollten Sie sich darüber im Klaren sein, welche Lösung Sie benötigen und warum.

Die 50.000-Euro-Frage, die niemand laut stellt

Lassen Sie uns direkt sagen, was Ihnen dieses Budget bei einem typischen ISO-Projekt für KMU tatsächlich einbringt:

Eine Lückenbewertung. Ein Risikoregister, das Sie einmal ausfüllen und meistens vergessen. Eine Reihe von Richtlinien, die Ihre Mitarbeiter nicht lesen werden. Eine Erklärung zur Anwendbarkeit, die Ihr Prüfer prüfen wird. Sechs bis zwölf Monate Beraterstunden, in denen die Rahmensprache in interne Verfahren übersetzt wird. Ein Audit. Ein Zertifikat.

Dann: Erneuerungszyklen. Audits zur Überwachung. Ständige Beauftragung von Beratern, um das ISMS „am Leben“ zu erhalten.

Nichts davon ist von Natur aus schlecht und kann zu einigen Verbesserungen führen, aber nicht zielgerichtet und nicht spezifisch für Ihr Unternehmen oder Ihre Geschäftsanforderungen. Aber hier ist die unbequeme Frage: Hat eine dieser Aktivitäten die Wahrscheinlichkeit oder die Auswirkungen einer Sicherheitsverletzung signifikant reduziert?

Für viele KMU lautet die ehrliche Antwort: nicht wirklich oder nicht proportional zu den Ausgaben.

Der IBM Cost of a Data Breach Report zeigt, dass sich die weltweiten Durchschnittskosten einer Datenschutzverletzung im Jahr 2025 auf 4,44 Millionen US-Dollar belaufen. Lassen Sie uns auch eine Frage stellen: Wie lange kann Ihr Unternehmen offline überleben? Bei den häufigsten Eintrittspunkten — falsch konfigurierter Cloud-Speicher, ungepatchte Endpunkte, Phishing, überprivilegierte Identitäten — handelt es sich nicht um ISO27001-Probleme. Es handelt sich um betriebliche Hygieneprobleme. Und ISO-Beratung im Wert von 50.000€ hilft nicht, Ihre S3-Bucket-Berechtigungen zu korrigieren.

Die Compliance-Falle

Hier ist die wahre Falle: Compliance ist eine Momentaufnahme. Sicherheit ist eine Haltung.

ISO27001 wurde entwickelt, um zu einem bestimmten Zeitpunkt nachzuweisen, dass Sie über ein Managementsystem für Informationssicherheit verfügen. Es beweist nicht, dass Ihre Kontrollen funktionieren. Es beweist nicht, dass Ihre Cloud-Umgebung gerade nicht falsch konfiguriert ist. Es beweist, dass Sie über die Dokumentation und ein Verfahren zur Überprüfung der Dokumentation verfügen.

Das ist kein Zynismus, das ist die Architektur des Standards. In Klausel 6 geht es um Planung und Risikobewertung. In Anhang A sind 93 Kontrollen abgebildet. Es ist jedoch nicht erforderlich, dass diese Kontrollen tatsächlich wirksam sind. Es gibt keine kontinuierliche Überprüfung. Der Auditor überprüft Ihre Richtlinien; er wird Ihren Cloud-Scanner nicht ausführen.

In dem Moment, in dem Sie den Auditraum verlassen, beginnt die Uhr zu ticken.

Für Unternehmenskunden, die von ihrem KMU-Lieferanten ISO27001 verlangen, bietet das Zertifikat vertraglichen Komfort. Für das KMU selbst stellt sich die Frage, ob dieser Komfort verdient oder erbracht wird.

Wenn 50.000€ Sinn machen

Ich sage nicht, dass Sie ISO27001 nicht verfolgen sollten. Ich sage, seien Sie ehrlich und sicher bei dem, was Sie kaufen.

Die Investition ist eindeutig wirtschaftlich sinnvoll, wenn:

Sie verkaufen in regulierte Sektoren. Wenn Ihre Hauptkunden aus den Bereichen Finanzdienstleistungen, Gesundheitswesen oder dem öffentlichen Sektor in der EU kommen, ist ISO27001 oft eine Anlaufstelle für die Beschaffung, keine Präferenz. In diesem Fall handelt es sich bei den Zertifizierungskosten um Umsatzkosten, nicht um Sicherheitsinvestitionen. Modellieren Sie es so.

Sie bereiten sich auf DORA, NIS2 oder eine Akquisition vor. ISO27001 weist erhebliche Überschneidungen mit vielen Frameworks auf. Richtig gemacht, wird es zu Ihrer Beweisgrundlage. Falsch gemacht, es ist eine parallele Dokumentation, die nichts Echtes ergibt.

Sie haben bereits Basiskontrollen eingeführt. Dies ist das, was die meisten KMU übersehen. ISO27001 ist eine Managementebene, die den technischen Kontrollen übergeordnet ist — kein Ersatz für diese. Wenn Sie nicht bereits MFA durchgesetzt, die Cloud-Position verwaltet, die Endgeräte unter die Richtlinien fallen und ein Patch-Rhythmus noch nicht eingerichtet ist — das ISMS, das Sie aufbauen, ist eine Governance-Fassade auf einer unsicheren Grundlage.

Die alternative Mathematik

Was kostet eigentlich 50.000€ bei direkten Sicherheitskontrollen?

- Eine Cloud Security Posture Management (CSPM) -Plattform, die Ihre AWS-, Azure- oder GCP-Umgebung abdeckt: 8.000 bis 15.000€ pro Jahr
- Endpoint Detection and Response (EDR) für 50—100 Sitze: 10.000 bis 18.000€ pro Jahr
- Ein vCISO-Projekt mit vierteljährlichen Überprüfungen, Übernahme der Roadmap und Vorbereitung auf Vorfälle: 18.000 bis 30.000€ pro Jahr
- Phishing-Simulation und Schulung zum Sicherheitsbewusstsein: 3.000 bis 6.000€ pro Jahr

Das ist ungefähr das gleiche Budget. Diese Kontrollen reduzieren aktiv Ihre Angriffsfläche täglich. Und immer mehr Plattformen, die Cloud-Scanning mit automatisierter Framework-Mapping kombinieren — ISO27001, CIS, NIS2 — ermöglichen es Ihnen, die Einhaltung von Vorschriften als Nebenprodukt der Verbesserung der Sicherheitslage zu gewährleisten, und nicht umgekehrt.

Das Zertifikat folgt der Arbeit. Nicht andersherum.

Was CloudSoul auf dem Markt sieht

Bei CloudSoul arbeiten wir mit KMU zusammen, die sich genau an diesem Scheideweg befinden. Das Gespräch, das wir am häufigsten hören, ist: „Wir haben einen Fragebogen von einem neuen Unternehmenskunden erhalten, in dem wir nach unserem ISO-Status gefragt wurden, und jetzt werden wir dazu gedrängt, Geld auszugeben.“

Das ist der falsche Ausgangspunkt. Unser Ansatz besteht darin, mit Ihrer realen Umgebung zu beginnen, Ihren Cloud-Status zu scannen, mit Ihrer Branche zu vergleichen, eine priorisierte Roadmap zu erstellen, die festlegt, was tatsächlich in welcher Reihenfolge repariert werden muss, und diese Arbeit dann automatisch den Framework-Kontrollen zuzuordnen. Sie müssen sich nicht zwischen Sicherheit und Compliance entscheiden. Sie müssen sie richtig sequenzieren.

Die 50.000-Euro-Frage verändert sich, wenn Sie sie anders stellen: „Wie baue ich Sicherheitsvorkehrungen auf, die die Einhaltung von Vorschriften erleichtern?“ Im Vergleich zu „Wie erkenne ich Compliance an und hoffe, dass die Sicherheit folgt?“

Eine dieser Fragen hat einen klaren ROI. Die andere hat eine Verlängerungsrechnung.

Das ehrliche Fazit

ISO27001 ist ein legitimer, gut durchdachter Standard. Das Problem ist nicht der Standard — es ist die Marktdynamik, die ihn zu einem Anforderungskauf für KMU macht, ohne Sicherheitsgrundlagen und mit einer Frist für den Kunden, die ihnen im Nacken sitzen.

Bevor Sie einen Beratungsauftrag für ISO abschließen, sollten Sie drei Dinge auf Herz und Nieren prüfen:

1. Was ist Ihre tatsächliche Bedrohungsfläche? Wissen Sie, wie Ihre Cloud-Umgebung heute aussieht? Nicht das, was die Richtlinie vorgibt — was der Scanner sieht.
2. Was bestimmt den Zeitplan? Wenn es sich um eine interne Anforderung oder eine Kundenanforderung handelt, können Sie diese mit einer Roadmap erfüllen, die aktive Sicherheitsverbesserungen zeigt, und nicht nur mit einem Zertifikat?
3. Was passiert an Tag 366? Wer unterhält das ISMS nach dem Ausscheiden der Berater? Wenn die Antwort „niemand“ lautet, haben Sie einen Rahmen ohne Gemälde gekauft.

Sicherheit, auf die es ankommt, beginnt nicht mit einem Zertifikat. Es beginnt damit, zu wissen, was Sie tatsächlich schützen, wo Ihre Sicherheitslücken sind und was zuerst behoben werden muss.

Das Zertifikat kann später kommen. Und wenn es das tut, wird es etwas bedeuten.

Lohnen sich 50.000€ für ISO27001? Wahrscheinlich nicht so, wie Sie es ausgeben.