Warum lässt sich ein mittelständischer IT-Dienstleister nach ISO 27001 zertifizieren? Nicht für ein Zertifikat an der Wand. Sondern weil Kunden heute zu Recht erwarten, dass Informationssicherheit strukturiert, nachweisbar und dauerhaft gelebt wird. Im Interview erzählt Geschäftsführer Michael Köllner, warum IntraConnect diesen Weg gegangen ist, was daran aufwendig war und weshalb die Zertifizierung heute weit mehr bedeutet als einen bestandenen Audit.
Wann wurde ISO 27001 für euch ernsthaft relevant?
Mit dem ISO-Thema wurden wir bereits vor einigen Jahren konfrontiert. Wir haben gesehen, dass sich andere Systemhäuser auf den Weg gemacht haben. Auch bei Interessenten kam die Frage nach einer Zertifizierung immer wieder auf. Lange war es kein echtes Ausschlusskriterium, dass wir noch keine Zertifizierung hatten. Aber dass das Thema sinnvoll und wichtig ist, war uns bewusst.
Mit der Zeit wurde ISO 27001 immer präsenter. Immer mehr Kunden waren direkt oder indirekt von Informationssicherheitsanforderungen betroffen. Entsprechend wurden auch die Anfragen dazu häufiger. Gleichzeitig sieht man überall, dass Informationssicherheit nicht auf die leichte Schulter genommen werden darf. Auch von offizieller Seite werden Unternehmen stärker verpflichtet, sich ernsthaft damit auseinanderzusetzen.
Und ganz grundsätzlich: Wir arbeiten im Bereich Informationssicherheit. Da ist es irgendwann nur konsequent, sich selbst an einem anerkannten Standard messen zu lassen.
Was hat euch anfangs davon abgehalten, diesen Weg zu gehen?
Wir hatten uns schon früh mit anderen IT-Systemhäusern ausgetauscht. Dabei wurde vor allem eines deutlich: Es ist ein erheblicher Aufwand. Es geht nicht nur um den Zeitaufwand für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Es braucht interne Ressourcen, Prozessänderungen, neue Verantwortlichkeiten und einen spürbaren Change im Unternehmen. Das hat uns zunächst abgeschreckt.
Gleichzeitig war klar: Wenn wir diesen Weg gehen, dann nicht als Papiertiger. Wir kannten Beispiele, bei denen Unternehmen es weitgehend selbst versucht haben. Häufig entstand daraus eher ein Dokumentenprojekt als ein wirklich gelebtes System. Mit externer Unterstützung entstehen aber entsprechende Kosten. Als mittelständisches Unternehmen konnten wir deshalb nicht beliebig viele große Veränderungsprojekte gleichzeitig stemmen.
Warum habt ihr euch am Ende trotzdem für die Zertifizierung entschieden?
In unserem Strategieprozess tauchte die ISO-Zertifizierung über mehrere Intervalle hinweg immer wieder auf und wurde immer wieder zurückgestellt. Irgendwann mussten wir uns ehrlich fragen: Wie sinnvoll ist es, ein Ziel regelmäßig zu formulieren, wenn man es am Ende nie wirklich angeht?
Gleichzeitig kamen von mindestens drei Kunden klare Signale, dass ihnen die Zusammenarbeit mit uns deutlich leichter fallen würde, wenn wir eine Zertifizierung nachweisen können.
Wir haben uns deshalb noch einmal intensiv mit den Möglichkeiten beschäftigt: Welche externe Unterstützung ist sinnvoll? Welche Kosten entstehen? Welche internen Ressourcen können wir realistisch bereitstellen? Und wie lösen wir bestimmte Rollenkonflikte, zum Beispiel zwischen administrativen Mitarbeitern und Rollen im Informationssicherheitsmanagement?
Am Ende kamen wir zu dem Schluss: Wir können die wesentlichen Voraussetzungen schaffen. Also haben wir das Projekt priorisiert und gestartet.
Was bedeutet ISO 27001 für euch jenseits des Zertifikats?
Entscheidend ist für uns: Das ISMS ist kein Ordner mit Richtlinien geworden. Es ist ein gelebter Prozess. Wir haben sehr darauf geachtet, die Anforderungen in unseren Alltag zu integrieren. Sie sollen nicht neben der Arbeit stattfinden, sondern in bestehende Abläufe eingebettet sein.
Kontinuierliche Verbesserungsaufgaben laufen bei uns heute genauso im Ticketsystem wie andere operative Aufgaben. Auch unsere Lieferantenbewertung ist ein echter Prozess geworden: Wir können nachvollziehbar sagen, welche Lieferanten wir einsetzen, welches Schutzniveau sie haben und wann sie erneut bewertet werden. Auch manche Dinge, die früher pragmatisch gelöst wurden, funktionieren heute bewusster und kontrollierter. Zum Beispiel: „Ich teste mal schnell diese neue Software“ oder „Ich gebe mir kurz höhere Berechtigungen, um einem Kunden zu helfen.“ Solche Dinge brauchen heute dokumentierte Freigaben, Vier-Augen-Prinzipien und klare Genehmigungen. Das macht manche Abläufe etwas langsamer. Aber es macht sie auch deutlich kontrollierter. Und das ist aus unserer Sicht ein Schritt in die absolut richtige Richtung.
Technisch waren wir schon vorher gut aufgestellt. Aber es war trotzdem eine neue Erfahrung, in welcher Konsequenz man den risikobasierten Ansatz Schritt für Schritt durcharbeitet. Neu ist vor allem, wie konsequent wir die Prozessseite der Informationssicherheit ausgebaut haben.
Wir empfehlen:
IT-Check & Workshop
Wie sicher ist Ihre IT wirklich?
Ein strukturierter IT-Check und ein kompakter Workshop schaffen Klarheit über Risiken und Handlungsbedarf.
Was war auf dem Weg schwieriger als ihr vorher gedacht hättet?
Zunächst haben wir den Zeitaufwand unterschätzt. Wir haben mit Anbietern gesprochen, die damit werben, in 90 Tagen zur Zertifizierung zu kommen. Es gibt sogar Anbieter, die mit 30 Tagen werben. Für uns war schnell klar: So funktioniert es nicht, wenn daraus ein ernsthaftes, gelebtes System werden soll.
Wir haben uns für eine ISMS-Plattform entschieden, die viele Vorlagen und strukturierte Prozesse mitbringt. In der Umsetzung zeigte sich aber: Viele Vorlagen passten nicht eins zu eins zu unserem Unternehmen. Wir mussten sie prüfen, anpassen und in unsere tatsächliche Organisation übersetzen. Nach einigen Monaten hatten wir zeitweise den Überblick verloren. Der Wendepunkt kam, als die offenen Arbeitspakete klarer sichtbar wurden.
Danach haben wir eine intensive Arbeitsphase gestartet: Vier Personen, zwei Wochen lang, jeden Tag sehr fokussiert, mit kurzen Abstimmungen und klarer Aufgabenverteilung. In dieser Phase konnten wir in kurzer Zeit einen großen Teil der offenen Aufgaben schließen.
Wo habt ihr gemerkt, dass „wir machen das“ und „wir können es nachweisen“ zwei unterschiedliche Dinge sind?
Genau hier wurde für uns einer der größten Unterschiede sichtbar: Es ist etwas anderes, ob man Dinge richtig macht oder ob man sie im Audit sauber nachweisen kann. Wo vorher gelebte Praxis und Erfahrung ausgereicht haben, ist heute echte Nachvollziehbarkeit entstanden. Bei einigen Themen haben wir auch noch einmal sehr bewusst geprüft, ob das bisherige Schutzniveau ausreicht. An manchen Stellen haben wir nicht nur dokumentiert, sondern tatsächlich nachgearbeitet und auch technische Schutzmaßnahmen verbessert.
Dass wir die Anforderungen nachweisen können, mussten wir zweimal zeigen: zuerst im internen Audit, das wir durch einen externen Auditor durchführen ließen, und anschließend im Zertifizierungsaudit. Dabei hat sich auch der Wert der ISMS-Plattform gezeigt. Sie führt systematisch durch die Anforderungen, Kapitel und Controls. Die passenden Nachweise sind direkt verlinkt. Wenn im Audit gefragt wird, wie wir ein Thema lösen, können wir unmittelbar in die entsprechenden Vorgaben, Dokumentationen und Nachweise springen.
Das ist ein großer Unterschied zu „Das machen wir schon irgendwie“. Es ist nachvollziehbar, prüfbar und auffindbar.
Warum ist der Zeitpunkt gerade jetzt richtig?
Die Bedrohungen durch Cyberrisiken nehmen zu. Gleichzeitig steigen die Anforderungen an Unternehmen, Informationssicherheit nicht nur technisch, sondern auch organisatorisch ernst zu nehmen. Schutzmechanismen dürfen nicht dem Zufall überlassen werden. Und sie dürfen sich auch nicht nur auf starke Technologien stützen. Gute Werkzeuge sind wichtig, aber sie ersetzen kein System aus Verantwortlichkeiten, Prozessen, Risikobewertung und Nachweisen.
Das merken wir regelmäßig in Gesprächen mit Interessenten und Kunden. Wer mit größeren Unternehmen zusammenarbeitet, bekommt immer häufiger umfangreiche Compliance-Fragebögen. Dann wird es schwierig zu erklären, dass man seine IT ausgelagert hat, der eigene IT-Dienstleister aber keinen anerkannten Sicherheitsstandard nachweisen kann.
Hinzu kommt: Auf viele Unternehmen wirkt NIS2 direkt oder indirekt. Auch Cyberversicherungen, Lieferantenbewertungen und Anforderungskataloge größerer Kunden werden anspruchsvoller.
Wie hilft euch die ISO-27001-Zertifizierung im Zusammenhang mit NIS2 und steigenden Compliance-Anforderungen?
ISO 27001 ersetzt NIS2 nicht automatisch. Und es gibt für NIS2 aktuell keine einfache Zertifizierungsmaßnahme, mit der ein Unternehmen sagen könnte: Damit ist alles erledigt. Aber der Grundgedanke ist sehr ähnlich. Es geht um Risiken, Zuständigkeiten, technische und organisatorische Maßnahmen, Nachweise und kontinuierliche Verbesserung.
Wichtig ist dabei der Scope. Eine ISO-27001-Zertifizierung kann grundsätzlich auch nur bestimmte Standorte, Abteilungen oder Teilbereiche umfassen. Wir haben uns bewusst für einen umfassenden Scope entschieden: Unsere Kernleistungen, Prozesse und Abteilungen sind einbezogen. Es gibt keinen künstlich kleinen Ausschnitt.
Was haben eure Kunden davon – auch wenn sie selbst keine starken Compliance-Anforderungen haben?
Die Zertifizierung gilt zunächst für uns als Unternehmen. Aber weil wir IT-Betrieb für unsere Kunden übernehmen, wirkt sich unser eigenes Sicherheitsniveau natürlich auch auf die Art und Weise aus, wie wir Kunden betreuen.
Wir arbeiten an sehr sensiblen Stellen: an Systemen, Daten, Zugängen, Backups, Berechtigungen und Betriebsprozessen. Wenn wir hier strukturierter, kontrollierter und nachvollziehbarer arbeiten, profitieren alle Kunden davon. Das betrifft zum Beispiel klarere Prozesse, bewusstere Risikobewertung, kontrolliertere Berechtigungen, bessere Lieferantenbewertung, nachvollziehbarere Entscheidungen, systematischeres Nachhalten von Verbesserungen sowie sauberere Dokumentation und Nachweisführung.
Nicht jeder Kunde braucht jedes Sicherheitsmodul in derselben Tiefe. Aber alle Kunden profitieren davon, dass Informationssicherheit bei uns heute noch stärker systematisch betrieben wird und nicht vom Zufall oder einzelnen Personen abhängt.
Was haben Kunden mit hohen Compliance-Anforderungen davon?
Für Kunden mit hohen Compliance-Anforderungen geht es nicht nur um ein gutes Gefühl. Es geht um Nachweisbarkeit gegenüber eigenen Kunden, Auditoren und Auftraggebern. Wenn ein Kunde selbst ISO-konform arbeitet, TISAX-zertifiziert ist, ein eigenes ISMS betreibt oder umfangreiche Lieferantenbewertungen bestehen muss, kann er uns heute deutlich leichter einordnen.
Er kann in seiner Lieferantenbewertung nachvollziehbar sagen: Unser IT-Dienstleister arbeitet nach einem anerkannten Standard und ist entsprechend zertifiziert. Das ist zunächst ein formaler Vorteil. Aber es geht nicht nur um das Zertifikat. Wir können inzwischen auch auf Augenhöhe über praktische Fragen sprechen: Was ist ein angemessenes Maß? Wie kann ein sinnvoller Nachweis aussehen? Wie formuliert man eine Richtlinie, ohne sie völlig praxisfern zu machen? Wie verhindert man, dass ein ISMS nur Papier bleibt?
Besonders relevant ist das bei ausgelagerten IT-Prozessen. Viele Kontrollen betreffen genau die Bereiche, in denen wir Verantwortung übernehmen: Administration, Monitoring, Patch-Management, Backup, Berechtigungen und Protokollierung. Weil wir diese Themen in unserem eigenen ISMS dokumentiert, bewertet und kontrolliert haben, können wir Kunden besser dabei unterstützen, auch ausgelagerte Prozesse nachvollziehbar nachzuweisen. Das erleichtert Audits, Lieferantenbewertungen und Sicherheitsfragebögen deutlich.
Gibt es konkrete Sicherheitsbausteine, die daraus für Kunden entstanden sind?
Ein Beispiel ist zentrale Protokollierung und SIEM. Für uns selbst betreiben wir eine Lösung, mit der relevante Logdaten geschützt, auswertbar und getrennt von führenden Systemen aufbewahrt werden. Für Kunden mit erhöhtem Schutzbedarf bieten wir diese Möglichkeit inzwischen ebenfalls als Zusatzbaustein an.
Nicht jede ISO-Anforderung wird automatisch eins zu eins für jeden Kunden umgesetzt. Aber wir wissen heute sehr genau, welche Schutzbausteine für welchen Bedarf sinnvoll sind.
Was ist dein persönliches Fazit nach der Zertifizierung?
Wir sind sehr zufrieden damit, dass wir es geschafft haben. Im Zertifizierungsaudit war es sogar ein bisschen spannend. Der Auditor hatte keine Nebenabweichung und erst recht keine Hauptabweichung gefunden. Er hat uns sogar gespiegelt, dass er selten oder vielleicht noch nie ein derartiges Erstaudit erlebt hat.
Da fragt man sich natürlich kurz, ob man am Anfang vielleicht zu viel Aufwand hineingesteckt hat. Aber eigentlich kann das nicht sein. Denn es ist etwas, das bleibt, sich weiterentwickelt und am Ende dem Schutzniveau dient und nicht dem Zertifikat an der Wand. Insofern war es richtig und sinnvoll.
Die Kosten waren höher als gedacht, nicht nur finanziell, sondern auch durch die Arbeitszeit der beteiligten Kolleginnen und Kollegen. Auch der laufende Aufwand bleibt spürbar. Trotzdem ist es aus unserer Sicht richtig und wichtig. Denn am Ende dient das System nicht dem Zertifikat an der Wand, sondern einem dauerhaft höheren Schutzniveau. Wer so ein Thema vor sich herschiebt, obwohl er weiß, dass es sinnvoll ist, sollte aus unserer Erfahrung heraus anfangen.
Häufige Fragen zu...
Was bedeutet ISO 27001 für Kunden eines IT-Dienstleisters?
ISO 27001 zeigt, dass Informationssicherheit beim IT-Dienstleister nicht nur technisch betrachtet wird, sondern systematisch organisiert ist. Für Kunden bedeutet das: klarere Prozesse, geregelte Verantwortlichkeiten, nachvollziehbare Entscheidungen und ein strukturierter Umgang mit Risiken, Zugängen, Lieferanten und Nachweisen.
Warum ist ein ISO-27001-zertifizierter IT-Dienstleister für Unternehmen mit eigenen Compliance-Anforderungen relevant?
Unternehmen, die selbst zertifiziert sind, ein ISMS betreiben oder Lieferantenbewertungen bestehen müssen, brauchen Dienstleister, die Informationssicherheit nachweisbar und strukturiert umsetzen. Ein ISO-27001-zertifizierter IT-Dienstleister lässt sich in Audits, Sicherheitsfragebögen und Lieferantenbewertungen leichter einordnen und reduziert damit Unsicherheit in der eigenen Nachweiskette.
Ersetzt ISO 27001 Anforderungen wie NIS2?
Nein. ISO 27001 ersetzt NIS2 nicht automatisch. Die Zertifizierung ist aber eine sehr gute Grundlage, weil sie zentrale Prinzipien systematischer Informationssicherheit abdeckt: Risikobewertung, Zuständigkeiten, technische und organisatorische Maßnahmen, Nachweise und kontinuierliche Verbesserung. Welche zusätzlichen Anforderungen gelten, muss im Einzelfall geprüft werden.
