Wer auf eine ISO 27001-Zertifizierung hinarbeitet, schaut meistens zuerst auf Dokumente, Risiken, Maßnahmen und das Audit. Verständlich. Aber eine andere Frage ist mindestens genauso wichtig: Ist der Zertifizierer überhaupt seriös?
Denn die ISO selbst zertifiziert niemanden.
Zertifikate werden von Zertifizierungsstellen ausgestellt. Genau deshalb sollte man sehr genau hinschauen, mit wem man es zu tun hat. Offizielle Stellen wie ISO, die Europäische Akkreditierungsinfrastruktur und bspw. die deutsche Akkreditierungsstelle DAkkS machen klar: Zertifizierung lebt von Unabhängigkeit, Kompetenz und überprüfbarer Akkreditierung.
Spätestens seit Berichte über massenhaft vorgefertigte Compliance-Reports öffentlich wurden, sollte jedem klar sein: Papier allein beweist gar nichts. Wenn Berater, Plattform und vermeintlicher Prüfer zu eng zusammenhängen oder Prüfungen nur noch durchgewunken werden, ist das kein sauberes Zertifizierungsverfahren mehr.
Warnzeichen 1: Beratung und Zertifizierung sind nicht sauber getrennt
Das ist der wichtigste Punkt. Wenn das Unternehmen, das Sie auf die Zertifizierung vorbereitet, praktisch nicht von dem Unternehmen zu trennen ist, das Sie später zertifiziert, sollten bei Ihnen sofort die Alarmglocken angehen.
Besonders kritisch wird es, wenn:
- Sie faktisch nur einen Gesamtauftrag vergeben;
- Berater und Zertifizierer unter derselben Marke auftreten;
- Ihnen signalisiert wird, dass "Sie sich um die Beauftragung des Zertifizierers keine Gedanken machen müssen".
Der Hintergrund ist einfach: Eine Zertifizierungsstelle muss unabhängig sein. European Accreditation formuliert klar, dass es nicht akzeptabel ist, wenn eine Zertifizierungsstelle für dasselbe Managementsystem Beratung anbietet oder über eng verbundene Einheiten anbieten lässt.
Warnzeichen 2: Auf die Frage nach der Akkreditierung kommt nur Nebel
Wenn Sie fragen: "Ist der Zertifizierer akkreditiert?", dann muss eine klare Antwort kommen. Keine Ausflüchte. Kein Marketing-Gerede. Keine halbgaren Aussagen wie "Wir arbeiten sehr sehr gut" oder "Unsere Auditoren haben viel Erfahrung".
Eine saubere Antwort enthält mindestens:
- den Namen der Akkreditierungsstelle;
- den Status der Akkreditierung;
- den Scope der Akkreditierung;
- im besten Fall sogar die konkrete Fundstelle in einer öffentlichen Datenbank.
Die DAkkS stellt genau für diesen Zweck eine öffentliche Datenbank bereit. Dort lassen sich akkreditierte Stellen suchen, und der Status einer Akkreditierung ist öffentlich einsehbar. Auch suspendierte oder entzogene Akkreditierungen werden ausgewiesen.
Warnzeichen 3: Das "Audit" läuft, ohne dass Sie wirklich etwas erklären müssen
Ein sauberes Audit ist keine Formsache. Ein Auditor muss verstehen wollen, wie Ihr Unternehmen arbeitet. Er muss Nachweise sehen wollen. Er muss Rückfragen stellen. Und er muss Widersprüche erkennen.
Wenn Sie stattdessen hören:
- "Der Auditor findet schon, was er braucht, Sie müssen auch nicht dabei sein."
- "Sie müssen da nicht viel beantworten."
- "Wir bereiten das so vor, dass es einfach durchgeht."
...dann ist Vorsicht angesagt.
Genau solche Muster beschreibt auch der aktuelle Fall rund um Delve: Vorformulierte Schlussfolgerungen, generische Inhalte und Berichte, die erstellt wurden, bevor belastbare Nachweise überhaupt vorlagen. Das ist keine Prüfung, sondern Dokumentenproduktion.
Warnzeichen 4: Die Unterlagen haben nichts mit Ihnen zu tun
Auch daran kann man einen schlechten oder unseriösen Zertifizierungsprozess erkennen: Die Dokumente passen nicht wirklich zu Ihrer Firma und niemand macht sich die Mühe, sie anzupassen. Sie nicht. Die Berater nicht.
Typische Anzeichen sind:
- Eine Standardrisikoliste, die mit Ihnen nichts zu tun hat;
- Beschreibungen einer IT-Landschaft, die Sie nicht kennen;
- Textbausteine, die mit Ihrer Realität nichts zu tun haben und die Sie auch nie lesen oder kritisch reviewen sollten;
Auch hier ist die Lektion klar: Ein Managementsystem muss zum tatsächlichen Unternehmen passen. Wenn Sie einen Dokumentensatz bekommen, bei dem Sie schon Nachweise, Risikobilder und Auditunterlagen austauschbar wirken, ist das kein gutes Zeichen. Der Delve-Bericht beschreibt genau solche near-identical Reports und vorbefüllte Nachweise als strukturelles Problem.
Warnzeichen 5: Es wird so getan, als könne man ein Zertifikat einfach "kaufen"
Viele Unternehmen sind am Anfang unsicher und fragen sinngemäß: "Wo bekomme ich denn jetzt das Zertifikat?" Genau da trennt sich seriöse Begleitung von fragwürdigen Angeboten.
Ein echtes ISO 27001-Zertifikat ist kein Downloadprodukt und keine Plakette zum Bestellen. ISO selbst weist ausdrücklich darauf hin, dass sie keine Zertifikate ausstellen. Zertifizierungen erfolgen durch unabhängige Zertifizierungsstellen.
Akkreditierung wiederum ist der Mechanismus, mit dem deren Kompetenz und Unabhängigkeit überprüft werden. In der EU gilt Akkreditierung sogar als zentrales Instrument, um Vertrauen in Konformitätsbewertungen zu schaffen.
Unser Tipp
Bevor Sie ein Beratungsunternehmen auswählen, schauen Sie nicht nur auf das Angebot oder auf wohlklingende Aussagen.
Prüfen Sie ganz konkret, wie die Zertifizierungsstelle genau heißt, ob sie akkreditiert (oder wenigstens in einer anderen Weise qualitätsgeprüft) ist und ob sich dies öffentlich nachprüfen lässt.
Lassen Sie sich auch erklären, wie das Audit konkret abläuft, welche Nachweise der Auditor sehen will und ob es Referenzen gibt, die wirklich zu diesem Verfahren passen.
Für die Prüfung helfen in Deutschland vor allem die DAkkS-Datenbank und zusätzlich IAF CertSearch.
Interesse geweckt?
Möchten Sie mehr zum Thema wissen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!