einfachISO
IT-Dienstleister (Linux & Open Source) ISO 27001
ATIX AG Logo

ATIX AG

6 Monate
Mit einfachISO
100% remote
Modus

„Nicht auf Augenhöhe“ — was der Kunde wirklich meinte

ATIX ist ein Münchner IT-Dienstleister für Linux, Open Source und IT-Automatisierung. Die Kunden sind Enterprise-IT — und dort wird Lieferantenmanagement mit ISO-Zertifikaten durchgezogen. Wer sie nicht vorweisen kann, ist nicht auf Augenhöhe.

„Es ist immer schlecht, wenn ein Kunde einen Auftrag mit dir nicht abschließen will, weil er dich nicht auf Augenhöhe sieht. Man muss auch ganz ehrlich sein: Wenn du dich in dem Bereich bewegst, wo wir sind, und du hast keine Zertifikate — du kannst die Lieferkette nicht erfüllen oder die Anforderungen, die die Kunden an diese Lieferkette haben — dann bist du irgendwann ganz schnell raus.“ — Thomas Merz, Vorstand

Die Lieferketten-Anforderungen der großen Kunden wandern stillschweigend von der Beschaffung zurück zum Dienstleister. Irgendwann ist der neue Einkäufer strenger als der alte, eine Zeile im Standardvertrag ändert sich, und ein Projekt, bei dem man inhaltlich perfekt passen würde, schließt sich.

Der Eigenversuch bei ISO 9001 — und die Erkenntnis dahinter

ATIX hatte zuerst pragmatisch gestartet: ISO 9001 in Eigenregie. Schnell zeigte sich, dass das Thema tiefer ist als es von außen wirkt.

„Wir haben versucht, das Ganze selbst zu machen, aber dann auch gesehen, welche Komplexität dahintersteckt, es tatsächlich gut zu machen. Wir haben gesagt: Okay, das schaffen wir nicht alleine. Wir brauchen hier professionelle Hilfe.“

Es ist dieselbe Bewertung, zu der viele IT-Unternehmen kommen, sobald sie ernsthaft mit der Norm arbeiten: Die Normtexte sind lesbar, aber die Umsetzung in gelebte Prozesse ist Handwerk. Dieses Handwerk lernt man nicht nebenher.

Warum gerade einfachISO

„Wir haben uns im Markt umgeschaut und haben verschiedene Unternehmen gesehen — und nur einfachISO hatte ein Konzept, das von vornherein einfach klar war.“

Der Start lief über eine GAP-Analyse: Wo steht ATIX mit der begonnenen ISO 9001 schon? Was fehlt noch, um zur ISO 27001 zu kommen?

„Wir haben innerhalb eines guten halben Jahres unsere ISO 27001 Zertifizierung tatsächlich erfolgreich hinbekommen, weil einfachISO einfach den Weg kennt, wie es funktioniert.“

Der Unterschied im Tagesgeschäft

Die Zertifizierung war nicht das Ende, sondern der Anfang eines besseren Arbeitens. Thomas Merz beschreibt den Effekt innerhalb des Teams:

„Es macht die Abläufe einfacher, es macht die Kundenkommunikation einfacher, es macht die Kommunikation innerhalb des Teams einfacher. Dadurch, dass wir die ISO bekommen haben, war einfach vollkommen klar, welche Dokumente, welche Informationen der Kunde braucht — und der Vorgang ist dadurch wesentlich schneller und einfacher für beide Seiten geworden.“

Das ist der stille zweite Nutzen, den ISO-Projekte von innen erzählen: Die Kunden fragen nicht mehr fünfmal nach denselben Unterlagen. Neue Projektleiter finden die Informationen, die sie brauchen. Der Onboarding-Aufwand bei neuen Teammitgliedern sinkt, weil die Prozesse nicht mehr im Kopf einer einzelnen Person leben.

Wöchentlich online — und das Audit vorbereitet wie einen Pitch

Die Zusammenarbeit lief komplett remote, mit wöchentlichen Meetings. Entscheidend vor dem externen Audit war ein gezieltes Training:

„Es ist auch wesentlich einfacher gewesen, durchs Audit zu kommen, weil wir von einfachISO einfach ein Training vorher bekommen haben. Dadurch hast du eine gewisse Sicherheit, dass du nicht in irgendein Fettnäpfchen trittst. Du weißt einfach danach mehr, was du tust, als wenn du es als Einzelkämpfer versuchst.“

Das ist der Punkt, an dem viele in-house-Versuche scheitern: Inhaltlich liegt vielleicht alles bereit, aber im Audit-Gespräch wird man an einer typischen Stolperfalle abgehängt. Ein einziges „Fettnäpfchen“ kann eine Nichtkonformität produzieren, die Wochen kostet.

Vom „schwarzen Loch“ zum machbaren Projekt

„Unsere Wahrnehmung gegenüber den Zertifikaten hat sich dahingehend verändert, dass es vorher so eine große schwarze Wand gewesen ist, wo du nicht so richtig wusstest, wie greife ich das denn? Dadurch, dass einfachISO da eine Struktur reingebracht hat, haben wir einfach gesehen, dass es machbar ist.“

Und der Aha-Moment, den viele erst spät bemerken:

„Die ISO 27001 gibt dir durchaus Möglichkeiten, dein eigenes Ding zu machen.“

Die Norm ist kein Zwangskorsett. Sie legt Anforderungen an das ISMS fest — aber nicht, wie exakt jede Firma diese Anforderungen löst. Wer den Weg kennt, kann den eigenen Stil behalten und trotzdem zertifiziert sein.

Die Empfehlung

„Ich würde die Zusammenarbeit mit einfachISO jedem empfehlen, der tatsächlich ernsthaftes Interesse hat, eine ISO 27001 Zertifizierung zu bekommen, der intern nicht die Ressourcen hat, nicht die großen Abteilungen hat, um sich um dieses Thema zu kümmern — sondern der die externe Hilfe braucht, um die Ressourcen abbilden zu können.“

„Es war wirklich ein super Projekt, was wir da zusammengestemmt haben — und dass wir das tatsächlich in den sechs Monaten geschafft haben, das haut mich immer noch um.“

Auch zertifiziert werden?

Starten Sie jetzt mit einfachISO und erreichen Sie Ihre ISO-Zertifizierung effizient und stressfrei.

Gap-Analyse anfragen Checkliste herunterladen

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Kostenlos · Kein Abo · Abmeldung jederzeit