ISO 27001 ist ein Projekt: Warum das entscheidend ist

Viele Unternehmen behandeln eine ISO 27001-Einführung anfangs wie eine Sammlung einzelner Aufgaben: ein paar Richtlinien, ein paar Meetings, vielleicht ein Risikoworkshop, irgendwann interne Audits und dann soll schon irgendwie ein Zertifikat herausfallen.

Genau so wird es meistens unnötig zäh.

Denn eine ISO-27001-Zertifizierung ist kein loses Maßnahmenbündel. Sie ist ein Projekt mit Ziel, Zeitrahmen, Aufwand, Abhängigkeiten und Verantwortlichkeiten. Und wenn man sie nicht auch genau so behandelt, passiert fast immer dasselbe: Das Thema läuft nebenher, Dinge bleiben liegen, Entscheidungen werden vertagt und am Ende fehlt genau die Verbindlichkeit, die ein ISMS braucht. Dass Projektmanagement auf jede Art von Projekt anwendbar ist, unabhängig von Größe, Kosten, Dauer oder Vorgehensmodell, ist auch der Grundgedanke aktueller Projektmanagement-Guidance wie bspw. ISO 21502.

Warum ISO 27001 wie ein echtes Projekt geführt werden muss und was ohne Projektlogik fast immer schiefläuft.

Die kurze Antwort

Wenn Sie ISO 27001 ernsthaft umsetzen wollen, sollten Sie das Vorhaben wie ein Projekt behandeln.

Das heißt vor allem:

• ein klares Ziel;
• ein realistischer Zeitrahmen;
• ein benannter Verantwortlicher;
• definierte Mitarbeit aus dem Unternehmen;
• ein Budget;
• und ein nachvollziehbarer Plan für die nächsten Schritte.

Ohne diese Dinge wird ISO 27001 schnell zum berühmten "machen wir mal, wenn mal Luft ist"-Thema. Und genau dann dauert es länger, kostet mehr Nerven und liefert schlechtere Ergebnisse. Der alte einfachISO-Artikel beschreibt diese Gefahr schon recht klar, vor allem bei fehlender Deadline, fehlendem Budget und unklaren Zuständigkeiten.

Warum eine ISO 27001-Einführung überhaupt ein Projekt ist

Die Antwort ist eigentlich ziemlich nüchtern.

Ein Projekt ist ein Vorhaben mit:

• einem klaren Ziel;
• begrenzten Ressourcen;
• eines gewissen "Einmaligkeit" (Sie werden im selben Unternehmen nicht 2x eine ISO 27001 einführen);
• Abstimmungsbedarf;
• und einem definierten Anfang und Ende.

Genau das passt auf eine ISO-27001-Zertifizierung sehr gut. Sie wollen ein konkretes Ergebnis erreichen: ein auditfähiges, funktionierendes ISMS und im Regelfall ein Zertifikat. Dafür müssen viele Tätigkeiten aufeinander abgestimmt werden. Es gibt begrenzte Zeit, begrenzte Mitarbeit im Unternehmen und meistens auch ein begrenztes Budget. Dass Projektmanagement die eingesetzten Praktiken integriert, um ein Projekt zu initiieren, zu planen, zu überwachen, zu steuern und abzuschließen, passt exakt auf diese Situation.

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "Wir fangen einfach mal an."

Das klingt erstmal pragmatisch. In der Praxis bedeutet es aber oft:

• kein klarer Zieltermin;
• keine feste Priorität;
• keine geregelten Zuständigkeiten;
• keine saubere Reihenfolge;
• und keine Instanz, die das Ganze wirklich zusammenhält.

Dann macht jeder ein bisschen etwas, aber nichts greift richtig ineinander. Genau daraus entstehen die typischen ISO-27001-Projekte, die sich monatelang ziehen, ohne dass wirklich sichtbar wird, wie weit man eigentlich ist.

Ohne Zieltermin fehlt Priorität

Ein Zieltermin ist nicht nur eine hübsche Projektdisziplin. Er ist der Moment, an dem aus einem "wäre gut" ein echtes Vorhaben wird.

Solange niemand sagen kann, wann die Zertifizierung oder zumindest die Auditbereitschaft erreicht sein soll, konkurriert das Thema mit allem anderen - und verliert oft. Andere Projekte haben Deadlines, Kundenprojekte haben Deadlines, Releases haben Deadlines. ISO 27001 hat dann nur gute Absichten.

Ohne Budget bleibt alles vage

Auch das wird oft unterschätzt.

Ein ISO-27001-Projekt kostet nicht nur Zertifizierungsgebühren. Es kann auch Aufwand erzeugen für:

• externe Unterstützung;
• interne Arbeitszeit;
• technische Nachbesserungen;
• Awareness;
• Tools;
• oder organisatorische Maßnahmen.

Wenn dafür kein Budgetrahmen geklärt ist, bleiben wichtige Entscheidungen in der Luft. Dann ist unklar, was eigentlich möglich ist und wo die Grenzen liegen. Das Ergebnis ist selten Effizienz, sondern eher Aufschub.

Ohne Projektleitung zerfällt das Thema

Einer der größten Unterschiede zwischen einem laufenden ISO-27001-Projekt und einem versandenden ISO-27001-Vorhaben ist die Frage: Gibt es jemanden, der die Fäden zusammenhält?

Diese Rolle muss nicht zwingend alle Inhalte selbst erarbeiten. Aber sie muss:

• Überblick halten;
• Themen priorisieren;
• Aufgaben nachhalten;
• Hindernisse sichtbar machen;
• und den Stand in Richtung Geschäftsführung transportieren.

Wenn das fehlt, passiert meistens Folgendes:

Viele Leute machen viele Dinge, aber nicht abgestimmt. Und niemand kann zuverlässig sagen, was schon erledigt ist, was offen ist und was jetzt als Nächstes dran ist.

Ohne Team wird es zum Papiersystem

ISO 27001 ist kein Ein-Personen-Projekt. Denn für ein echtes ISMS braucht man typischerweise:

• Managemententscheidungen;
• technische Einschätzungen;
• Prozesswissen aus Fachbereichen;
• Rückmeldungen aus der Praxis;
• und Mitarbeit bei Maßnahmen und Nachweisen.

Wenn niemand klar weiß, wer mitmachen soll und mit welchem Anteil der Arbeitszeit, dann passiert meist etwas sehr Menschliches: Jeder macht zuerst die Dinge, die ohnehin auf dem Tisch liegen oder die ihm näher sind. ISO 27001 bleibt liegen. 

Was in ein sauberes ISO-27001-Projekt hineinmuss

Ein brauchbares Projekt-Setup braucht mindestens diese Elemente:

1. Ein klares Ziel

Nicht nur "wir machen jetzt ISO", sondern: Was genau ist das Ziel? Auditbereitschaft? Zertifizierung? Bis wann? Für welchen Scope (Anwendungsbereich)?

2. Eine realistische Zeitplanung

Nicht auf den Tag genau, aber mit echten Meilensteinen:

• Scope festlegen;
• Risiken aufsetzen;
• Dokumentation strukturieren;
• Maßnahmen umsetzen;
• internes Audit;
• Management Review;
• Zertifizierungsaudit.

3. Eine benannte Projektleitung

Jemand muss das Thema koordinieren. Sonst bleibt es bei wohlmeinender Aktivität ohne Richtung.

4. Ein Projektteam

Nicht riesig, aber passend. Die richtigen Leute für die richtigen Themen. Wen Sie genau brauchen? Dafür haben wir hier einen Spezialartikel.

5. Ein Budgetrahmen

Damit klar ist, welche Unterstützung, welche Technik und welche Zertifizierungskosten realistisch eingeplant sind.

6. Sichtbarkeit und Bericht an die Geschäftsführung

Ein ISO-27001-Projekt braucht Führung und Entscheidungen. Dafür muss der Fortschritt sichtbar sein.

Genau diese Projektlogik passt auch zu aktueller Projektmanagement-Guidance, die Governance, Sponsorship, Planung, Stakeholder, Ressourcen und laufende Steuerung ausdrücklich als Teil sauberer Projektführung beschreibt. 

Warum "agil" hier keine Ausrede ist

Manche Unternehmen sagen: "Wir arbeiten agil, wir planen sowas nicht so klassisch."

Da müssen wir Sie enttäuschen: Das ist als Ausrede untauglich.

Aktuelle Projektmanagement-Guidance ist ausdrücklich delivery-agnostisch und nennt sogar agile, adaptive und hybride Ansätze als geeignete Vorgehensweisen. Die Frage ist also nicht, ob Sie klassisch oder agil arbeiten. Die Frage ist nur, ob Ihr ISO 27001-Vorhaben überhaupt gesteuert wird. Auch ein agiles Projekt bleibt ein Projekt mit Ziel, Verantwortlichkeit und Priorisierung.

(Zum Thema ISO 27001 und agile Unternehmen gibt es noch einiges mehr zu wissen.)

Was passiert, wenn man ISO 27001 nicht wie ein Projekt führt

Dann sieht das meistens so aus:

• zu viele Themen parallel;
• zu wenig Entscheidungen;
• keine klare Reihenfolge;
• Maßnahmen ohne Nachverfolgung;
• Frust im Team;
• und am Ende ein diffuses Gefühl von "wir machen doch schon so viel" oder "wie sollen wir das denn auch noch on top erledigen?"

Das Problem ist dann nicht die Norm. Das Problem ist fehlende Projektlogik.

FAQ

Interesse geweckt?

Wenn Sie Ihr ISO-27001-Vorhaben nicht nur fachlich, sondern auch organisatorisch sauber als Projekt aufsetzen wollen, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!