31. März 2026

ISO 27001 per KI-Software? Warum das allein nicht reicht

Von Joachim Reinke

März 31, 2026

ISO 27001, KI-Software

Die Idee klingt verlockend:

Man bucht eine KI-Software, beantwortet ein paar Fragen, bekommt Richtlinien, Prozesse, Maßnahmenlisten und vielleicht noch einen Projektplan dazu - und am Ende steht da angeblich ein fertiges ISO-27001-ISMS.

Genau das ist der Denkfehler.

Denn ein ISMS ist kein Textpaket. Es ist auch kein Softwareprojekt, das man nur einmal sauber konfiguriert und dann läuft es. Ein ISO-27001-Projekt ist immer auch ein Veränderungsprojekt im Unternehmen. Und genau daran scheitert die Vorstellung, dass eine KI-Software das Thema einfach "für Sie erledigt".

Die kurze Antwort

Eine KI-Software kann Vorlagen liefern, Texte formulieren, Struktur geben und vielleicht sogar dabei helfen, Informationen schneller zusammenzutragen.

Was sie nicht kann:

  • die Dynamik im Unternehmen einschätzen;
  • Widerstände erkennen;
  • mit den richtigen Leuten zur richtigen Zeit die richtigen Gespräche führen;
  • Verantwortung und Verbindlichkeit erzeugen;
  • mit Augenmaß entscheiden, was für genau dieses Unternehmen angemessen ist;
  • und ein Projekt menschlich so führen, dass es im Unternehmen wirklich getragen wird;

Genau deshalb reicht eine KI-Software allein für ein belastbares ISO-27001-ISMS nicht aus.

Ein ISMS ist kein Dokumentenstapel

Viele KI-Angebote tun so, als wäre das eigentliche Problem bei ISO 27001 die Dokumentation. Also wird genau dort optimiert: schneller schreiben, schneller Vorlagen erzeugen, schneller Prozesse ausformulieren.

Das hilft ein Stück weit. Aber es verwechselt Oberfläche mit Kern.

Das eigentliche Problem ist selten: Wie schreiben wir schneller 30 Dokumente?

Sondern eher:

  • Wie bekommen wir die richtigen Leute ins Projekt?
  • Wie sorgen wir dafür, dass Entscheidungen wirklich getroffen werden?
  • Auf welche Weise stellen wir sicher, dass Regeln nicht nur geschrieben, sondern auch akzeptiert werden?
  • Wie weit können wir das Unternehmen fordern, ohne es zu überfordern?
  • Auf welche Weise bauen wir ein System, das im Audit trägt und im Alltag nicht auseinanderfällt?

Genau da endet die Stärke einer KI-Software ziemlich schnell.

ISO 27001 ist immer auch ein Change-Projekt

Das ist der Punkt, den viele unterschätzen.

Ein ISMS verändert Dinge im Unternehmen:

  • Verantwortlichkeiten werden klarer;
  • Regeln werden verbindlicher;
  • Entscheidungen werden sichtbarer;
  • Abläufe müssen ausgehandelt werden;
  • Risiken werden benannt;
  • Gewohnheiten werden hinterfragt;
  • manche Leute müssen Dinge anders machen als bisher.

Das ist kein rein technischer Vorgang. Das ist Veränderung.

Und Veränderung ist nie nur eine Frage von guten Texten. Veränderung ist immer auch eine Frage von Kommunikation, Timing, Akzeptanz, Frust, Missverständnissen, Eitelkeiten, Unsicherheit und Vertrauen.

Eine KI kann Formulierungen liefern. Aber sie sieht nicht, wer innerlich schon aussteigt. Sie merkt nicht, wann ein Projekt gerade politisch kippt. Und spürt nicht, ob ein Bereich gerade überfordert ist oder ob der eigentliche Engpass ganz woanders sitzt.

Der menschliche Faktor ist kein Nebenschauplatz

Viele ISO-27001-Projekte scheitern nicht an der Norm.

Sie scheitern daran, dass Menschen nicht mitziehen.

Dann gibt es zum Beispiel:

  • Bereichsleiter, die das Thema nicht ernst nehmen;
  • Mitarbeiter, die Sicherheitsregeln als Bürokratie sehen;
  • IT-Verantwortliche, die sich kontrolliert fühlen;
  • Geschäftsführer, die zwar "Ja" gesagt haben, aber sich wie "nein" verhalten;
  • Projektbeteiligte, die schon am dritten Workshop nur noch genervt sind.

Genau deshalb reicht es nicht, das Projekt nur inhaltlich richtig aufzusetzen. Man muss es auch menschlich richtig führen.

Wir sehen diesen Faktor und beziehen ihn bewusst ein. Nicht als weiches Beiwerk, sondern als zentralen Erfolgsfaktor.

Projektmanagement ist mehr als Termine pflegen

Ein gutes ISO 27001-Projekt lebt nicht davon, dass irgendwo ein Gantt-Chart existiert.

Es lebt davon, dass jemand weiß:

  • wann man Druck machen muss;
  • und wann man eher bremsen muss;
  • wen man jetzt einbinden muss;
  • und wen man besser erst später dazu holt;
  • wo man gerade sauber eskalieren sollte;
  • und wo es klüger ist, erst einmal im Hintergrund etwas vorzubereiten.

Genau das ist Projektführung.

Eine KI-Software kann Aufgabenlisten erzeugen. Aber sie kann nicht wirklich steuern. Sie weiß nicht, wie man Menschen in einem Unternehmen anspricht, damit sie mitmachen, statt innerlich dichtzumachen. Sie kennt keine Zwischenräume. Hat kein Gespür für Timing. Sie kann keine Verantwortung übernehmen, wenn es unbequem wird.

Menschen trauen Menschen - nicht Software-Behauptungen

Ein Punkt wird in der Debatte oft unterschätzt: Zutrauen.

Wenn ein Unternehmen ein ISMS aufbaut, gibt es viele Momente, in denen sich Menschen im Unternehmen fragen:

  • Können diese Berater das wirklich?
  • Verstehen die unser Unternehmen?
  • Haben die so etwas schon mal gesehen?
  • Wissen die, wie Auditoren ticken?
  • Merken die, was hier gerade wirklich das Problem ist?

Eine KI-Software antwortet darauf stumpf, welche fachliche Aufgabe als nächstes dran ist. Das hilft nicht. Verständnis hilft. Vielleicht anschieben. Vielleicht manchmal auch eine klare Ansage. Eben eine andere Kommunikation als "genial auf der Sachebene".

Menschen bringen etwas mit, das Software nicht mitbringen kann:

Eine erkennbare Historie, echte Projekterfahrung, echte Gespräche, echte Einordnung, echte Geschichten aus der Praxis. Wir können Battle Stories teilen. Erklären, wo andere Unternehmen hängen geblieben sind. Wir können zeigen, was im Audit wirklich schiefgehen kann - und was eben nicht.

Das erzeugt etwas, das für ein Veränderungsprojekt extrem wertvoll ist: Zutrauen.

Nicht im Sinne von Show. Sondern im Sinne von:

Ja, ich glaube, die sehen uns. Die verstehen unsere Lage. Denen traue ich zu, dass sie uns da sauber durchbringen.

Wir leben vor, wie es geht

Ein weiterer Unterschied ist: Wir reden nicht nur abstrakt über Informationssicherheit und Managementsysteme.

Wir arbeiten selbst in genau dieser Welt. Kennen die Spannungen zwischen Theorie, Alltag, Nachweis, Führung und Audit. Wir wissen, wie sich ein Unternehmen anfühlt, das etwas wirklich sauber aufbauen will, aber trotzdem im operativen Geschäft steckt.

Das ist etwas anderes als ein Tool, das bloß Antworten in Text verwandelt.

Ein guter Berater ist nicht nur jemand, der Inhalte kennt. Er macht vor, wie man Themen strukturiert, wie man Entscheidungen vorbereitet und wie man Dinge so formuliert, dass sie tragfähig werden.

"Angemessenheit" kann keine KI sauber beurteilen

Das ist einer der wichtigsten Punkte überhaupt.

ISO 27001 verlangt kein Maximalkonzept. Es verlangt ein angemessenes System.

Und genau hier liegt eine der größten Schwächen von KI-Software: Sie produzieren oft Inhalte, die formal plausibel klingen, aber nicht wirklich auf das Unternehmen zugeschnitten sind.

Das Problem ist nicht, dass die Texte falsch sind. Das Problem ist, dass sie oft nicht mit Augenmaß auf die konkrete Organisation passen.

Angemessenheit heißt in der Praxis:

  • Was kann dieses Unternehmen organisatorisch wirklich (er)tragen?
  • Wo reicht eine schlanke Regelung?
  • Und wo braucht es mehr Verbindlichkeit?
  • Was wird ein Auditor in diesem konkreten Umfeld erwarten?
  • Wo wäre mehr Formalisierung nur unnötiger Overhead?
  • Und wo wäre weniger Formalisierung schlicht zu dünn?

Diese Entscheidungen brauchen Erfahrung, Kontext und Urteilskraft.

Wir können das nicht deshalb besser, weil wir laut auftreten, sondern weil wir Unternehmen real sehen und einschätzen können - auch mit dem Blick von Auditoren.

Auditorenerfahrung macht einen echten Unterschied

Viele KI-Lösungen tun so, als bestünde der Weg zur Zertifizierung vor allem darin, die Norm gut in individuelle Texte zu übersetzen.

Das reicht nicht.

Am Ende muss das, was aufgebaut wurde, auch im Audit bestehen. Und dafür ist entscheidend, ob man versteht, wie Auditoren typischerweise schauen, wo sie nachbohren, was sie als plausibel ansehen und wo sie merken, dass etwas nur auf dem Papier existiert.

Wir kennen viele Auditoren, kennen ihre Denkweise und haben erlebt, was in Audits wirklich trägt und was nur theoretisch gut aussieht.

Das heißt nicht, dass man "für Auditoren Theater spielen" soll. Im Gegenteil. Aber es heißt, dass man Systeme bauen sollte, die in der Realität funktionieren und im Audit nachvollziehbar bestehen.

Genau das ist ein Unterschied, den eine KI-Software nicht mitbringen kann. Vielleicht noch nicht. Aber derzeit eben nicht.

Wo KI natürlich trotzdem ihren Platz hat

Damit kein falscher Eindruck entsteht: Natürlich ist KI in ISO 27001-Projekten sinnvoll unterstützen und ist nicht mehr wegzudenken - und wir nutzen Sie natürlich auch.

Zum Beispiel bei:

  • Strukturentwürfen;
  • Formulierungshilfen;
  • Verdichtung von Informationen;
  • Varianten für Texte;
  • Erstellen von Risikolisten;
  • Zusammenfassungen;
  • Bearbeitung von Rohmaterial und einigem mehr.

Der Fehler ist also nicht, KI zu nutzen.

Der Fehler ist zu glauben, dass daraus bereits ein sauberes ISMS-Projekt wird.

KI ist ein Werkzeug. Kein verantwortlicher Projektführer. Und kein Sparringspartner mit echter Erfahrung. Kein Mensch, der Widerstand im Unternehmen spürt. Der in Projektmeetings abwehrende Körpersprache lesen kann. Kein Berater, dem man vertraut und der im Zweifel die Extrameile geht und ein Projekt geradezieht, wenn es schief zu laufen droht.

Der häufigste Denkfehler bei KI-Software für ISO 27001

Der häufigste Denkfehler lautet: Wenn die Inhalte gut genug sind, wird das Projekt schon klappen.

Das stimmt nicht.

Viele Projekte scheitern nicht an fehlenden Inhalten, sondern an:

  • fehlender Priorisierung;
  • mangelnder Einbindung;
  • unklarer Verantwortung;
  • schlechter Kommunikation;
  • unrealistischen Erwartungen;
  • unpassender Umsetzung;
  • und mangelnder Führung.

Genau das kann keine KI-Software für Sie übernehmen. Noch nicht.

FAQ

Unser Tipp

Eine KI-Software kann beim Aufbau eines ISO-27001-ISMS unterstützen. Aber sie kann kein Unternehmen durch ein echtes Veränderungsprojekt führen.

Denn ISO 27001 ist nicht nur ein Satz von Dokumenten, sondern ein Projekt mit Menschen, Widerständen, Verantwortung, Entscheidungen und Augenmaß. Genau dort zeigt sich der Unterschied zwischen einer Software, die Inhalte erzeugt, und Beratung, die ein Projekt wirklich trägt.

Wenn Sie nur Text wollen, reicht vielleicht Software.

Wenn Sie wollen, dass das Projekt im Unternehmen funktioniert und im Audit trägt, braucht es mehr.

Wenn Sie ISO 27001 nicht als KI-generierten Dokumentenstapel, sondern als tragfähiges Veränderungsprojekt aufbauen wollen, sprechen Sie uns an - oder chatten Sie uns an (gleich unten rechts).

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments